[index] CentreCOM 8316XL/8324XL コマンドリファレンス 2.7

スイッチング/DHCP Snooping

  - 概要
   - 登録できるクライアントの数
  - 基本設定

DHCP Snoopingは、DHCPサーバー・クライアント間でやりとりされるDHCPメッセージを監視して動的なIPソースフィルタリングを行う機能です。本機能を利用すれば、DHCPサーバーを用いたネットワーク環境において、正当なDHCPクライアントにだけIP通信を許可することができます。

Note - 本機能はレイヤー2の機能であるため、IPの設定などをしていなくても使用できます。

Note - DHCPクライアント機能とDHCP Snoopingは併用できません。

Note - DHCPサーバー機能とDHCP Snoopingは併用できません。

概要

DHCP Snoopingでは、DHCPメッセージのやりとりを監視してDHCPクライアントがどのポート配下に存在するかを追跡し、その情報に基づいてIPパケットのフィルタリングを行います。

DHCP Snoopingを利用する場合は、次の図のように本製品をDHCPサーバーとDHCPクライアントの間に配置します。このとき、本製品がDHCP/BOOTPリレーエージェントとして動作していてもかまいません。

DHCP Snoopingでは、スイッチポートを次の2つに分類・設定します。デフォルトではすべてのポートがUntrustedポートとして設定されています。

Trustedポート：DHCP Snoopingによるフィルタリングが無効なポート。Trustedポートでは、パケットに対して特別な処理を行わず、すべてのパケットを通過させます。ネットワーク機器やサーバーのように常時接続で信頼のおける装置を接続するポートは通常Trustedポートに設定します。DHCPサーバーを接続するポートもTrustedポートに設定してください。
Untrustedポート：DHCP Snoopingによるフィルタリングが有効なポート。Untrustedポートでは、DHCPサーバーからIPアドレスの割り当てを受けたクライアントからのIPパケットだけを通過させ、その他のIPパケットは破棄します（DHCPのクライアントパケットを除く）。クライアントPCのように不特定多数の必ずしも信頼のおけない装置を接続するポートはUntrustedポートに設定します（デフォルトではすべてのポートがUntrustedになります）。

DHCP Snoopingを有効にすると、本製品はDHCPサーバー・クライアント間で交換されるDHCPメッセージを監視するようになります。

Untrustedポートに接続されているクライアントがDHCPサーバーからIPアドレスの割り当てを受けると、本製品はクライアントのIPアドレスやMACアドレス、ポート番号などをDHCP Snoopingテーブル（バインディングデータベース）に登録します。

Untrustedポートでは、バインディングデータベースに登録されているクライアントからのIPパケットだけを許可し、その他のIPパケットは破棄します。これにより、不正に接続されたクライアントがポートを越えてネットワークにアクセスすることを防ぐことができます。

Note - デフォルト設定では、UntrustedポートにはDHCPクライアントを1台しか接続できません。クライアントを複数接続した場合、最初にIPアドレスを割り当てられたクライアントだけが通信できます。

一方、Trustedポートでは特別な処理を行いません。Trustedポートで受信したパケットは（他のフィルタリング機能によって破棄されないかぎり）通常どおり転送されます。

登録できるクライアントの数

8316XLはポート1～8、9～16、17の3つ、8324XLはポート1～8、9～16、17～24、25、26の5つのブロックごとに、それぞれ最大100クライアントまで登録できます。装置全体では、8316XLは最大300クライアント、8324XLは最大500クライアントまで登録できます。
なお、本機能はハードウェアパケットフィルターと記憶領域を共有しているため、本機能の使用によって、ハードウェアパケットフィルターの最大エントリー数が増減します。

DHCP Snooping機能を有効にすると、10/100Mポートのブロック（8316XL: 1～8、9～16、8324XL: 1～8、9～16、17～24）では10エントリー分、1000Mポートのブロック（8316XL: 17、8324XL:25、26）では3エントリー分のフィルターエントリーを消費します。
DHCPクライアントを1クライアント登録するごとに、1エントリー分のフィルターエントリーを消費します。

基本設定

DHCP Snoopingを使用するための基本的な設定手順は次のとおりです。

ここでは、ポート1にDHCPサーバーが接続されており、ポート2～24には不特定多数のDHCPクライアントが接続されるものと仮定します。

DHCP Snoopingを有効にします。
DHCPサーバーが接続されているポートをTrustedポートに設定します。

基本設定は以上です。

デフォルトではすべてのポートがUntrustedポートに設定されているため、手順2でTrustedポートに設定したDHCPサーバーの接続ポートを除き、他のすべてのポートでIPパケット（DHCPのクライアントパケットを除く）が破棄されます。

Untrustedポートにおいて、DHCPクライアントがDHCPサーバーからIPアドレスを割り当てられたことを検知すると（DHCPACKをクライアントに転送すると）、そのポートでは該当クライアントからのIPパケットを通過させるようになります。

■ ネットワーク機器やサーバーなど、DHCP Snoopingの対象外にしたい装置を接続しているポートは、Trustedポートに設定します。TrustedポートではDHCP Snoopingによるフィルタリングが行われず、原則的にすべての受信パケットが転送されます。

