Cisco Nexus 3548 スイッチ NX-OS リリース 10.5(x)セキュリティ構成ガイド

DHCP スヌーピングについて

DHCP スヌーピングは、信頼できないホストと信頼できる DHCP サーバとの間でファイアウォールのような機能を果たします。DHCP スヌーピングでは次のアクティビティを実行します。

信頼できない送信元からの DHCP メッセージを検証し、無効なメッセージをフィルタ処理して除外します。
DHCP スヌーピングバインディングデータベースを構築し、管理します。このデータベースには、リース IP アドレスがある信頼できないホストに関する情報が保存されています。
DHCP スヌーピングバインディングデータベースを使用して、信頼できないホストからの以降の要求を検証します。

DHCP スヌーピングは、VLAN ベースごとにイネーブルに設定されます。デフォルトでは、すべての VLAN でこの機能は非アクティブです。この機能は、1 つの VLAN または特定の VLAN 範囲でイネーブルにできます。

機能のイネーブル化とグローバルなイネーブル化

DHCP スヌーピングを設定するときは、DHCP スヌーピング機能のイネーブル化と DHCP スヌーピングのグローバルなイネーブル化の違いを理解することが重要です。

機能のイネーブル化

DHCP スヌーピング機能は、デフォルトではディセーブルです。DHCP スヌーピング機能がディセーブルになっていると、DHCP スヌーピングまたはこれに依存する機能を設定できません。DHCP スヌーピングおよびその依存機能を設定するコマンドは、DHCP スヌーピングがディセーブルになっているときは使用できません。

DHCP スヌーピング機能をイネーブルにすると、スイッチで DHCP スヌーピングバインディングデータベースの構築と維持が開始されます。DHCP スヌーピングバインディングデータベースに依存する機能は、その時点から使用できるようになり、設定も可能になります。

DHCP スヌーピング機能をイネーブルにしても、グローバルにイネーブルになるわけではありません。DHCP スヌーピングをグローバルにイネーブルにするには、個別に行う必要があります。

DHCP スヌーピング機能をディセーブルにすると、スイッチから DHCP スヌーピングの設定がすべて削除されます。DHCP スヌーピングをディセーブルにして設定を維持したい場合は、DHCP スヌーピング機能をディセーブルにするのではなく、DHCP スヌーピングをグローバルにディセーブル化します。

グローバルなイネーブル化

DHCP スヌーピングのイネーブル化の実行後、DHCP スヌーピングはデフォルトでグローバルにディセーブルになります。グローバルなイネーブル化は第 2 レベルのイネーブル化です。これにより、DHCP スヌーピングバインディングデータベースのイネーブル化とは別に、スイッチがアクティブに DHCP スヌーピングを実行しているかどうかを個別に制御できます。

DHCP スヌーピングをグローバルにイネーブルにすると、DHCP スヌーピングがイネーブルになっている VLAN の信頼できない各インターフェイスについて、受信した DHCP メッセージの検証が開始され、DHCP スヌーピングバインディングデータベースを使用して、信頼できないホストからの以降の要求を検証します。

DHCP スヌーピングをグローバルにディセーブルにすると、DHCP メッセージの検証と、信頼できないホストからの以降の要求の検証を停止します。DHCP スヌーピングバインディングデータベースも削除されます。DHCP スヌーピングをグローバルにディセーブルにしても、DHCP スヌーピングの設定や、DHCP スヌーピング機能に依存するその他の機能の設定は削除されません。

信頼できる送信元と信頼できない送信元

DHCP スヌーピングがトラフィックの送信元を信頼するかどうかを設定できます。信頼できないソースの場合、トラフィック攻撃やその他の敵対的アクションが開始される可能性があります。こうした攻撃を防ぐため、DHCP スヌーピングは信頼できない送信元からのメッセージをフィルタリングします。

企業ネットワークでは、信頼できる送信元はその企業の管理制御下にあるスイッチです。これらのスイッチには、ネットワーク内のスイッチ、ルータ、およびサーバーが含まれます。ファイアウォールを越えるスイッチやネットワーク外のスイッチは信頼できない送信元です。一般的に、ホストポートは信頼できない送信元として扱われます。

サービスプロバイダーの環境では、サービスプロバイダーネットワークにないスイッチは、信頼できない送信元です（カスタマースイッチなど）。ホストポートは、信頼できない送信元です。

Cisco Nexus デバイスでは、接続インターフェイスの信頼状態を設定することにより送信元が信頼されることを示します。

すべてのインターフェイスのデフォルトの信頼状態は、信頼できない状態になります。DHCP サーバインターフェイスは、信頼できるインターフェイスとして設定する必要があります。ユーザーのネットワーク内でスイッチ（スイッチまたはルータ）に接続されている場合、他のインターフェイスも信頼できるインターフェイスとして設定できます。ホストポートインターフェイスは、通常、信頼できるインターフェイスとしては設定しません。

Note

DHCP スヌーピングを正しく機能させるためには、すべての DHCP サーバーを信頼できるインターフェイス経由でスイッチに接続する必要があります。

DHCP スヌーピングバインディングデータベース

DHCP スヌーピングは、代行受信した DHCP メッセージから抽出した情報を使用し、ダイナミックにデータベースを構築し維持します。DHCP スヌーピングがイネーブルにされた VLAN に、ホストが関連付けられている場合、データベースには、リース IP アドレスがある信頼できない各ホストのエントリが保存されています。データベースには、信頼できるインターフェイスを介して接続するホストに関するエントリは保存されません。

