Cisco Nexus 1000V セキュリティ コンフィギュレーション ガイド リリース 4.2(1)SV1(5.1)
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月2日
章のタイトル: DHCP スヌーピングの設定
- DHCP スヌーピングの概要
- DHCP スヌーピングの前提条件
- 注意事項および制約事項
- デフォルト設定
- DHCP スヌーピングの設定
- DHCP スヌーピング設定の確認
- DHCP スヌーピングのモニタリング
- DHCP スヌーピングの設定例
- その他の関連資料
- DHCP スヌーピングの機能の履歴
DHCP スヌーピングの設定
この章では、Dynamic Host Configuration Protocol(DHCP)スヌーピングを設定する方法について説明します。次の項で構成されています。
DHCP スヌーピングの概要
•
「概要」
• 「DHCP スヌーピング バインディング データベース」
概要
DHCP スヌーピングは、信頼できないホストと信頼できる DHCP サーバとの間でファイアウォールのような役割を果たします。具体的には、次の処理を実行します。
• 信頼できない発信元からの DHCP メッセージを検証するとともに、DHCP サーバからの無効な応答メッセージを除外します。
• DHCP スヌーピング バインディング データベースを構築し、管理します。このデータベースには、リース IP アドレスがある信頼できないホストに関する情報が保存されています。
• DHCP スヌーピング バインディング データベースを使用して、信頼できないホストからの以降の要求を検証します。
Dynamic ARP Inspection(DAI; ダイナミック ARP インスペクション)および IP ソース ガードも、DHCP スヌーピング バインディング データベースに格納された情報を使用します。この 3 つの機能の詳細については、「Dynamic ARP Inspection の設定」と「IP ソース ガードの設定」を参照してください。
DHCP スヌーピングは、VLAN ごとにグローバルにイネーブルになっています。デフォルトでは、すべての VLAN で DHCP スヌーピングは非アクティブです。この機能は、1 つの VLAN または特定の VLAN 範囲でイネーブルにできます。
信頼できるソースおよび信頼できないソース
DHCP スヌーピングでは、ポートを「信頼できる」または「信頼できない」として識別します。DHCP スヌーピングをイネーブルにすると、デフォルトでは、vEthernet ポートはすべて「信頼できない」となり、イーサネット ポート(アップリンク)、ポート チャネル、特殊な vEthernet ポート(VSD などの機能の動作に使用される)はすべて「信頼できる」となります。トラフィックの送信元を DHCP の処理において信頼できるものと見なすかどうかを設定できます。
企業ネットワークでは、信頼できる送信元はその企業の管理制御下にあるデバイスです。ファイアウォールを越えるデバイスやネットワーク外のデバイスは信頼できない送信元です。一般的に、ホスト ポートは信頼できない送信元として扱われます。
サービス プロバイダーの環境では、サービス プロバイダー ネットワークにないデバイスは、信頼できない送信元です(カスタマー スイッチなど)。ホスト ポートは、信頼できない送信元です。
Cisco Nexus 1000Vでは、接続インターフェイスの信頼状態を設定することにより送信元が信頼されることを示します。アップリンク ポート(アップリンク機能を持つことがポート プロファイルで定義されている)は、信頼できるポートです。したがって、信頼できないポートであると設定することはできません。このような制約があるので、レート制限への非適合や DHCP 応答が理由でアップリンクがシャットダウンされることはなくなります。
管理者は、他のインターフェイスも「信頼できる」と設定することができますが、それには、そのインターフェイスがネットワーク内部のデバイス(スイッチやルータなど)に接続されているか、管理者が DHCP サーバを VM 内で実行していることが条件となります。ホスト ポート インターフェイスは、通常、信頼できるインターフェイスとしては設定しません。
(注) DHCP スヌーピングを適切に機能させるためには、すべての DHCP サーバが信頼できるインターフェイスを介してデバイスと接続される必要があります。
DHCP スヌーピング バインディング データベース
DHCP スヌーピングが代行受信した DHCP メッセージから抽出された情報を使用して、各 VEM 上のデータベースが動的に構築され、維持されます。DHCP スヌーピングがイネーブルにされた VLAN に、ホストが関連付けられている場合、データベースには、リース IP アドレスがある信頼できない各ホストのエントリが保存されています。データベースには、信頼できるインターフェイスを介して接続するホストに関するエントリは保存されません。
(注) DHCP スヌーピング バインディング データベースは、「DHCP スヌーピング バインディング テーブル」と呼ばれることもあります。
デバイスが特定の DHCP メッセージを受信すると、DHCP スヌーピングはデータベースをアップデートします。たとえば、デバイスが DHCPACK メッセージをサーバから受信すると、この機能によってデータベースにエントリが追加されます。このデータベースからエントリが削除されるのは、IP アドレスのリース期限が過ぎたとき、またはデバイスが DHCP クライアントから DHCPRELEASE または DHCP DECLINE を受信したとき、またはデバイスが DHCP サーバから DHCPNACK を受信したときです。
DHCP スヌーピング バインディング データベースに保存されている各エントリには、ホストの MAC アドレス、リース IP アドレス、リース期間、バインディング タイプ、VLAN 番号、およびホストに関連するインターフェイス情報が保存されます。
動的に追加されたエントリをバインディング データベースから削除するには、 clear ip dhcp snooping binding コマンドを使用します。詳細については、「DHCP スヌーピング バインディング データベースのクリア」を参照してください。
リレー エージェント情報オプション
