この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章は、次の項で構成されています。
Dynamic Host Configuration Protocol(DHCP)スヌーピングをグローバルに有効にするには、ip dhcp snooping グローバル コンフィギュレーション モード コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip dhcp snooping
no ip dhcp snooping
DHCP スヌーピングは、無効です。
グローバル コンフィギュレーション モード
任意の DHCP スヌーピング設定を有効にするには、DHCP スヌーピングをグローバルに有効にする必要があります。VLAN の DHCP スヌーピングは、VLAN の DHCP スヌーピングが有効になるまでアクティブになりません。
次の例では、デバイス上で DHCP スヌーピングを有効にしています。
switchxxxxxx(config)# ip dhcp snooping
VLAN で DHCP スヌーピングを有効にするには、ip dhcp snooping vlan グローバル コンフィギュレーション モード コマンドを使用します。VLAN で DHCP スヌーピングを無効にするには、このコマンドの no 形式を使用します。
ip dhcp snooping vlan vlan-id
no ip dhcp snooping vlan vlan-id
vlan-id:VLAN ID を指定します。
VLAN 上の DHCP スヌーピングは無効になっています。
グローバル コンフィギュレーション モード
VLAN で DHCP スヌーピングを有効にする前に、DHCP スヌーピングをグローバルに有効にする必要があります。
次の例では、VLAN 21 で DHCP スヌーピングを有効にしています。
switchxxxxxx(config)# ip dhcp snooping vlan 21
DHCP スヌーピングを実行するためにポートを信頼できるポートとして設定するには、ip dhcp snooping trust インターフェイス コンフィギュレーション(イーサネット、ポート チャネル)モード コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip dhcp snooping trust
no ip dhcp snooping trust
インターフェイスは、信頼できない状態です。
インターフェイス(イーサネット、ポート チャネル)コンフィギュレーション モード
DHCP サーバ、その他のスイッチ、またはルータに接続されたポートを信頼できるポートとして設定します。DHCP クライアントに接続したポートは、信頼できないポートとして設定します。
次に、DHCP スヌーピング用に gi1/0/4 を信頼できるポートとして設定する例を示します。
switchxxxxxx(config)# interface gi1/0/4
switchxxxxxx(config-if)# ip dhcp snooping trust
信頼できないポートからのオプション 82 情報を持つ DHCP パケットをデバイスが受け入れるようにするには、ip dhcp snooping information option allowed-untrusted グローバル コンフィギュレーション モード コマンドを使用します。信頼できないポートからのこのようなパケットをドロップするには、このコマンドの no 形式を使用します。
ip dhcp snooping information option allowed-untrusted
no ip dhcp snooping information option allowed-untrusted
信頼できないポートからのオプション 82 情報を持つ DHCP パケットは破棄されます。
グローバル コンフィギュレーション モード
次の例では、信頼できないポートからのオプション 82 情報を持つ DHCP パケットをデバイスが受け入れられるようにしています。
switchxxxxxx(config)# ip dhcp snooping information option allowed-untrusted
信頼できないポートで受信した DHCP パケットの送信元 MAC アドレスがクライアント ハードウェア アドレスと一致することを確認するようにデバイスを設定するには、ip dhcp snooping verify グローバル コンフィギュレーション モード コマンドを使用します。信頼できないポートで受信した DHCP パケットの MAC アドレス検証を無効にするには、このコマンドの no 形式を使用します。
ip dhcp snooping verify
no ip dhcp snooping verify
スイッチは、パケットのクライアント ハードウェア アドレスと一致する信頼されないポートで受信した DHCP パケットの送信元 MAC アドレスを確認します。
グローバル コンフィギュレーション モード
次の例では、信頼できないポートで受信した DHCP パケットの送信元 MAC アドレスがクライアント ハードウェア アドレスと一致することを確認するようにデバイスを設定しています。
switchxxxxxx(config)# ip dhcp snooping verify
DHCP スヌーピング バインディング データベース ファイルを有効にするには、ip dhcp snooping database グローバル コンフィギュレーション モード コマンドを使用します。DHCP スヌーピング バインディング データベース ファイルを削除するには、このコマンドの no 形式を使用します。
