この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の内容は、次のとおりです。
DHCP スヌーピングは、信頼できないホストと信頼できる DHCP サーバとの間でファイアウォールのような機能を果たします。DHCP スヌーピングでは次のアクティビティを実行します。
信頼できない送信元からの DHCP メッセージを検証し、無効なメッセージをフィルタ処理して除外します。
DHCP スヌーピング バインディング データベースを構築し、管理します。このデータベースには、リース IP アドレスがある信頼できないホストに関する情報が保存されています。
DHCP スヌーピング バインディング データベースを使用して、信頼できないホストからの以降の要求を検証します。
DHCP スヌーピングは、VLAN ベースごとにイネーブルに設定されます。デフォルトでは、すべての VLAN でこの機能は非アクティブです。この機能は、1 つの VLAN または特定の VLAN 範囲でイネーブルにできます。
DHCP スヌーピングを設定するときは、DHCP スヌーピング機能のイネーブル化と DHCP スヌーピングのグローバルなイネーブル化の違いを理解することが重要です。
DHCP スヌーピング機能は、デフォルトではディセーブルです。DHCP スヌーピング機能がディセーブルになっていると、DHCP スヌーピングまたはこれに依存する機能を設定できません。DHCP スヌーピングおよびその依存機能を設定するコマンドは、DHCP スヌーピングがディセーブルになっているときは使用できません。
DHCP スヌーピング機能をイネーブルにすると、スイッチで DHCP スヌーピング バインディング データベースの構築と維持が開始されます。DHCP スヌーピング バインディング データベースに依存する機能は、その時点から使用できるようになり、設定も可能になります。
DHCP スヌーピング機能をイネーブルにしても、グローバルにイネーブルになるわけではありません。DHCP スヌーピングをグローバルにイネーブルにするには、個別に行う必要があります。
DHCP スヌーピング機能をディセーブルにすると、スイッチから DHCP スヌーピングの設定がすべて削除されます。DHCP スヌーピングをディセーブルにして設定を維持したい場合は、DHCP スヌーピング機能をディセーブルにするのではなく、DHCP スヌーピングをグローバルにディセーブル化します。
DHCP スヌーピングのイネーブル化の実行後、DHCP スヌーピングはデフォルトでグローバルにディセーブルになります。グローバルなイネーブル化は第 2 レベルのイネーブル化です。これにより、DHCP スヌーピング バインディング データベースのイネーブル化とは別に、スイッチがアクティブに DHCP スヌーピングを実行しているかどうかを個別に制御できます。
DHCP スヌーピングをグローバルにイネーブルにすると、DHCP スヌーピングがイネーブルになっている VLAN の信頼できない各インターフェイスについて、受信した DHCP メッセージの検証が開始され、DHCP スヌーピング バインディング データベースを使用して、信頼できないホストからの以降の要求を検証します。
DHCP スヌーピングをグローバルにディセーブルにすると、DHCP メッセージの検証と、信頼できないホストからの以降の要求の検証を停止します。DHCP スヌーピング バインディング データベースも削除されます。DHCP スヌーピングをグローバルにディセーブルにしても、DHCP スヌーピングの設定や、DHCP スヌーピング機能に依存するその他の機能の設定は削除されません。
DHCP スヌーピングがトラフィックの送信元を信頼するかどうかを設定できます。信頼できないソースの場合、トラフィック攻撃やその他の敵対的アクションが開始される可能性があります。こうした攻撃を防ぐため、DHCP スヌーピングは信頼できない送信元からのメッセージをフィルタリングします。
企業ネットワークでは、信頼できる送信元はその企業の管理制御下にあるスイッチです。これらのスイッチには、ネットワーク内のスイッチ、ルータ、およびサーバが含まれます。ファイアウォールを越えるスイッチやネットワーク外のスイッチは信頼できない送信元です。一般的に、ホスト ポートは信頼できない送信元として扱われます。
サービス プロバイダーの環境では、サービス プロバイダー ネットワークにないスイッチは、信頼できない送信元です(カスタマー スイッチなど)。ホスト ポートは、信頼できない送信元です。
Cisco Nexus デバイスでは、接続インターフェイスの信頼状態を設定することにより送信元が信頼されることを示します。
すべてのインターフェイスのデフォルトの信頼状態は、信頼できない状態になります。DHCP サーバ インターフェイスは、信頼できるインターフェイスとして設定する必要があります。ユーザのネットワーク内でスイッチ(スイッチまたはルータ)に接続されている場合、他のインターフェイスも信頼できるインターフェイスとして設定できます。ホスト ポート インターフェイスは、通常、信頼できるインターフェイスとしては設定しません。
(注) | DHCP スヌーピングを正しく機能させるためには、すべての DHCP サーバを信頼できるインターフェイス経由でスイッチに接続する必要があります。 |
