DHCP スヌーピング コマンド

この章は、次の項で構成されています。

ip dhcp snooping

Dynamic Host Configuration Protocol(DHCP)スヌーピングをグローバルに有効にするには、ip dhcp snooping グローバル コンフィギュレーション モード コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

ip dhcp snooping

no ip dhcp snooping

デフォルト設定

DHCP スヌーピングは、無効です。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

任意の DHCP スヌーピング設定を有効にするには、DHCP スヌーピングをグローバルに有効にする必要があります。VLAN の DHCP スヌーピングは、VLAN の DHCP スヌーピングが有効になるまでアクティブになりません。

次の例では、デバイス上で DHCP スヌーピングを有効にしています。

switchxxxxxx(config)# ip dhcp snooping

ip dhcp snooping vlan

VLAN で DHCP スヌーピングを有効にするには、ip dhcp snooping vlan グローバル コンフィギュレーション モード コマンドを使用します。VLAN で DHCP スヌーピングを無効にするには、このコマンドの no 形式を使用します。

構文

ip dhcp snooping vlan vlan-id

no ip dhcp snooping vlan vlan-id

パラメータ

  • vlan-id:VLAN ID を指定します。

デフォルト設定

VLAN 上の DHCP スヌーピングは無効になっています。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

VLAN で DHCP スヌーピングを有効にする前に、DHCP スヌーピングをグローバルに有効にする必要があります。

次の例では、VLAN 21 で DHCP スヌーピングを有効にしています。

switchxxxxxx(config)# ip dhcp snooping vlan 21

ip dhcp snooping trust

DHCP スヌーピングを実行するためにポートを信頼できるポートとして設定するには、ip dhcp snooping trust インターフェイス コンフィギュレーション(イーサネット、ポート チャネル)モード コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

ip dhcp snooping trust

no ip dhcp snooping trust

デフォルト設定

インターフェイスは、信頼できない状態です。

コマンド モード

インターフェイス(イーサネット、ポート チャネル)コンフィギュレーション モード

使用上のガイドライン

DHCP サーバ、その他のスイッチ、またはルータに接続されたポートを信頼できるポートとして設定します。DHCP クライアントに接続したポートは、信頼できないポートとして設定します。

次に、DHCP スヌーピング用に gi1/0/4 を信頼できるポートとして設定する例を示します。

switchxxxxxx(config)# interface gi1/0/4
switchxxxxxx(config-if)# ip dhcp snooping trust

ip dhcp snooping information option allowed-untrusted

信頼できないポートからのオプション 82 情報を持つ DHCP パケットをデバイスが受け入れるようにするには、ip dhcp snooping information option allowed-untrusted グローバル コンフィギュレーション モード コマンドを使用します。信頼できないポートからのこのようなパケットをドロップするには、このコマンドの no 形式を使用します。

構文

ip dhcp snooping information option allowed-untrusted

no ip dhcp snooping information option allowed-untrusted

デフォルト設定

信頼できないポートからのオプション 82 情報を持つ DHCP パケットは破棄されます。

コマンド モード

グローバル コンフィギュレーション モード

次の例では、信頼できないポートからのオプション 82 情報を持つ DHCP パケットをデバイスが受け入れられるようにしています。

switchxxxxxx(config)# ip dhcp snooping information option allowed-untrusted

ip dhcp snooping verify

信頼できないポートで受信した DHCP パケットの送信元 MAC アドレスがクライアント ハードウェア アドレスと一致することを確認するようにデバイスを設定するには、ip dhcp snooping verify グローバル コンフィギュレーション モード コマンドを使用します。信頼できないポートで受信した DHCP パケットの MAC アドレス検証を無効にするには、このコマンドの no 形式を使用します。

構文

ip dhcp snooping verify

no ip dhcp snooping verify

デフォルト設定

スイッチは、パケットのクライアント ハードウェア アドレスと一致する信頼されないポートで受信した DHCP パケットの送信元 MAC アドレスを確認します。

コマンド モード

グローバル コンフィギュレーション モード

次の例では、信頼できないポートで受信した DHCP パケットの送信元 MAC アドレスがクライアント ハードウェア アドレスと一致することを確認するようにデバイスを設定しています。

switchxxxxxx(config)# ip dhcp snooping verify

ip dhcp snooping database

DHCP スヌーピング バインディング データベース ファイルを有効にするには、ip dhcp snooping database グローバル コンフィギュレーション モード コマンドを使用します。DHCP スヌーピング バインディング データベース ファイルを削除するには、このコマンドの no 形式を使用します。

構文

ip dhcp snooping database

no ip dhcp snooping database

デフォルト設定

DHCP スヌーピング バインディング データベース ファイルは定義されていません。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