ip dhcp snooping database
no ip dhcp snooping database
DHCP スヌーピング バインディング データベース ファイルは定義されていません。
グローバル コンフィギュレーション モード
DHCP スヌーピング バインディング データベース ファイルは、Flash 上にあります。データベースのリース時間を正確なものにするために、Simple Network Time Protocol(SNTP)を有効にして設定する必要があります。デバイスのシステム クロックが SNTP と同期している場合にのみ、デバイスはバインディング データベース ファイルにバインディングの変更を書き込みます。
次の例では、DHCP スヌーピング バインディング データベース ファイルを有効にしています。
switchxxxxxx(config)# ip dhcp snooping database
DHCP スヌーピング バインディング データベースを設定して、ダイナミック バインディング エントリをデータベースに追加するには、ip dhcp snooping binding 特権 EXEC モード コマンドを使用します。バインディング データベースからエントリを削除するには、このコマンドの no 形式を使用します。
ip dhcp snooping binding mac-address vlan-id ip-address interface-id expiry {seconds | infinite}
no ip dhcp snooping binding mac-address vlan-id
mac-address:MAC アドレスを指定します。
vlan-id:VLAN 番号を指定します。
ip-address:IP アドレスを指定します。
interface-id:インターフェイス ID を指定します。インターフェイス ID には、イーサネット ポートまたはポート チャネルのいずれかのタイプを指定できます。
expiry
seconds:バインディング エントリが無効になるまでの時間間隔を秒単位で指定します。(範囲:10 ~ 4294967294)。
infinite:無期限のリース時間を指定します。
スタティック バインディングはありません。
特権 EXEC モード
DHCP データベースにダイナミック エントリを手動で追加するには、ip dhcp snooping binding コマンドを使用します。
このコマンドを入力すると、DHCP スヌーピング データベースにエントリが追加されます。DHCP スヌーピング バインディング ファイルが存在する場合は、そのファイルにもエントリが追加されます。
コンフィギュレーション ファイルには、エントリは追加されません。このエントリは、show コマンドで「DHCP Snooping」エントリとして表示されます。このコマンドにより追加されたエントリは、既存のダイナミック エントリを上書きできます。このエントリは、show コマンドで DHCP Snooping エントリとして表示されます。
DHCP データベースからダイナミック エントリを手動で削除するには、no ip dhcp snooping binding コマンドを使用します。
IP アドレスが 0.0.0.0 の一時的なダイナミック エントリは削除できません。
次の例では、DHCP スヌーピング バインディング データベースにバインディング エントリを追加しています。
switchxxxxxx# ip dhcp snooping binding 0060.704C.73FF 23 176.10.1.1 gi1/0/4 expiry 900
DHCP スヌーピング バインディング データベースをクリアするには、clear ip dhcp snooping database 特権 EXEC モード コマンドを使用します。
clear ip dhcp snooping database
特権 EXEC モード
次の例では、DHCP スヌーピング バインディング データベースをクリアしています。
switchxxxxxx# clear ip dhcp snooping database
すべてのインターフェイスまたは特定のインターフェイスの DHCP スヌーピング設定を表示するには、show ip dhcp snooping EXEC モード コマンドを使用します。
show ip dhcp snooping [interface-id]
interface-id:インターフェイス ID を指定します。インターフェイス ID には、イーサネット ポートまたはポート チャネルのいずれかのタイプを指定できます。
ユーザ EXEC モード
次の例では、DHCP スヌーピング設定を表示しています。
switchxxxxxx# show ip dhcp snooping
DHCP snooping is Enabled
DHCP snooping is configured on following VLANs: 21
DHCP snooping database is Enabled
Relay agent Information option 82 is Enabled
Option 82 on untrusted port is allowed
Verification of hwaddr field is Enabled
DHCP snooping file update frequency is configured to: 6666 seconds
|
Interface --------- gi1/0/1 gi1/0/2 |