DHCP スヌーピングは、代行受信した DHCP メッセージから抽出した情報を使用し、ダイナミックにデータベースを構築し維持します。DHCP スヌーピングがイネーブルにされた VLAN に、ホストが関連付けられている場合、データベースには、リース IP アドレスがある信頼できない各ホストのエントリが保存されています。データベースには、信頼できるインターフェイスを介して接続するホストに関するエントリは保存されません。
(注) | DHCP スヌーピング バインディング データベースは DHCP スヌーピング バインディング テーブルとも呼ばれます。 |
スイッチが特定の DHCP メッセージを受信すると、DHCP スヌーピングはデータベースをアップデートします。たとえば、サーバからの DHCPACK メッセージをスイッチで受信すると、この機能により、データベースにエントリが追加されます。IP アドレスのリース期限が切れると、またはホストからの DHCPRELEASE メッセージをスイッチで受信すると、この機能により、データベースのエントリが削除されます。
DHCP スヌーピング バインディング データベースの各エントリには、ホストの MAC アドレス、リース IP アドレス、リース期間、バインディング タイプ、VLAN 番号、およびホストに関連するインターフェイス情報が保存されます。
clear ip dhcp snooping binding コマンドを使用すると、バインディング データベースからエントリ削除できます。
DHCPv6 リレー エージェントの概要
DHCPv6 リレー エージェントを実行するようにデバイスを設定できます。DHCPv6 リレー エージェントは、クライアントとサーバの間で DHCP パケットを転送します。これは、クライアントとサーバが同じ物理サブネット上にない場合に便利な機能です。リレー エージェントは DHCPv6 メッセージを受信すると、新規の DHCPv6 メッセージを生成して別のインターフェイスに送信します。リレー エージェントはゲートウェイ アドレス(DHCPv6 パケットの giaddr フィールド)をセットし、DHCPv6 サーバに転送します。
DHCPv6 ブロードキャスト メッセージを仮想ルーティング/転送(VRF)インスタンスのクライアントから別の VRF の DHCPv6 サーバに転送するように、DHCPv6 リレー エージェントを設定できます。単一の DHCPv6 サーバを使用して複数 VRF のクライアントに DHCPv6 サポートを提供できるため、VRF ごとに 1 つずつではなく、単一の IP アドレス プール使用することで、IP アドレスを節約できます。
この機能には、ライセンスは必要ありません。ライセンス パッケージに含まれていない機能はすべて Cisco NX-OS システム イメージにバンドルされており、追加費用は一切発生しません。NX-OS ライセンス方式の詳細については、『Cisco NX-OS Licensing Guide』を参照してください。
DHCP スヌーピングまたは DHCP リレー エージェントを設定するためには、DHCP についての知識が必要です。
DHCP スヌーピングを設定する場合は、次の注意事項および制約事項を考慮してください。
7.0(3)I2(1) より前のリリースでは、サポートされない DHCP スタティック バインディング設定は拒否され、エラーになっていましたが、Release 7.0(3)I2(1) 以降、複数の IP およびポートにわたる スタティック DHCP バインディングで同じ MAC アドレスが許可されるようになりました。
DHCP スヌーピング データベースには 2,000 のバインディングを格納できます。
DHCP をグローバルにイネーブル化し、さらに少なくとも 1 つの VLAN で DHCP スヌーピングをイネーブルにするまで、DHCP スヌーピングはアクティブになりません。
スイッチ上で DHCP スヌーピングをグローバルにイネーブルにする前に、DHCP サーバや DHCP リレー エージェントとして機能するスイッチが設定され、イネーブルになっていることを確認してください。
DHCP スヌーピングを使用して設定を行っている VLAN で VLAN ACL(VACL)が設定されている場合、その VACL で DHCP サーバと DHCP ホストの間の DHCP トラフィックが許可されていることを確認します。
DHCP スヌーピングおよび DHCP リレー機能は、同一の VLAN ポート上ではサポートされません。
インターフェイスに DHCPv6 サーバ アドレスを設定する場合、宛先インターフェイスはグローバル IPv6 アドレスと共に使用できません。
DHCPv6 リレーの場合、インターフェイスに最大 32 の DHCPv6 サーバ IP アドレスを設定できます。
パラメータ |
デフォルト |
---|---|
DHCP スヌーピング機能 |
ディセーブル |
DHCP スヌーピングのグローバルなイネーブル化 |
なし |
DHCP スヌーピング VLAN |
なし |
DHCP スヌーピングの Option 82 サポート |
ディセーブル |
DHCP スヌーピング信頼状態 |
信頼できない |
