DHCP—DHCPv6 ガード

このモジュールでは、Dynamic Host Configuration Protocol バージョン 6(DHCPv6)ガード機能について説明します。この機能は、サーバからクライアントに DHCP パケットを転送する、承認されていない DHCP サーバとリレー エージェントから発信される DHCP 応答やアドバタイズメント メッセージをブロックします。リレー エージェントによってクライアントからサーバに送信されるクライアント メッセージはブロックされません。フィルタリングの判断は、受信側のスイッチ ポート、トランク、または VLAN に割り当てられているデバイスのロールによって決まります。また、より細かいレベルのフィルタ精度を提供するために、送信元サーバやリレー エージェントのアドレスに基づいて、または応答メッセージに記載されているプレフィックスやアドレスの範囲によってメッセージをフィルタリングできます。この機能により、トラフィック リダイレクションやサービス妨害(DoS)を防ぐことができます。

DHCPv6 ガードの制限

  • DHCPv6 ガード機能は、EtherChannel ポートではサポートされません。

DHCPv6 ガードに関する情報

DHCPv6 ガードの概要

DHCPv6 ガード機能は、承認されていない DHCP サーバおよびリレー エージェントからの応答およびアドバタイズメント メッセージをブロックします。

パケットは 3 つの DHCP メッセージ タイプのいずれかに分類されます。すべてのクライアント メッセージは、デバイスのロールに関係なく、常にスイッチングされます。DHCP サーバのメッセージは、デバイスのロールがサーバに設定されている場合のみさらに処理されます。DHCP サーバのアドバタイズメント(送信元の検証とサーバの設定の場合)および DHCP サーバの応答(許可されたプレフィックスの場合)を含むサーバ メッセージはさらに処理されます。

デバイスが DHCP サーバとして設定されている場合、デバイスのロールの設定に関係なく、すべてのメッセージをスイッチングする必要があります。

DHCPv6 ガードの設定方法

DHCP—DHCPv6 ガードの設定

SUMMARY STEPS

  1. enable
  2. configure terminal
  3. ipv6 access-list access-list-name
  4. permit host address any
  5. exit
  6. ipv6 prefix-list list-name permit ipv6-prefix 128
  7. ipv6 dhcp guard policy policy-name
  8. device-role {client | server}
  9. match server access-list ipv6-access-list-name
  10. match reply prefix-list ipv6-prefix-list-name
  11. preference min limit
  12. preference max limit
  13. trusted-port
  14. exit
  15. interface type number
  16. switchport
  17. exit
  18. exit
  19. show ipv6 dhcp guard policy [policy-name]

DETAILED STEPS

  Command or Action Purpose

Step 1

enable

Example:


Device> enable

特権 EXEC モードを有効にします。

  • パスワードを入力します(要求された場合)。

Step 2

configure terminal

Example:


Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

Step 3

ipv6 access-list access-list-name

Example:


Device(config)# ipv6 access-list acl1

IPv6 アクセス リストを定義し、IPv6 アクセス リスト コンフィギュレーション モードを開始します。

Step 4

permit host address any

Example:


Device(config-ipv6-acl)# permit host FE80::A8BB:CCFF:FE01:F700 any

名前付き IP アクセス リストに条件を設定します。

Step 5

exit

Example:


Device(config-ipv6-acl)# exit

IPv6 アクセス リスト コンフィギュレーション モードを終了して、グローバル コンフィギュレーション モードに戻ります。

Step 6

ipv6 prefix-list list-name permit ipv6-prefix 128

Example:


Device(config)# ipv6 prefix-list abc permit 2001:0DB8::/64 le 128

IPv6 プレフィックスリストのエントリを作成します。

Step 7

ipv6 dhcp guard policy policy-name

Example:


Device(config)# ipv6 dhcp guard policy pol1

DHCPv6 ガード ポリシー名を定義して、DHCP ガード コンフィギュレーション モードを開始します。

Step 8

device-role {client | server}

Example:


Device(config-dhcp-guard)# device-role server

ターゲット(インターフェイスまたは VLAN)に接続されているデバイスのデバイス ロールを指定します。

Step 9

match server access-list ipv6-access-list-name

Example:


Device(config-dhcp-guard)# match server access-list acl1

(任意)検査済みメッセージ内のアドバタイズされた DHCP サーバおよびリレー アドレスが設定された承認サーバ アクセス リストからのものであることの検証をイネーブルにします。設定されていない場合、このチェックは回避されます。空のアクセス リストは、permit として処理されます。

