この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
目次
この章の内容は、次のとおりです。
DHCP スヌーピングは、信頼できないホストと信頼できる DHCP サーバとの間でファイアウォールのような機能を果たします。 DHCP スヌーピングでは次のアクティビティを実行します。
信頼できない送信元からの DHCP メッセージを検証し、無効なメッセージをフィルタ処理して除外します。
DHCP スヌーピング バインディング データベースを構築し、管理します。このデータベースには、リース IP アドレスがある信頼できないホストに関する情報が保存されています。
DHCP スヌーピング バインディング データベースを使用して、信頼できないホストからの以降の要求を検証します。
DHCP スヌーピングは、VLAN ベースごとにイネーブルに設定されます。 デフォルトでは、すべての VLAN でこの機能は非アクティブです。 この機能は、1 つの VLAN または特定の VLAN 範囲でイネーブルにできます。
DHCP スヌーピングを設定するときは、DHCP スヌーピング機能のイネーブル化と DHCP スヌーピングのグローバルなイネーブル化の違いを理解することが重要です。
DHCP スヌーピング機能は、デフォルトではディセーブルです。 DHCP スヌーピング機能がディセーブルになっていると、DHCP スヌーピングまたはこれに依存する機能を設定できません。 DHCP スヌーピングおよびその依存機能を設定するコマンドは、DHCP スヌーピングがディセーブルになっているときは使用できません。
DHCP スヌーピング機能をイネーブルにすると、スイッチで DHCP スヌーピング バインディング データベースの構築と維持が開始されます。 DHCP スヌーピング バインディング データベースに依存する機能は、その時点から使用できるようになり、設定も可能になります。
DHCP スヌーピング機能をイネーブルにしても、グローバルにイネーブルになるわけではありません。 DHCP スヌーピングをグローバルにイネーブルにするには、個別に行う必要があります。
DHCP スヌーピング機能をディセーブルにすると、スイッチから DHCP スヌーピングの設定がすべて削除されます。 DHCP スヌーピングをディセーブルにして設定を維持したい場合は、DHCP スヌーピング機能をディセーブルにするのではなく、DHCP スヌーピングをグローバルにディセーブル化します。
DHCP スヌーピングのイネーブル化の実行後、DHCP スヌーピングはデフォルトでグローバルにディセーブルになります。 グローバルなイネーブル化は第 2 レベルのイネーブル化です。これにより、DHCP スヌーピング バインディング データベースのイネーブル化とは別に、スイッチがアクティブに DHCP スヌーピングを実行しているかどうかを個別に制御できます。
DHCP スヌーピングをグローバルにイネーブルにすると、DHCP スヌーピングがイネーブルになっている VLAN の信頼できない各インターフェイスについて、受信した DHCP メッセージの検証が開始され、DHCP スヌーピング バインディング データベースを使用して、信頼できないホストからの以降の要求を検証します。
DHCP スヌーピングをグローバルにディセーブルにすると、DHCP メッセージの検証と、信頼できないホストからの以降の要求の検証を停止します。 DHCP スヌーピング バインディング データベースも削除されます。 DHCP スヌーピングをグローバルにディセーブルにしても、DHCP スヌーピングの設定や、DHCP スヌーピング機能に依存するその他の機能の設定は削除されません。
DHCP スヌーピングがトラフィックの送信元を信頼するかどうかを設定できます。 信頼できないソースの場合、トラフィック攻撃やその他の敵対的アクションが開始される可能性があります。 こうした攻撃を防ぐため、DHCP スヌーピングは信頼できない送信元からのメッセージをフィルタリングします。
企業ネットワークでは、信頼できる送信元はその企業の管理制御下にあるスイッチです。 これらのスイッチには、ネットワーク内のスイッチ、ルータ、およびサーバが含まれます。 ファイアウォールを越えるスイッチやネットワーク外のスイッチは信頼できない送信元です。 一般的に、ホスト ポートは信頼できない送信元として扱われます。
サービス プロバイダーの環境では、サービス プロバイダー ネットワークにないスイッチは、信頼できない送信元です(カスタマー スイッチなど)。 ホスト ポートは、信頼できない送信元です。
Cisco Nexus デバイスでは、接続インターフェイスの信頼状態を設定することにより送信元が信頼されることを示します。
すべてのインターフェイスのデフォルトの信頼状態は、信頼できない状態になります。 DHCP サーバ インターフェイスは、信頼できるインターフェイスとして設定する必要があります。 ユーザのネットワーク内でスイッチ(スイッチまたはルータ)に接続されている場合、他のインターフェイスも信頼できるインターフェイスとして設定できます。 ホスト ポート インターフェイスは、通常、信頼できるインターフェイスとしては設定しません。
(注) |
DHCP スヌーピングを正しく機能させるためには、すべての DHCP サーバを信頼できるインターフェイス経由でスイッチに接続する必要があります。 |
DHCP スヌーピングは、代行受信した DHCP メッセージから抽出した情報を使用し、ダイナミックにデータベースを構築し維持します。 DHCP スヌーピングがイネーブルにされた VLAN に、ホストが関連付けられている場合、データベースには、リース IP アドレスがある信頼できない各ホストのエントリが保存されています。 データベースには、信頼できるインターフェイスを介して接続するホストに関するエントリは保存されません。
(注) |
DHCP スヌーピング バインディング データベースは、DHCP スヌーピング バインディング テーブルとも呼ばれます。 |
スイッチが特定の DHCP メッセージを受信すると、DHCP スヌーピングはデータベースをアップデートします。 たとえば、サーバからの DHCPACK メッセージをスイッチで受信すると、この機能により、データベースにエントリが追加されます。 IP アドレスのリース期限が切れると、またはホストからの DHCPRELEASE メッセージをスイッチで受信すると、この機能により、データベースのエントリが削除されます。
DHCP スヌーピング バインディング データベースの各エントリには、ホストの MAC アドレス、リース IP アドレス、リース期間、バインディング タイプ、VLAN 番号、およびホストに関連するインターフェイス情報が保存されます。
clear ip dhcp snooping binding コマンドを使用すると、バインディング データベースからエントリ削除できます。
DHCP では、多数の加入者に対する IP アドレスの割り当てを一元管理できます。 Option 82 をイネーブルにすると、デバイスはネットワークに接続する加入者デバイス(およびその MAC アドレス)を識別します。 加入者 LAN 上のマルチ ホストをアクセス デバイスの同一ポートに接続でき、これらは一意に識別されます。
Cisco NX-OS デバイスで Option 82 をイネーブルにすると、次のイベントが順番に発生します。
ホスト(DHCP クライアント)は DHCP 要求を生成し、これをネットワーク上にブロードキャストします。
Cisco NX-OS デバイスはこの DHCP 要求を受信すると、パケット内に Option 82 情報を追加します。 Option 82 情報には、デバイスの MAC アドレス(リモート ID サブオプション)、およびパケットを受信したポートの識別子である vlan-mod-port(回線 ID サブオプション)が含まれます。 ポート チャネルの背後にあるホストの場合、回線 ID にはポート チャネルの if_index が入力されます。
(注) |
vPC ピア スイッチの場合、リモート ID サブオプションには vPC スイッチの MAC アドレスが入ります。これは両方のスイッチにおいて一意です。 この MAC アドレスは vPC ドメイン ID とともに計算されます。 Option 82 情報は、DHCP 要求が他の vPC ピア スイッチに転送される前に最初に受信したスイッチで挿入されます。 |
デバイスは、Option 82 フィールドを含む DHCP 要求を DHCP サーバに転送します。
DHCP サーバはこのパケットを受信します。 Option 82 に対応しているサーバであれば、このリモート ID、回線 ID、またはその両方を使用して、IP アドレスの割り当てやポリシーの適用を行うことができます。たとえば、単一のリモート ID または回線 ID に割り当てることのできる IP アドレスの数を制限するポリシーなどです。 DHCP サーバは、DHCP 応答内に Option 82 フィールドをエコーします。
DHCP サーバは Cisco NX-OS デバイスに応答を送信します。 Cisco NX-OS デバイスは、リモート ID フィールド、および場合によっては回線 ID フィールドを検査することで、最初に Option 82 データを挿入したのがこのデバイス自身であることを確認します。 Cisco NX-OS デバイスは Option 82 フィールドを削除してから、DHCP 要求を送信した DHCP クライアントと接続しているインターフェイスにパケットを転送します。
上記の一連のイベントが発生した場合、次の値は変更されません。
次の図は、リモート ID サブオプションおよび回線 ID サブオプションのパケット形式を示しています。 Cisco NX-OS デバイスがこのパケット形式を使用するのは、DHCP スヌーピングがグローバルにイネーブル化され、Option 82 データの挿入と削除がイネーブルに設定された場合です。 回線 ID サブオプションの場合、モジュール フィールドはモジュールのスロット番号となります。
仮想ポート チャネル(vPC)では、2 台の Cisco NX-OS スイッチを 3 番目のスイッチに 1 つの論理ポート チャネルとして認識させることができます。 3 番目のスイッチは、スイッチ、サーバ、またはポート チャネルをサポートするその他のネットワーク スイッチのいずれかにすることができます。
標準的な vPC 環境では、DHCP 要求は一方の vPC ピア スイッチに到達でき、応答は他方の vPC ピア スイッチに到達できるため、一方のスイッチには部分的な DHCP(IP-MAC)バインディング エントリが生成され、他方のスイッチにはバインディング エントリが生成されません。 この問題は Cisco Fabric Service over Ethernet(CFSoE)分散を使用して、すべての DHCP パケット(要求および応答)が両方のスイッチに確実に認識されるようにすることで対処されます。これにより、vPC リンクの背後に存在するすべてのクライアントについて、両方のスイッチで同じバインディング エントリが作成および管理されるようになります。
CFSoE 分散ではまた、vPC リンク上の DHCP 要求および応答を 1 台のスイッチのみが転送するようにもできます。 vPC 以外の環境では、両方のスイッチが DHCP パケットを転送します。
スイッチは、DHCP スヌーピングがイネーブルの VLAN にある信頼できないインターフェイスで受信された DHCP パケットを検証します。 次の条件が発生(この場合パケットは破棄される)しない限り、スイッチでは、DHCP パケットが転送されます。
信頼できないインターフェイスで DHCP 応答パケット(DHCPACK、DHCPNAK、または DHCPOFFER などのパケット)を受信した場合。
信頼できないインターフェイスからパケットを受信し、この送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致しない場合。 このチェックは、DHCP スヌーピングの MAC アドレス検証オプションがオンの場合だけ、実行されます。
