この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章は、次の項で構成されています。
Dynamic Host Configuration Protocol(DHCP)スヌーピングをグローバルに有効にするには、ip dhcp snooping グローバル コンフィギュレーション モード コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip dhcp snooping
no ip dhcp snooping
DHCP スヌーピングは、無効です。
グローバル コンフィギュレーション モード
任意の DHCP スヌーピング設定を有効にするには、DHCP スヌーピングをグローバルに有効にする必要があります。VLAN の DHCP スヌーピングは、VLAN の DHCP スヌーピングが有効になるまでアクティブになりません。
次の例では、デバイス上で DHCP スヌーピングを有効にしています。
switchxxxxxx(config)# ip dhcp snooping
VLAN で DHCP スヌーピングを有効にするには、ip dhcp snooping vlan グローバル コンフィギュレーション モード コマンドを使用します。VLAN で DHCP スヌーピングを無効にするには、このコマンドの no 形式を使用します。
ip dhcp snooping vlan vlan-id
no ip dhcp snooping vlan vlan-id
vlan-id:VLAN ID を指定します。
VLAN 上の DHCP スヌーピングは無効になっています。
グローバル コンフィギュレーション モード
VLAN で DHCP スヌーピングを有効にする前に、DHCP スヌーピングをグローバルに有効にする必要があります。
次の例では、VLAN 21 で DHCP スヌーピングを有効にしています。
switchxxxxxx(config)# ip dhcp snooping vlan 21
DHCP スヌーピングを実行するためにポートを信頼できるポートとして設定するには、ip dhcp snooping trust インターフェイス コンフィギュレーション(イーサネット、ポート チャネル)モード コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip dhcp snooping trust
no ip dhcp snooping trust
インターフェイスは、信頼できない状態です。
インターフェイス(イーサネット、ポート チャネル)コンフィギュレーション モード
DHCP サーバ、その他のスイッチ、またはルータに接続されたポートを信頼できるポートとして設定します。DHCP クライアントに接続したポートは、信頼できないポートとして設定します。
次に、DHCP スヌーピング用に gi1/0/4 を信頼できるポートとして設定する例を示します。
switchxxxxxx(config)# interface gi1/0/4
switchxxxxxx(config-if)# ip dhcp snooping trust
信頼できないポートからのオプション 82 情報を持つ DHCP パケットをデバイスが受け入れるようにするには、ip dhcp snooping information option allowed-untrusted グローバル コンフィギュレーション モード コマンドを使用します。信頼できないポートからのこのようなパケットをドロップするには、このコマンドの no 形式を使用します。
ip dhcp snooping information option allowed-untrusted
no ip dhcp snooping information option allowed-untrusted
信頼できないポートからのオプション 82 情報を持つ DHCP パケットは破棄されます。
グローバル コンフィギュレーション モード
次の例では、信頼できないポートからのオプション 82 情報を持つ DHCP パケットをデバイスが受け入れられるようにしています。
switchxxxxxx(config)# ip dhcp snooping information option allowed-untrusted
信頼できないポートで受信した DHCP パケットの送信元 MAC アドレスがクライアント ハードウェア アドレスと一致することを確認するようにデバイスを設定するには、ip dhcp snooping verify グローバル コンフィギュレーション モード コマンドを使用します。信頼できないポートで受信した DHCP パケットの MAC アドレス検証を無効にするには、このコマンドの no 形式を使用します。
ip dhcp snooping verify
no ip dhcp snooping verify
スイッチは、パケットのクライアント ハードウェア アドレスと一致する信頼されないポートで受信した DHCP パケットの送信元 MAC アドレスを確認します。
グローバル コンフィギュレーション モード
次の例では、信頼できないポートで受信した DHCP パケットの送信元 MAC アドレスがクライアント ハードウェア アドレスと一致することを確認するようにデバイスを設定しています。
switchxxxxxx(config)# ip dhcp snooping verify
DHCP スヌーピング バインディング データベース ファイルを有効にするには、ip dhcp snooping database グローバル コンフィギュレーション モード コマンドを使用します。DHCP スヌーピング バインディング データベース ファイルを削除するには、このコマンドの no 形式を使用します。
ip dhcp snooping database
no ip dhcp snooping database
DHCP スヌーピング バインディング データベース ファイルは定義されていません。