Note - DHCPサーバーを接続するポートはTrustedポートに設定してください。

ポート種別の設定は、SET DHCPSNOOPING PORTコマンドのTRUSTEDパラメーターで行います。たとえば、DHCPサーバーがポート1に接続されている場合は、次のようにして該当ポートをTrustedポートに設定します。


SET DHCPSNOOPING PORT=1 TRUSTED=YES ↓

■ デフォルト設定では、UntrustedポートにはDHCPクライアントを1台しか接続できません。クライアントを複数接続した場合、最初にIPアドレスを割り当てられたクライアントだけが通信できます。

複数のクライアントを接続したい場合は、SET DHCPSNOOPING PORTコマンドのMAXLEASESパラメーターで接続台数を1～100の範囲で指定します。


SET DHCPSNOOPING PORT=1 MAXLEASES=5 ↓

■ IPアドレスを固定設定している装置（DHCPクライアント機能を無効化している装置やDHCPクライアント機能を持たない装置など）をUntrustedポートで利用したい場合は、バインディングデータベースにクライアント情報をスタティック登録します。

クライアントの登録はADD DHCPSNOOPING BINDINGコマンドで行います。登録には、IPアドレス、MACアドレス、所属VLAN、接続ポートの情報が必要です。


ADD DHCPSNOOPING BINDING=00-00-00-00-00-01 INTERFACE=vlan-default IP=192.168.10.5 PORT=5 ↓

Note - デフォルト設定では、ポートあたり1つしかスタティックエントリーを登録できません。1つのポートに複数のスタティックエントリーを登録したいときは、SET DHCPSNOOPING PORTコマンドのMAXLEASESパラメーターの値を増やす必要があります。

■ DHCP Snoopingでは、IPパケットだけでなく、ARPパケットに対してもフィルタリングを行うことができます。

ENABLE DHCPSNOOPING ARPSECURITYコマンドでARPセキュリティーを有効にすると、Untrustedポートにおいて、登録済みDHCPクライアントからのARPパケットだけを他ポートに転送し、その他のARPパケットは転送せずに破棄するようになります。


ENABLE DHCPSNOOPING ARPSECURITY ↓

Note - 本機能は、DHCP Snoopingが有効になっていないと動作しません。

■ DHCP Snoopingでは、監視しているDHCPメッセージに対して、リレーエージェント情報オプション（オプションコード82）の付加と削除を行うことも可能です。

ENABLE DHCPSNOOPING OPTION82コマンドでリレーエージェント情報オプションの付加・検査・削除を有効にすると、Untrustedポートに接続されたクライアントからのDHCP/BOOTPパケットを転送するときに、リレーエージェント情報オプションを挿入するようになります。また、サーバーからの戻りパケットをUntrustedポートに直接接続されたクライアントに転送するときは同オプションを削除するようになります。


ENABLE DHCPSNOOPING OPTION82 ↓

SET DHCPSNOOPING PORTコマンドのSUBSCRIBERIDパラメーターを利用すれば、リレーエージェント情報オプションにSubscriber-IDサブオプションを含めるかどうか（含めるならばその内容も）をスイッチポートごとに設定することができます。


SET DHCPSNOOPING PORT=5 SUBSCRIBERID="ud-mahahiha" ↓

Note - 本機能は、DHCP Snoopingが有効になっていないと動作しません。

■ DHCP Snooping有効時は、バインディングデータベースの内容を定期的にチェックして、IPアドレスの使用期限が切れたクライアントの情報をデータベースから削除します。デフォルトのチェック間隔は60秒です。

Note - スタティック登録したクライアントの情報は削除されません。

チェック間隔は、SET DHCPSNOOPING CHECKINTERVALコマンドで変更できます。有効範囲は1～3600秒です。


SET DHCPSNOOPING CHECKINTERVAL=120 ↓

また、チェックの際、IPアドレスの使用期限が切れている場合に加えて、クライアントが条件を満たした場合にクライアントの情報をデータベースから削除するよう設定できます。設定には、SET DHCPSNOOPING CHECKOPTIONSコマンドを使います。


SET DHCPSNOOPING CHECKOPTIONS=DHCPRELEASE,LINKDOWN ↓

本製品は、バインディングデータベースをチェックするたびに、その時点で有効な（ダイナミック登録された）クライアントの情報をbindings.dsnファイルに書き込みます。DHCP Snoopingを無効から有効に変更したときは、最初にこのファイルを読み込み、その時点でまだ有効なクライアントがあれば、それをバインディングデータベースに登録します。

■ DHCP Snoopingの全般的な情報を確認するには、SHOW DHCPSNOOPINGコマンドを使います。


SHOW DHCPSNOOPING ↓

■ ポートごとのDHCP Snooping設定を確認するには、SHOW DHCPSNOOPING PORTコマンドを使います。


SHOW DHCPSNOOPING PORT ↓

SHOW DHCPSNOOPING PORT=1 ↓

■ バインディングデータベースの内容を確認するには、SHOW DHCPSNOOPING DATABASEコマンドを使います。


SHOW DHCPSNOOPING DATABASE ↓

PN: J613-M0249-11 Rev.J