Note

DHCP スヌーピングバインディングデータベースは DHCP スヌーピングバインディングテーブルとも呼ばれます。

スイッチが特定の DHCP メッセージを受信すると、DHCP スヌーピングはデータベースをアップデートします。たとえば、サーバーからの DHCPACK メッセージをスイッチで受信すると、この機能により、データベースにエントリが追加されます。IP アドレスのリース期限が切れると、またはホストからの DHCPRELEASE メッセージをスイッチで受信すると、この機能により、データベースのエントリが削除されます。

DHCP スヌーピングバインディングデータベースの各エントリには、ホストの MAC アドレス、リース IP アドレス、リース期間、バインディングタイプ、VLAN 番号、およびホストに関連するインターフェイス情報が保存されます。

clear ip dhcp snooping binding コマンドを使用すると、バインディングデータベースからエントリ削除できます。

DHCP リレーエージェントについて

DHCP リレーエージェント

DHCP リレーエージェントを実行するようにデバイスを設定できます。DHCP リレーエージェントは、クライアントとサーバの間で DHCP パケットを転送します。これは、クライアントとサーバが同じ物理サブネット上にない場合に便利な機能です。リレーエージェントは DHCP メッセージを受信すると、新規の DHCP メッセージを生成して別のインターフェイスに送信します。リレーエージェントはゲートウェイアドレスを設定し（DHCP パケットの giaddr フィールド）、パケットにリレーエージェント情報のオプション（Option 82）を追加して（設定されている場合）、DHCP サーバに転送します。サーバからの応答は、Option 82 を削除してからクライアントに転送されます。

Option 82 をイネーブルにすると、デバイスはデフォルトでバイナリの ifindex 形式を使用します。必要に応じて Option 82 設定を変更して、代わりに符号化ストリング形式を使用できます。

Note

デバイスは、Option 82 情報がすでに含まれている DHCP 要求を中継するときには、Option 82 情報を変更せずに元のままの状態で要求と一緒に転送します。

DHCP リレーエージェントに対する VRF サポート

DHCP ブロードキャストメッセージを Virtual Routing and Forwarding（VRF; 仮想ルーティング/転送）インスタンスのクライアントから別の VRF の DHCP サーバに転送するように、DHCP リレーエージェントを設定できます。単一の DHCP サーバを使用して複数の VRF のクライアントの DHCP をサポートできるため、IP アドレスプールを VRF ごとではなく 1 つにまとめることにより、IP アドレスを節約できます。

DHCP リレーエージェントに対する VRF サポートをイネーブルにするには、DHCP リレーエージェントに対する Option 82 をイネーブルにする必要があります。

DHCP リレーアドレスと VRF 情報を構成したインターフェイスに DHCP 要求が着信した場合、DHCP サーバーのアドレスが、別の VRF のメンバーであるインターフェイスのネットワークに属するものであれば、デバイスは要求に Option 82 情報を挿入し、それをサーバーの VRF の DHCP サーバーに転送します。Option 82 情報は次のとおりです。

VPN 識別子: DHCP 要求を受信するインターフェイスが属する VRF の名前。
リンクの選択: DHCP 要求を受信するインターフェイスのサブネットアドレス。
サーバ識別子オーバーライド: DHCP 要求を受信するインターフェイスの IP アドレス。

（注）

DHCP サーバは、VPN 識別子、リンクの選択、サーバ識別子オーバーライドの各オプションをサポートする必要があります。

デバイスは DHCP 応答メッセージを受信すると、Option 82 情報を取り除き、クライアントの VRF の DHCP クライアントに応答を転送します。

DHCP リレーバインディングデータベース

リレーバインディングは、リレーエージェントのアドレスおよびサブネットに、DHCP または BOOTP クライアントを関連付けるエントリです。各リレーバインディングは、クライアントの MAC アドレス、アクティブなリレーエージェントアドレス、アクティブなリレーエージェントアドレスマスク、クライアントが接続されている論理および物理インターフェイス、giaddr リトライ回数、および合計リトライ回数を格納します。giaddr リトライ回数は、リレーエージェントアドレスに送信される要求パケットの数です。合計リトライ回数は、リレーエージェントによって送信される要求パケットの合計数です。1 つのリレーバインディングエントリが、各 DHCP または BOOTP クライアントに対して維持されます。

Note

DHCP スマートリレーをグローバルにイネーブルにするか、または任意のスイッチのインターフェイスレベルでイネーブルにする場合、すべてのスイッチのリレーバインディングは vPC ピアと同期する必要があります。

DHCP スヌーピングの前提条件

DHCP スヌーピングまたは DHCP リレーエージェントを設定するためには、DHCP についての知識が必要です。

DHCP スヌーピングの注意事項および制約事項

DHCP スヌーピングを設定する場合は、次の注意事項および制約事項を考慮してください。

DHCP スヌーピングデータベースには 2,000 のバインディングを格納できます。
DHCP をグローバルにイネーブル化し、さらに少なくとも 1 つの VLAN で DHCP スヌーピングをイネーブルにするまで、DHCP スヌーピングはアクティブになりません。
スイッチ上で DHCP スヌーピングをグローバルにイネーブルにする前に、DHCP サーバーや DHCP リレーエージェントとして機能するスイッチが設定され、イネーブルになっていることを確認してください。
DHCP スヌーピングを使用して設定を行っている VLAN で VLAN ACL（VACL）が設定されている場合、その VACL で DHCP サーバーと DHCP ホストの間の DHCP トラフィックが許可されていることを確認します。
DHCP スヌーピングおよび DHCP リレー機能は、同一の VLAN ポート上ではサポートされません。