DHCP スヌーピング バインディング データベース ファイルは、Flash 上にあります。データベースのリース時間を正確なものにするために、Simple Network Time Protocol(SNTP)を有効にして設定する必要があります。デバイスのシステム クロックが SNTP と同期している場合にのみ、デバイスはバインディング データベース ファイルにバインディングの変更を書き込みます。

次の例では、DHCP スヌーピング バインディング データベース ファイルを有効にしています。

switchxxxxxx(config)# ip dhcp snooping database

ip dhcp snooping binding

DHCP スヌーピング バインディング データベースを設定して、ダイナミック バインディング エントリをデータベースに追加するには、ip dhcp snooping binding 特権 EXEC モード コマンドを使用します。バインディング データベースからエントリを削除するには、このコマンドの no 形式を使用します。

構文

ip dhcp snooping binding mac-address vlan-id ip-address interface-id expiry {seconds | infinite}

no ip dhcp snooping binding mac-address vlan-id

パラメータ

  • mac-address:MAC アドレスを指定します。

  • vlan-id:VLAN 番号を指定します。

  • ip-address:IP アドレスを指定します。

  • interface-id:インターフェイス ID を指定します。インターフェイス ID には、イーサネット ポートまたはポート チャネルのいずれかのタイプを指定できます。

  • expiry

    • seconds:バインディング エントリが無効になるまでの時間間隔を秒単位で指定します。(範囲:10 ~ 4294967294)。

    • infinite:無期限のリース時間を指定します。

デフォルト設定

スタティック バインディングはありません。

コマンド モード

特権 EXEC モード

使用上のガイドライン

DHCP データベースにダイナミック エントリを手動で追加するには、ip dhcp snooping binding コマンドを使用します。

このコマンドを入力すると、DHCP スヌーピング データベースにエントリが追加されます。DHCP スヌーピング バインディング ファイルが存在する場合は、そのファイルにもエントリが追加されます。

コンフィギュレーション ファイルには、エントリは追加されません。このエントリは、show コマンドで「DHCP Snooping」エントリとして表示されます。このコマンドにより追加されたエントリは、既存のダイナミック エントリを上書きできます。このエントリは、show コマンドで DHCP Snooping エントリとして表示されます。

DHCP データベースからダイナミック エントリを手動で削除するには、no ip dhcp snooping binding コマンドを使用します。

IP アドレスが 0.0.0.0 の一時的なダイナミック エントリは削除できません。

次の例では、DHCP スヌーピング バインディング データベースにバインディング エントリを追加しています。

switchxxxxxx# ip dhcp snooping binding 0060.704C.73FF 23 176.10.1.1 gi1/0/4 expiry 900

clear ip dhcp snooping database

DHCP スヌーピング バインディング データベースをクリアするには、clear ip dhcp snooping database 特権 EXEC モード コマンドを使用します。

構文

clear ip dhcp snooping database

コマンド モード

特権 EXEC モード

次の例では、DHCP スヌーピング バインディング データベースをクリアしています。

switchxxxxxx# clear ip dhcp snooping database

show ip dhcp snooping

すべてのインターフェイスまたは特定のインターフェイスの DHCP スヌーピング設定を表示するには、show ip dhcp snooping EXEC モード コマンドを使用します。

構文

show ip dhcp snooping [interface-id]

パラメータ

  • interface-id:インターフェイス ID を指定します。インターフェイス ID には、イーサネット ポートまたはポート チャネルのいずれかのタイプを指定できます。

コマンド モード

ユーザ EXEC モード

次の例では、DHCP スヌーピング設定を表示しています。

switchxxxxxx# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping is configured on following VLANs: 21
DHCP snooping database is Enabled
Relay agent Information option 82 is Enabled
Option 82 on untrusted port is allowed
Verification of hwaddr field is Enabled
DHCP snooping file update frequency is configured to: 6666 seconds

Interface

---------

gi1/0/1

gi1/0/2

Trusted

-------

対応

はい

show ip dhcp snooping binding

すべてのインターフェイスまたは特定のインターフェイスの DHCP スヌーピング バインディング データベースおよび設定情報を表示するには、show ip dhcp snooping binding ユーザ EXEC モード コマンドを使用します。

構文

show ip dhcp snooping binding [mac-address mac-address] [ip-address ip-address] [vlan vlan-id] [interface-id]

パラメータ

  • mac-address mac-address:MAC アドレスを指定します。

  • ip-address ip-address:IP アドレスを指定します。

  • vlan vlan-id:VLAN ID を指定します。

  • interface-id:インターフェイス ID を指定します。インターフェイス ID には、イーサネット ポートまたはポート チャネルのいずれかのタイプを指定できます。

