この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
DHCP スヌーピングは、信頼できないホストと信頼できる DHCP サーバとの間でファイアウォールのように機能します。具体的には、次の処理を実行します。
ダイナミック ARP インスペクション(DAI)および IP ソース ガードも、DHCP スヌーピング バインディング データベースに格納された情報を使用します。
DHCP スヌーピングは、VLAN ごとにグローバルにイネーブルになっています。 デフォルトでは、すべての VLAN で DHCP スヌーピングは非アクティブです。 この機能は、1 つの VLAN 上または VLAN の特定の範囲でイネーブルにできます。
次の表に、この機能のライセンス要件を示します。
機能 | ライセンス要件 | ||
---|---|---|---|
DHCP スヌーピング |
Release 4.2(1)SV2(1.1) 以降では、階層ベースのライセンスのアプローチが Cisco Nexus 1000V で採用されています。 Cisco Nexus 1000V は、Essential と Advanced の 2 つのエディションで出荷されます。 スイッチ エディションが Advanced エディションとして設定されている場合、ライセンスを必要とする高度な機能として DHCP スヌーピング、ダイナミック ARP インスペクション(DAI)、および IP ソース ガード(IPSG)を使用できます。
Cisco Nexus 1000V のライセンス要件の詳細については、『Cisco Nexus 1000V License Configuration Guide』を参照してください。 |
DHCP スヌーピングを設定するには、DHCP に関する知識が必要です。
この機能のライセンス要件については、「DHCP スヌーピングのライセンス要件」を参照してください。
パラメータ |
デフォルト |
---|---|
DHCP 機能 |
Disabled |
DHCP スヌーピング グローバル |
Disabled |
DHCP スヌーピング VLAN |
Disabled |
DHCP スヌーピングの MAC アドレス検証 |
Enabled |
DHCP スヌーピング信頼状態 |
信頼できる:イーサネット インターフェイス、vEthernet インターフェイス、およびポート チャネル(VSD 機能に参加しているもの)。 信頼できない:VSD 機能に参加していない vEthernet インターフェイス。 |
デフォルトでは、DHCP はディセーブルです。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# feature dhcp switch(config)# show feature Feature Name Instance State -------------------- -------- -------- dhcp-snooping 1 enabled http-server 1 enabled lacp 1 enabled netflow 1 disabled port-profile-roles 1 enabled private-vlan 1 disabled sshServer 1 enabled tacacs 1 enabled telnetServer 1 enabled switch(config)# copy running-config startup-config
DHCP スヌーピングに関する次の情報を知っておく必要があります。
switch# configure terminal switch(config)# ip dhcp snooping switch(config)# show running-config dhcp switch(config)# copy running-config startup-config
デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# ip dhcp snooping vlan 100,200,250-252 switch(config)# show running-config dhcp switch(config)# copy running-config startup-config
MAC アドレス検証はデフォルトでイネーブルになります。
ここでは、DHCP スヌーピングの MAC アドレス検証をイネーブルまたはディセーブルにする手順を説明します。 信頼できないインターフェイスからパケットを受信し、この送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致しない場合、アドレス検証によってデバイスはパケットをドロップします。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# ip dhcp snooping verify mac-address switch(config)# show running-config dhcp switch(config)# copy running-config startup-config
展開の仮想マシン(VM)にスタティック IP アドレスが割り当てられており、VM の電源が頻繁にオンとオフの間で切り替わると、VM の MAC アドレスが変更されます。 この状況は、ダイナミック ARP インスペクション(DAI)および Cisco Nexus 1000V 上の IP ソース ガード(IPSG)の機能に影響を及ぼします。 Cisco Nexus 1000V に同じ IP-MAC アドレス バインディングはありません。 したがって、これらの VM からのトラフィックはドロップされます。
Release 4.2(1)SV2(1.1) から、この問題を修正するために、DHCP 機能の新しいオプションが提供されます。 IP アドレスと MAC アドレスのペアに基づくトラフィックのフィルタリングではなく、送信元 IP アドレスにのみ基づいてトラフィックをフィルタリングできます。 Cisco Nexus 1000V は MAC アドレスを無視し、VM からのトラフィックの送信元 IP アドレスだけを検証します。 新しい機能はスタティック バインディングのみに適用され、ダイナミック バインディングの場合と同様に、新しい MAC アドレスで Cisco Nexus 1000V のダイナミック バインディングがアップデートされます。