DHCP スヌーピングのデフォルト設定

次の表に、DHCP スヌーピングパラメータのデフォルト設定を示します。

Table 1. DHCP スヌーピングパラメータのデフォルト値
パラメータ	デフォルト
DHCP スヌーピング機能	ディセーブル
DHCP スヌーピングのグローバルなイネーブル化	なし
DHCP スヌーピング VLAN	なし
DHCP スヌーピングの Option 82 サポート	ディセーブル
DHCP スヌーピング信頼状態	信頼できない
DHCP リレーエージェントに対する VRF サポート	ディセーブル
DHCP リレーエージェント	ディセーブル

DHCP スヌーピングの最小設定

Procedure

	Command or Action	Purpose
Step 1	DHCP スヌーピング機能をイネーブルにします。	DHCP スヌーピング機能がディセーブルになっていると、DHCP スヌーピングを設定できません。詳細については、DHCP スヌーピング機能のイネーブル化またはディセーブル化を参照してください。
Step 2	DHCP スヌーピングをグローバルにイネーブル化します。	詳細については、DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化を参照してください。
Step 3	少なくとも 1 つの VLAN で、DHCP スヌーピングをイネーブルにします。	デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。詳細については、VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化を参照してください。
Step 4	DHCP サーバーとスイッチが、信頼できるインターフェイスを使用して接続されていることを確認します。	詳細については、インターフェイスの信頼状態の設定を参照してください。

DHCP スヌーピング機能のイネーブル化またはディセーブル化

スイッチの DHCP スヌーピング機能をイネーブルまたはディセーブルに設定できます。デフォルトでは、DHCP スヌーピングはディセーブルです。

Before you begin

DHCP スヌーピング機能をディセーブルにすると、DHCP スヌーピングの設定がすべて消去されます。DHCP スヌーピングをオフにして DHCP スヌーピングの設定を維持したい場合は、DHCP をグローバルにディセーブル化します。

SUMMARY STEPS

configure terminal
[no] feature dhcp
(Optional) show running-config dhcp
(Optional) copy running-config startup-config

DETAILED STEPS

	Command or Action	Purpose
Step 1	configure terminal Example: `switch# configure terminal switch(config)#`	グローバル設定モードを開始します。
Step 2	[no] feature dhcp Example: `switch(config)# feature dhcp`	DHCP スヌーピング機能をイネーブルにします。no オプションを使用すると、DHCP スヌーピング機能がディセーブルになり、DHCP スヌーピングの設定がすべて消去されます。
Step 3	(Optional) show running-config dhcp Example: `switch(config)# show running-config dhcp`	(Optional) DHCP スヌーピングの設定を表示します。
Step 4	(Optional) copy running-config startup-config Example: `switch(config)# copy running-config startup-config`	(Optional) 実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化

スイッチに対して DHCP スヌーピング機能のグローバルなイネーブル化またはディセーブル化が可能です。DHCP スヌーピングをグローバルにディセーブルにすると、DHCP スヌーピングの実行や DHCP メッセージのリレーはスイッチで停止されますが、DHCP スヌーピングの設定は維持されます。

Before you begin

DHCP スヌーピング機能がイネーブルになっていることを確認します。デフォルトでは、DHCP スヌーピングはグローバルにディセーブルです。

SUMMARY STEPS

configure terminal
[no] ip dhcp snooping
(Optional) show running-config dhcp
(Optional) copy running-config startup-config

DETAILED STEPS

	Command or Action	Purpose
Step 1	configure terminal Example: `switch# configure terminal switch(config)#`	グローバル設定モードを開始します。
Step 2	[no] ip dhcp snooping Example: `switch(config)# ip dhcp snooping`	DHCP スヌーピングをグローバルにイネーブル化します。no オプションを使用すると DHCP スヌーピングがディセーブルになります。
Step 3	(Optional) show running-config dhcp Example: `switch(config)# show running-config dhcp`	(Optional) DHCP スヌーピングの設定を表示します。
Step 4	(Optional) copy running-config startup-config Example: `switch(config)# copy running-config startup-config`	(Optional) 実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化

1 つまたは複数の VLAN に対して DHCP スヌーピングをイネーブルまたはディセーブルに設定できます。

Before you begin

デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。

DHCP スヌーピングがイネーブルになっていることを確認してください。

Note

DHCP スヌーピングを使用して設定を行っている VLAN で VACL が設定されている場合、その VACL で DHCP サーバーと DHCP ホストの間の DHCP トラフィックが許可されていることを確認します。

SUMMARY STEPS

configure terminal
[no] ip dhcp snooping vlan vlan-list
(Optional) show running-config dhcp
(Optional) copy running-config startup-config

DETAILED STEPS

	Command or Action	Purpose
Step 1	configure terminal Example: `switch# configure terminal switch(config)#`	グローバルコンフィギュレーションモードを開始します。
Step 2	[no] ip dhcp snooping vlan `vlan-list` Example: `switch(config)# ip dhcp snooping vlan 100,200,250-252`	`vlan-list` で指定する VLAN の DHCP スヌーピングをイネーブルにします。no オプションを使用すると、指定した VLAN の DHCP スヌーピングがディセーブルになります。
Step 3	(Optional) show running-config dhcp Example: `switch(config)# show running-config dhcp`	(Optional) DHCP スヌーピングの設定を表示します。
Step 4	(Optional) copy running-config startup-config Example: `switch(config)# copy running-config startup-config`	(Optional) 実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

