DHCP Snooping

　DHCPスヌーピング

　DHCPスヌーピング機能が有効になっているCatalystは、DHCPクライアントとDHCPサーバとのやりとりを
　スヌーピング ( のぞき見 ) します。このスヌーピングにより、DHCPクライアントのMACアドレス、IPアドレス
　リース、バインディングタイプ、Catalystのポート情報から構成されるバインディングテーブルを構築します。
　Catalystスイッチは、[ untrust ] として定義したポートでパケットを受信した場合、そのインターフェースが
　DHCPスヌーピングを有効にしたVLANに所属している場合、送信元MACアドレスとDHCPクライアントの
　MACアドレスを比較して一致していればパケット転送を行い、一致していなければCatalystは破棄します。

　また、DHCPスヌーピング機能を有効にすることにより、DHCPサーバがその先に接続されているポートを
　[ trust ]、それ以外のポートを [ untrust ] として区別できるようになります。untrustのインターフェースで
　DHCPサーバが送信するDHCPメッセージを受信した場合は破棄するようになるので、ユーザが間違って
　または、不正にDHCPサーバをネットワーク上に接続させて稼動させたとしても、そのDHCPサーバによる
　不正なIPアドレスの割り当ては行われません。Catalystではデフォルトで全てのI/Fがuntrustの状態です。

　

　Option 82のデータ挿入

　DHCPオプション82を有効にされたスイッチでは、DHCP DiscoverメッセージをDHCPサーバに転送する前に
　スイッチのMACアドレス、スイッチのポート番号のなどの情報をパケットに追加します。この機能の有効により
　同じスイッチに接続している複数のLANホストを一意に識別することがで、一元的な管理も可能になります。

[ ip dhcp snooping information option ] を有効にした場合の動作フロー
①	DHCPクライアントがDHCP Discoverをネットワーク上にブロードキャストする。
②	option82が有効になっているスイッチでDHCPDiscoverを受信すると、option82情報を追記。option82には、　スイッチのMACとパケットを受信したポートID ( vlan-mod-port ) が含まれる。option82ではスイッチのMACを　[ リモートID ]、スイッチのポートIDを [回線ID ]とデフォルトで定義。IOS12.2(25)SEE以降ではこの値を設定可。
③	DHCPリレーエージェントのIPアドレスが設定されている場合、その情報もDHCPパケットに追記。
④	スイッチは、これらのOption82フィールドを格納したDHCPパケットをDHCPサーバに転送する。
⑤	DHCPサーバがパケットを受信後、option82対応の場合はリモートIDや回線IDを利用し IPアドレスの割当てや、　割当てIP数の制限等のポリシーを実行。その後、DHCPサーバはDHCP応答でoption82フィールドをそのまま返す。
⑥	DHCPサーバは option82 の処理(対応している場合)後、DHCPクライアントに対してDHCP Ackを送信する。　DHCP Ackのパケットは途中で通過する option82 が有効になったスイッチで先ず最初に受信することになる。　スイッチは、リモートIDと回線IDフィールドを検査して、スイッチ自身がOption82データを挿入したことを確認する。　スイッチは、Option82データフィールドを削除してDHCP要求をしてきたDHCPクライアントの接続ポートに転送する。

　Resource ： CatalystLANスイッチ教科書　BCMSNテキスト第2版　 DHCP by Universd　Cat3560 12.2(25)SEE　atmarkit　CCO DHCP