Cisco Nexus 1000V スイッチで送信元 IP によるフィルタリングをイネーブルにするには、フィルタ モードを ip フィルタリングに設定します。 デフォルトのフィルタリング モードは、ip-mac フィルタリングです。 送信元 IP アドレスに基づいてトラフィックをフィルタリングするには、次の項を参照してください。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。 DHCP 機能が Cisco Nexus 1000V スイッチでイネーブルになっている必要があります。
次の例では、トラフィックは ip フィルタ モードに基づいてフィルタリングされます。
switch# configure terminal switch(config)# ip source binding filter-mode ip switch(config)# show ip source binding filter-mode DHCP Snoop Filter Mode(for static bindings) = IP-MAC switch(config)# show ip arp inspection Source Mac Validation : Disabled Destination Mac Validation : Disabled IP Address Validation : Disabled Filter Mode(for static bindings): IP Vlan : 1 ----------- Configuration : Disabled Operation State : Inactive switch(config)# show ip arp inspection vlan 1 Source Mac Validation : Disabled Destination Mac Validation : Disabled IP Address Validation : Disabled Filter Mode(for static bindings): IP Vlan : 100 ----------- Configuration : Disabled Operation State : Inactive switch(config)# show ip verify source Filter Mode(for static bindings): IP IP source guard is enabled on the following interfaces: ------------------------------------------------------ IP source guard operational entries: ----------------------------------- Interface Filter-mode IP-address Mac-address Vlan ------------ ----------- ---------- -------------- ---- (config)# switch(config)# show ip verify source interface vethernet 1 Filter Mode(for static bindings): IP-MAC IP source guard is disabled on this interface.
ここでは、特定の仮想インターフェイスが DHCP メッセージの送信元として信頼できるものかどうかを設定する手順を説明します。 次のいずれかの方法を使用して、DHCP 信頼状態を設定できます。
デフォルトでは、vEthernet インターフェイスは「信頼できない」となっています。 ただし、信頼できる他の機能(VSD など)によって使用される特殊な vEthernet ポートは例外です。
DHCP スヌーピング、DAI、および IP ソース ガードをシームレスにするために、仮想サービス ドメイン(VSD)サービス VM ポートはデフォルトで信頼できるポートとなっています。 これらのポートを「信頼できない」と設定しても、その設定は無視されます。
この手順を開始する前に、次のことを確認してください。
switch# configure terminal switch(config)# interface vethernet 3 switch(config-if)# ip dhcp snooping trust switch(config-if)# show running-config dhcp switch(config-if)# copy running-config startup-config switch(config)# port-profile vm-data switch(config-port-profile)# ip dhcp snooping trust switch(config-port-profile)# show running-config dhcp switch(config-port-profile)# copy running-config startup-config
各ポートで受信する DHCP パケット/秒のレートの制限を設定するには、次の手順を実行します。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
次の情報を知っている必要があります。
switch# configure terminal switch(config)# interface vethernet 3 switch(config-if)# ip dhcp snooping limit rate 30 switch(config-if)# show running-config dhcp switch(config-if)# copy running-config startup-config switch(config)# port-profile vm-data switch(config-port-profile)# ip dhcp snooping limit rate 30 switch(config-port-profile)# show running-config dhcp switch(config-port-profile)# copy running-config startup-config
DHCP レート制限の超過がディセーブルになっているポートの検出をグローバルに設定するには、次の手順を実行します。
インターフェイスを errdisable ステートから手動で回復するには、shutdown コマンドを入力してから、no shutdown コマンドを入力する必要があります。