DHCP スヌーピング バインディング テーブル内にエントリを持つ信頼できないホストから DHCPRELEASE または DHCPDECLINE メッセージを受信したが、バインディング テーブル内のインターフェイス情報が、このメッセージを受信したインターフェイスと一致しない場合。
リレー エージェントの IP アドレス(0.0.0.0 以外)を含む DHCP パケットを受信した場合。
さらに、DHCP パケットの厳密な検証をイネーブルにすることもできます。これにより、DHCP パケットのオプション フィールドが確認されます。これには、オプション フィールドの最初の 4 バイト内の「マジック クッキー」値も含まれます。 デフォルトでは、厳密な検証はディセーブルになっています。 これを ip dhcp packet strict-validation コマンドによりイネーブルにすると、DHCP スヌーピングで無効なオプション フィールドを含むパケットを処理した場合に、パケットがドロップされます。
DHCP リレー エージェントを実行するようにデバイスを設定できます。DHCP リレー エージェントは、クライアントとサーバの間で DHCP パケットを転送します。 これは、クライアントとサーバが同じ物理サブネット上にない場合に便利な機能です。 リレー エージェントは DHCP メッセージを受信すると、新規の DHCP メッセージを生成して別のインターフェイスに送信します。 リレー エージェントはゲートウェイ アドレスを設定し(DHCP パケットの giaddr フィールド)、パケットにリレー エージェント情報のオプション(Option 82)を追加して(設定されている場合)、DHCP サーバに転送します。 サーバからの応答は、Option 82 を削除してからクライアントに転送されます。
Option 82 をイネーブルにすると、デバイスはデフォルトでバイナリの ifindex 形式を使用します。 必要に応じて Option 82 設定を変更して、代わりに符号化ストリング形式を使用できます。
(注) |
デバイスは、Option 82 情報がすでに含まれている DHCP 要求を中継するときには、Option 82 情報を変更せずに元のままの状態で要求と一緒に転送します。 |
DHCP ブロードキャスト メッセージを Virtual Routing and Forwarding(VRF; 仮想ルーティング/転送)インスタンスのクライアントから別の VRF の DHCP サーバに転送するように、DHCP リレー エージェントを設定できます。 単一の DHCP サーバを使用して複数の VRF のクライアントの DHCP をサポートできるため、IP アドレス プールを VRF ごとではなく 1 つにまとめることにより、IP アドレスを節約できます。
DHCP リレー エージェントに対する VRF サポートをイネーブルにするには、DHCP リレー エージェントに対する Option 82 をイネーブルにする必要があります。
DHCP リレー アドレスと VRF 情報を設定したインターフェイスに DHCP 要求が着信した場合、DHCP サーバのアドレスが、別の VRF のメンバであるインターフェイスのネットワークに属するものであれば、デバイスは要求に Option 82 情報を挿入し、サーバの VRF の DHCP サーバに転送されます。 Option 82 情報は次のとおりです。
DHCP 要求を受信するインターフェイスが属する VRF の名前。
DHCP 要求を受信するインターフェイスのサブネット アドレス。
DHCP 要求を受信するインターフェイスの IP アドレス。
(注) |
DHCP サーバは、VPN 識別子、リンクの選択、サーバ識別子オーバーライドの各オプションをサポートする必要があります。 |
デバイスは DHCP 応答メッセージを受信すると、Option 82 情報を取り除き、クライアントの VRF の DHCP クライアントに応答を転送します。
リレー バインディングは、リレー エージェントのアドレスおよびサブネットに、DHCP または BOOTP クライアントを関連付けるエントリです。 各リレー バインディングは、クライアントの MAC アドレス、アクティブなリレー エージェント アドレス、アクティブなリレー エージェント アドレス マスク、クライアントが接続されている論理および物理インターフェイス、giaddr リトライ回数、および合計リトライ回数を格納します。 giaddr リトライ回数は、リレー エージェント アドレスに送信される要求パケットの数です。合計リトライ回数は、リレー エージェントによって送信される要求パケットの合計数です。 1 つのリレー バインディング エントリが、各 DHCP または BOOTP クライアントに対して維持されます。
(注) |
DHCP スマート リレーをグローバルにイネーブルにするか、または任意のスイッチのインターフェイス レベルでイネーブルにする場合、すべてのスイッチのリレー バインディングは vPC ピアと同期する必要があります。 |
DHCPv6 リレー エージェントを実行するようにデバイスを設定できます。DHCPv6 リレー エージェントは、クライアントとサーバの間で DHCP パケットを転送します。 これは、クライアントとサーバが同じ物理サブネット上にない場合に便利な機能です。 リレー エージェントは DHCPv6 メッセージを受信すると、新規の DHCPv6 メッセージを生成して別のインターフェイスに送信します。 リレー エージェントはゲートウェイ アドレス(DHCPv6 パケットの giaddr フィールド)をセットし、DHCPv6 サーバに転送します。
DHCPv6 ブロードキャスト メッセージを仮想ルーティング/転送(VRF)インスタンスのクライアントから別の VRF の DHCPv6 サーバに転送するように、DHCPv6 リレー エージェントを設定できます。 単一の DHCPv6 サーバを使用して複数の VRF のクライアントの DHCPv6 をサポートできるため、IP アドレス プールを VRF ごとではなく 1 つにまとめることにより、IP アドレスを節約できます。
DHCP スヌーピングを設定する場合は、次の注意事項および制約事項を考慮してください。
DHCP スヌーピング データベースには 2,000 のバインディングを格納できます。
DHCP をグローバルにイネーブル化し、さらに少なくとも 1 つの VLAN で DHCP スヌーピングをイネーブルにするまで、DHCP スヌーピングはアクティブになりません。
スイッチ上で DHCP スヌーピングをグローバルにイネーブルにする前に、DHCP サーバや DHCP リレー エージェントとして機能するスイッチが設定され、イネーブルになっていることを確認してください。
DHCP スヌーピングを使用して設定を行っている VLAN で VLAN ACL(VACL)が設定されている場合、その VACL で DHCP サーバと DHCP ホストの間の DHCP トラフィックが許可されていることを確認します。
デフォルトで、DHCP バインディングは、スイッチの再起動後に永続的に保存されません。 スイッチの再起動後にも永続的なバインディングを保持するには、copy r s コマンドを使用します。 copy r s コマンドが発行されると、その時点で存在するすべてのバインディングは、スイッチの再起動後も永続的な状態になります。
vPC リンク内のスイッチ間で DHCP 設定が同期されていることを確認します。 同期されていないと、ランタイム エラーが発生し、パケットがドロップされる場合があります。
リモート DHCP サーバとローカル DHCP サーバの両方を使用するには、DHCP リレー機能を設定し、ローカル DHCP サーバのユニキャスト アドレスを定義し、またはローカル DHCP サーバが常駐するサブネットのローカル ブロードキャスト アドレスを設定する必要があります。 DHCP サーバのユニキャスト アドレスを定義せず、またはサブネットのローカル ブロードキャスト アドレスを設定しない場合、ローカル DHCP パケットは配信できません。 たとえば、この状況は SVI に IP DHCP アドレスを適用する場合に発生することがあります。
インターフェイスで DHCPv6 サーバ アドレスを設定する場合は、宛先インターフェイスをグローバル IPv6 アドレスで使用することはできません。
次の注意事項および制約事項は、FabricPath を含む実装に適用されます。
DHCP スヌーピングは、CE-Fabric 境界スイッチ上でイネーブルにする必要があります。
アクセス レイヤでネットワークを保護するために、DHCP スヌーピングはすべてのアクセス レイヤ スイッチ上でイネーブルになっています。
DHCP は、FabricPath モードで設定されたポート上のバインディング エントリを学習しません。 DHCP スヌーピングは、すべてのアクセス レイヤ スイッチで手動でイネーブルにする必要があります。
ダイナミック ARP インスペクション(DAI)がイネーブルになっている場合、FabricPath ポート上で受信された ARP パケットは許可されます。
FabricPath モードでは、ポート上で IPSG をイネーブルにすることはできません。
システムのすべての FabricPath ポートは、信頼できるポートとして設定する必要があります。
FabricPath の DHCP スヌーピングは、スイッチに設定されたすべての VLAN でイネーブルにする必要があります。 スイッチ上のすべての VLAN の FabricPath をイネーブルにしない場合、DHCP がイネーブルにされていない VLAN で DHCP パケットはドロップされます。
DHCP パケットがドロップされないようにするには、次の設定すべてを実行する必要があります。
パラメータ(Parameters) |
デフォルト |
---|---|
DHCP スヌーピング機能 |
ディセーブル |
DHCP スヌーピングのグローバルなイネーブル化 |
No |
DHCP スヌーピング VLAN |
なし |
DHCP スヌーピングの Option 82 サポート |
ディセーブル |
DHCP スヌーピング信頼状態 |
信頼できない |
DHCP リレー エージェントに対する VRF サポート |
ディセーブル |
DHCPv6 リレー エージェントに対する VRF サポート |
ディセーブル |
DHCP リレー エージェント |
ディセーブル |
DHCPv6 リレー エージェント |
ディセーブル |
DHCPv6 relay option type cisco |
ディセーブル |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | DHCP スヌーピング機能をイネーブルにします。 | DHCP スヌーピング機能がディセーブルになっていると、DHCP スヌーピングを設定できません。 詳細については、DHCP スヌーピング機能のイネーブル化またはディセーブル化を参照してください。 |
ステップ 2 | DHCP スヌーピングをグローバルにイネーブルにします。 | 詳細については、DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化を参照してください。 |
ステップ 3 | 少なくとも 1 つの VLAN で、DHCP スヌーピングをイネーブルにします。 | デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。 詳細については、VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化を参照してください。 |
ステップ 4 | DHCP サーバとスイッチが、信頼できるインターフェイスを使用して接続されていることを確認します。 | 詳細については、インターフェイスの信頼状態の設定を参照してください。 |
スイッチの DHCP スヌーピング機能をイネーブルまたはディセーブルに設定できます。 デフォルトでは、DHCP スヌーピングはディセーブルです。
