DHCP Snooping - Cisco Config



 ◆ DHCPスヌーピングの設定

 先ず、DHCPスヌーピングをグローバルで有効化します。

 
◆ DHCPスヌーピングの有効化
 (config)# ip dhcp snooping


 次に、DHCPスヌーピングを有効にするVLANを指定します。ドロップされたパケットの内容をNetFlowの
 収集装置に送信した場合は「smartlog」オプションを指定します。

 
◆ DHCPスヌーピングを有効にするVLANの指定
 (config)#
ip dhcp snooping vlan vlan-id [ smartlog ]


 次に、DHCPサーバに転送されるリクエストのDHCPリレー情報の挿入と削除を有効化します。

 ◆ DHCP option 82フィールドの挿入・削除の有効化
 (config)#
ip dhcp snooping information option



 ◆ DHCPスヌーピングの設定 - I/Fコンフィグ設定

 デフォルトでは、全てのインターフェースが信頼できない(untrusted)状態にあります。DHCPサーバが
 接続される側のインターフェースは信頼できる(trusted)状態にする必要があります。trustedのポートに
 DHCPサーバが直接接続されていても、直接接続されていなくてもOKです。

 
◆ DHCPスヌーピング - 信頼できるポートの設定
 (config)#
interface interface-id
 (config-if)#
ip dhcp snooping trust



 ◆ DHCPスヌーピングの設定例

 DHCPスヌーピングをVLAN100、200、300において有効化し、Fa0/1 を信頼できないポートに設定して
 Gi0/1 を信頼できるポートにする設定。また、DHCPクライアントが接続するFa0/1ポートで、DHCP要求
 パケットのレートを1秒間に30パケット以下にする設定例。※ レートの設定は「以下の任意設定」で紹介。


 SW1(config) # ip dhcp snooping
 SW1(config) #
ip dhcp snooping vlan 100, 200, 300

 SW1(config) # ip dhcp snooping information option

 SW1(config) #
interface fastethernet 0/1
 SW1(config-if) # switchport mode access
 SW1(config-if) # switchport access vlan 100
 SW1(config-if) # spanning-tree portfast
 SW1(config-if) # ip dhcp snooping limit rate 70

 SW1(config) # interface gigabitethernet 0/1
 SW1(config-if) # switchport mode trunk
 SW1(config-if) # switchport mode trunk allowd vlan 100, 200, 300
 SW1(config-if) # ip dhcp snooping trust



 DHCPスヌーピングの設定は以下のコマンドでそのステータスを確認します。
 
・ show ip dhcp snooping:DHCPスヌーピングが有効かどうか、有効化の対象VLANは何か、信頼ポートはどれかの確認
 ・ show ip dhcp snooping binding:スイッチで学習された既知の「DHCPスヌーピングバインディングテーブル」の確認
 ・ show ip dhcp snooping statistics:DHCPスヌーピングの統計情報を要約または詳細形式で確認
 ・ show ip dhcp snooping database:DHCPスヌーピングバインディングテーブルのステータスと統計情報を確認



 ◆ DHCPスヌーピングの設定 - 任意の設定

 任意:信頼できないポート(untrusted)に着信したDHCPパケットの送信元 MAC アドレスがパケットの
 クライアントハードウェアアドレスと一致することを確認するようにスイッチを設定(デフォルトで有効)

 
◆ DHCPパケットの送信元MACアドレスのチェック
 (config)#
ip dhcp snooping verify mac-address


 任意:Option82のデータ挿入で使用されるリモートIDを設定します。63文字までのASCII文字列、または
 スイッチに設定されたホスト名に変更できます。デフォルトのリモートIDはスイッチのMACアドレスです。

 
◆ リモートIDサブオプションの設定
 (config)#
ip dhcp snooping information option format remote-id [ string ASCII-string | hostname ]


 任意:自身がエッジスイッチに接続された集約スイッチである場合、エッジスイッチからのOption82情報を
 持った着信DHCPスヌーピングパケットを受信できるようにスイッチをイネーブルにします。このコマンドは
 trustedデバイスに接続された集約スイッチでのみ入力します。デフォルトでディセーブルです。

 ◆ Option 82 情報が挿入された着信 DHCP スヌーピング パケットを受け入れるようにする集約スイッチの設定
 (config)#
ip dhcp snooping information option allow-untrusted



 ◆ DHCPスヌーピングの設定 - I/Fコンフィグ設定 - 任意の設定

 任意:インターフェイスが受信できる1秒あたりの DHCPパケット数を設定できます。この設定によって
 例えば不正なDHCPクライアントからのDoS攻撃を防ぐことができます。

 ◆ インターフェイスが受信できる1秒あたりのDHCPパケット数を設定
 (config-if)#
ip dhcp snooping limit rate rate


 任意:Option82のデータ挿入で使用される回線IDを設定します。回線IDに3〜63文字までのASCII文字列
 を設定します。デフォルトの回線IDはスイッチのポートIDであり、その形式は「
vlan-mod-port」です。
 ※ overrideキーワードは、加入者情報を定義するためのTLV 形式に回線IDを挿入したくない場合に使用。

 ◆ 指定したインターフェイスで回線IDの設定
 
(config-if)# ip dhcp snooping vlan vlan-id information option format-type circuit-id [override] string ASCII-string


 DHCPパケットの受信により動的に構成されるDHCPスヌーピングバインディングテーブルは、スイッチを
 再起動するとテーブル情報が消えてしまうので、
DHCPスヌーピングデータベースエージェントを使用して
 回避します。設定は
ip dhcp snooping database コマンドでバインディングファイルの URLを指定します。



DHCPスヌーピングとは

ネットワークエンジニアとして

Copyright (C) 2002-2019 ネットワークエンジニアとして All Rights Reserved.