DHCP リレー エージェントに対する VRF サポート |
ディセーブル |
DHCPv6 リレー エージェントに対する VRF サポート |
ディセーブル |
DHCP リレー エージェント |
ディセーブル |
DHCPv6 リレー エージェント |
ディセーブル |
DHCPv6 relay option type cisco |
ディセーブル |
DHCP スヌーピングの設定
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | DHCP スヌーピング機能をイネーブルにします。 | DHCP スヌーピング機能がディセーブルになっていると、DHCP スヌーピングを設定できません。 詳細については、DHCP スヌーピング機能のイネーブル化またはディセーブル化を参照してください。 |
ステップ 2 | DHCP スヌーピングをグローバルにイネーブルにします。 | 詳細については、DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化を参照してください。 |
ステップ 3 | 少なくとも 1 つの VLAN で、DHCP スヌーピングをイネーブルにします。 | デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。 詳細については、VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化を参照してください。 |
ステップ 4 | DHCP サーバとスイッチが、信頼できるインターフェイスを使用して接続されていることを確認します。 | 詳細については、インターフェイスの信頼状態の設定を参照してください。 |
スイッチの DHCP スヌーピング機能をイネーブルまたはディセーブルに設定できます。デフォルトでは、DHCP スヌーピングはディセーブルです。
DHCP スヌーピング機能をディセーブルにすると、DHCP スヌーピングの設定がすべて消去されます。DHCP スヌーピングをオフにして DHCP スヌーピングの設定を維持したい場合は、DHCP をグローバルにディセーブル化します。
スイッチに対して DHCP スヌーピング機能のグローバルなイネーブル化またはディセーブル化が可能です。DHCP スヌーピングをグローバルにディセーブルにすると、DHCP スヌーピングの実行や はスイッチで停止されますが、DHCP スヌーピングの設定は維持されます。
DHCP スヌーピング機能がイネーブルになっていることを確認します。デフォルトでは、DHCP スヌーピングはグローバルにディセーブルです。
1 つまたは複数の VLAN に対して DHCP スヌーピングをイネーブルまたはディセーブルに設定できます。
デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。
DHCP スヌーピングがイネーブルになっていることを確認してください。
(注) | DHCP スヌーピングを使用して設定を行っている VLAN で VACL が設定されている場合、その VACL で DHCP サーバと DHCP ホストの間の DHCP トラフィックが許可されていることを確認します。 |
DHCP リレー エージェントを使用せずに転送された DHCP パケットへの Option 82 情報の挿入および削除をイネーブルまたはディセーブルにできます。デフォルトでは、デバイスは DHCP パケットに Option 82 情報を挿入しません。
(注) | Option 82 に対する DHCP リレー エージェントのサポートは、個別に設定されます。 |
DHCP 機能がイネーブルになっていることを確認します。
DHCP スヌーピング機能では、DHCP パケットの厳密な検証をイネーブルまたはディセーブルにできます。デフォルトでは、DHCP パケットの厳密な検証はディセーブルになっています。
各インターフェイスが DHCP メッセージの送信元として信頼できるかどうかを設定できます。DHCP の信頼状態は、次のタイプのインターフェイスに設定できます。
デフォルトでは、すべてのインターフェイスは信頼できません。
DHCP スヌーピングがイネーブルになっていることを確認してください。
DHCP リレー エージェントをイネーブルまたはディセーブルに設定できます。デフォルトでは、DHCP リレー エージェントはイネーブルです。
DHCP 機能がイネーブルになっていることを確認します。
デバイスに対し、リレー エージェントによって転送された DHCP パケットへの Option 82 情報の挿入と削除をイネーブルまたはディセーブルにできます。
デフォルトでは、DHCP リレー エージェントは DHCP パケットに Option 82 情報を挿入しません。
DHCP 機能がイネーブルになっていることを確認します。
1 つのインターフェイスに複数の DHCP サーバ IP アドレスを設定できます。インバウンド DHCP BOOTREQUEST パケットがインターフェイスに着信すると、リレー エージェントはそのパケットを指定されたすべての DHCP サーバ IP アドレスに転送します。リレー エージェントは、すべての DHCP サーバからの応答を、要求を送信したホストへ転送します。