DHCP スヌーピング機能をディセーブルにすると、DHCP スヌーピングの設定がすべて消去されます。 DHCP スヌーピングをオフにして DHCP スヌーピングの設定を維持したい場合は、DHCP をグローバルにディセーブル化します。
スイッチに対して DHCP スヌーピング機能のグローバルなイネーブル化またはディセーブル化が可能です。 DHCP スヌーピングをグローバルにディセーブルにすると、DHCP スヌーピングの実行や DHCP メッセージのリレーはスイッチで停止されますが、DHCP スヌーピングの設定は維持されます。
DHCP スヌーピング機能がイネーブルになっていることを確認します。 デフォルトでは、DHCP スヌーピングはグローバルにディセーブルです。
1 つまたは複数の VLAN に対して DHCP スヌーピングをイネーブルまたはディセーブルに設定できます。
デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。
DHCP スヌーピングがイネーブルになっていることを確認してください。
(注) |
DHCP スヌーピングを使用して設定を行っている VLAN で VACL が設定されている場合、その VACL で DHCP サーバと DHCP ホストの間の DHCP トラフィックが許可されていることを確認します。 |
DHCP リレー エージェントを使用せずに転送された DHCP パケットへの Option 82 情報の挿入および削除をイネーブルまたはディセーブルにできます。
デフォルトでは、スイッチは DHCP パケットに Option 82 情報を挿入しません。
DHCP スヌーピングがイネーブルになっていることを確認してください。
DHCP スヌーピング機能では、DHCP パケットの厳密な検証をイネーブルまたはディセーブルにできます。 デフォルトでは、DHCP パケットの厳密な検証はディセーブルになっています。
各インターフェイスが DHCP メッセージの送信元として信頼できるかどうかを設定できます。 DHCP の信頼状態は、次のタイプのインターフェイスに設定できます。
デフォルトでは、すべてのインターフェイスは信頼できません。
DHCP スヌーピングがイネーブルになっていることを確認してください。
DHCP リレー エージェントをイネーブルまたはディセーブルに設定できます。 デフォルトでは、DHCP リレー エージェントはイネーブルです。
DHCP 機能がイネーブルになっていることを確認します。
デバイスに対し、リレー エージェントによって転送された DHCP パケットへの Option 82 情報の挿入と削除をイネーブルまたはディセーブルにできます。
デフォルトでは、DHCP リレー エージェントは DHCP パケットに Option 82 情報を挿入しません。
DHCP 機能がイネーブルになっていることを確認します。
ある VRF のインターフェイスで受信した DHCP 要求を、別の VRF インスタンスの DHCP サーバにリレーする機能をサポートするように、デバイスを設定できます。
DHCP リレー エージェントの Option 82 をイネーブルにする必要があります。
クライアントからのサブネットのブロードキャスト IP アドレスに DHCP パケットのリレーをサポートするように、デバイスを設定できます。 この機能がイネーブルの場合、VLAN ACL(VACL)は、IP ブロードキャスト パケット、すべてのサブネット ブロードキャスト(プライマリ サブネット ブロードキャストおよびセカンダリ サブネット ブロードキャスト)パケットを許容します。
DHCP 機能がイネーブルになっていることを確認します。
DHCP リレー エージェントがイネーブルであることを確認します。
レイヤ 2 インターフェイスにスタティック DHCP ソース バインディングを作成できます。
DHCP スヌーピング機能がイネーブルになっていることを確認します。
次に、イーサネット インターフェイス 2/3 上に、VLAN 100 に関連付ける固定 IP ソース エントリを作成する例を示します。
switch# configure terminal switch(config)# ip source binding 10.5.22.7 001f.28bd.0013 vlan 100 interface ethernet 2/3 switch(config)#
DHCP 機能がイネーブルになっていることを確認します。
ある VRF のインターフェイスで受信した DHCPv6 要求を、別の VRF の DHCPv6 サーバにリレーする機能をサポートするように、デバイスを設定できます。
DHCP 機能がイネーブルになっていることを確認します。
DHCPv6 リレー エージェントがイネーブルであることを確認します。
DHCPv6 リレー エージェントの送信元インターフェイスを設定できます。 デフォルトでは、DHCPv6 リレー エージェントは発信パケットの送信元アドレスとしてリレー エージェント アドレスを使用します。 送信元インターフェイスを設定すると、リレーされたメッセージの送信元アドレスとして、より安定したアドレス(ループバック インターフェイス アドレスなど)を使用することができます。
DHCP 機能がイネーブルになっていることを確認します。
DHCPv6 リレー エージェントがイネーブルであることを確認します。
DHCP スヌーピングの設定情報を表示するには、次のいずれかの作業を行います。 これらのコマンドの出力フィールドの詳細については、Cisco Nexus デバイス の『System Management Configuration Guide』を参照してください。
コマンド |
目的 |
---|---|
show running-config dhcp |
DHCP スヌーピング設定を表示します。 |
show ip dhcp relay |
DHCP リレーの設定を表示します。 |
show ipv6 dhcp relay [interface interface] |
DHCPv6 リレーのグローバル設定またはインターフェイス レベルの設定を表示します。 |
show ip dhcp snooping |
DHCP スヌーピングに関する一般的な情報を表示します。 |
DHCP スタティックおよびダイナミック バインディング テーブルを表示するには、show ip dhcp snooping binding コマンドを使用します。 DHCP ダイナミック バインディング テーブルを表示するには、show ip dhcp snooping binding dynamic を使用します。
このコマンドの出力フィールドの詳細については、Cisco Nexus デバイスの『System Management Configuration Guide』を参照してください。
次に、スタティック DHCP バインディングを作成してから、show ip dhcp snooping binding コマンドを使用してバインディングを確認する例を示します。
switch# configuration terminal switch(config)# ip source binding 10.20.30.40 0000.1111.2222 vlan 400 interface port-channel 500 switch(config)# show ip dhcp snooping binding MacAddress IpAddress LeaseSec Type VLAN Interface ----------------- --------------- -------- ---------- ---- ------------- 00:00:11:11:22:22 10.20.30.40 infinite static 400 port-channel500
DHCP スヌーピング バインディング データベースからエントリを削除できます。1 つのエントリ、インターフェイスに関連するすべてのエントリ、データベース内のすべてのエントリなどを削除することが可能です。
DHCP スヌーピングがイネーブルになっていることを確認してください。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | clear ip dhcp snooping binding 例: switch# clear ip dhcp snooping binding |
(任意) DHCP スヌーピング バインディング データベースからすべてのエントリをクリアします。 |
ステップ 2 | clear ip dhcp snooping binding interface ethernet slot/port[.subinterface-number] 例: switch# clear ip dhcp snooping binding interface ethernet 1/4 |
(任意) DHCP スヌーピング バインディング データベースから、特定のイーサネット インターフェイスに関連するエントリをクリアします。 |
ステップ 3 | clear ip dhcp snooping binding interface port-channel channel-number[.subchannel-number] 例: switch# clear ip dhcp snooping binding interface port-channel 72 |
(任意) DHCP スヌーピング バインディング データベースから、特定のポート チャネル インターフェイスに関連するエントリをクリアします。 |
ステップ 4 | clear ip dhcp snooping binding vlan vlan-id mac mac-address ip ip-address interface {ethernet slot/port[.subinterface-number | port-channel channel-number[.subchannel-number] } 例: switch# clear ip dhcp snooping binding vlan 23 mac 0060.3aeb.54f0 ip 10.34.54.9 interface ethernet 2/11 |
(任意) DHCP スヌーピング バインディング データベースから、特定のエントリをクリアします。 |
ステップ 5 | show ip dhcp snooping binding 例: switch# show ip dhcp snooping binding |
(任意) DHCP スヌーピング バインディング データベースを表示します。 |
グローバル DHCP リレーの統計情報をクリアするには、clear ip dhcp relay statistics コマンドを使用します。
clear ip dhcp relay statistics interface interface コマンドを使用して、特定のインターフェイスの DHCP リレー統計情報をクリアします。
clear ip dhcp relay statistics interface interface serverip ip-address [use-vrf vrf-name] コマンドを使用して、特定のインターフェイスのサーバ レベルでの DHCP リレー統計情報をクリアします。
グローバル DHCPv6 リレーの統計情報をクリアするには、clear ipv6 dhcp relay statistics コマンドを使用します。
特定のインターフェイスの DHCPv6 リレーの統計情報をクリアするには、clear ipv6 dhcp relay statistics interface interface コマンドを使用します。
clear ipv6 dhcp relay statistics interface interface server-ip ip-address [use-vrf vrf-name] コマンドを使用して、特定のインターフェイスのサーバ レベルでの DHCPv6 リレー統計情報をクリアします。