グローバル コンフィギュレーション モード
DHCP スヌーピング バインディング データベース ファイルは、Flash 上にあります。データベースのリース時間を正確なものにするために、Simple Network Time Protocol(SNTP)を有効にして設定する必要があります。デバイスのシステム クロックが SNTP と同期している場合にのみ、デバイスはバインディング データベース ファイルにバインディングの変更を書き込みます。
次の例では、DHCP スヌーピング バインディング データベース ファイルを有効にしています。
switchxxxxxx(config)# ip dhcp snooping database
DHCP スヌーピング バインディング データベースを設定して、ダイナミック バインディング エントリをデータベースに追加するには、ip dhcp snooping binding 特権 EXEC モード コマンドを使用します。バインディング データベースからエントリを削除するには、このコマンドの no 形式を使用します。
ip dhcp snooping binding mac-address vlan-id ip-address interface-id expiry {seconds | infinite}
no ip dhcp snooping binding mac-address vlan-id
mac-address:MAC アドレスを指定します。
vlan-id:VLAN 番号を指定します。
ip-address:IP アドレスを指定します。
interface-id:インターフェイス ID を指定します。インターフェイス ID には、イーサネット ポートまたはポート チャネルのいずれかのタイプを指定できます。
expiry
seconds:バインディング エントリが無効になるまでの時間間隔を秒単位で指定します。(範囲:10 ~ 4294967294)。
infinite:無期限のリース時間を指定します。
スタティック バインディングはありません。
特権 EXEC モード
DHCP データベースにダイナミック エントリを手動で追加するには、ip dhcp snooping binding コマンドを使用します。
このコマンドを入力すると、DHCP スヌーピング データベースにエントリが追加されます。DHCP スヌーピング バインディング ファイルが存在する場合は、そのファイルにもエントリが追加されます。
コンフィギュレーション ファイルには、エントリは追加されません。このエントリは、show コマンドで「DHCP Snooping」エントリとして表示されます。このコマンドにより追加されたエントリは、既存のダイナミック エントリを上書きできます。このエントリは、show コマンドで DHCP Snooping エントリとして表示されます。
DHCP データベースからダイナミック エントリを手動で削除するには、no ip dhcp snooping binding コマンドを使用します。
IP アドレスが 0.0.0.0 の一時的なダイナミック エントリは削除できません。
次の例では、DHCP スヌーピング バインディング データベースにバインディング エントリを追加しています。
switchxxxxxx# ip dhcp snooping binding 0060.704C.73FF 23 176.10.1.1 gi1/0/4 expiry 900
DHCP スヌーピング バインディング データベースをクリアするには、clear ip dhcp snooping database 特権 EXEC モード コマンドを使用します。
clear ip dhcp snooping database
特権 EXEC モード
次の例では、DHCP スヌーピング バインディング データベースをクリアしています。
switchxxxxxx# clear ip dhcp snooping database
すべてのインターフェイスまたは特定のインターフェイスの DHCP スヌーピング設定を表示するには、show ip dhcp snooping EXEC モード コマンドを使用します。
show ip dhcp snooping [interface-id]
interface-id:インターフェイス ID を指定します。インターフェイス ID には、イーサネット ポートまたはポート チャネルのいずれかのタイプを指定できます。
ユーザ EXEC モード
次の例では、DHCP スヌーピング設定を表示しています。
switchxxxxxx# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping is configured on following VLANs: 21
DHCP snooping database is Enabled
Relay agent Information option 82 is Enabled
Option 82 on untrusted port is allowed
Verification of hwaddr field is Enabled
DHCP snooping file update frequency is configured to: 6666 seconds
|
Interface --------- gi1/0/1 gi1/0/2 |
Trusted ------- 対応 対応 |
すべてのインターフェイスまたは特定のインターフェイスの DHCP スヌーピング バインディング データベースおよび設定情報を表示するには、show ip dhcp snooping binding ユーザ EXEC モード コマンドを使用します。
show ip dhcp snooping binding [mac-address mac-address] [ip-address ip-address] [vlan vlan-id] [interface-id]
