ip dhcp snooping violation
- モード
- インターフェースモード
- カテゴリー
- L2スイッチング / DHCP Snooping
構文
(config-if)# ip dhcp snooping violation {log & trap & link-down}
(config-if)# no ip dhcp snooping violation [log & trap & link-down]
コマンド説明
対象ポートで登録済みDHCPクライアント以外からDHCPパケット(不正DHCPパケット)を受信した場合、DHCP Snoopingの基本動作である不正DHCPパケットの破棄に加え、指定したアクションを追加で実行するよう設定する。no形式で実行した場合は、指定したアクションを追加実行の対象から除外する。no形式でアクションを指定しない場合は、すべてのアクションを追加実行の対象から除外する。
初期設定では、受信した不正DHCPパケットを破棄するが、その他のアクションは実行しない。
本コマンドの設定は、対象ポートがDHCP SnoopingのUntrustedポートとして動作していることが前提。
パラメーター
log- ログメッセージを生成する
trap- SNMPトラップを生成する
link-down- ポートをリンクダウンさせる
使用例
ポート1.1.1-1.1.8において、登録済みDHCPクライアント以外からDHCPパケットを受信した場合、SNMPトラップで通知し、ポートをリンクダウンするよう設定する。awplus(config)# snmp-server enable trap dhcpsnooping awplus(config)# interface port1.1.1-port1.1.8 awplus(config-if)# ip dhcp snooping violation trap link-down
注意・補足事項
link-downアクションでリンクダウンしたポートを復旧させるには、shutdownコマンドをno形式で実行すればよい。trapアクションを使用する場合は、トラップ送信先などのSNMP基本設定に加え、snmp-server enable trapコマンドで「dhcpsnooping」を有効にしておく必要がある。その際は、本コマンド → snmp-server enable trapコマンドの順に設定すること。snmp-server enable trapコマンドを先に実行すると、本コマンド実行時に「SNMP trap for DHCP Snooping is disabled」のようなメッセージが表示されトラップが有効にならないが、その場合はsnmp-server enable trapコマンドを再実行すればよい。
SNMPトラップの送信は1秒あたり1回に制限される。同一送信元MACアドレスから継続的に不正DHCPパケットを受信した場合は、60秒に1回の間隔で送信される。