(注) |
設定されたレートに違反すると、ポートは自動的に errdisable 状態になります。 |
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# errdisable detect cause dhcp-rate-limit switch(config)# show running-config dhcp switch(config)# copy running-config startup-config
DHCP レート制限の違反がディセーブルになっているポートの自動リカバリをグローバルに設定するには、次の手順を実行します。
レートによって errdisable ステートになるポート。
インターフェイスを errdisable ステートから手動で回復するには、shutdown コマンドを入力してから、no shutdown コマンドを入力する必要があります。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# errdisable detect cause dhcp-rate-limit switch(config)# errdisable recovery interval 30 switch(config)# show running-config dhcp switch(config)# copy running-config startup-config
DHCP スヌーピング バインディング データベースのクリアについては、次の項を参照してください。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | switch# clear ip dhcp snooping binding | DHCP スヌーピング バインディング データベースに動的に追加されたエントリを消去します。 |
ステップ 2 | switch# show ip dhcp snooping binding | (任意) DHCP スヌーピング バインディング データベースを表示します。 |
switch# clear ip dhcp snooping binding switch# show ip dhcp snooping binding
この手順を開始する前に、次のことを確認してください。
switch# clear ip dhcp snooping binding vlan 10 mac EEEE.EEEE.EEEE ip 10.10.10.1 interface vethernet 1 switch# show ip dhcp snooping binding
DHCP パケットの VSM MAC アドレスおよび vEthernet ポート情報のリレーをグローバルに設定するには、次の手順を実行します。 これは、オプション 82 およびリレー エージェント情報オプションとも呼ばれます。
この手順を開始する前に、EXEC モードで CLI にログインする必要があります。
switch# configure terminal switch(config)# ip dhcp snooping information option switch(config)# show running-config dhcp !Command: show running-config dhcp !Time: Fri Dec 17 11:30:22 2010 version 4.2(1)SV1(4) ip dhcp snooping information option service dhcp ip dhcp relay ip dhcp relay information option switch(config)# copy running-config startup-config
次のいずれかのコマンドを使用して、設定を確認します。
コマンド |
目的 |
---|---|
show running-config dhcp |
DHCP スヌーピング設定を表示します。 |
show ip dhcp snooping |
DHCP スヌーピングに関する一般的な情報を表示します。 |
show ip dhcp snooping binding |
DHCP スヌーピング バインディング テーブルの内容を表示します。 |
show feature |
DHCP などの使用可能な機能と、それらがイネーブルかどうかを表示します。 |
DHCP スヌーピングの統計情報をモニタするには、show ip dhcp snooping statistics コマンドを使用します。
次に、2 つの VLAN 上で DHCP スヌーピングをイネーブルにする例を示します。vEthernet インターフェイス 5 が「信頼できる(trusted)」となっているのは、DHCP サーバがこのインターフェイスに接続されているからです。
switch# configure terminal switch(config)# feature dhcp switch(config)# interface vethernet 5 switch(config-if)# ip dhcp snooping trust switch(config-if)# ip dhcp snooping vlan 1, 50
標準 |
タイトル |
---|---|
RFC-2131 |
『Dynamic Host Configuration Protocol』 |
RFC-3046 |
『DHCP Relay Agent Information Option』 |
この表には、機能の追加によるリリースの更新内容のみが記載されています。
機能名 |
リリース |
機能情報 |
---|---|---|
ライセンスの変更 |
4.2(1)SV2(1.1) |
DHCP スヌーピングを高度な機能として使用できるようになりました。 機能をイネーブルにするには、feature dhcp コマンドを使用します。 |
送信元 IP によるフィルタリングのイネーブル化 |
4.2(1)SV2(1.1) |
Cisco Nexus 1000V スイッチで、送信元 IP に基づくフィルタリングをイネーブルにできるようになりました。 |
リレー エージェント(オプション 82) |
4.2(1)SV1(4) |
DHCP パケットの VSM MAC およびポート情報のリレーを設定できます。 |
feature dhcp コマンド |
4.2(1)SV1(4) |
DHCP 機能をグローバルにイネーブルにするコマンドが追加されました。 |
4.0(4)SV1(2) |
この機能が導入されました。 |