[index] CentreCOM GS900M V2シリーズコマンドリファレンス 2.3.2

スイッチング/DHCP Snooping

  - 概要
  - 登録できるクライアントの数
  - 基本設定

DHCP Snoopingは、DHCPサーバー・クライアント間でやりとりされるDHCPメッセージを監視して動的なIPソースフィルタリングを行う機能です。本機能を利用すれば、DHCPサーバーを用いたネットワーク環境において、正当なDHCPクライアントにだけIP通信を許可することができます。

ここでは、コマンドラインインターフェースによる設定方法を中心に説明します。なお、Web GUIでは「スイッチ設定」-「DHCP Snooping」で設定できます。（詳細は「Web GUI」/「スイッチ設定」をご覧ください。）

概要

DHCP Snoopingでは、DHCPメッセージのやりとりを監視してDHCPクライアントがどのポート配下に存在するかを追跡し、その情報に基づいてIPパケットのフィルタリングを行います。

DHCP Snoopingを利用する場合は、次の図のように本製品をDHCPサーバーとDHCPクライアントの間に配置します。

DHCP Snoopingでは、スイッチポートを次の2つに分類・設定します。デフォルトではすべてのポートがUntrustedポートとして設定されています。

Trustedポート：DHCP Snoopingによるフィルタリングが無効なポート。Trustedポートでは、パケットに対して特別な処理を行わず、すべてのパケットを通過させます。ネットワーク機器やサーバーのように常時接続で信頼のおける装置を接続するポートは通常Trustedポートに設定します。DHCPサーバーを接続するポートもTrustedポートに設定してください。
Untrustedポート：DHCP Snoopingによるフィルタリングが有効なポート。Untrustedポートでは、DHCPサーバーからIPアドレスの割り当てを受けたクライアントからのIPパケットだけを通過させ、その他のIPパケットは破棄します（DHCPのクライアントパケットを除く）。クライアントPCのように不特定多数の必ずしも信頼のおけない装置を接続するポートはUntrustedポートに設定します（デフォルトではすべてのポートがUntrustedになります）。

DHCP Snoopingを有効にすると、本製品はDHCPサーバー・クライアント間で交換されるDHCPメッセージを監視するようになります。

Untrustedポートに接続されているクライアントがDHCPサーバーからIPアドレスの割り当てを受けると、本製品はクライアントのIPアドレスやMACアドレス、ポート番号などをDHCP Snoopingテーブル（バインディングデータベース）に登録します。

Untrustedポートでは、バインディングデータベースに登録されているクライアントからのIPパケットだけを許可し、その他のIPパケットは破棄します。これにより、不正に接続されたクライアントがポートを越えてネットワークにアクセスすることを防ぐことができます。

Note - デフォルト設定では、UntrustedポートにはDHCPクライアントを1台しか接続できません。クライアントを複数接続した場合、最初にIPアドレスを割り当てられたクライアントだけが通信できます。

一方、Trustedポートでは特別な処理を行いません。Trustedポートで受信したパケットは（他のフィルタリング機能によって破棄されないかぎり）通常どおり転送されます。

Note - DHCP Snoopingとスパニングツリープロトコルの併用はできません。

Note - DHCP SnoopingとポリシーベースQoSの併用はできません。

Note - Untrustedポートと下記のポートは併用できません。

ポートトランキング
Web認証ポート
EPSR アウェア
ポートセキュリティー
RSTP/MSTP

登録できるクライアントの数

ポートごとに、最大5クライアントまで登録できます。装置全体では、GS908M V2は最大40クライアント、GS908M V2-4PSは最大45クライアント、GS916M V2は最大75クライアント、GS924M V2は最大115クライアントまで登録できます。

基本設定

■ DHCP Snoopingを使用するための基本的な設定手順は次のとおりです。ここでは、ポート1にDHCPサーバーが接続されており、その他のポートには不特定多数のDHCPクライアントが接続されるものと仮定します。

DHCP Snoopingを有効にします。
DHCPサーバーが接続されているポートをTrustedポートに設定します。
Note - DHCPサーバーを接続するポートはTrustedポートに設定してください。

基本設定は以上です。

デフォルトではすべてのポートがUntrustedポートに設定されているため、手順2でTrustedポートに設定したDHCPサーバーの接続ポートを除き、他のすべてのポートでIPパケット（DHCPのクライアントパケットを除く）が破棄されます。

Untrustedポートにおいて、DHCPクライアントがDHCPサーバーからIPアドレスを割り当てられたことを検知すると（DHCPACKをクライアントに転送すると）、そのポートでは該当クライアントからのIPパケットを通過させるようになります。

■ ネットワーク機器やサーバーなど、DHCP Snoopingの対象外にしたい装置を接続しているポートは、Trustedポートに設定します。TrustedポートではDHCP Snoopingによるフィルタリングが行われず、原則的にすべての受信パケットが転送されます。

Note - DHCPサーバーを接続するポートはTrustedポートに設定してください。

ポート種別の設定は、SET DHCPSNOOPING PORTコマンドのTRUSTEDパラメーターで行います。たとえば、DHCPサーバーがポート1に接続されている場合は、次のようにして該当ポートをTrustedポートに設定します。


SET DHCPSNOOPING PORT=1 TRUSTED=YES ↓

■ デフォルト設定では、UntrustedポートにはDHCPクライアントを1台しか接続できません。クライアントを複数接続した場合、最初にIPアドレスを割り当てられたクライアントだけが通信できます。