DHCP スヌーピングをモニタするには、show ip dhcp snooping statistics コマンドを使用します。
show ip dhcp relay statistics [interface interface [serverip ip-address [use-vrf vrf-name]]] コマンドを使用して、グローバル、サーバ、またはインターフェイス レベルでの DHCP リレー統計情報をモニタします。
show ipv6 dhcp relay statistics [interface interface [server-ip ip-address [use-vrf vrf-name]]] コマンドを使用して、グローバル、サーバ、またはインターフェイス レベルでの DHCPv6 リレー統計情報をモニタします。
次に、2 つの VLAN 上で DHCP スヌーピングをイネーブルにして、Option 82 サポートをイネーブルにし、さらに DHCP サーバがイーサネット インターフェイス 2/5 に接続されているためにそのインターフェイスを信頼できるインターフェイスとして設定する例を示します。
feature dhcp ip dhcp snooping ip dhcp snooping info option interface Ethernet 2/5 ip dhcp snooping trust ip dhcp snooping vlan 1 ip dhcp snooping vlan 50
目次
- DHCP スヌーピングの設定
- DHCP スヌーピングの概要
- 機能のイネーブル化とグローバルなイネーブル化
- 信頼できるソースおよび信頼できないソース
- DHCP スヌーピング バインディング データベース
- DHCP スヌーピングの Option 82 データ挿入
- vPC 環境での DHCP スヌーピング
- DHCP スヌーピング バインディング エントリの同期
- パケットの検証
- DHCP リレー エージェントの概要
- DHCP リレー エージェント
- DHCP リレー エージェントに対する VRF サポート
- DHCP リレー バインディング データベース
- DHCPv6 リレー エージェントの概要
- DHCPv6 リレー エージェント
- DHCPv6 リレー エージェントに対する VRF サポート
- DHCP スヌーピングの注意事項および制約事項
- DHCP スヌーピングのデフォルト設定
- DHCP スヌーピングの設定
- DHCP スヌーピングの最小限の設定
- DHCP スヌーピング機能のイネーブル化またはディセーブル化
- DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化
- VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化
- Option 82 データの挿入および削除のイネーブル化またはディセーブル化
- DHCP パケットの厳密な検証のイネーブル化またはディセーブル化
- インターフェイスの信頼状態の設定
- DHCP リレー エージェントのイネーブル化またはディセーブル化
- DHCP リレー エージェントに対する Option 82 のイネーブル化またはディセーブル化
- DHCP リレー エージェントに対する VRF サポートのイネーブル化またはディセーブル化
- レイヤ 3 インターフェイスの DHCP リレー エージェントに対するサブネット ブロードキャスト サポートのイネーブル化またはディセーブル化
- DHCP スタティック バインディングの作成
- DHCPv6 リレー エージェントの設定
- DHCPv6 リレー エージェントのイネーブル化またはディセーブル化
- DHCPv6 リレー エージェントに対する VRF サポートのイネーブル化またはディセーブル化
- DHCPv6 リレー送信元インターフェイスの設定
- DHCP スヌーピング設定の確認
- DHCP バインディングの表示
- DHCP スヌーピング バインディング データベースのクリア
- DHCP リレー統計情報のクリア
- DHCPv6 リレー統計情報のクリア
- DHCP のモニタリング
- DHCP スヌーピングの設定例
この章の内容は、次のとおりです。
- DHCP スヌーピングの概要
- DHCP リレー エージェントの概要
- DHCPv6 リレー エージェントの概要
- DHCP スヌーピングの注意事項および制約事項
- DHCP スヌーピングのデフォルト設定
- DHCP スヌーピングの設定
- DHCPv6 リレー エージェントの設定
- DHCP スヌーピング設定の確認
- DHCP バインディングの表示
- DHCP スヌーピング バインディング データベースのクリア
- DHCP リレー統計情報のクリア
- DHCPv6 リレー統計情報のクリア
- DHCP のモニタリング
- DHCP スヌーピングの設定例
DHCP スヌーピングの概要
DHCP スヌーピングは、信頼できないホストと信頼できる DHCP サーバとの間でファイアウォールのような機能を果たします。 DHCP スヌーピングでは次のアクティビティを実行します。
信頼できない送信元からの DHCP メッセージを検証し、無効なメッセージをフィルタ処理して除外します。
DHCP スヌーピング バインディング データベースを構築し、管理します。このデータベースには、リース IP アドレスがある信頼できないホストに関する情報が保存されています。
DHCP スヌーピング バインディング データベースを使用して、信頼できないホストからの以降の要求を検証します。
DHCP スヌーピングは、VLAN ベースごとにイネーブルに設定されます。 デフォルトでは、すべての VLAN でこの機能は非アクティブです。 この機能は、1 つの VLAN または特定の VLAN 範囲でイネーブルにできます。
- 機能のイネーブル化とグローバルなイネーブル化
- 信頼できるソースおよび信頼できないソース
- DHCP スヌーピング バインディング データベース
- DHCP スヌーピングの Option 82 データ挿入
- vPC 環境での DHCP スヌーピング
機能のイネーブル化とグローバルなイネーブル化
DHCP スヌーピングを設定するときは、DHCP スヌーピング機能のイネーブル化と DHCP スヌーピングのグローバルなイネーブル化の違いを理解することが重要です。
機能のイネーブル化
DHCP スヌーピング機能は、デフォルトではディセーブルです。 DHCP スヌーピング機能がディセーブルになっていると、DHCP スヌーピングまたはこれに依存する機能を設定できません。 DHCP スヌーピングおよびその依存機能を設定するコマンドは、DHCP スヌーピングがディセーブルになっているときは使用できません。
DHCP スヌーピング機能をイネーブルにすると、スイッチで DHCP スヌーピング バインディング データベースの構築と維持が開始されます。 DHCP スヌーピング バインディング データベースに依存する機能は、その時点から使用できるようになり、設定も可能になります。
DHCP スヌーピング機能をイネーブルにしても、グローバルにイネーブルになるわけではありません。 DHCP スヌーピングをグローバルにイネーブルにするには、個別に行う必要があります。
DHCP スヌーピング機能をディセーブルにすると、スイッチから DHCP スヌーピングの設定がすべて削除されます。 DHCP スヌーピングをディセーブルにして設定を維持したい場合は、DHCP スヌーピング機能をディセーブルにするのではなく、DHCP スヌーピングをグローバルにディセーブル化します。
グローバルなイネーブル化
DHCP スヌーピングのイネーブル化の実行後、DHCP スヌーピングはデフォルトでグローバルにディセーブルになります。 グローバルなイネーブル化は第 2 レベルのイネーブル化です。これにより、DHCP スヌーピング バインディング データベースのイネーブル化とは別に、スイッチがアクティブに DHCP スヌーピングを実行しているかどうかを個別に制御できます。
DHCP スヌーピングをグローバルにイネーブルにすると、DHCP スヌーピングがイネーブルになっている VLAN の信頼できない各インターフェイスについて、受信した DHCP メッセージの検証が開始され、DHCP スヌーピング バインディング データベースを使用して、信頼できないホストからの以降の要求を検証します。
DHCP スヌーピングをグローバルにディセーブルにすると、DHCP メッセージの検証と、信頼できないホストからの以降の要求の検証を停止します。 DHCP スヌーピング バインディング データベースも削除されます。 DHCP スヌーピングをグローバルにディセーブルにしても、DHCP スヌーピングの設定や、DHCP スヌーピング機能に依存するその他の機能の設定は削除されません。
信頼できるソースおよび信頼できないソース
DHCP スヌーピングがトラフィックの送信元を信頼するかどうかを設定できます。 信頼できないソースの場合、トラフィック攻撃やその他の敵対的アクションが開始される可能性があります。 こうした攻撃を防ぐため、DHCP スヌーピングは信頼できない送信元からのメッセージをフィルタリングします。
企業ネットワークでは、信頼できる送信元はその企業の管理制御下にあるスイッチです。 これらのスイッチには、ネットワーク内のスイッチ、ルータ、およびサーバが含まれます。 ファイアウォールを越えるスイッチやネットワーク外のスイッチは信頼できない送信元です。 一般的に、ホスト ポートは信頼できない送信元として扱われます。
サービス プロバイダーの環境では、サービス プロバイダー ネットワークにないスイッチは、信頼できない送信元です(カスタマー スイッチなど)。 ホスト ポートは、信頼できない送信元です。
Cisco Nexus デバイスでは、接続インターフェイスの信頼状態を設定することにより送信元が信頼されることを示します。
すべてのインターフェイスのデフォルトの信頼状態は、信頼できない状態になります。 DHCP サーバ インターフェイスは、信頼できるインターフェイスとして設定する必要があります。 ユーザのネットワーク内でスイッチ(スイッチまたはルータ)に接続されている場合、他のインターフェイスも信頼できるインターフェイスとして設定できます。 ホスト ポート インターフェイスは、通常、信頼できるインターフェイスとしては設定しません。
(注)
DHCP スヌーピングを正しく機能させるためには、すべての DHCP サーバを信頼できるインターフェイス経由でスイッチに接続する必要があります。
DHCP スヌーピング バインディング データベース
DHCP スヌーピングは、代行受信した DHCP メッセージから抽出した情報を使用し、ダイナミックにデータベースを構築し維持します。 DHCP スヌーピングがイネーブルにされた VLAN に、ホストが関連付けられている場合、データベースには、リース IP アドレスがある信頼できない各ホストのエントリが保存されています。 データベースには、信頼できるインターフェイスを介して接続するホストに関するエントリは保存されません。
(注)
DHCP スヌーピング バインディング データベースは、DHCP スヌーピング バインディング テーブルとも呼ばれます。
スイッチが特定の DHCP メッセージを受信すると、DHCP スヌーピングはデータベースをアップデートします。 たとえば、サーバからの DHCPACK メッセージをスイッチで受信すると、この機能により、データベースにエントリが追加されます。 IP アドレスのリース期限が切れると、またはホストからの DHCPRELEASE メッセージをスイッチで受信すると、この機能により、データベースのエントリが削除されます。
DHCP スヌーピング バインディング データベースの各エントリには、ホストの MAC アドレス、リース IP アドレス、リース期間、バインディング タイプ、VLAN 番号、およびホストに関連するインターフェイス情報が保存されます。
clear ip dhcp snooping binding コマンドを使用すると、バインディング データベースからエントリ削除できます。