Option 82 データの挿入および削除の有効化または無効化

DHCP リレーエージェントを使用せずに転送された DHCP パケットへの Option 82 情報の挿入および削除を有効または無効にできます。デフォルトでは、デバイスは DHCP パケットに Option 82 情報を挿入しません。

Note

Option 82 に対する DHCP リレーエージェントのサポートは、個別に設定されます。

Before you begin

DHCP 機能がイネーブルになっていることを確認します。

SUMMARY STEPS

config t
[no] ip dhcp snooping information option
(Optional) [no] ip dhcp snooping sub-option circuit-id format-type string format
(Optional) show running-config dhcp
(Optional) copy running-config startup-config

DETAILED STEPS

	Command or Action	Purpose
Step 1	config t Example: `switch# config t switch(config)#`	グローバル設定モードを開始します。
Step 2	[no] ip dhcp snooping information option Example: `switch(config)# ip dhcp snooping information option`	DHCP パケットの Option 82 情報の挿入および削除をイネーブルにします。no オプションを使用すると、Option 82 情報の挿入および削除がディセーブルになります。
Step 3	(Optional) [no] ip dhcp snooping sub-option circuit-id format-type string format Example: `switch(config)# ip dhcp snooping sub-option circuit-id format-type string format`	(Optional) 入力 ifindex 名、ホスト名、またはホスト名と ifindex 名の組み合わせをエンコードした文字列形式を使用するには、オプション 82 を設定します（ホスト名を使用する場合は「%h」、ifindex を使用する場合は「%p」、ホスト名と ifindex 名を両方使用する場合は「%h」と「%p」の組み合わせを指定します）。
Step 4	(Optional) show running-config dhcp Example: `switch(config)# show running-config dhcp`	(Optional) DHCP 設定を表示します。
Step 5	(Optional) copy running-config startup-config Example: `switch(config)# copy running-config startup-config`	(Optional) 実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

Option 82 ユーザー定義データの挿入および削除のイネーブル化またはディセーブル化

サーバーに転送された DHCP パケットへの Option 82 ユーザー定義情報の挿入および削除をイネーブルまたはディセーブルに設定できます。この設定は、ポートごとに適用され、エンコード文字列形式の入力 ifindex 名を使用する Option82 グローバルコンフィギュレーションよりも優先されます。SVI 上で DHCP リレーを設定すると、入力物理 ifindex に基づくユーザー定義文字列が、リレー対象の DHCP パケットに付加されます。

デフォルト状態のデバイスは、DHCP パケットに Option 82 情報を挿入しません。

Note

ユーザー定義の Option 82 設定は、DHCP リレーと DHCP スヌーピングの両方に適用されます。

Before you begin

DHCP 機能がイネーブルになっていることを確認します。

SUMMARY STEPS

config t
[no] ip dhcp snooping information option
interface ethernet slot/port
ip dhcp option82 suboption circuit-id user-defined-circuit-id
(Optional) show ip dhcp option82 suboption info interface po5
(Optional) copy running-config startup-config

DETAILED STEPS

	Command or Action	Purpose
Step 1	config t	グローバル設定モードを開始します。
Step 2	[no] ip dhcp snooping information option	DHCP パケットの Option 82 情報の挿入および削除をイネーブルにします。no オプションを使用すると、Option 82 情報の挿入および削除がディセーブルになります。
Step 3	interface ethernet `slot`/`port`	インターフェイスコンフィギュレーションモードを開始します。slot/port は、Option 82 文字列を設定するレイヤ 2 イーサネット入力インターフェイスです。
Step 4	ip dhcp option82 suboption circuit-id `user-defined-circuit-id` Example: switch(config-if)# ip dhcp option82 suboption circuit-id po5-option82-string	ユーザーが定義した Option82 文字列をポートチャネル 5 で入力します。「po5-option82-string」という文字列が、ポートチャネル 5 で入力中の DHCP パケットに付加されます。イーサネットインターフェイスでも同じように設定されます。
Step 5	(Optional) show ip dhcp option82 suboption info interface po5	(Optional) DHCP Option 82 の情報と統計情報を表示します。
Step 6	(Optional) copy running-config startup-config	(Optional) 実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

DHCP パケットの厳密な検証のイネーブル化またはディセーブル化

DHCP スヌーピング機能では、DHCP パケットの厳密な検証をイネーブルまたはディセーブルにできます。デフォルトでは、DHCP パケットの厳密な検証はディセーブルになっています。

SUMMARY STEPS

configure terminal
[no] ip dhcp packet strict-validation
(Optional) show running-config dhcp
(Optional) copy running-config startup-config

DETAILED STEPS

	Command or Action	Purpose
Step 1	configure terminal Example: `switch# configure terminal switch(config)#`	グローバル設定モードを開始します。
Step 2	[no] ip dhcp packet strict-validation Example: `switch(config)# ip dhcp packet strict-validation`	DHCP スヌーピング機能で、DHCP パケットの厳密な検証をイネーブルにします。no オプションを使用すると、DHCP パケットの厳密な検証がディセーブルになります。
Step 3	(Optional) show running-config dhcp Example: `switch(config)# show running-config dhcp`	(Optional) DHCP スヌーピングの設定を表示します。
Step 4	(Optional) copy running-config startup-config Example: `switch(config)# copy running-config startup-config`	(Optional) 実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