mac-address mac-address:MAC アドレスを指定します。
ip-address ip-address:IP アドレスを指定します。
vlan vlan-id:VLAN ID を指定します。
interface-id:インターフェイス ID を指定します。インターフェイス ID には、イーサネット ポートまたはポート チャネルのいずれかのタイプを指定できます。
ユーザ EXEC モード
次の例では、デバイス上のすべてのインターフェイスの DHCP スヌーピング バインディング データベースと設定情報を表示しています。
|
|||||
|
|
|
|
|
|
Address Resolution Protocol(ARP)インスペクションを有効にするには、ip arp inspection グローバル コンフィギュレーション モード コマンドをグローバルに使用します。ARP インスペクションを無効にするには、このコマンドの no 形式を使用します。
ip arp inspection
no ip arp inspection
ARP インスペクションは無効になっています。
グローバル コンフィギュレーション モード
ポートが信頼できないポートとして設定されている場合は、DHCP スヌーピング用に信頼できないポートとしても設定するか、そのポートの IP アドレスと MAC アドレスのバインドをスタティックに設定する必要があることに注意してください。それ以外の場合、このポートに接続されたホストは ARP に応答できません。
次の例では、デバイス上で ARP インスペクションを有効にしています。
switchxxxxxx(config)# ip arp inspection
DHCP スヌーピング データベースに基づいて、VLAN 上で ARP インスペクションを有効にするには、ip arp inspection vlan グローバル コンフィギュレーション モード コマンドを使用します。VLAN で ARP インスペクションを無効にするには、このコマンドの no 形式を使用します。
ip arp inspection vlan vlan-id
no ip arp inspection vlan vlan-id
vlan-id:VLAN ID を指定します。
VLAN で DHCP スヌーピングに基づく ARP インスペクションが無効になっています。
グローバル コンフィギュレーション モード
このコマンドは、DHCP スヌーピング データベースに基づいて、VLAN 上での ARP インスペクションを有効にします。
次の例では、VLAN 23 で DHCP スヌーピング ベースの ARP インスペクションを有効にしています。
switchxxxxxx(config)# ip arp inspection vlan 23
ダイナミック Address Resolution Protocol(ARP)インスペクションの特定のチェックを実行するには、ip arp inspection validate グローバル コンフィギュレーション モード コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip arp inspection validate
no ip arp inspection validate
ARP インスペクションの検証は無効になっています。
グローバル コンフィギュレーション モード
次のチェックが行われます。
Source MAC address:イーサネット ヘッダー内の送信元 MAC アドレスを、ARP 本文の送信元 MAC アドレスと比較します。この検査は、ARP 要求および ARP 応答の両方に対して実行されます。
Destination MAC address:イーサネット ヘッダーの宛先 MAC アドレスを、ARP 本文のターゲット MAC アドレスと比較します。この検査は、ARP 応答に対して実行されます。
IP addresses:無効な IP アドレスや予期しない IP アドレスがないか、ARP 本文を比較します。アドレスには 0.0.0.0、255.255.255.255、およびすべての IP マルチキャスト アドレスが含まれます。
次の例では、ARP インスペクションの検証を実行しています。
switchxxxxxx(config)# ip arp inspection validate
スタティック ARP バインディング リストを作成して、ARP リスト コンフィギュレーション モードを開始するには、ip arp inspection list create グローバル コンフィギュレーション モード コマンドを使用します。このリストを削除するには、このコマンドの no 形式を使用します。
ip arp inspection list create name
no ip arp inspection list create name
name:スタティック ARP バインディング リスト名を指定します。(長さ:1 ~ 32 文字)。
スタティック ARP バインディング リストは存在しません。
グローバル コンフィギュレーション モード
リストを VLAN に割り当てるには、ip arp inspection list assign コマンドを使用します。
次の例では、スタティック ARP バインディング リストの「servers」を作成し、ARP リスト コンフィギュレーション モードにしています。
switchxxxxxx(config)# ip arp inspection list create servers
スタティック ARP バインディングを作成するには、ip mac ARP リスト コンフィギュレーション モード コマンドを使用します。スタティック ARP バインディングを削除するには、このコマンドの no 形式を使用します。
ip ip-address mac mac-address
no ip ip-address mac mac-address
ip-address:リストに入れる IP アドレスを指定します。