DHCP スヌーピングの Option 82 データ挿入
DHCP では、多数の加入者に対する IP アドレスの割り当てを一元管理できます。 Option 82 をイネーブルにすると、デバイスはネットワークに接続する加入者デバイス(およびその MAC アドレス)を識別します。 加入者 LAN 上のマルチ ホストをアクセス デバイスの同一ポートに接続でき、これらは一意に識別されます。
Cisco NX-OS デバイスで Option 82 をイネーブルにすると、次のイベントが順番に発生します。
ホスト(DHCP クライアント)は DHCP 要求を生成し、これをネットワーク上にブロードキャストします。
Cisco NX-OS デバイスはこの DHCP 要求を受信すると、パケット内に Option 82 情報を追加します。 Option 82 情報には、デバイスの MAC アドレス(リモート ID サブオプション)、およびパケットを受信したポートの識別子である vlan-mod-port(回線 ID サブオプション)が含まれます。 ポート チャネルの背後にあるホストの場合、回線 ID にはポート チャネルの if_index が入力されます。
(注)
vPC ピア スイッチの場合、リモート ID サブオプションには vPC スイッチの MAC アドレスが入ります。これは両方のスイッチにおいて一意です。 この MAC アドレスは vPC ドメイン ID とともに計算されます。 Option 82 情報は、DHCP 要求が他の vPC ピア スイッチに転送される前に最初に受信したスイッチで挿入されます。
デバイスは、Option 82 フィールドを含む DHCP 要求を DHCP サーバに転送します。
DHCP サーバはこのパケットを受信します。 Option 82 に対応しているサーバであれば、このリモート ID、回線 ID、またはその両方を使用して、IP アドレスの割り当てやポリシーの適用を行うことができます。たとえば、単一のリモート ID または回線 ID に割り当てることのできる IP アドレスの数を制限するポリシーなどです。 DHCP サーバは、DHCP 応答内に Option 82 フィールドをエコーします。
DHCP サーバは Cisco NX-OS デバイスに応答を送信します。 Cisco NX-OS デバイスは、リモート ID フィールド、および場合によっては回線 ID フィールドを検査することで、最初に Option 82 データを挿入したのがこのデバイス自身であることを確認します。 Cisco NX-OS デバイスは Option 82 フィールドを削除してから、DHCP 要求を送信した DHCP クライアントと接続しているインターフェイスにパケットを転送します。
上記の一連のイベントが発生した場合、次の値は変更されません。
vPC 環境での DHCP スヌーピング
仮想ポート チャネル(vPC)では、2 台の Cisco NX-OS スイッチを 3 番目のスイッチに 1 つの論理ポート チャネルとして認識させることができます。 3 番目のスイッチは、スイッチ、サーバ、またはポート チャネルをサポートするその他のネットワーク スイッチのいずれかにすることができます。
標準的な vPC 環境では、DHCP 要求は一方の vPC ピア スイッチに到達でき、応答は他方の vPC ピア スイッチに到達できるため、一方のスイッチには部分的な DHCP(IP-MAC)バインディング エントリが生成され、他方のスイッチにはバインディング エントリが生成されません。 この問題は Cisco Fabric Service over Ethernet(CFSoE)分散を使用して、すべての DHCP パケット(要求および応答)が両方のスイッチに確実に認識されるようにすることで対処されます。これにより、vPC リンクの背後に存在するすべてのクライアントについて、両方のスイッチで同じバインディング エントリが作成および管理されるようになります。
CFSoE 分散ではまた、vPC リンク上の DHCP 要求および応答を 1 台のスイッチのみが転送するようにもできます。 vPC 以外の環境では、両方のスイッチが DHCP パケットを転送します。
パケットの検証
スイッチは、DHCP スヌーピングがイネーブルの VLAN にある信頼できないインターフェイスで受信された DHCP パケットを検証します。 次の条件が発生(この場合パケットは破棄される)しない限り、スイッチでは、DHCP パケットが転送されます。
信頼できないインターフェイスで DHCP 応答パケット(DHCPACK、DHCPNAK、または DHCPOFFER などのパケット)を受信した場合。
信頼できないインターフェイスからパケットを受信し、この送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致しない場合。 このチェックは、DHCP スヌーピングの MAC アドレス検証オプションがオンの場合だけ、実行されます。
DHCP スヌーピング バインディング テーブル内にエントリを持つ信頼できないホストから DHCPRELEASE または DHCPDECLINE メッセージを受信したが、バインディング テーブル内のインターフェイス情報が、このメッセージを受信したインターフェイスと一致しない場合。
リレー エージェントの IP アドレス(0.0.0.0 以外)を含む DHCP パケットを受信した場合。
さらに、DHCP パケットの厳密な検証をイネーブルにすることもできます。これにより、DHCP パケットのオプション フィールドが確認されます。これには、オプション フィールドの最初の 4 バイト内の「マジック クッキー」値も含まれます。 デフォルトでは、厳密な検証はディセーブルになっています。 これを ip dhcp packet strict-validation コマンドによりイネーブルにすると、DHCP スヌーピングで無効なオプション フィールドを含むパケットを処理した場合に、パケットがドロップされます。
DHCP リレー エージェントの概要
DHCP リレー エージェント
DHCP リレー エージェントを実行するようにデバイスを設定できます。DHCP リレー エージェントは、クライアントとサーバの間で DHCP パケットを転送します。 これは、クライアントとサーバが同じ物理サブネット上にない場合に便利な機能です。 リレー エージェントは DHCP メッセージを受信すると、新規の DHCP メッセージを生成して別のインターフェイスに送信します。 リレー エージェントはゲートウェイ アドレスを設定し(DHCP パケットの giaddr フィールド)、パケットにリレー エージェント情報のオプション(Option 82)を追加して(設定されている場合)、DHCP サーバに転送します。 サーバからの応答は、Option 82 を削除してからクライアントに転送されます。
Option 82 をイネーブルにすると、デバイスはデフォルトでバイナリの ifindex 形式を使用します。 必要に応じて Option 82 設定を変更して、代わりに符号化ストリング形式を使用できます。
(注)
デバイスは、Option 82 情報がすでに含まれている DHCP 要求を中継するときには、Option 82 情報を変更せずに元のままの状態で要求と一緒に転送します。
DHCP リレー エージェントに対する VRF サポート
DHCP ブロードキャスト メッセージを Virtual Routing and Forwarding(VRF; 仮想ルーティング/転送)インスタンスのクライアントから別の VRF の DHCP サーバに転送するように、DHCP リレー エージェントを設定できます。 単一の DHCP サーバを使用して複数の VRF のクライアントの DHCP をサポートできるため、IP アドレス プールを VRF ごとではなく 1 つにまとめることにより、IP アドレスを節約できます。
DHCP リレー エージェントに対する VRF サポートをイネーブルにするには、DHCP リレー エージェントに対する Option 82 をイネーブルにする必要があります。
DHCP リレー アドレスと VRF 情報を設定したインターフェイスに DHCP 要求が着信した場合、DHCP サーバのアドレスが、別の VRF のメンバであるインターフェイスのネットワークに属するものであれば、デバイスは要求に Option 82 情報を挿入し、サーバの VRF の DHCP サーバに転送されます。 Option 82 情報は次のとおりです。
- VPN 識別子
DHCP 要求を受信するインターフェイスが属する VRF の名前。
- リンクの選択
DHCP 要求を受信するインターフェイスのサブネット アドレス。
- サーバ識別子オーバーライド
DHCP 要求を受信するインターフェイスの IP アドレス。
(注)
DHCP サーバは、VPN 識別子、リンクの選択、サーバ識別子オーバーライドの各オプションをサポートする必要があります。
デバイスは DHCP 応答メッセージを受信すると、Option 82 情報を取り除き、クライアントの VRF の DHCP クライアントに応答を転送します。
DHCP リレー バインディング データベース
リレー バインディングは、リレー エージェントのアドレスおよびサブネットに、DHCP または BOOTP クライアントを関連付けるエントリです。 各リレー バインディングは、クライアントの MAC アドレス、アクティブなリレー エージェント アドレス、アクティブなリレー エージェント アドレス マスク、クライアントが接続されている論理および物理インターフェイス、giaddr リトライ回数、および合計リトライ回数を格納します。 giaddr リトライ回数は、リレー エージェント アドレスに送信される要求パケットの数です。合計リトライ回数は、リレー エージェントによって送信される要求パケットの合計数です。 1 つのリレー バインディング エントリが、各 DHCP または BOOTP クライアントに対して維持されます。
(注)
DHCP スマート リレーをグローバルにイネーブルにするか、または任意のスイッチのインターフェイス レベルでイネーブルにする場合、すべてのスイッチのリレー バインディングは vPC ピアと同期する必要があります。
DHCPv6 リレー エージェント
DHCPv6 リレー エージェントを実行するようにデバイスを設定できます。DHCPv6 リレー エージェントは、クライアントとサーバの間で DHCP パケットを転送します。 これは、クライアントとサーバが同じ物理サブネット上にない場合に便利な機能です。 リレー エージェントは DHCPv6 メッセージを受信すると、新規の DHCPv6 メッセージを生成して別のインターフェイスに送信します。 リレー エージェントはゲートウェイ アドレス(DHCPv6 パケットの giaddr フィールド)をセットし、DHCPv6 サーバに転送します。
DHCPv6 リレー エージェントに対する VRF サポート
DHCPv6 ブロードキャスト メッセージを仮想ルーティング/転送(VRF)インスタンスのクライアントから別の VRF の DHCPv6 サーバに転送するように、DHCPv6 リレー エージェントを設定できます。 単一の DHCPv6 サーバを使用して複数の VRF のクライアントの DHCPv6 をサポートできるため、IP アドレス プールを VRF ごとではなく 1 つにまとめることにより、IP アドレスを節約できます。
DHCP スヌーピングの注意事項および制約事項
DHCP スヌーピングを設定する場合は、次の注意事項および制約事項を考慮してください。
DHCP スヌーピング データベースには 2,000 のバインディングを格納できます。
DHCP をグローバルにイネーブル化し、さらに少なくとも 1 つの VLAN で DHCP スヌーピングをイネーブルにするまで、DHCP スヌーピングはアクティブになりません。
スイッチ上で DHCP スヌーピングをグローバルにイネーブルにする前に、DHCP サーバや DHCP リレー エージェントとして機能するスイッチが設定され、イネーブルになっていることを確認してください。