インターフェイスの信頼状態の設定

各インターフェイスが DHCP メッセージの送信元として信頼できるかどうかを設定できます。DHCP の信頼状態は、次のタイプのインターフェイスに設定できます。

レイヤ 2 イーサネットインターフェイス
レイヤ 2 ポートチャネルインターフェイス

Before you begin

デフォルトでは、すべてのインターフェイスは信頼できません。

DHCP スヌーピングがイネーブルになっていることを確認してください。

SUMMARY STEPS

configure terminal
次のいずれかのコマンドを入力します。

interface ethernet port/slot
interface port-channel channel-number

[no] ip dhcp snooping trust
(Optional) show running-config dhcp
(Optional) copy running-config startup-config

DETAILED STEPS

	Command or Action	Purpose
Step 1	configure terminal Example: `switch# configure terminal switch(config)#`	グローバル構成モードを開始します。
Step 2	次のいずれかのコマンドを入力します。 interface ethernet `port`/`slot` interface port-channel `channel-number` Example: `switch(config)# interface ethernet 2/1 switch(config-if)#`	インターフェイスコンフィギュレーションモードを開始します。 `port` / `slot` は、DHCP スヌーピングで trusted または untrusted に設定するレイヤ 2 イーサネットインターフェイスです。インターフェイスコンフィギュレーションモードを開始します。 `port` / `slot` は、DHCP スヌーピングで trusted または untrusted に設定するレイヤ 2 ポートチャネルインターフェイスです。
Step 3	[no] ip dhcp snooping trust Example: `switch(config-if)# ip dhcp snooping trust`	DHCP スヌーピングに関してインターフェイスを信頼できるインターフェイスとして設定します。no オプションを使用すると、ポートは信頼できないインターフェイスとして設定されます。
Step 4	(Optional) show running-config dhcp Example: `switch(config-if)# show running-config dhcp`	(Optional) DHCP スヌーピングの設定を表示します。
Step 5	(Optional) copy running-config startup-config Example: `switch(config-if)# copy running-config startup-config`	(Optional) 実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

DHCP リレーエージェントのイネーブル化またはディセーブル化

DHCP リレーエージェントをイネーブルまたはディセーブルに設定できます。デフォルトでは、DHCP リレーエージェントはイネーブルです。

Before you begin

DHCP 機能がイネーブルになっていることを確認します。

SUMMARY STEPS

config t
[no] ip dhcp relay
(Optional) show ip dhcp relay
(Optional) show running-config dhcp
(Optional) copy running-config startup-config

DETAILED STEPS

	Command or Action	Purpose
Step 1	config t Example: `switch# config t switch(config)#`	グローバル設定モードを開始します。
Step 2	[no] ip dhcp relay Example: `switch(config)# ip dhcp relay`	DHCP リレーエージェントをイネーブルにします。no オプションを使用すると、リレーエージェントがディセーブルになります。
Step 3	(Optional) show ip dhcp relay Example: `switch(config)# show ip dhcp relay`	(Optional) DHCP リレーの設定を表示します。
Step 4	(Optional) show running-config dhcp Example: `switch(config)# show running-config dhcp`	(Optional) DHCP 設定を表示します。
Step 5	(Optional) copy running-config startup-config Example: `switch(config)# copy running-config startup-config`	(Optional) 実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

DHCP リレーエージェントに対する Option 82 の有効化または無効化

デバイスに対し、リレーエージェントによって転送された DHCP パケットへの Option 82 情報の挿入と削除を有効または無効にできます。

デフォルトでは、DHCP リレーエージェントは DHCP パケットに Option 82 情報を挿入しません。

SUMMARY STEPS

configure terminal
[no] ip dhcp relay
[no] ip dhcp relay information option
(Optional) show ip dhcp relay
(Optional) show running-config dhcp
(Optional) copy running-config startup-config

DETAILED STEPS

	Command or Action	Purpose
Step 1	configure terminal Example: `switch# configure terminal switch(config)#`	グローバル設定モードを開始します。
Step 2	[no] ip dhcp relay Example: `switch(config)# ip dhcp relay`	DHCP リレー機能をイネーブルにします。no オプションを使用すると、この動作がディセーブルになります。
Step 3	[no] ip dhcp relay information option Example: `switch(config)# ip dhcp relay information option`	DHCP リレーエージェントによって転送されるパケットに対する Option 82 情報の挿入および削除を有効にします。Option 82 情報は、デフォルトでバイナリ ifIndex 形式です。no オプションを使用すると、この動作がディセーブルになります。
Step 4	(Optional) show ip dhcp relay Example: `switch(config)# show ip dhcp relay`	(Optional) DHCP リレーの設定を表示します。
Step 5	(Optional) show running-config dhcp Example: `switch(config)# show running-config dhcp`	(Optional) DHCP 設定を表示します。
Step 6	(Optional) copy running-config startup-config Example: `switch(config)# copy running-config startup-config`	(Optional) リブートおよびリスタート時に実行コンフィギュレーションをスタートアップコンフィギュレーションにコピーして、変更を継続的に保存します。

DHCP リレーエージェントに対する VRF サポートのイネーブル化またはディセーブル化

ある VRF のインターフェイスで受信した DHCP 要求を、別の VRF インスタンスの DHCP サーバーにリレーできるよう、デバイスを設定することができます。

始める前に

DHCP リレーエージェントの Option 82 をイネーブルにする必要があります。

手順の概要

config t
[no] ip dhcp relay information option vpn
[no] ip dhcp relay sub-option type cisco
（任意） show ip dhcp relay
（任意） show running-config dhcp
（任意） copy running-config startup-config