Trusted ------- 対応 対応 |
すべてのインターフェイスまたは特定のインターフェイスの DHCP スヌーピング バインディング データベースおよび設定情報を表示するには、show ip dhcp snooping binding ユーザ EXEC モード コマンドを使用します。
show ip dhcp snooping binding [mac-address mac-address] [ip-address ip-address] [vlan vlan-id] [interface-id]
mac-address mac-address:MAC アドレスを指定します。
ip-address ip-address:IP アドレスを指定します。
vlan vlan-id:VLAN ID を指定します。
interface-id:インターフェイス ID を指定します。インターフェイス ID には、イーサネット ポートまたはポート チャネルのいずれかのタイプを指定できます。
ユーザ EXEC モード
次の例では、デバイス上のすべてのインターフェイスの DHCP スヌーピング バインディング データベースと設定情報を表示しています。
|
|||||
|
|
|
|
|
|
デバイスでグローバルに IP ソースガードを有効にするにはコンフィギュレーション モードまたはインターフェイス コンフィギュレーション モードで、またインターフェイスで IP ソースガードを有効にするにはインターフェイス コンフィギュレーション(イーサネット、ポートチャネル)モードで、ip source-guard コマンドを使用します。
デバイスまたはインターフェイスで IP ソースガードを無効にするには、このコマンドの no 形式を使用します。
ip source-guard
no ip source-guard
IP ソースガードは無効になっています。
インターフェイス(イーサネット、ポート チャネル)コンフィギュレーション モード
インターフェイスで IP ソースガードを有効にする前に、IP ソースガードをグローバルに有効にする必要があります。
IP ソースガードは DHCP スヌーピング非信頼インターフェイスでのみアクティブになります。また、アクティブになるには、そのインターフェイスの少なくとも 1 つの VLAN で DHCP スヌーピングが有効になっている必要があります。
次の例では、gi1/0/4 で IP ソースガードを有効にします。
switchxxxxxx(config)# interface gi1/0/4
switchxxxxxx(config-if)# ip source-guard
デバイスでスタティック IP ソースバインディングを設定するには、グローバル コンフィギュレーション モードで ip source-guard binding コマンドを使用します。スタティックバインディングを削除するには、このコマンドの no 形式を使用します。
ip source-guard binding mac-address vlan-id ip-address interface-id
no ip source-guard binding mac-address vlan-id
mac-address:MAC アドレスを指定します。
vlan-id:VLAN 番号を指定します。
ip-address:IP アドレスを指定します。
interface-id:インターフェイス ID を指定します。インターフェイス ID には、イーサネット ポートまたはポート チャネルのいずれかのタイプを指定できます。
スタティック バインディングはありません。
グローバル コンフィギュレーション モード
DHCP データベースにスタティックエントリを追加するには、ip source-guard binding コマンドを使用します。
このコマンドにより追加されたエントリは、既存のエントリを上書きできます。
DHCP データベースからエントリを削除するには、no ip source-guard binding コマンドを使用します。
次に、スタティック IP ソースバインディングを設定する例を示します。
switchxxxxxx(config)# ip source-guard binding 0060.704C.73FF 23 176.10.1.1 gi1/0/4
非アクティブな IP ソースガードアドレスの TCAM リソースの再試行頻度を設定するには、グローバル コンフィギュレーション モードで ip source-guard tcam retries-freq コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip source-guard tcam retries-freq {seconds | never}
no ip source-guard tcam retries-freq
seconds:再試行頻度を秒単位で指定します(範囲:10 ~ 600)。
never:TCAM リソースの自動検索を無効にします。
デフォルトの再試行頻度は 60 秒です。
グローバル コンフィギュレーション モード
IP ソースガードは TCAM(Ternary Content Addressable Memory)リソースを使用するため、TCAM リソースの不足によって IP ソースガードのアドレスが非アクティブになる場合があります。
デフォルトでは、ソフトウェアは 1 分ごとに、IP ソースガードの非アクティブアドレス用に TCAM で使用可能なスペースの検索を実行します。検索頻度を変更するか、TCAM スペースの自動再試行を無効にするには、このコマンドを使用します。
次に、TCAM リソースの再試行頻度を 2 分に設定する例を示します。