DHCP スヌーピングを使用して設定を行っている VLAN で VLAN ACL(VACL)が設定されている場合、その VACL で DHCP サーバと DHCP ホストの間の DHCP トラフィックが許可されていることを確認します。
デフォルトで、DHCP バインディングは、スイッチの再起動後に永続的に保存されません。 スイッチの再起動後にも永続的なバインディングを保持するには、copy r s コマンドを使用します。 copy r s コマンドが発行されると、その時点で存在するすべてのバインディングは、スイッチの再起動後も永続的な状態になります。
vPC リンク内のスイッチ間で DHCP 設定が同期されていることを確認します。 同期されていないと、ランタイム エラーが発生し、パケットがドロップされる場合があります。
リモート DHCP サーバとローカル DHCP サーバの両方を使用するには、DHCP リレー機能を設定し、ローカル DHCP サーバのユニキャスト アドレスを定義し、またはローカル DHCP サーバが常駐するサブネットのローカル ブロードキャスト アドレスを設定する必要があります。 DHCP サーバのユニキャスト アドレスを定義せず、またはサブネットのローカル ブロードキャスト アドレスを設定しない場合、ローカル DHCP パケットは配信できません。 たとえば、この状況は SVI に IP DHCP アドレスを適用する場合に発生することがあります。
インターフェイスで DHCPv6 サーバ アドレスを設定する場合は、宛先インターフェイスをグローバル IPv6 アドレスで使用することはできません。
次の注意事項および制約事項は、FabricPath を含む実装に適用されます。
DHCP スヌーピングは、CE-Fabric 境界スイッチ上でイネーブルにする必要があります。
アクセス レイヤでネットワークを保護するために、DHCP スヌーピングはすべてのアクセス レイヤ スイッチ上でイネーブルになっています。
DHCP は、FabricPath モードで設定されたポート上のバインディング エントリを学習しません。 DHCP スヌーピングは、すべてのアクセス レイヤ スイッチで手動でイネーブルにする必要があります。
ダイナミック ARP インスペクション(DAI)がイネーブルになっている場合、FabricPath ポート上で受信された ARP パケットは許可されます。
FabricPath モードでは、ポート上で IPSG をイネーブルにすることはできません。
システムのすべての FabricPath ポートは、信頼できるポートとして設定する必要があります。
FabricPath の DHCP スヌーピングは、スイッチに設定されたすべての VLAN でイネーブルにする必要があります。 スイッチ上のすべての VLAN の FabricPath をイネーブルにしない場合、DHCP がイネーブルにされていない VLAN で DHCP パケットはドロップされます。
DHCP パケットがドロップされないようにするには、次の設定すべてを実行する必要があります。
DHCP スヌーピングのデフォルト設定
次の表に、DHCP スヌーピング パラメータのデフォルト設定を示します。
表 1 DHCP スヌーピング パラメータのデフォルト値パラメータ(Parameters)
デフォルト
DHCP スヌーピング機能
ディセーブル
DHCP スヌーピングのグローバルなイネーブル化
No
DHCP スヌーピング VLAN
なし
DHCP スヌーピングの Option 82 サポート
ディセーブル
DHCP スヌーピング信頼状態
信頼できない
DHCP リレー エージェントに対する VRF サポート
ディセーブル
DHCPv6 リレー エージェントに対する VRF サポート
ディセーブル
DHCP リレー エージェント
ディセーブル
DHCPv6 リレー エージェント
ディセーブル
DHCPv6 relay option type cisco
ディセーブル
DHCP スヌーピングの最小限の設定
手順
コマンドまたはアクション 目的 ステップ 1 DHCP スヌーピング機能をイネーブルにします。 DHCP スヌーピング機能がディセーブルになっていると、DHCP スヌーピングを設定できません。
詳細については、DHCP スヌーピング機能のイネーブル化またはディセーブル化を参照してください。
ステップ 2 DHCP スヌーピングをグローバルにイネーブルにします。 詳細については、DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化を参照してください。
ステップ 3 少なくとも 1 つの VLAN で、DHCP スヌーピングをイネーブルにします。 デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。
詳細については、VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化を参照してください。
ステップ 4 DHCP サーバとスイッチが、信頼できるインターフェイスを使用して接続されていることを確認します。 詳細については、インターフェイスの信頼状態の設定を参照してください。
DHCP スヌーピング機能のイネーブル化またはディセーブル化
はじめる前に手順DHCP スヌーピング機能をディセーブルにすると、DHCP スヌーピングの設定がすべて消去されます。 DHCP スヌーピングをオフにして DHCP スヌーピングの設定を維持したい場合は、DHCP をグローバルにディセーブル化します。
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 [no] feature dhcp
例:switch(config)# feature dhcpDHCP スヌーピング機能をイネーブルにします。 no オプションを使用すると、DHCP スヌーピング機能がディセーブルになり、DHCP スヌーピングの設定がすべて消去されます。
ステップ 3 show running-config dhcp
例:switch(config)# show running-config dhcp(任意) DHCP スヌーピングの設定を表示します。
ステップ 4 copy running-config startup-config
例:switch(config)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化
手順スイッチに対して DHCP スヌーピング機能のグローバルなイネーブル化またはディセーブル化が可能です。 DHCP スヌーピングをグローバルにディセーブルにすると、DHCP スヌーピングの実行や DHCP メッセージのリレーはスイッチで停止されますが、DHCP スヌーピングの設定は維持されます。
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 [no] ip dhcp snooping
例:switch(config)# ip dhcp snoopingDHCP スヌーピングをグローバルにイネーブル化します。 no オプションを使用すると DHCP スヌーピングがディセーブルになります。
ステップ 3 show running-config dhcp
例:switch(config)# show running-config dhcp(任意) DHCP スヌーピングの設定を表示します。
ステップ 4 copy running-config startup-config
例:switch(config)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化
はじめる前に手順デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。
DHCP スヌーピングがイネーブルになっていることを確認してください。
(注)
DHCP スヌーピングを使用して設定を行っている VLAN で VACL が設定されている場合、その VACL で DHCP サーバと DHCP ホストの間の DHCP トラフィックが許可されていることを確認します。
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 [no] ip dhcp snooping vlan vlan-list
例:switch(config)# ip dhcp snooping vlan 100,200,250-252vlan-list で指定する VLAN の DHCP スヌーピングをイネーブルにします。 no オプションを使用すると、指定した VLAN の DHCP スヌーピングがディセーブルになります。
ステップ 3 show running-config dhcp
例:switch(config)# show running-config dhcp(任意) DHCP スヌーピングの設定を表示します。
ステップ 4 copy running-config startup-config
例:switch(config)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
Option 82 データの挿入および削除のイネーブル化またはディセーブル化
手順
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 [no] ip dhcp snooping information option
例:switch(config)# ip dhcp snooping information optionDHCP パケットの Option 82 情報の挿入および削除をイネーブルにします。 no オプションを使用すると、Option 82 情報の挿入および削除がディセーブルになります。
ステップ 3 show running-config dhcp
例:switch(config)# show running-config dhcpDHCP スヌーピングの設定を表示します。
ステップ 4 copy running-config startup-config
例:switch(config)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
DHCP パケットの厳密な検証のイネーブル化またはディセーブル化
手順
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 [no] ip dhcp packet strict-validation
例:switch(config)# ip dhcp packet strict-validationDHCP スヌーピング機能で、DHCP パケットの厳密な検証をイネーブルにします。 no オプションを使用すると、DHCP パケットの厳密な検証がディセーブルになります。
ステップ 3 show running-config dhcp
例:switch(config)# show running-config dhcp(任意) DHCP スヌーピングの設定を表示します。
ステップ 4 copy running-config startup-config
例:switch(config)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
インターフェイスの信頼状態の設定
手順
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 次のいずれかのコマンドを入力します。
例:switch(config)# interface ethernet 2/1 switch(config-if)#ステップ 3 [no] ip dhcp snooping trust
例:switch(config-if)# ip dhcp snooping trustDHCP スヌーピングに関してインターフェイスを信頼できるインターフェイスとして設定します。 no オプションを使用すると、ポートは信頼できないインターフェイスとして設定されます。
