Cisco Nexus 1000V セキュリティ コンフィギュレー ション ガイド リリース 4.0(4)SV1(3)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月20日
章のタイトル: DHCP スヌーピングの設定
DHCP スヌーピングの設定
この章では、Cisco Nexus 1000V での Dynamic Host Configuration Protocol(DHCP)スヌーピングの設定手順を説明します。
DHCP スヌーピングの概要
DHCP スヌーピングは、信頼できないホストと信頼できる DHCP サーバとの間でファイアウォールのような役割を果たします。具体的には、次の処理を実行します。
•
信頼できない発信元からの DHCP メッセージを検証するとともに、DHCP サーバからの無効な応答メッセージを除外します。
• DHCP スヌーピング バインディング データベースを構築し維持します。このデータベースには、リースされた IP アドレスを持つ信頼できないホストに関する情報が含まれます。
• DHCP スヌーピング バインディング データベースを使用して、信頼できないホストからの以降の要求を検証します。
DAI(ダイナミック ARP インスペクション)および IP ソース ガードも、DHCP スヌーピング バインディング データベースに格納された情報を使用します。この 3 つの機能の詳細については、「DAI の設定」と「IP ソース ガードの設定」を参照してください。
DHCP スヌーピングは VLAN 単位でイネーブルにします。デフォルトでは、この機能はすべての VLAN で非アクティブです。この機能は 1 つの VLAN、または特定の VLAN 範囲でイネーブルにできます。
• 「DHCP スヌーピング バインディング データベース」
信頼できる送信元と信頼できない送信元
DHCP スヌーピングの根底にあるのは、ポートが信頼できるものかどうかを明確にするという概念です。この機能がイネーブルのときに、デフォルトでは、vEthernet ポートはすべて「信頼できない」となり、イーサネット ポート(アップリンク)、ポート チャネル、特殊な vEthernet ポート(VSD などの機能の動作に使用される)はすべて「信頼できる」となります。トラフィックの送信元を DHCP の処理において信頼できるものと見なすかどうかを、管理者が設定できます。
企業ネットワークでは、信頼できる送信元はその企業の管理制御下にあるデバイスです。ファイアウォールの外にあるデバイスやネットワーク外のデバイスは、信頼できない送信元です。一般的に、ホスト ポートは信頼できない送信元として扱われます。
サービス プロバイダー環境では、サービス プロバイダー ネットワーク内にないデバイスは信頼できない送信元です(カスタマーのスイッチなど)。ホスト ポートは信頼できない送信元です。
Cisco Nexus 1000V では、特定の発信元が信頼できることを管理者が指定できます。指定するには、その発信元が接続しているインターフェイスの信頼状態を設定します。アップリンク ポート(アップリンク機能を持つことがポート プロファイルで定義されている)は、信頼できるポートです。したがって、信頼できないポートであると設定することはできません。このような制約があるので、レート制限への非適合や DHCP 応答が理由でアップリンクがシャットダウンされることはなくなります。
管理者は、他のインターフェイスも「信頼できる」と設定することができますが、それには、そのインターフェイスがネットワーク内部のデバイス(スイッチやルータなど)に接続されているか、管理者が DHCP サーバを VM 内で実行していることが条件となります。通常は、管理者がホスト ポート インターフェイスを「信頼できる」と設定することはありません。
(注) DHCP スヌーピングを適切に機能させるためには、すべての DHCP サーバが信頼できるインターフェイスを介してデバイスと接続される必要があります。
DHCP スヌーピング バインディング データベース
DHCP スヌーピングが代行受信した DHCP メッセージから抽出された情報を使用して、各 VEM 上のデータベースが動的に構築され、維持されます。このデータベースには、リースされた IP アドレスを持つ信頼できないホスト 1 つにつき 1 つのエントリが格納されます。このデータベースに登録されるのは、そのホストが関連付けられている VLAN で DHCP スヌーピングがイネーブルになっている場合です。このデータベースには、信頼できるインターフェイスを通じて接続されたホストのエントリは含まれていません。
(注) DHCP スヌーピング バインディング データベースは、「DHCP スヌーピング バインディング テーブル」と呼ばれることもあります。
デバイスが特定の DHCP メッセージを受信すると、DHCP スヌーピングはデータベースをアップデートします。たとえば、デバイスが DHCPACK メッセージをサーバから受信すると、この機能によってデータベースにエントリが追加されます。このデータベースからエントリが削除されるのは、IP アドレスのリース期限が過ぎたとき、またはデバイスが DHCP クライアントから DHCPRELEASE または DHCP DECLINE を受信したとき、またはデバイスが DHCP サーバから DHCPNACK を受信したときです。