switchxxxxxx(config)# ip source-guard tcam retries-freq 120
非アクティブな IP ソースガードアドレスの TCAM リソースの検索を手動で再試行するには、特権 EXEC モードで ip source-guard tcam locate コマンドを使用します。
ip source-guard tcam locate
特権 EXEC モード
IP ソースガードは TCAM(Ternary Content Addressable Memory)リソースを使用するため、TCAM リソースの不足によって IP ソースガードのアドレスが非アクティブになる場合があります。
デフォルトでは、ソフトウェアは 60 秒ごとに、IP ソースガードの非アクティブアドレス用に TCAM で使用可能なスペースの検索を実行します。
次に、TCAM リソースの検出を手動で再試行する例を示します。
switchxxxxxx# ip source-guard tcam locate
すべてのインターフェイスまたは特定のインターフェイスの IP ソースガード設定を表示するには、EXEC モードで show ip source-guard configuration コマンドを使用します。
show ip source-guard configuration [interface-id]
interface-id:インターフェイス ID を指定します。インターフェイス ID には、イーサネット ポートまたはポート チャネルのいずれかのタイプを指定できます。
ユーザ EXEC モード
次に、IP ソースガード設定を表示する例を示します。
|
|
|
|
IP ソースガードのステータスを表示するには、EXEC モードで show ip source-guard status コマンドを使用します。
show ip source-guard status [mac-address mac-address] [ip-address ip-address] [vlan vlan] [interface-id]
mac-address mac-address:MAC アドレスを指定します。
ip-address ip-address:IP アドレスを指定します。
vlan vlan-id:VLAN ID を指定します。
interface-id:インターフェイス ID を指定します。インターフェイス ID には、イーサネット ポートまたはポート チャネルのいずれかのタイプを指定できます。
ユーザ EXEC モード
次に、IP ソースガードのステータスを表示する例を示します。
|
||||||
|
|
|
|
|
|
|
IP ソースガードの非アクティブアドレスを表示するには、EXEC モードで show ip source-guard inactive コマンドを使用します。
show ip source-guard inactive
ユーザ EXEC モード
IP ソースガードは TCAM(Ternary Content Addressable Memory)リソースを使用するため、TCAM リソースの不足によって IP ソースガードのアドレスが非アクティブになる場合があります。
デフォルトでは、ソフトウェアは 1 分ごとに、IP ソースガードの非アクティブアドレス用に TCAM で使用可能なスペースの検索を実行します。
次に、IP ソースガードの非アクティブアドレスを表示する例を示します。
|
||||||
|
|
|
|
|
|
|
ソースガードの動的情報(許可されたステーション)を表示するには、EXEC モードで show ip source-guard statistics コマンドを使用します。
show ip source-guard statistics [vlan vlan-id]
vlan-id:この VLAN の統計を表示します。
ユーザ EXEC モード
switchxxxxxx# show ip source-guard statistics
VLAN Statically Permitted Stations DHCP Snooping Permitted Stations
---- ------------------------------- --------------------------------
2 2 3
Address Resolution Protocol(ARP)インスペクションを有効にするには、ip arp inspection グローバル コンフィギュレーション モード コマンドをグローバルに使用します。ARP インスペクションを無効にするには、このコマンドの no 形式を使用します。
ip arp inspection
no ip arp inspection
ARP インスペクションは無効になっています。
グローバル コンフィギュレーション モード
ポートが信頼できないポートとして設定されている場合は、DHCP スヌーピング用に信頼できないポートとしても設定するか、そのポートの IP アドレスと MAC アドレスのバインドをスタティックに設定する必要があることに注意してください。それ以外の場合、このポートに接続されたホストは ARP に応答できません。
次の例では、デバイス上で ARP インスペクションを有効にしています。
switchxxxxxx(config)# ip arp inspection
DHCP スヌーピング データベースに基づいて、VLAN 上で ARP インスペクションを有効にするには、ip arp inspection vlan グローバル コンフィギュレーション モード コマンドを使用します。VLAN で ARP インスペクションを無効にするには、このコマンドの no 形式を使用します。