コマンド モード

ユーザ EXEC モード

次の例では、デバイス上のすべてのインターフェイスの DHCP スヌーピング バインディング データベースと設定情報を表示しています。

switchxxxxxx# show ip dhcp snooping binding
Update frequency: 1200
Total number of binding: 2
Mac Address
------------
0060.704C.73FF
0060.704C.7BC1
IP Address
---------
10.1.8.1
10.1.8.2
Lease (sec)
-------
7983
92332
Type
--------
snooping
snooping (s)
VLAN
----
3
3
Interface 
---------------
gi1/0/1
gi1/0/2

ip arp inspection

Address Resolution Protocol(ARP)インスペクションを有効にするには、ip arp inspection グローバル コンフィギュレーション モード コマンドをグローバルに使用します。ARP インスペクションを無効にするには、このコマンドの no 形式を使用します。

構文

ip arp inspection

no ip arp inspection

デフォルト設定

ARP インスペクションは無効になっています。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

ポートが信頼できないポートとして設定されている場合は、DHCP スヌーピング用に信頼できないポートとしても設定するか、そのポートの IP アドレスと MAC アドレスのバインドをスタティックに設定する必要があることに注意してください。それ以外の場合、このポートに接続されたホストは ARP に応答できません。

次の例では、デバイス上で ARP インスペクションを有効にしています。

switchxxxxxx(config)# ip arp inspection

ip arp inspection vlan

DHCP スヌーピング データベースに基づいて、VLAN 上で ARP インスペクションを有効にするには、ip arp inspection vlan グローバル コンフィギュレーション モード コマンドを使用します。VLAN で ARP インスペクションを無効にするには、このコマンドの no 形式を使用します。

構文

ip arp inspection vlan vlan-id

no ip arp inspection vlan vlan-id

パラメータ

  • vlan-id:VLAN ID を指定します。

デフォルト設定

VLAN で DHCP スヌーピングに基づく ARP インスペクションが無効になっています。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

このコマンドは、DHCP スヌーピング データベースに基づいて、VLAN 上での ARP インスペクションを有効にします。

次の例では、VLAN 23 で DHCP スヌーピング ベースの ARP インスペクションを有効にしています。

switchxxxxxx(config)# ip arp inspection vlan 23

ip arp inspection validate

ダイナミック Address Resolution Protocol(ARP)インスペクションの特定のチェックを実行するには、ip arp inspection validate グローバル コンフィギュレーション モード コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

ip arp inspection validate

no ip arp inspection validate

デフォルト設定

ARP インスペクションの検証は無効になっています。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

次のチェックが行われます。

  • Source MAC address:イーサネット ヘッダー内の送信元 MAC アドレスを、ARP 本文の送信元 MAC アドレスと比較します。この検査は、ARP 要求および ARP 応答の両方に対して実行されます。

  • Destination MAC address:イーサネット ヘッダーの宛先 MAC アドレスを、ARP 本文のターゲット MAC アドレスと比較します。この検査は、ARP 応答に対して実行されます。

  • IP addresses:無効な IP アドレスや予期しない IP アドレスがないか、ARP 本文を比較します。アドレスには 0.0.0.0、255.255.255.255、およびすべての IP マルチキャスト アドレスが含まれます。

次の例では、ARP インスペクションの検証を実行しています。

switchxxxxxx(config)# ip arp inspection validate

ip arp inspection list create

スタティック ARP バインディング リストを作成して、ARP リスト コンフィギュレーション モードを開始するには、ip arp inspection list create グローバル コンフィギュレーション モード コマンドを使用します。このリストを削除するには、このコマンドの no 形式を使用します。

構文

ip arp inspection list create name

no ip arp inspection list create name

パラメータ

  • name:スタティック ARP バインディング リスト名を指定します。(長さ:1 ~ 32 文字)。

デフォルト設定

スタティック ARP バインディング リストは存在しません。

コマンド モード

グローバル コンフィギュレーション モード

使用上のガイドライン

リストを VLAN に割り当てるには、ip arp inspection list assign コマンドを使用します。

次の例では、スタティック ARP バインディング リストの「servers」を作成し、ARP リスト コンフィギュレーション モードにしています。

switchxxxxxx(config)# ip arp inspection list create servers

ip mac

スタティック ARP バインディングを作成するには、ip mac ARP リスト コンフィギュレーション モード コマンドを使用します。スタティック ARP バインディングを削除するには、このコマンドの no 形式を使用します。