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	config t 例: `switch# config t switch(config)#`	グローバル設定モードを開始します。
ステップ 2	[no] ip dhcp relay information option vpn 例: `switch(config)# ip dhcp relay information option vpn`	DHCP リレーエージェントに対して VRF サポートをイネーブルにします。no オプションを使用すると、この動作がディセーブルになります。
ステップ 3	[no] ip dhcp relay sub-option type cisco 例: `switch(config)# ip dhcp relay sub-option type cisco`	リンク選択、サーバ ID オーバーライド、および VRF 名/VPN ID リレーエージェント Option 82 サブオプションを設定する場合は、DHCP をイネーブルにして、シスコ独自の番号である 150、152、および 151 を使用します。no オプションを使用すると、DHCP では、リンク選択、サーバ ID オーバーライド、および VRF 名/VPN ID サブオプションに対して、RFC 番号 5、11、151 が使用されるようになります。
ステップ 4	（任意） show ip dhcp relay 例: `switch(config)# show ip dhcp relay`	（任意） DHCP リレーの設定を表示します。
ステップ 5	（任意） show running-config dhcp 例: `switch(config)# show running-config dhcp`	（任意） DHCP 設定を表示します。
ステップ 6	（任意） copy running-config startup-config 例: `switch(config)# copy running-config startup-config`	（任意）実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

レイヤ 3 インターフェイスの DHCP リレーエージェントに対するサブネットブロードキャストサポートのイネーブル化またはディセーブル化

クライアントからのサブネットのブロードキャスト IP アドレスに DHCP パケットのリレーをサポートするように、デバイスを設定できます。この機能がイネーブルの場合、VLAN ACL（VACL）は、IP ブロードキャストパケット、すべてのサブネットブロードキャスト（プライマリサブネットブロードキャストおよびセカンダリサブネットブロードキャスト）パケットを許容します。

始める前に

DHCP 機能がイネーブルになっていることを確認します。

DHCP リレーエージェントがイネーブルであることを確認します。

手順の概要

config t
interface interface slot/port
[no] ip dhcp relay subnet-broadcast
exit
exit
（任意） show ip dhcp relay
（任意） show running-config dhcp
（任意） copy running-config startup-config

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	config t 例: `switch# config t switch(config)#`	グローバル設定モードを開始します。
ステップ 2	interface `interface` `slot`/`port` 例: `switch(config)# interface ethernet 2/2 switch(config-if)#`	インターフェイスコンフィギュレーションモードを開始します。`slot`/`port` は、DHCP リレーエージェントに対するサブネットブロードキャストサポートをイネーブルまたはディセーブルにするインターフェイスです。
ステップ 3	[no] ip dhcp relay subnet-broadcast 例: `switch(config-if)# ip dhcp relay subnet-broadcast`	DHCP リレーエージェントに対するサブネットブロードキャストサポートをイネーブルにします。no オプションを使用すると、この動作がディセーブルになります。
ステップ 4	exit 例: `switch(config-if)# exit switch(config)#`	インターフェイスコンフィギュレーションモードを終了します。
ステップ 5	exit 例: `switch(config)# exit switch#`	グローバルコンフィギュレーションモードを終了します。
ステップ 6	（任意） show ip dhcp relay 例: `switch# show ip dhcp relay`	（任意） DHCP リレーの設定を表示します。
ステップ 7	（任意） show running-config dhcp 例: `switch# show running-config dhcp`	（任意） DHCP 設定を表示します。
ステップ 8	（任意） copy running-config startup-config 例: `switch# copy running-config startup-config`	（任意）実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

インターフェイスへの DHCP サーバアドレスの設定

1 つのインターフェイスに複数の DHCP サーバ IP アドレスを設定できます。インバウンド DHCP BOOTREQUEST パケットがインターフェイスに着信すると、リレーエージェントはそのパケットを指定されたすべての DHCP サーバ IP アドレスに転送します。リレーエージェントは、すべての DHCP サーバからの応答を、要求を送信したホストへ転送します。

Before you begin

DHCP 機能が有効になっていることを確認します。

DHCP サーバが正しく設定されていることを確認します。

インターフェイスに設定する、各 DHCP サーバの IP アドレスを決定します。

DHCP サーバーがインターフェイスとは異なる VRF インスタンスに含まれている場合、VRF サポートがイネーブルになっていることを確認します。

Note

DHCP サーバアドレスを設定しているインターフェイスで入力ルータ ACL が設定されている場合、そのルータ ACL で DHCP サーバと DHCP ホストの間の DHCP トラフィックが許可されていることを確認します。

SUMMARY STEPS

config t
次のいずれかのオプションを使用します。

interface ethernet slot/port[ . number]
interface vlan vlan-id
interface port-channel channel-id[.subchannel-id]

ip dhcp relay address IP-address [use-vrf vrf-name]
(Optional) show ip dhcp relay address
(Optional) show running-config dhcp
(Optional) copy running-config startup-config