ip arp inspection vlan vlan-id
no ip arp inspection vlan vlan-id
vlan-id:VLAN ID を指定します。
VLAN で DHCP スヌーピングに基づく ARP インスペクションが無効になっています。
グローバル コンフィギュレーション モード
このコマンドは、DHCP スヌーピング データベースに基づいて、VLAN 上での ARP インスペクションを有効にします。
次の例では、VLAN 23 で DHCP スヌーピング ベースの ARP インスペクションを有効にしています。
switchxxxxxx(config)# ip arp inspection vlan 23
着信 Address Resolution Protocol(ARP)パケットを検査するかどうかを決定するインターフェイス信頼状態を設定するには、インターフェイス コンフィギュレーション(イーサネット、ポートチャネル)モードで ip arp inspection trust コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip arp inspection trust
no ip arp inspection trust
インターフェイスは、信頼できない状態です。
インターフェイス(イーサネット、ポート チャネル)コンフィギュレーション モード
デバイスは、信頼できるインターフェイスで受信した ARP パケットを確認せず、単純にパケットを転送します。
信頼できないインターフェイスの場合、デバイスはすべての ARP 要求と応答を代行受信します。ルータは、代行受信した各パケットが、IP アドレスと MAC アドレスとの有効なバインディングを持つことを確認してから、ローカル キャッシュを更新するか、適切な宛先にパケットを転送します。
次に、gi1/0/3 を信頼できるインターフェイスとして設定する例を示します。
switchxxxxxx(config)# interface gi1/0/3
switchxxxxxx(config-if)# ip arp inspection trust
ダイナミック Address Resolution Protocol(ARP)インスペクションの特定のチェックを実行するには、ip arp inspection validate グローバル コンフィギュレーション モード コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip arp inspection validate
no ip arp inspection validate
ARP インスペクションの検証は無効になっています。
グローバル コンフィギュレーション モード
次のチェックが行われます。
Source MAC address:イーサネット ヘッダー内の送信元 MAC アドレスを、ARP 本文の送信元 MAC アドレスと比較します。この検査は、ARP 要求および ARP 応答の両方に対して実行されます。
Destination MAC address:イーサネット ヘッダーの宛先 MAC アドレスを、ARP 本文のターゲット MAC アドレスと比較します。この検査は、ARP 応答に対して実行されます。
IP addresses:無効な IP アドレスや予期しない IP アドレスがないか、ARP 本文を比較します。アドレスには 0.0.0.0、255.255.255.255、およびすべての IP マルチキャスト アドレスが含まれます。
次の例では、ARP インスペクションの検証を実行しています。
switchxxxxxx(config)# ip arp inspection validate
スタティック ARP バインディング リストを作成して、ARP リスト コンフィギュレーション モードを開始するには、ip arp inspection list create グローバル コンフィギュレーション モード コマンドを使用します。このリストを削除するには、このコマンドの no 形式を使用します。
ip arp inspection list create name
no ip arp inspection list create name
name:スタティック ARP バインディング リスト名を指定します。(長さ:1 ~ 32 文字)。
スタティック ARP バインディング リストは存在しません。
グローバル コンフィギュレーション モード
リストを VLAN に割り当てるには、ip arp inspection list assign コマンドを使用します。
次の例では、スタティック ARP バインディング リストの「servers」を作成し、ARP リスト コンフィギュレーション モードにしています。
switchxxxxxx(config)# ip arp inspection list create servers
スタティック ARP バインディングを作成するには、ip mac ARP リスト コンフィギュレーション モード コマンドを使用します。スタティック ARP バインディングを削除するには、このコマンドの no 形式を使用します。
ip ip-address mac mac-address
no ip ip-address mac mac-address
ip-address:リストに入れる IP アドレスを指定します。
mac-address:IP アドレスに関連付けられる MAC アドレスを指定します。
スタティック ARP バインディングは定義されていません。
ARP リスト コンフィギュレーション モード
次の例では、スタティック ARP バインディングを作成しています。