ステップ 4 show running-config dhcp
例:switch(config-if)# show running-config dhcp(任意) DHCP スヌーピングの設定を表示します。
ステップ 5 copy running-config startup-config
例:switch(config-if)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
DHCP リレー エージェントのイネーブル化またはディセーブル化
手順
コマンドまたはアクション 目的 ステップ 1 config t
例:switch# config t switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 [no] ip dhcp relay
例:switch(config)# ip dhcp relayDHCP リレー エージェントをイネーブルにします。 no オプションを使用すると、リレー エージェントがディセーブルになります。
ステップ 3 show ip dhcp relay
例:switch(config)# show ip dhcp relay(任意) DHCP リレーの設定を表示します。
ステップ 4 show running-config dhcp
例:switch(config)# show running-config dhcp(任意) DHCP 設定を表示します。
ステップ 5 copy running-config startup-config
例:switch(config)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
DHCP リレー エージェントに対する Option 82 のイネーブル化またはディセーブル化
手順デバイスに対し、リレー エージェントによって転送された DHCP パケットへの Option 82 情報の挿入と削除をイネーブルまたはディセーブルにできます。
デフォルトでは、DHCP リレー エージェントは DHCP パケットに Option 82 情報を挿入しません。
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 [no] ip dhcp relay information option
例:switch(config)# ip dhcp relay information optionDHCP リレー エージェントによって転送されるパケットに対する Option 82 情報の挿入および削除をイネーブルにします。 Option 82 情報は、デフォルトでバイナリ ifIndex 形式です。 no オプションを使用すると、この動作がディセーブルになります。
ステップ 3 [no] ip dhcp relay information sub-option circuit-id format-type string
例:switch(config)# ip dhcp relay information sub-option circuit-id format-type string(任意) デフォルトの ifIndex バイナリ形式の代わりに符号化されたストリング形式を使用するように、オプション 82 を設定します。
ステップ 4 show ip dhcp relay
例:switch(config)# show ip dhcp relay(任意) DHCP リレーの設定を表示します。
ステップ 5 show running-config dhcp
例:switch(config)# show running-config dhcp(任意) DHCP 設定を表示します。
ステップ 6 copy running-config startup-config
例:switch(config)# copy running-config startup-config(任意) リブートおよびリスタート時に実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーして、変更を継続的に保存します。
DHCP リレー エージェントに対する VRF サポートのイネーブル化またはディセーブル化
手順
コマンドまたはアクション 目的 ステップ 1 config t
例:switch# config t switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 [no] ip dhcp relay information option vpn
例:switch(config)# ip dhcp relay information option vpnDHCP リレー エージェントに対して VRF サポートをイネーブルにします。 no オプションを使用すると、この動作がディセーブルになります。
ステップ 3 [no] ip dhcp relay sub-option type cisco
例:switch(config)# ip dhcp relay sub-option type ciscoリンク選択、サーバ ID オーバーライド、および VRF 名/VPN ID リレー エージェント Option 82 サブオプションを設定する場合は、DHCP をイネーブルにして、シスコ独自の番号である 150、152、および 151 を使用します。 no オプションを使用すると、DHCP では、リンク選択、サーバ ID オーバーライド、および VRF 名/VPN ID サブオプションに対して、RFC 番号 5、11、151 が使用されるようになります。
ステップ 4 show ip dhcp relay
例:switch(config)# show ip dhcp relay(任意) DHCP リレーの設定を表示します。
ステップ 5 show running-config dhcp
例:switch(config)# show running-config dhcp(任意) DHCP 設定を表示します。
ステップ 6 copy running-config startup-config
例:switch(config)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
レイヤ 3 インターフェイスの DHCP リレー エージェントに対するサブネット ブロードキャスト サポートのイネーブル化またはディセーブル化
手順クライアントからのサブネットのブロードキャスト IP アドレスに DHCP パケットのリレーをサポートするように、デバイスを設定できます。 この機能がイネーブルの場合、VLAN ACL(VACL)は、IP ブロードキャスト パケット、すべてのサブネット ブロードキャスト(プライマリ サブネット ブロードキャストおよびセカンダリ サブネット ブロードキャスト)パケットを許容します。
コマンドまたはアクション 目的 ステップ 1 config t
例:switch# config t switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 interface interface slot/port
例:switch(config)# interface ethernet 2/2 switch(config-if)#インターフェイス コンフィギュレーション モードを開始します。slot/port は、DHCP リレー エージェントに対するサブネット ブロードキャスト サポートをイネーブルまたはディセーブルにするインターフェイスです。
ステップ 3 [no] ip dhcp relay subnet-broadcast
例:switch(config-if)# ip dhcp relay subnet-broadcastDHCP リレー エージェントに対するサブネット ブロードキャスト サポートをイネーブルにします。 no オプションを使用すると、この動作がディセーブルになります。
ステップ 4 exit
例:switch(config-if)# exit switch(config)#インターフェイス コンフィギュレーション モードを終了します。
ステップ 5 exit
例:switch(config)# exit switch#グローバル コンフィギュレーション モードを終了します。
ステップ 6 show ip dhcp relay
例:switch# show ip dhcp relay(任意) DHCP リレーの設定を表示します。
ステップ 7 show running-config dhcp
例:switch# show running-config dhcp(任意) DHCP 設定を表示します。
ステップ 8 copy running-config startup-config
例:switch# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
DHCP スタティック バインディングの作成
手順
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 ip source binding IP-address MAC-address vlan vlan-id {interface ethernet slot/port | port-channel channel-no}
例:switch(config)# ip source binding 10.5.22.7 001f.28bd.0013 vlan 100 interface ethernet 2/3レイヤ 2 イーサネット インターフェイスにスタティックな送信元アドレスをバインドします。
ステップ 3 show ip dhcp snooping binding
例:switch(config)# ip dhcp snooping binding(任意) DHCP スヌーピングのスタティックおよびダイナミック バインディングを示します。
ステップ 4 show ip dhcp snooping binding dynamic
例:switch(config)# ip dhcp snooping binding dynamic(任意) DHCP スヌーピングのダイナミック バインディングを示します。
ステップ 5 copy running-config startup-config
例:switch(config)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
DHCPv6 リレー エージェントのイネーブル化またはディセーブル化
手順
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 [no] ipv6 dhcp relay
例:switch(config)# ipv6 dhcp relayDHCPv6 リレー エージェントをイネーブルにします。 no オプションを使用すると、リレー エージェントがディセーブルになります。
ステップ 3 show ipv6 dhcp relay [interface interface]
例:switch(config)# show ipv6 dhcp relay(任意) DHCPv6 リレーの設定を表示します。
ステップ 4 show running-config dhcp
例:switch(config)# show running-config dhcp(任意) DHCP 設定を表示します。
ステップ 5 copy running-config startup-config
例:switch(config)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
DHCPv6 リレー エージェントに対する VRF サポートのイネーブル化またはディセーブル化
手順
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 [no] ipv6 dhcp relay option vpn
