|
◆ DHCPスヌーピングの設定
先ず、DHCPスヌーピングをグローバルで有効化します。
◆ DHCPスヌーピングの有効化
(config)# ip dhcp snooping
次に、DHCPスヌーピングを有効にするVLANを指定します。ドロップされたパケットの内容をNetFlowの
収集装置に送信した場合は「smartlog」オプションを指定します。
◆ DHCPスヌーピングを有効にするVLANの指定
(config)# ip dhcp snooping vlan vlan-id [ smartlog ]
次に、DHCPサーバに転送されるリクエストのDHCPリレー情報の挿入と削除を有効化します。
◆ DHCP option 82フィールドの挿入・削除の有効化
(config)# ip dhcp snooping information option
◆ DHCPスヌーピングの設定 - I/Fコンフィグ設定
デフォルトでは、全てのインターフェースが信頼できない(untrusted)状態にあります。DHCPサーバが
接続される側のインターフェースは信頼できる(trusted)状態にする必要があります。trustedのポートに
DHCPサーバが直接接続されていても、直接接続されていなくてもOKです。
◆ DHCPスヌーピング - 信頼できるポートの設定
(config)# interface interface-id
(config-if)# ip dhcp snooping trust
◆ DHCPスヌーピングの設定例
DHCPスヌーピングをVLAN100、200、300において有効化し、Fa0/1 を信頼できないポートに設定して
Gi0/1 を信頼できるポートにする設定。また、DHCPクライアントが接続するFa0/1ポートで、DHCP要求
パケットのレートを1秒間に30パケット以下にする設定例。※ レートの設定は「以下の任意設定」で紹介。
SW1(config) # ip dhcp snooping
SW1(config) # ip dhcp snooping vlan 100, 200, 300
SW1(config) # ip dhcp snooping information option
SW1(config) # interface fastethernet 0/1
SW1(config-if) # switchport mode access
SW1(config-if) # switchport access vlan 100
SW1(config-if) # spanning-tree portfast
SW1(config-if) # ip dhcp snooping limit rate 30
SW1(config) # interface gigabitethernet 0/1
SW1(config-if) # switchport mode trunk
SW1(config-if) # switchport mode trunk allowd vlan 100, 200, 300
SW1(config-if) # ip dhcp snooping trust
|
DHCPスヌーピングの設定は以下のコマンドでそのステータスを確認します。
・ show ip dhcp snooping:DHCPスヌーピングが有効かどうか、有効化の対象VLANは何か、信頼ポートはどれかの確認
・ show ip dhcp snooping binding:スイッチで学習された既知の「DHCPスヌーピングバインディングテーブル」の確認
・ show ip dhcp snooping statistics:DHCPスヌーピングの統計情報を要約または詳細形式で確認
・ show ip dhcp snooping database:DHCPスヌーピングバインディングテーブルのステータスと統計情報を確認
◆ DHCPスヌーピングの設定 - 任意の設定
任意:信頼できないポート(untrusted)に着信したDHCPパケットの送信元 MAC アドレスがパケットの
クライアントハードウェアアドレスと一致することを確認するようにスイッチを設定(デフォルトで有効)
◆ DHCPパケットの送信元MACアドレスのチェック
(config)# ip dhcp snooping verify mac-address
任意:Option82のデータ挿入で使用されるリモートIDを設定します。63文字までのASCII文字列、または
スイッチに設定されたホスト名に変更できます。デフォルトのリモートIDはスイッチのMACアドレスです。
◆ リモートIDサブオプションの設定
(config)# ip dhcp snooping information option format remote-id [ string ASCII-string | hostname ]
任意:自身がエッジスイッチに接続された集約スイッチである場合、エッジスイッチからのOption82情報を
持った着信DHCPスヌーピングパケットを受信できるようにスイッチをイネーブルにします。このコマンドは
trustedデバイスに接続された集約スイッチでのみ入力します。デフォルトでディセーブルです。
◆ Option 82 情報が挿入された着信 DHCP スヌーピング パケットを受け入れるようにする集約スイッチの設定
(config)# ip dhcp snooping information option allow-untrusted
◆ DHCPスヌーピングの設定 - I/Fコンフィグ設定 - 任意の設定
任意:インターフェイスが受信できる1秒あたりの DHCPパケット数を設定できます。この設定によって
例えば不正なDHCPクライアントからのDoS攻撃を防ぐことができます。
◆ インターフェイスが受信できる1秒あたりのDHCPパケット数を設定
(config-if)# ip dhcp snooping limit rate rate
任意:Option82のデータ挿入で使用される回線IDを設定します。回線IDに3〜63文字までのASCII文字列
を設定します。デフォルトの回線IDはスイッチのポートIDであり、その形式は「vlan-mod-port」です。
※ overrideキーワードは、加入者情報を定義するためのTLV 形式に回線IDを挿入したくない場合に使用。
◆ 指定したインターフェイスで回線IDの設定
(config-if)# ip dhcp snooping vlan vlan-id information option format-type circuit-id [override] string ASCII-string
DHCPパケットの受信により動的に構成されるDHCPスヌーピングバインディングテーブルは、スイッチを
再起動するとテーブル情報が消えてしまうので、DHCPスヌーピングデータベースエージェントを使用して
回避します。設定は ip dhcp snooping database コマンドでバインディングファイルの URLを指定します。
|