switchxxxxxx(config)# ip arp inspection list create servers
switchxxxxxx(config-arp-list)# ip 172.16.1.1 mac 0060.704C.7321
switchxxxxxx(config-arp-list)# ip 172.16.1.2 mac 0060.704C.7322
スタティック ARP バインディング リストを VLAN に割り当てるには、ip arp inspection list assign グローバル コンフィギュレーション モード コマンドを使用します。割り当てを削除する場合は、このコマンドの no 形式を使用します。
ip arp inspection list assign vlan-id name
no ip arp inspection list assign vlan-id
vlan-id:VLAN ID を指定します。
name:スタティック ARP バインディング リスト名を指定します。
スタティック ARP バインディング リストは割り当てられていません。
グローバル コンフィギュレーション モード
次の例では、スタティック ARP バインディング リストの Servers を VLAN 37 に割り当てています。
switchxxxxxx(config)# ip arp inspection list assign 37 servers
連続する ARP SYSLOG メッセージ間の最小時間間隔を設定するには、ip arp inspection logging interval グローバル コンフィギュレーション モード コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
ip arp inspection logging interval {seconds | infinite}
no ip arp inspection logging interval
seconds:連続する ARP SYSLOG メッセージ間の最小時間間隔を指定します。0 の値は、システム メッセージがただちに生成されることを意味します。(範囲:0 ~ 86400)
infinite:SYSLOG メッセージが生成されないことを指定します。
デフォルトの ARP SYSLOG メッセージ ロギングの最小間隔は 5 秒です。
グローバル コンフィギュレーション モード
次の例では、ARP SYSLOG メッセージ ロギングの最小時間間隔を 60 秒に設定しています。
switchxxxxxx(config)# ip arp inspection logging interval 60
すべてのインターフェイスまたは特定のインターフェイスの ARP インスペクション設定を表示するには、show ip arp inspection EXEC モード コマンドを使用します。
show ip arp inspection [interface-id]
interface-id:インターフェイス ID を指定します。インターフェイス ID には、イーサネット ポートまたはポート チャネルのいずれかのタイプを指定できます。
ユーザ EXEC モード
次の例では、ARP インスペクション設定を表示しています。
switchxxxxxx# show ip arp inspection
IP ARP inspection is Enabled
IP ARP inspection is configured on following VLANs: 1
Verification of packet header is Enabled
IP ARP inspection logging interval is: 222 seconds
Interface Trusted
----------- -----------
gi1/0/1 Yes
gi1/0/2 Yes
スタティック ARP バインディング リストを表示するには、show ip arp inspection list 特権 EXEC モード コマンドを使用します。
show ip arp inspection list
特権 EXEC モード
次の例では、スタティック ARP バインディング リストを表示しています。
|
|
|
|
この機能により処理された、転送、ドロップ、および IP/MAC 検証エラー タイプのパケットの統計を表示するには、show ip arp inspection statistics EXEC コマンドを使用します。
show ip arp inspection statistics [vlan vlan-id]
vlan-id:VLAN ID を指定します。
ユーザ EXEC モード
ARP インスペクション機能を無効にした場合は、カウンタの値は保持されます。
switchxxxxxx# show ip arp inspection statistics
Vlan Forwarded Packets Dropped Packets IP/MAC Failures
---- ----------------- --------------- ---------------
2 1500 100 80
ARP インスペクションの統計情報をグローバルにクリアするには、clear ip arp inspection statistics 特権 EXEC モード コマンドを使用します。
clear ip arp inspection statistics [vlan vlan-id]
vlan-id:VLAN ID を指定します。
特権 EXEC モード
switchxxxxxx# clear ip arp inspection statistics
フィードバック