DHCP スヌーピング バインディング データベースの各エントリの内容は、ホストの MAC アドレス、リースされた IP アドレス、リース期間、バインディングの種類、およびホストに関連付けられた VLAN(仮想 LAN)の番号とインターフェイス情報です。
動的に追加されたエントリをバインディング データベースから削除するには、 clear ip dhcp snooping binding コマンドを使用します。詳細については、「DHCP スヌーピング バインディング データベースのクリア」を参照してください。
ハイ アベイラビリティ
VEM 上に作成された DHCP スヌーピング バインディング テーブルとすべてのデータベース エントリは、VSM にエクスポートされ、VSM のリブート後も維持されます。
DHCP スヌーピングの前提条件
注意事項および制約事項
DHCP スヌーピングに関する注意事項と制約事項は次のとおりです。
• DHCP スヌーピング データベースは各 VEM 上に作成され、1 つのデータベースに最大 1024 個のバインディングを格納できます。
• DHCP スヌーピングをシームレスにするために、仮想サービス ドメイン(VSD)サービス VM ポートは、デフォルトで信頼できるポートとなっています。管理者がそのポートを「信頼できない」と設定しても、この設定は無視されます。
• VSM の接続に VEM が使用される場合、つまり VSM の VSM AIPC、管理、およびインバンドのポートが特定の VEM 上にある場合は、これらの仮想イーサネット インターフェイスが信頼できるインターフェイスとして設定されている必要があります。
デフォルト設定
表 12-1 に、DHCP スヌーピングのデフォルトを示します。
|
|
|
|---|---|
信頼できる:イーサネット インターフェイス、vEthernet インターフェイス、およびポート チャネル(VSD 機能に参加しているもの)信頼できない:VSD 機能に参加していない vEthernet インターフェイス |
DHCP スヌーピングの設定
• 「DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化」
• 「VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化」
• 「DHCP スヌーピングの MAC アドレス検証のイネーブル化またはディセーブル化」
• 「DHCP Error-Disabled 検出のイネーブル化またはディセーブル化」
• 「DHCP Error-Disabled 回復のイネーブル化またはディセーブル化」
DHCP スヌーピングの最小設定
ステップ 1 DHCP スヌーピングをグローバルにイネーブル化します。詳細については、「DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化」を参照してください。
ステップ 2 少なくとも 1 つの VLAN で DHCP スヌーピングをイネーブルにします。詳細については、「VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化」を参照してください。
デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。
ステップ 3 DHCP サーバとデバイスが、信頼できるインターフェイスを使用して接続されていることを確認します。詳細については、「インターフェイスの信頼状態の設定」を参照してください。
DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化
始める前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• DHCP スヌーピングをサポートするソフトウェア リリース(リリース 4.0(4)SV1(2) 以降)が VSM およびすべての VEM で実行されていることと、VEM 機能レベルが更新されていることを確認します(『 Cisco Nexus 1000V Software Upgrade Guide, Release 4.0(4)SV1(3) 』を参照)。
• デフォルトでは、DHCP スヌーピングはグローバルにディセーブルです。
• DHCP スヌーピングがグローバルにディセーブルになると、DHCP スヌーピングはすべて停止し、DHCP メッセージは中継されなくなります。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
DHCP スヌーピングをグローバルにイネーブル化します。 no オプションを使用すると、DHCP スヌーピングがディセーブルになりますが、既存の DHCP スヌーピング設定は維持されます。 |
||
(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーし、リブートと再起動を行って、永久的に保存します。 |
VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化
ここでは、1 つまたは複数の VLAN に対して DHCP スヌーピングをイネーブルまたはディセーブルにする手順を説明します。