DETAILED STEPS

	Command or Action	Purpose
Step 1	config t Example: `switch# config t switch(config)#`	グローバルコンフィギュレーションモードを開始します。
Step 2	次のいずれかのオプションを使用します。 interface ethernet `slot`/`port`[ . `number`] interface vlan `vlan-id` interface port-channel `channel-id`[.`subchannel-id`] Example: `switch(config)# interface ethernet 2/3 switch(config-if)#`	インターフェイスコンフィギュレーションモードを開始します。 `slot` /`port` は、DHCP サーバー IP アドレスを設定する物理イーサネットインターフェイスです。サブインターフェイスを設定する場合は、number 引数を使用してサブインターフェイス番号を指定します。インターフェイスコンフィギュレーションモードを開始します。 `vlan-id` は、DHCP サーバー IP アドレスを設定する VLAN の ID です。インターフェイスコンフィギュレーションモードを開始します。 `channel-id` は、DHCP サーバー IP アドレスを設定するポートチャネルの ID です。サブチャネルを設定する場合は、subchannel-id 引数を使用してサブチャネル ID を指定します。
Step 3	ip dhcp relay address `IP-address` [use-vrf `vrf-name`] Example: `switch(config-if)# ip dhcp relay address 10.132.7.120 use-vrf red`	リレーエージェントがこのインターフェイスで受信した BOOTREQUEST パケットを転送する DHCP サーバの IP アドレスを設定します。複数の IP アドレスを設定するには、アドレスごとに ip dhcp relay address コマンドを使用します。
Step 4	(Optional) show ip dhcp relay address Example: `switch(config-if)# show ip dhcp relay address`	(Optional) 設定済みのすべての DHCP サーバーアドレスを表示します。
Step 5	(Optional) show running-config dhcp Example: `switch(config-if)# show running-config dhcp`	(Optional) DHCP 設定を表示します。
Step 6	(Optional) copy running-config startup-config Example: `switch(config-if)# copy running-config startup-config`	(Optional) 実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

DHCP スタティックバインディングの作成

レイヤ 2 インターフェイスにスタティック DHCP ソースバインディングを作成できます。

始める前に

DHCP スヌーピング機能がイネーブルになっていることを確認します。

手順の概要

configure terminal
ip source binding IP-address MAC-address vlan vlan-id { interface ethernet slot/port | port-channel channel-no}
（任意） show ip dhcp snooping binding
（任意） show ip dhcp snooping binding dynamic
（任意） copy running-config startup-config

手順の詳細

	コマンドまたはアクション	目的
ステップ 1	configure terminal 例: `switch# configure terminal switch(config)#`	グローバルコンフィギュレーションモードを開始します。
ステップ 2	ip source binding `IP-address MAC-address` vlan `vlan-id` { interface ethernet `slot/port` \| port-channel `channel-no`} 例: `switch(config)# ip source binding 10.5.22.7 001f.28bd.0013 vlan 100 interface ethernet 2/3`	レイヤ 2 イーサネットインターフェイスにスタティックな送信元アドレスをバインドします。
ステップ 3	（任意） show ip dhcp snooping binding 例: `switch(config)# ip dhcp snooping binding`	（任意） DHCP スヌーピングのスタティックおよびダイナミックバインディングを示します。
ステップ 4	（任意） show ip dhcp snooping binding dynamic 例: `switch(config)# ip dhcp snooping binding dynamic`	（任意） DHCP スヌーピングのダイナミックバインディングを示します。
ステップ 5	（任意） copy running-config startup-config 例: `switch(config)# copy running-config startup-config`	（任意）実行コンフィギュレーションを、スタートアップコンフィギュレーションにコピーします。

例

次に、イーサネットインターフェイス 2/3 上に、VLAN 100 に関連付ける固定 IP ソースエントリを作成する例を示します。

switch# configure terminal
switch(config)# ip source binding 10.5.22.7 001f.28bd.0013 vlan 100 interface ethernet 2/3
switch(config)#

DHCP スヌーピング設定の確認

DHCP スヌーピングの設定情報を表示するには、次のいずれかの作業を行います。これらのコマンドの出力フィールドの詳細については、Cisco Nexus デバイスの『System Management Configuration Guide』を参照してください。


コマンド	目的
show running-config dhcp	DHCP スヌーピング設定を表示します。
show ip dhcp relay	DHCP リレーの設定を表示します。
show ip dhcp snooping	DHCP スヌーピングに関する一般的な情報を表示します。

DHCP バインディングの表示

DHCP スタティックおよびダイナミックバインディングテーブルを表示するには、show ip dhcp snooping binding コマンドを使用します。DHCP ダイナミックバインディングテーブルを表示するには、show ip dhcp snooping binding dynamic を使用します。

このコマンドの出力フィールドの詳細については、Cisco Nexus デバイスの『System Management Configuration Guide』を参照してください。

次に、スタティック DHCP バインディングを作成してから、show ip dhcp snooping binding コマンドを使用してバインディングを確認する例を示します。

switch# configuration terminal
switch(config)# ip source binding 10.20.30.40 0000.1111.2222 vlan 400 interface port-channel 500

switch(config)# show ip dhcp snooping binding
MacAddress         IpAddress        LeaseSec  Type        VLAN  Interface
-----------------  ---------------  --------  ----------  ----  -------------
00:00:11:11:22:22  10.20.30.40      infinite  static      400   port-channel500

DHCP スヌーピングバインディングデータベースのクリア

DHCP スヌーピングバインディングデータベースからエントリを削除できます。1 つのエントリ、インターフェイスに関連するすべてのエントリ、データベース内のすべてのエントリなどを削除することが可能です。

Before you begin

DHCP スヌーピングがイネーブルになっていることを確認してください。

SUMMARY STEPS

(Optional) clear ip dhcp snooping binding
(Optional) clear ip dhcp snooping binding interface ethernet slot/port[.subinterface-number]
(Optional) clear ip dhcp snooping binding interface port-channel channel-number[.subchannel-number]
(Optional) clear ip dhcp snooping binding vlan vlan-id mac mac-address ip ip-address interface { ethernet slot/port[.subinterface-number | port-channel channel-number[.subchannel-number] }
(Optional) show ip dhcp snooping binding