mac-address:IP アドレスに関連付けられる MAC アドレスを指定します。
スタティック ARP バインディングは定義されていません。
ARP リスト コンフィギュレーション モード
次の例では、スタティック ARP バインディングを作成しています。
switchxxxxxx(config)# ip arp inspection list create servers
switchxxxxxx(config-arp-list)# ip 172.16.1.1 mac 0060.704C.7321
switchxxxxxx(config-arp-list)# ip 172.16.1.2 mac 0060.704C.7322
スタティック ARP バインディング リストを VLAN に割り当てるには、ip arp inspection list assign グローバル コンフィギュレーション モード コマンドを使用します。割り当てを削除する場合は、このコマンドの no 形式を使用します。
ip arp inspection list assign vlan-id name
no ip arp inspection list assign vlan-id
vlan-id:VLAN ID を指定します。
name:スタティック ARP バインディング リスト名を指定します。
スタティック ARP バインディング リストは割り当てられていません。
グローバル コンフィギュレーション モード
次の例では、スタティック ARP バインディング リストの Servers を VLAN 37 に割り当てています。
switchxxxxxx(config)# ip arp inspection list assign 37 servers
連続する ARP SYSLOG メッセージ間の最小時間間隔を設定するには、ip arp inspection logging interval グローバル コンフィギュレーション モード コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip arp inspection logging interval {seconds | infinite}
no ip arp inspection logging interval
seconds:連続する ARP SYSLOG メッセージ間の最小時間間隔を指定します。0 の値は、システム メッセージがただちに生成されることを意味します。(範囲:0 ~ 86400)
infinite:SYSLOG メッセージが生成されないことを指定します。
デフォルトの ARP SYSLOG メッセージ ロギングの最小間隔は 5 秒です。
グローバル コンフィギュレーション モード
次の例では、ARP SYSLOG メッセージ ロギングの最小時間間隔を 60 秒に設定しています。
switchxxxxxx(config)# ip arp inspection logging interval 60
すべてのインターフェイスまたは特定のインターフェイスの ARP インスペクション設定を表示するには、show ip arp inspection EXEC モード コマンドを使用します。
show ip arp inspection [interface-id]
interface-id:インターフェイス ID を指定します。インターフェイス ID には、イーサネット ポートまたはポート チャネルのいずれかのタイプを指定できます。
ユーザ EXEC モード
次の例では、ARP インスペクション設定を表示しています。
switchxxxxxx# show ip arp inspection
IP ARP inspection is Enabled
IP ARP inspection is configured on following VLANs: 1
Verification of packet header is Enabled
IP ARP inspection logging interval is: 222 seconds
Interface Trusted
----------- -----------
gi1/0/1 Yes
gi1/0/2 Yes
スタティック ARP バインディング リストを表示するには、show ip arp inspection list 特権 EXEC モード コマンドを使用します。
show ip arp inspection list
特権 EXEC モード
次の例では、スタティック ARP バインディング リストを表示しています。
|
|
|
|
この機能により処理された、転送、ドロップ、および IP/MAC 検証エラー タイプのパケットの統計を表示するには、show ip arp inspection statistics EXEC コマンドを使用します。
show ip arp inspection statistics [vlan vlan-id]
vlan-id:VLAN ID を指定します。
ユーザ EXEC モード
ARP インスペクション機能を無効にした場合は、カウンタの値は保持されます。
switchxxxxxx# show ip arp inspection statistics
Vlan Forwarded Packets Dropped Packets IP/MAC Failures
---- ----------------- --------------- ---------------
2 1500 100 80
ARP インスペクションの統計情報をグローバルにクリアするには、clear ip arp inspection statistics 特権 EXEC モード コマンドを使用します。
clear ip arp inspection statistics [vlan vlan-id]
vlan-id:VLAN ID を指定します。
特権 EXEC モード
switchxxxxxx# clear ip arp inspection statistics
フィードバック