構文

ip ip-address mac mac-address

no ip ip-address mac mac-address

パラメータ

  • ip-address:リストに入れる IP アドレスを指定します。

  • mac-address:IP アドレスに関連付けられる MAC アドレスを指定します。

デフォルト設定

スタティック ARP バインディングは定義されていません。

コマンド モード

ARP リスト コンフィギュレーション モード

次の例では、スタティック ARP バインディングを作成しています。

switchxxxxxx(config)# ip arp inspection list create servers
switchxxxxxx(config-arp-list)# ip 172.16.1.1 mac 0060.704C.7321
switchxxxxxx(config-arp-list)# ip 172.16.1.2 mac 0060.704C.7322

ip arp inspection list assign

スタティック ARP バインディング リストを VLAN に割り当てるには、ip arp inspection list assign グローバル コンフィギュレーション モード コマンドを使用します。割り当てを削除する場合は、このコマンドの no 形式を使用します。

構文

ip arp inspection list assign vlan-id name

no ip arp inspection list assign vlan-id

パラメータ

  • vlan-id:VLAN ID を指定します。

  • name:スタティック ARP バインディング リスト名を指定します。

デフォルト設定

スタティック ARP バインディング リストは割り当てられていません。

コマンド モード

グローバル コンフィギュレーション モード

次の例では、スタティック ARP バインディング リストの Servers を VLAN 37 に割り当てています。

switchxxxxxx(config)# ip arp inspection list assign 37 servers

ip arp inspection logging interval

連続する ARP SYSLOG メッセージ間の最小時間間隔を設定するには、ip arp inspection logging interval グローバル コンフィギュレーション モード コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

構文

ip arp inspection logging interval {seconds | infinite}

no ip arp inspection logging interval

パラメータ

  • seconds:連続する ARP SYSLOG メッセージ間の最小時間間隔を指定します。0 の値は、システム メッセージがただちに生成されることを意味します。(範囲:0 ~ 86400)

  • infinite:SYSLOG メッセージが生成されないことを指定します。

デフォルト設定

デフォルトの ARP SYSLOG メッセージ ロギングの最小間隔は 5 秒です。

コマンド モード

グローバル コンフィギュレーション モード

次の例では、ARP SYSLOG メッセージ ロギングの最小時間間隔を 60 秒に設定しています。

switchxxxxxx(config)# ip arp inspection logging interval 60

show ip arp inspection

すべてのインターフェイスまたは特定のインターフェイスの ARP インスペクション設定を表示するには、show ip arp inspection EXEC モード コマンドを使用します。

構文

show ip arp inspection [interface-id]

パラメータ

  • interface-id:インターフェイス ID を指定します。インターフェイス ID には、イーサネット ポートまたはポート チャネルのいずれかのタイプを指定できます。

コマンド モード

ユーザ EXEC モード

次の例では、ARP インスペクション設定を表示しています。

switchxxxxxx# show ip arp inspection
IP ARP inspection is Enabled
IP ARP inspection is configured on following VLANs: 1
Verification of packet header is Enabled
IP ARP inspection logging interval is: 222  seconds
 Interface    Trusted
----------- -----------
gi1/0/1          Yes
gi1/0/2          Yes

show ip arp inspection list

スタティック ARP バインディング リストを表示するには、show ip arp inspection list 特権 EXEC モード コマンドを使用します。

構文

show ip arp inspection list

コマンド モード

特権 EXEC モード

次の例では、スタティック ARP バインディング リストを表示しています。

switchxxxxxx# show ip arp inspection list
List name: servers
Assigned to VLANs: 1,2
IP
-----------
172.16.1.1
172.16.1.2
ARP
--------------
0060.704C.7322
0060.704C.7322

show ip arp inspection statistics

この機能により処理された、転送、ドロップ、および IP/MAC 検証エラー タイプのパケットの統計を表示するには、show ip arp inspection statistics EXEC コマンドを使用します。

構文

show ip arp inspection statistics [vlan vlan-id]

パラメータ

  • vlan-id:VLAN ID を指定します。

コマンド モード

ユーザ EXEC モード

使用上のガイドライン

ARP インスペクション機能を無効にした場合は、カウンタの値は保持されます。

switchxxxxxx# show ip arp inspection statistics
Vlan 		Forwarded Packets	Dropped Packets 		IP/MAC Failures
----		-----------------	---------------		---------------
2		   1500		         100	                        80

clear ip arp inspection statistics

ARP インスペクションの統計情報をグローバルにクリアするには、clear ip arp inspection statistics 特権 EXEC モード コマンドを使用します。

構文

clear ip arp inspection statistics [vlan vlan-id]

パラメータ

  • vlan-id:VLAN ID を指定します。

コマンド モード

特権 EXEC モード

switchxxxxxx# clear ip arp inspection statistics