DETAILED STEPS

	Command or Action	Purpose
Step 1	(Optional) clear ip dhcp snooping binding Example: `switch# clear ip dhcp snooping binding`	(Optional) DHCP スヌーピングバインディングデータベースからすべてのエントリをクリアします。
Step 2	(Optional) clear ip dhcp snooping binding interface ethernet `slot`/`port`[.`subinterface-number`] Example: `switch# clear ip dhcp snooping binding interface ethernet 1/4`	(Optional) DHCP スヌーピングバインディングデータベースから、特定のイーサネットインターフェイスに関連するエントリをクリアします。
Step 3	(Optional) clear ip dhcp snooping binding interface port-channel `channel-number`[.`subchannel-number`] Example: `switch# clear ip dhcp snooping binding interface port-channel 72`	(Optional) DHCP スヌーピングバインディングデータベースから、特定のポートチャネルインターフェイスに関連するエントリをクリアします。
Step 4	(Optional) clear ip dhcp snooping binding vlan `vlan-id` mac `mac-address` ip `ip-address` interface { ethernet `slot`/`port`[.`subinterface-number` \| port-channel `channel-number`[.`subchannel-number`] } Example: `switch# clear ip dhcp snooping binding vlan 23 mac 0060.3aeb.54f0 ip 10.34.54.9 interface ethernet 2/11`	(Optional) DHCP スヌーピングバインディングデータベースから、特定のエントリをクリアします。
Step 5	(Optional) show ip dhcp snooping binding Example: `switch# show ip dhcp snooping binding`	(Optional) DHCP スヌーピングバインディングデータベースを表示します。

DHCP リレー統計情報のクリア

グローバル DHCP リレーの統計情報をクリアするには、clear ip dhcp relay statistics コマンドを使用します。

特定のインターフェイスの DHCP リレーの統計情報をクリアするには、clear ip dhcp relay statistics interface interface コマンドを使用します。

clear ip dhcp relay statistics interface interface serverip ip-address [ use-vrf vrf-name] コマンドを使用して、特定のインターフェイスのサーバーレベルでの DHCP リレー統計情報をクリアします。

DHCP のモニタリング

DHCP スヌーピングをモニターするには、show ip dhcp snooping statistics コマンドを使用します。

show ip dhcp relay statistics [ interface interface [ serverip ip-address [ use-vrf vrf-name]]] コマンドを使用して、グローバル、サーバー、またはインターフェイスレベルでの DHCP リレー統計情報をモニターします。

show ip dhcp snooping statistics vlan [vlan-id] interface [ethernet|port-channel][id] コマンド（オプション）を使用して、VLAN より下位のインターフェイス別のスヌーピング統計情報に関する正確な統計情報を確認します。

DHCP スヌーピングの設定例

次に、2 つの VLAN 上で DHCP スヌーピングをイネーブルにして、Option 82 サポートをイネーブルにし、さらに DHCP サーバーがイーサネットインターフェイス 2/5 に接続されているためにそのインターフェイスを信頼できるインターフェイスとして設定する例を示します。

feature dhcp 
ip dhcp snooping 
ip dhcp snooping info option

interface Ethernet 2/5
  ip dhcp snooping trust 
ip dhcp snooping vlan 1 
ip dhcp snooping vlan 50

偏向のない言語

翻訳について

検索結果

章のタイトル： DHCP スヌーピングの設定

DHCP スヌーピングの設定

DHCP スヌーピングについて

機能のイネーブル化とグローバルなイネーブル化

機能のイネーブル化

グローバルなイネーブル化

信頼できる送信元と信頼できない送信元

DHCP スヌーピング バインディング データベース

DHCP リレー エージェントについて

DHCP リレー エージェント

DHCP リレー エージェントに対する VRF サポート

DHCP リレー バインディング データベース

DHCP スヌーピングの前提条件

DHCP スヌーピングの注意事項および制約事項

DHCP スヌーピングのデフォルト設定

DHCP スヌーピングの最小設定

Procedure

DHCP スヌーピング機能のイネーブル化またはディセーブル化

Before you begin

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

Example:

DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化

Before you begin

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

Example:

VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化

Before you begin

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

Example:

Option 82 データの挿入および削除の有効化または無効化

Before you begin

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

Example:

Example:

Option 82 ユーザー定義データの挿入および削除のイネーブル化またはディセーブル化

Before you begin

SUMMARY STEPS

DETAILED STEPS

Example:

DHCP パケットの厳密な検証のイネーブル化またはディセーブル化

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

Example:

インターフェイスの信頼状態の設定

Before you begin

SUMMARY STEPS

DETAILED STEPS

Example:

Example:

Example:

Example:

Example:

DHCP リレー エージェントのイネーブル化またはディセーブル化

Before you begin

SUMMARY STEPS

DETAILED STEPS

Example:

DHCP スヌーピングバインディングデータベース

DHCP リレーエージェントについて

DHCP リレーエージェント

DHCP リレーエージェントに対する VRF サポート

DHCP リレーバインディングデータベース

DHCP リレーエージェントのイネーブル化またはディセーブル化

DHCP リレーエージェントに対する Option 82 の有効化または無効化

DHCP リレーエージェントに対する VRF サポートのイネーブル化またはディセーブル化

レイヤ 3 インターフェイスの DHCP リレーエージェントに対するサブネットブロードキャストサポートのイネーブル化またはディセーブル化

インターフェイスへの DHCP サーバアドレスの設定

DHCP スタティックバインディングの作成

DHCP スヌーピングバインディングデータベースのクリア