Step 10

match reply prefix-list ipv6-prefix-list-name

Example:


Device(config-dhcp-guard)# match reply prefix-list abc

(任意)DHCP 応答メッセージ内のアドバタイズされたプレフィックスが設定された承認プレフィックス リストからのものであることの検証をイネーブルにします。設定されていない場合、このチェックは回避されます。空のプレフィクス リストは、permit として処理されます。

Step 11

preference min limit

Example:


Device(config-dhcp-guard)# preference min 0

(任意)アドバタイズされた設定([preference] オプション内)が指定された制限を超過しているかどうかの検証をイネーブルにします。設定されていない場合、このチェックは回避されます。

Step 12

preference max limit

Example:


Device(config-dhcp-guard)# preference max 255

(任意)アドバタイズされた設定([preference] オプション内)が指定された制限未満であるかどうかの検証をイネーブルにします。設定されていない場合、このチェックは回避されます。

Step 13

trusted-port

Example:


Device(config-dhcp-guard)# trusted-port

(任意)このポリシーが信頼できるポートに適用されることを指定します。すべての DHCP ガード ポリシングが無効になります。

Step 14

exit

Example:


Device(config-dhcp-guard)# exit

DHCP ガード コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

Step 15

interface type number

Example:


Device(config)# interface GigabitEthernet 0/2/0

インターフェイスを指定し、インターフェイス コンフィギュレーション モードを開始します。

Step 16

switchport

Example:


Device(config-if)# switchport

レイヤ 3 モードになっているインターフェイスを、レイヤ 2 設定用にレイヤ 2 モードにします。

Step 17

exit

Example:


Device(config-if)# exit

インターフェイス コンフィギュレーション モードを終了し、グローバル コンフィギュレーション モードに戻ります。

Step 18

exit

Example:


Device(config)# exit

グローバル コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。

Step 19

show ipv6 dhcp guard policy [policy-name]

Example:


Device# show ipv6 dhcp policy guard pol1

(任意)ポリシー設定と、そのポリシーが適用されるすべてのインターフェイスを表示します。

DHCPv6 ガードの設定例

例:DHCP—DHCPv6 ガードの設定

次の例は、DHCPv6 ガードの設定例を示しています。

その他の参考資料

関連資料

関連項目

マニュアル タイトル

Cisco IOS コマンド

『Cisco IOS Master Commands List, All Releases』

DHCP コマンド:コマンド構文の詳細、コマンド モード、コマンド履歴、デフォルト、使用上の注意事項、および例

『Cisco IOS IP Addressing Services Command Reference』

DHCP の概念情報および設定情報

『Cisco IOS IP Addressing Services Configuration Guide』

標準規格/RFC

標準

タイトル

この機能でサポートが追加または変更された 標準/RFC はありません。

MIB

MIB

MIB のリンク

この機能によってサポートされる新しい MIB または変更された MIB はありません。

選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。

http://www.cisco.com/go/mibs

シスコのテクニカル サポート

説明

リンク

右の URL にアクセスして、シスコのテクニカル サポートを最大限に活用してください。これらのリソースは、ソフトウェアをインストールして設定したり、シスコの製品やテクノロジーに関する技術的問題を解決したりするために使用してください。この Web サイト上のツールにアクセスする際は、Cisco.com のログイン ID およびパスワードが必要です。

http://www.cisco.com/cisco/web/support/index.html

DHCP—DHCPv6 ガードの機能情報

次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェアリリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェアリリースでもサポートされます。

プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
Table 1. DHCP—DHCPv6 ガードの機能情報

機能名

リリース

機能情報

DHCP—DHCPv6 ガード

DHCP—DHCPv6 ガード機能は、サーバからクライアントに DHCP パケットを転送する、承認されていない DHCP サーバとリレー エージェントから発信される DHCP 応答やアドバタイズメント メッセージをブロックします。リレー エージェントによってクライアントからサーバに送信されるクライアント メッセージはブロックされません。

次のコマンドが導入または変更されました。device-role ipv6 dhcp guard attach-policy (DHCPv6 Guard) ipv6 dhcp guard policy match reply prefix-list match server access-list preference (DHCPv6 Guard) show ipv6 dhcp guard policy trusted-port (DHCPv6 Guard)