[index] CentreCOM x610シリーズコマンドリファレンス 5.4.1

L2スイッチング / DHCP Snooping

  - 概要
  - 基本設定

DHCP Snoopingは、DHCPサーバー・クライアント間でやりとりされるDHCPメッセージを監視して動的なIPソースフィルタリングを行う機能です。本機能を利用すれば、DHCPサーバーを用いたネットワーク環境において、正当なDHCPクライアントにだけIP通信を許可することができます。

概要

DHCP Snoopingでは、DHCPメッセージのやりとりを監視してDHCPクライアントがどのポート配下に存在するかを追跡し、その情報に基づいてIPパケットのフィルタリングを行います。

DHCP Snoopingを利用する場合は、次の図のように本製品をDHCPサーバーとDHCPクライアントの間に配置します。このとき、本製品がDHCP/BOOTPリレーエージェントとして動作していてもかまいません。

DHCP Snoopingでは、スイッチポートを次の2つに分類・設定します。デフォルトではすべてのポートがUntrustedポートとして設定されています。

Trustedポート：DHCP Snoopingによるフィルタリングが無効なポート。Trustedポートでは、パケットに対して特別な処理を行わず、すべてのパケットを通過させます。ネットワーク機器やサーバーのように常時接続で信頼のおける装置を接続するポートは通常Trustedポートに設定します。DHCPサーバーを接続するポートもTrustedポートに設定してください。
Untrustedポート：DHCP Snoopingによるフィルタリングが有効なポート。Untrustedポートでは、DHCPサーバーからIPアドレスの割り当てを受けたクライアントからのIPパケットだけを通過させ、その他のIPパケットは破棄します（DHCPのクライアントパケットを除く）。クライアントPCのように不特定多数の必ずしも信頼のおけない装置を接続するポートはUntrustedポートに設定します（デフォルトではすべてのポートがUntrustedになります）。

DHCP Snoopingを有効にすると、本製品はDHCPサーバー・クライアント間で交換されるDHCPメッセージを監視するようになります。

Untrustedポートに接続されているクライアントがDHCPサーバーからIPアドレスの割り当てを受けると、本製品はクライアントのIPアドレスやMACアドレス、ポート番号などをDHCP Snoopingテーブル（バインディングデータベース）に登録します。

Untrustedポートでは、バインディングデータベースに登録されているクライアントからのIPパケットだけを許可し、その他のIPパケットは破棄します。これにより、不正に接続されたクライアントがポートを越えてネットワークにアクセスすることを防ぐことができます。

一方、Trustedポートでは特別な処理を行いません。Trustedポートで受信したパケットは（他のフィルタリング機能によって破棄されないかぎり）通常どおり転送されます。

基本設定

DHCP Snoopingを使用するための基本的な設定手順は次のとおりです。

ここでは、ポート1.0.1にDHCPサーバーが接続されており、ポート1.0.5には不特定多数のDHCPクライアントが接続されるものと仮定します。

グローバルコンフィグモードに入ります。
awplus# configure terminal ↓

DHCP Snoopingを有効にします。

awplus(config)# service dhcp-snooping ↓

vlan1を指定してインターフェースモードに入ります。
awplus(config)# interface vlan1 ↓
VLANでDHCP Snoopingを有効にします。
awplus(config-if)# ip dhcp snooping ↓
グローバルコンフィグモードに戻ります。
awplus(config-if)# exit ↓
Trustedポートに設定するポート1.0.1を指定してインターフェースモードに入ります。
awplus(config)# interface port1.0.1 ↓

ポートをTrustedポートに設定します。

awplus(config-if)# ip dhcp snooping trust ↓

グローバルコンフィグモードに戻ります。
awplus(config-if)# exit ↓
ポートに対して複数のDHCPリースを許可するように、設定対象のポート1.0.5を指定してインターフェースモードに入ります。
awplus(config)# interface port1.0.5 ↓
ポートに対して許可するDHCPリースの最大数を、ここでは50に設定します。
awplus(config-if)# ip dhcp snooping max-bindings 50 ↓
グローバルコンフィグモードに戻ります。
awplus(config-if)# exit ↓
新しい名前ds1を指定して、ハードウェアアクセスリストモードに入ります。
awplus(config)# access-list hardware ds1 ↓
DHCP Snoopingテーブル（バインディングデータベース）の有効なエントリーに含まれる送信IPアドレスの通信のみを許可するハードウェアアクセスリストを設定します（access-list hardware(seq entry)コマンド）。コマンドの先頭には優先順位を示すシーケンス番号を指定し、permit、denyの順になるよう設定します。
awplus(config-ip-hw-acl)# 2 permit ip dhcpsnooping any ↓ awplus(config-ip-hw-acl)# 100 deny ip any any ↓
グローバルコンフィグモードに戻ります。
awplus(config-ip-hw-acl)# exit ↓
ハードウェアアクセスリストを設定するポートを指定して、インターフェースモードに入ります。
awplus(config)# interface port1.0.5 ↓
手順13で設定したハードウェアアクセスリストを設定します。
awplus(config-if)# access-group ds1 ↓
グローバルコンフィグモードに戻ります。
awplus(config-if)# exit ↓
以上で設定は完了です。

■ DHCP Snoopingの全般的な情報を確認するには、show ip dhcp snoopingコマンドを使います。

awplus# show ip dhcp snooping ↓

■ ポートごとのDHCP Snooping設定を確認するには、show ip dhcp snooping interfaceコマンドを使います。

awplus# show ip dhcp snooping interface ↓

■ バインディングデータベースの内容を確認するには、show ip dhcp snooping bindingコマンドを使います。

awplus# show ip dhcp snooping binding ↓

PN: 613-001613 Rev.A