DHCP 機能がイネーブルになっていることを確認します。
DHCP サーバが正しく設定されていることを確認します。
インターフェイスに設定する、各 DHCP サーバの IP アドレスを決定します。
DHCP サーバがインターフェイスとは異なる VRF インスタンスに含まれている場合、VRF サポートがイネーブルになっていることを確認します。
(注) | DHCP サーバ アドレスを設定しているインターフェイスで入力ルータ ACL が設定されている場合、そのルータ ACL で DHCP サーバと DHCP ホストの間の DHCP トラフィックが許可されていることを確認します。 |
レイヤ 2 インターフェイスにスタティック DHCP ソース バインディングを作成できます。
DHCP スヌーピング機能がイネーブルになっていることを確認します。
次に、イーサネット インターフェイス 2/3 上に、VLAN 100 に関連付ける固定 IP ソース エントリを作成する例を示します。
switch# configure terminal switch(config)# ip source binding 10.5.22.7 001f.28bd.0013 vlan 100 interface ethernet 2/3 switch(config)#
DHCPv6 リレー エージェントの設定
DHCPv6 リレー エージェントをイネーブルまたはディセーブルに設定できます。デフォルトでは、DHCPv6 リレー エージェントはディセーブルにされます。
DHCP 機能がイネーブルになっていることを確認します。
ある VRF のインターフェイスで受信した DHCPv6 要求を、別の VRF の DHCPv6 サーバにリレーする機能をサポートするように、デバイスを設定できます。
DHCP 機能がイネーブルになっていることを確認します。
DHCPv6 リレー エージェントがイネーブルであることを確認します。
DHCPv6 リレー エージェントの送信元インターフェイスを設定できます。デフォルトでは、DHCPv6 リレー エージェントは発信パケットの送信元アドレスとしてリレー エージェント アドレスを使用します。送信元インターフェイスを設定すると、リレーされたメッセージの送信元アドレスとして、より安定したアドレス(ループバック インターフェイス アドレスなど)を使用することができます。
DHCP 機能がイネーブルになっていることを確認します。
DHCPv6 リレー エージェントがイネーブルであることを確認します。
コマンド |
目的 |
---|---|
show running-config dhcp |
DHCP スヌーピング設定を表示します。 |
show ip dhcp relay |
DHCP リレーの設定を表示します。 |
show ipv6 dhcp relay [interfaceinterface] |
DHCPv6 リレーのグローバルまたはインターフェイス レベルの設定を表示します。 |
show ip dhcp snooping |
DHCP スヌーピングに関する一般的な情報を表示します。 |
DHCP スタティックおよびダイナミック バインディング テーブルを表示するには、show ip dhcp snooping binding コマンドを使用します。DHCP ダイナミック バインディング テーブルを表示するには、show ip dhcp snooping binding dynamic を使用します。
このコマンドの出力フィールドの詳細については、Cisco Nexus デバイスの『System Management Configuration Guide』を参照してください。
次に、スタティック DHCP バインディングを作成してから、show ip dhcp snooping binding コマンドを使用してバインディングを確認する例を示します。
switch# configuration terminal switch(config)# ip source binding 10.20.30.40 0000.1111.2222 vlan 400 interface port-channel 500 switch(config)# show ip dhcp snooping binding MacAddress IpAddress LeaseSec Type VLAN Interface ----------------- --------------- -------- ---------- ---- ------------- 00:00:11:11:22:22 10.20.30.40 infinite static 400 port-channel500
DHCP スヌーピング バインディング データベースからエントリを削除できます。1 つのエントリ、インターフェイスに関連するすべてのエントリ、データベース内のすべてのエントリなどを削除することが可能です。
DHCP スヌーピングがイネーブルになっていることを確認してください。
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 | clear ip dhcp snooping binding 例: switch# clear ip dhcp snooping binding | (任意)