複数のクライアントを接続したい場合は、SET DHCPSNOOPING PORTコマンドのMAXLEASESパラメーターで接続台数を指定します。


SET DHCPSNOOPING PORT=1 MAXLEASES=5 ↓

■ IPアドレスを固定設定している装置（DHCPクライアント機能を無効化している装置やDHCPクライアント機能を持たない装置など）をUntrustedポートで利用したい場合は、バインディングデータベースにクライアント情報をスタティック登録します。

クライアントの登録はADD DHCPSNOOPINGコマンドで行います。登録には、IPアドレス、MACアドレス、所属VLAN、接続ポートの情報が必要です。


ADD DHCPSNOOPING BINDING=00-00-00-00-00-01 INTERFACE=vlan-default IP=192.168.10.5 PORT=5 ↓

Note - デフォルト設定では、ポートあたり1つしかスタティックエントリーを登録できません。1つのポートに複数のスタティックエントリーを登録したいときは、SET DHCPSNOOPING PORTコマンドのMAXLEASESパラメーターの値を増やす必要があります。

■ DHCP Snoopingでは、IPパケットだけでなく、ARPパケットに対してもフィルタリングを行うことができます。

ENABLE DHCPSNOOPING ARPSECURITYコマンドでARPセキュリティーを有効にすると、Untrustedポートにおいて、登録済みDHCPクライアントからのARPパケットだけを他ポートに転送し、その他のARPパケットは転送せずに破棄するようになります。


ENABLE DHCPSNOOPING ARPSECURITY ↓

Note - 本機能は、DHCP Snoopingが有効になっていないと動作しません。

■ DHCP Snoopingでは、MACアドレスフィルタリング機能を使用して、IPアドレスを割り当てるクライアントをMACアドレスで制限することができます。
Untrustedポートで受信したDHCPパケット（BOOTREQUEST）に対して、条件にマッチした登録エントリーのアクションに従って、許可または破棄を行うことができます。特定の機器に対してのみDHCPでIPアドレスを配布したい場合などの用途で利用できます。

MACアドレスフィルタリングエントリーを作成するには、CREATE DHCPSNOOPING MACFILTERコマンドを使います。

■ DHCP Snoopingでは、監視しているDHCPメッセージに対して、リレーエージェント情報オプション（オプションコード82）の付加と削除を行うことも可能です。

ENABLE DHCPSNOOPING OPTION82コマンドでリレーエージェント情報オプションの付加・検査・削除を有効にすると、Untrustedポートに接続されたクライアントからのDHCP/BOOTPパケットを転送するときに、リレーエージェント情報オプションを挿入するようになります。また、サーバーからの戻りパケットをUntrustedポートに直接接続されたクライアントに転送するときは同オプションを削除するようになります。


ENABLE DHCPSNOOPING OPTION82 ↓

SET DHCPSNOOPING PORTコマンドのSUBSCRIBERIDパラメーターを利用すれば、リレーエージェント情報オプションにSubscriber-IDサブオプションを含めるかどうか（含めるならばその内容も）をスイッチポートごとに設定することができます。


SET DHCPSNOOPING PORT=5 SUBSCRIBERID="ud-mahahiha" ↓

Note - 本機能は、DHCP Snoopingが有効になっていないと動作しません。

■ DHCP Snooping有効時は、バインディングデータベースの内容を定期的にチェックして、IPアドレスの使用期限が切れたクライアントの情報をデータベースから削除します。デフォルトのチェック間隔は60秒です。

Note - スタティック登録したクライアントの情報は削除されません。

チェック間隔は、SET DHCPSNOOPING CHECKINTERVALコマンドで変更できます。有効範囲は1～3600秒です。


SET DHCPSNOOPING CHECKINTERVAL=120 ↓

また、チェックの際、IPアドレスの使用期限が切れている場合に加えて、クライアントが条件を満たした場合にクライアントの情報をデータベースから削除するよう設定できます。設定には、SET DHCPSNOOPING CHECKOPTIONコマンドを使います。


SET DHCPSNOOPING CHECKOPTION=DHCPRELEASE,LINKDOWN ↓

本製品は、バインディングデータベースをチェックするたびに、その時点で有効な（ダイナミック登録された）クライアントの情報をNVS（Non-Volatile Storage）に書き込みます。DHCP Snoopingを無効から有効に変更したときは、最初にNVSからクライアント情報を読み込み、その時点でまだ有効なクライアントがあれば、それをバインディングデータベースに登録します。

■ DHCP Snoopingの全般的な情報を確認するには、SHOW DHCPSNOOPINGコマンドを使います。


SHOW DHCPSNOOPING ↓

■ ポートごとのDHCP Snooping設定を確認するには、SHOW DHCPSNOOPING PORTコマンドを使います。


SHOW DHCPSNOOPING PORT ↓

SHOW DHCPSNOOPING PORT=1 ↓

■ バインディングデータベースの内容を確認するには、SHOW DHCPSNOOPING DATABASEコマンドを使います。


SHOW DHCPSNOOPING DATABASE ↓

■ MACアドレスフィルタリングの設定情報を表示するには、SHOW DHCPSNOOPING MACFILTERコマンドを使います。


SHOW DHCPSNOOPING MACFILTER ↓

PN: 613-001180 Rev.E