始める前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• この機能をサポートするソフトウェア リリース(リリース 4.0(4)SV1(2) 以降)が VSM およびすべての VEM で実行されていることと、VEM 機能レベルが更新されていることを確認します(『 Cisco Nexus 1000V Software Upgrade Guide, Release 4.0(4)SV1(3) 』を参照)。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
vlan-list で指定する VLAN の DHCP スヌーピングをイネーブルにします。 no オプションを使用すると、指定した VLAN の DHCP スヌーピングがディセーブルになります。 |
||
(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーし、リブートと再起動を行って、永久的に保存します。 |
DHCP スヌーピングの MAC アドレス検証のイネーブル化またはディセーブル化
ここでは、DHCP スヌーピングの MAC アドレス検証をイネーブルまたはディセーブルにする手順を説明します。信頼できないインターフェイスからパケットを受信し、この送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致しない場合、アドレス検証によってデバイスはパケットをドロップします。
始める前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• この機能をサポートするソフトウェア リリース(リリース 4.0(4)SV1(2) 以降)が VSM およびすべての VEM で実行されていることと、VEM 機能レベルが更新されていることを確認します(『 Cisco Nexus 1000V Software Upgrade Guide, Release 4.0(4)SV1(3) 』を参照)。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
DHCP スヌーピングの MAC アドレス検証をイネーブルにします。 no オプションを使用すると MAC アドレス検証がディセーブルになります。 |
||
(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーし、リブートと再起動を行って、永久的に保存します。 |
インターフェイスの信頼状態の設定
ここでは、特定の仮想インターフェイスが DHCP メッセージの送信元として信頼できるものかどうかを設定する手順を説明します。次のものの DHCP 信頼状態を設定できます。
始める前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• この機能をサポートするソフトウェア リリース(リリース 4.0(4)SV1(2) 以降)が VSM およびすべての VEM で実行されていることと、VEM 機能レベルが更新されていることを確認します(『 Cisco Nexus 1000V Software Upgrade Guide, Release 4.0(4)SV1(3) 』を参照)。
• デフォルトでは、vEthernet インターフェイスは「信頼できない」となっています。ただし、信頼できる他の機能(VSD など)によって使用される特殊な vEthernet ポートは例外です。
• vEthernet インターフェイスがレイヤ 2 インターフェイスとして設定されていることを確認します。
• DHCP スヌーピング、DAI、および IP ソース ガードをシームレスにするために、仮想サービス ドメイン(VSD)サービス VM ポートはデフォルトで信頼できるポートとなっています。管理者がそのポートを「信頼できない」と設定しても、この設定は無視されます。
手順の概要
2. interface vethernet interface-number
手順の詳細
DHCP パケットのレート制限の設定
始める前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• この機能をサポートするソフトウェア リリース(リリース 4.0(4)SV1(2) 以降)が VSM およびすべての VEM で実行されていることと、VEM 機能レベルが更新されていることを確認します(『 Cisco Nexus 1000V Software Upgrade Guide, Release 4.0(4)SV1(3) 』を参照)。
手順の概要
2. interface vethernet interface-number
手順の詳細
DHCP Error-Disabled 検出のイネーブル化またはディセーブル化
ここでは、DHCP レート制限を超過したポートに対する error-disabled 検出をイネーブルまたはディセーブルにする手順を説明します。
始める前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• この機能をサポートするソフトウェア リリース(リリース 4.0(4)SV1(2) 以降)が VSM およびすべての VEM で実行されていることと、VEM 機能レベルが更新されていることを確認します(『 Cisco Nexus 1000V Software Upgrade Guide, Release 4.0(4)SV1(3) 』を参照)。
• 設定されたレートに違反すると、ポートは自動的に errdisable 状態になります。