DHCP スヌーピング バインディング データベースからすべてのエントリをクリアします。 |
ステップ 2 | clear ip dhcp snooping binding interface ethernet slot/port[.subinterface-number] 例: switch# clear ip dhcp snooping binding interface ethernet 1/4 | (任意)
DHCP スヌーピング バインディング データベースから、特定のイーサネット インターフェイスに関連するエントリをクリアします。 |
ステップ 3 | clear ip dhcp snooping binding interface port-channel channel-number[.subchannel-number] 例: switch# clear ip dhcp snooping binding interface port-channel 72 | (任意)
DHCP スヌーピング バインディング データベースから、特定のポート チャネル インターフェイスに関連するエントリをクリアします。 |
ステップ 4 | clear ip dhcp snooping binding vlan vlan-id mac mac-address ip ip-address interface {ethernet slot/port[.subinterface-number | port-channel channel-number[.subchannel-number] } 例: switch# clear ip dhcp snooping binding vlan 23 mac 0060.3aeb.54f0 ip 10.34.54.9 interface ethernet 2/11 | (任意)
DHCP スヌーピング バインディング データベースから、特定のエントリをクリアします。 |
ステップ 5 | show ip dhcp snooping binding 例: switch# show ip dhcp snooping binding | (任意)
DHCP スヌーピング バインディング データベースを表示します。 |
グローバル DHCP リレーの統計情報をクリアするには、clear ip dhcp relay statistics コマンドを使用します。
特定のインターフェイスの DHCP リレーの統計情報をクリアするには、clear ip dhcp relay statistics interface interface コマンドを使用します。
clear ip dhcp relay statistics interface interface serverip ip-address [use-vrf vrf-name] コマンドを使用して、特定のインターフェイスのサーバ レベルでの DHCP リレー統計情報をクリアします。
グローバル DHCPv6 リレーの統計情報をクリアするには、clear ipv6 dhcp relay statistics コマンドを使用します。
特定のインターフェイスの DHCPv6 リレーの統計情報をクリアするには、clear ipv6 dhcp relay statistics interfaceinterface コマンドを使用します。
clear ipv6 dhcp relay statistics interface interface server-ip ip-address [use-vrf vrf-name] コマンドを使用して、特定のインターフェイスのサーバ レベルでの DHCPv6 リレー統計情報をクリアします。
DHCP スヌーピングをモニタするには、show ip dhcp snooping statistics コマンドを使用します。
show ip dhcp relay statistics[ interface interface [serverip ip-address [use-vrfvrf-name]]] コマンドを使用して、グローバル、サーバ、またはインターフェイス レベルでの DHCP リレー統計情報をモニタします。
show ip dhcp snooping statistics vlan [vlan-id] interface [ethernet|port-channel] [id] コマンド(オプション)を使用して、VLAN より下位のインターフェイス別のスヌーピング統計情報に関する正確な統計情報を確認します。
次に、2 つの VLAN 上で DHCP スヌーピングをイネーブルにして、Option 82 サポートをイネーブルにし、さらに DHCP サーバがイーサネット インターフェイス 2/5 に接続されているためにそのインターフェイスを信頼できるインターフェイスとして設定する例を示します。
feature dhcp ip dhcp snooping ip dhcp snooping info option interface Ethernet 2/5 ip dhcp snooping trust ip dhcp snooping vlan 1 ip dhcp snooping vlan 50