例:switch(config)# ipv6 dhcp relay option vpnDHCPv6 リレー エージェントに対して VRF サポートをイネーブルにします。 no オプションを使用すると、この動作がディセーブルになります。
ステップ 3 [no] ipv6 dhcp relay option type cisco
例:switch(config)# ipv6 dhcp relay option type ciscoこれにより、DHCPv6 リレー エージェントが、ベンダー固有オプションの一部として仮想サブネット選択(VSS)の詳細情報を挿入します。 no オプションを使用すると、DHCPv6 リレー エージェントが VSS 詳細情報を、VSS オプションの一部として(68)挿入します。これは、RFC-6607 で定義された動作です。 このコマンドは、RFC-6607 に対応していないものの、クライアント VRF 名に基づいた IPv6 アドレスを割り当てる DHCPv6 サーバを使用する場合に役立ちます。
ステップ 4 show ipv6 dhcp relay [interface interface]
例:switch(config)# show ipv6 dhcp relay(任意) DHCPv6 リレーの設定を表示します。
ステップ 5 show running-config dhcp
例:switch(config)# show running-config dhcp(任意) DHCP 設定を表示します。
ステップ 6 copy running-config startup-config
例:switch(config)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
DHCPv6 リレー送信元インターフェイスの設定
手順DHCPv6 リレー エージェントの送信元インターフェイスを設定できます。 デフォルトでは、DHCPv6 リレー エージェントは発信パケットの送信元アドレスとしてリレー エージェント アドレスを使用します。 送信元インターフェイスを設定すると、リレーされたメッセージの送信元アドレスとして、より安定したアドレス(ループバック インターフェイス アドレスなど)を使用することができます。
コマンドまたはアクション 目的 ステップ 1 configure terminal
例:switch# configure terminal switch(config)#グローバル コンフィギュレーション モードを開始します。
ステップ 2 [no] ipv6 dhcp relay source-interface interface
例:switch(config)# ipv6 dhcp relay source-interface loopback 2DHCPv6 リレー エージェントの送信元インターフェイスを設定します。
(注) DHCPv6 リレー送信元インターフェイスは、グローバルに、インターフェイスごとに、またはその両方に設定できます。 グローバルおよびインターフェイス レベルの両方が設定されている場合は、インターフェイス レベルの設定がグローバル設定を上書きします。
ステップ 3 show ipv6 dhcp relay [interface interface]
例:switch(config)# show ipv6 dhcp relay(任意) DHCPv6 リレーの設定を表示します。
ステップ 4 show running-config dhcp
例:switch(config)# show running-config dhcp(任意) DHCP 設定を表示します。
ステップ 5 copy running-config startup-config
例:switch(config)# copy running-config startup-config(任意) 実行コンフィギュレーションを、スタートアップ コンフィギュレーションにコピーします。
DHCP スヌーピング設定の確認
DHCP スヌーピングの設定情報を表示するには、次のいずれかの作業を行います。 これらのコマンドの出力フィールドの詳細については、Cisco Nexus デバイス の『System Management Configuration Guide』を参照してください。
コマンド
目的
show running-config dhcp
DHCP スヌーピング設定を表示します。
show ip dhcp relay
DHCP リレーの設定を表示します。
show ipv6 dhcp relay [interface interface]
DHCPv6 リレーのグローバル設定またはインターフェイス レベルの設定を表示します。
show ip dhcp snooping
DHCP スヌーピングに関する一般的な情報を表示します。
DHCP バインディングの表示
DHCP スタティックおよびダイナミック バインディング テーブルを表示するには、show ip dhcp snooping binding コマンドを使用します。 DHCP ダイナミック バインディング テーブルを表示するには、show ip dhcp snooping binding dynamic を使用します。
このコマンドの出力フィールドの詳細については、Cisco Nexus デバイスの『System Management Configuration Guide』を参照してください。
次に、スタティック DHCP バインディングを作成してから、show ip dhcp snooping binding コマンドを使用してバインディングを確認する例を示します。
switch# configuration terminal switch(config)# ip source binding 10.20.30.40 0000.1111.2222 vlan 400 interface port-channel 500 switch(config)# show ip dhcp snooping binding MacAddress IpAddress LeaseSec Type VLAN Interface ----------------- --------------- -------- ---------- ---- ------------- 00:00:11:11:22:22 10.20.30.40 infinite static 400 port-channel500DHCP スヌーピング バインディング データベースのクリア
手順DHCP スヌーピング バインディング データベースからエントリを削除できます。1 つのエントリ、インターフェイスに関連するすべてのエントリ、データベース内のすべてのエントリなどを削除することが可能です。
コマンドまたはアクション 目的 ステップ 1 clear ip dhcp snooping binding
例:switch# clear ip dhcp snooping binding(任意) DHCP スヌーピング バインディング データベースからすべてのエントリをクリアします。
ステップ 2 clear ip dhcp snooping binding interface ethernet slot/port[.subinterface-number]
例:switch# clear ip dhcp snooping binding interface ethernet 1/4(任意) DHCP スヌーピング バインディング データベースから、特定のイーサネット インターフェイスに関連するエントリをクリアします。
ステップ 3 clear ip dhcp snooping binding interface port-channel channel-number[.subchannel-number]
例:switch# clear ip dhcp snooping binding interface port-channel 72(任意) DHCP スヌーピング バインディング データベースから、特定のポート チャネル インターフェイスに関連するエントリをクリアします。
ステップ 4 clear ip dhcp snooping binding vlan vlan-id mac mac-address ip ip-address interface {ethernet slot/port[.subinterface-number | port-channel channel-number[.subchannel-number] }
例:switch# clear ip dhcp snooping binding vlan 23 mac 0060.3aeb.54f0 ip 10.34.54.9 interface ethernet 2/11(任意) DHCP スヌーピング バインディング データベースから、特定のエントリをクリアします。
ステップ 5 show ip dhcp snooping binding
例:switch# show ip dhcp snooping binding(任意) DHCP スヌーピング バインディング データベースを表示します。
DHCP リレー統計情報のクリア
グローバル DHCP リレーの統計情報をクリアするには、clear ip dhcp relay statistics コマンドを使用します。
clear ip dhcp relay statistics interface interface コマンドを使用して、特定のインターフェイスの DHCP リレー統計情報をクリアします。
clear ip dhcp relay statistics interface interface serverip ip-address [use-vrf vrf-name] コマンドを使用して、特定のインターフェイスのサーバ レベルでの DHCP リレー統計情報をクリアします。
DHCPv6 リレー統計情報のクリア
グローバル DHCPv6 リレーの統計情報をクリアするには、clear ipv6 dhcp relay statistics コマンドを使用します。
特定のインターフェイスの DHCPv6 リレーの統計情報をクリアするには、clear ipv6 dhcp relay statistics interface interface コマンドを使用します。
clear ipv6 dhcp relay statistics interface interface server-ip ip-address [use-vrf vrf-name] コマンドを使用して、特定のインターフェイスのサーバ レベルでの DHCPv6 リレー統計情報をクリアします。
DHCP のモニタリング
DHCP スヌーピングをモニタするには、show ip dhcp snooping statistics コマンドを使用します。
show ip dhcp relay statistics [interface interface [serverip ip-address [use-vrf vrf-name]]] コマンドを使用して、グローバル、サーバ、またはインターフェイス レベルでの DHCP リレー統計情報をモニタします。
show ipv6 dhcp relay statistics [interface interface [server-ip ip-address [use-vrf vrf-name]]] コマンドを使用して、グローバル、サーバ、またはインターフェイス レベルでの DHCPv6 リレー統計情報をモニタします。
DHCP スヌーピングの設定例
次に、2 つの VLAN 上で DHCP スヌーピングをイネーブルにして、Option 82 サポートをイネーブルにし、さらに DHCP サーバがイーサネット インターフェイス 2/5 に接続されているためにそのインターフェイスを信頼できるインターフェイスとして設定する例を示します。
feature dhcp ip dhcp snooping ip dhcp snooping info option interface Ethernet 2/5 ip dhcp snooping trust ip dhcp snooping vlan 1 ip dhcp snooping vlan 50