• error-disabled 状態のインターフェイスを手動で回復するには、 shutdown コマンドを入力してから no shutdown コマンドを入力する必要があります。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
DHCP error-disabled 検出をイネーブルにします。 no オプションを使用すると、DHCP error-disabled 検出がディセーブルになります。 |
||
(任意)実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーし、リブートと再起動を行って、永久的に保存します。 |
DHCP Error-Disabled 回復のイネーブル化またはディセーブル化
ここでは、DHCP レート制限を超過したポートに対する error-disabled 回復をイネーブルまたはディセーブルにする手順を説明します。
始める前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• この機能をサポートするソフトウェア リリース(リリース 4.0(4)SV1(2) 以降)が VSM およびすべての VEM で実行されていることと、VEM 機能レベルが更新されていることを確認します(『 Cisco Nexus 1000V Software Upgrade Guide, Release 4.0(4)SV1(3) 』を参照)。
• 設定されたレートに違反すると、ポートは自動的に errdisable 状態になります。
• error-disabled 状態のインターフェイスを手動で回復するには、 shutdown コマンドを入力してから no shutdown コマンドを入力する必要があります。
手順の概要
2. [no] errdisable recovery cause dhcp-rate-limit
手順の詳細
DHCP スヌーピングの設定の確認
DHCP スヌーピングの設定情報を表示するには、次のコマンドを使用します。
|
|
|
|---|---|
これらのコマンドの出力フィールドの詳細については、『 Cisco Nexus 1000V Command Reference, Release 4.0(4)SV1(3) 』を参照してください。
DHCP バインディングの表示
DHCP バインディング テーブルを表示するには、 show ip dhcp snooping binding コマンドを使用します。このコマンドの出力フィールドの詳細については、『 Cisco Nexus 1000V Command Reference, Release 4.0(4)SV1(3) 』を参照してください。
DHCP スヌーピング バインディング データベースのクリア
ここでは、DHCP スヌーピング バインディング データベースからすべてのエントリを削除する手順を説明します。
始める前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• この機能をサポートするソフトウェア リリース(リリース 4.0(4)SV1(2) 以降)が VSM およびすべての VEM で実行されていることと、VEM 機能レベルが更新されていることを確認します(『 Cisco Nexus 1000V Software Upgrade Guide, Release 4.0(4)SV1(3) 』を参照)。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
DHCP スヌーピングの統計情報の表示
DHCP スヌーピングの統計情報を表示するには、 show ip dhcp snooping statistics コマンドを使用します。このコマンドの出力フィールドの詳細については、『 Cisco Nexus 1000V Command Reference, Release 4.0(4)SV1(3) 』を参照してください。
DHCP スヌーピングの設定例
次に、2 つの VLAN 上で DHCP スヌーピングをイネーブルにする例を示します。vEthernet インターフェイス 5 が「信頼できる(trusted)」となっているのは、DHCP サーバがこのインターフェイスに接続されているからです。
その他の関連資料
DHCP スヌーピングの実装に関する詳細情報については、次の項を参照してください。
• 「関連資料」
• 「標準規格」
関連資料
|
|
|
|---|---|
『 Cisco Nexus 1000V セキュリティ コンフィギュレーション ガイド リリース 4.0(4)SV1(3) 』の「IP ソース ガードの設定」 |
|
『 Cisco Nexus 1000V セキュリティ コンフィギュレーション ガイド リリース 4.0(4)SV1(3) 』の「DAI の設定」 |
|
DHCP スヌーピング コマンド:すべてのコマンド構文、コマンド モード、コマンド履歴、デフォルト値、使用上の注意事項、例 |
『Cisco Nexus 1000V Command Reference, Release 4.0(4)SV1(3) 』 |
標準規格
|
|
|
|---|---|
『Dynamic Host Configuration Protocol』 ( http://tools.ietf.org/html/rfc2131) |
DHCP スヌーピング機能の履歴
表 12-2 に、この機能のリリース履歴を示します。
|
|
|
|
|---|---|---|
フィードバック