DHCP パケットに VSM MAC アドレスおよび vEthernet ポートを追加するように DHCP を設定できます。これは、DHCP リレー エージェント情報オプションまたはオプション 82 と呼ばれ、DHCP パケットの転送時に DHCP リレー エージェントによって挿入されます。サーバ管理者は、この情報を使用して、IP アドレスの割り当てポリシーを実装できます。
|
|
|
|---|---|
リレー エージェント情報オプションの詳細については、「 RFC-3046, DHCP Relay Agent Information Option 」を参照してください。
リレー エージェントを設定するには、「DHCP のスイッチおよび回線情報のリレー」を参照してください。
ハイ アベイラビリティ
VEM 上に作成された DHCP スヌーピング バインディング テーブルとすべてのデータベース エントリは、VSM にエクスポートされ、VSM のリブート後も維持されます。
DHCP スヌーピングの前提条件
注意事項および制約事項
DHCP スヌーピングに関する注意事項と制約事項は次のとおりです。
• DHCP スヌーピング データベースは各 VEM 上に作成され、1 つのデータベースに最大 1024 個のバインディングを格納できます。
• DHCP スヌーピングをシームレスにするために、仮想サービス ドメイン(VSD)サービス VM ポートは、デフォルトで信頼できるポートとなっています。これらのポートを「信頼できない」と設定しても、その設定は無視されます。
• VSM の接続に VEM が使用される場合、つまり VSM の VSM AIPC、管理、およびインバンドのポートが特定の VEM 上にある場合は、これらの仮想イーサネット インターフェイスが信頼できるインターフェイスとして設定されている必要があります。
• Cisco Nexus 1000V からのデバイス アップストリームの接続インターフェイスは、このデバイスで DHCP スヌーピングがイネーブルになっている場合、「信頼できる」として設定する必要があります。
• 128 を超える ACL(MAC と IP ACL の組み合わせ)を設定する場合は、VSM RAM が 3GB(3072 Mb)に設定されていることを確認します。RAM を 3GB に変更する手順は、「Setting the VSM RAM size to 3072 Mb」で説明されています。
デフォルト設定
表 12-1 に、DHCP スヌーピングのデフォルトを示します。
|
|
|
|---|---|
信頼できる:イーサネット インターフェイス、vEthernet インターフェイス、およびポート チャネル(VSD 機能に参加しているもの)信頼できない:VSD 機能に参加していない vEthernet インターフェイス |
DHCP スヌーピングの設定
• 「DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化」
• 「VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化」
• 「DHCP スヌーピングの MAC アドレス検証のイネーブル化またはディセーブル化」
• 「DHCP レート制限違反がディセーブルなポートの検出」
• 「DHCP レート制限違反がディセーブルなポートの回復」
• 「DHCP スヌーピング バインディング データベースのクリア」
DHCP スヌーピングの最小設定
ステップ 1 DHCP 機能をイネーブルにします。詳細については、「DHCP 機能のイネーブル化またはディセーブル化」を参照してください。
ステップ 2 DHCP スヌーピングをグローバルにイネーブル化します。詳細については、「DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化」を参照してください。
ステップ 3 少なくとも 1 つの VLAN で、DHCP スヌーピングをイネーブルにします。詳細については、「VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化」を参照してください。
デフォルトでは、DHCP スヌーピングはすべての VLAN でディセーブルになります。
ステップ 4 DHCP サーバとデバイスが、信頼できるインターフェイスを使用して接続されていることを確認します。詳細については、「インターフェイスの信頼状態の設定」を参照してください。
DHCP 機能のイネーブル化またはディセーブル化
はじめる前に
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
DHCP スヌーピングをグローバルにイネーブル化します。 no オプションを使用すると、DHCP スヌーピングがディセーブルになりますが、既存の DHCP スヌーピング設定は維持されます。 |
||
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
DHCP スヌーピングのグローバルなイネーブル化またはディセーブル化
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• デフォルトでは、DHCP スヌーピングはグローバルにディセーブルです。
• DHCP スヌーピングがグローバルにディセーブルになると、DHCP スヌーピングはすべて停止し、DHCP メッセージは中継されなくなります。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
DHCP スヌーピングをグローバルにイネーブル化します。 no オプションを使用すると、DHCP スヌーピングがディセーブルになりますが、既存の DHCP スヌーピング設定は維持されます。 |
||
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
VLAN に対する DHCP スヌーピングのイネーブル化またはディセーブル化
ここでは、1 つまたは複数の VLAN に対して DHCP スヌーピングをイネーブルまたはディセーブルにする手順を説明します。
はじめる前に
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
vlan-list で指定する VLAN の DHCP スヌーピングをイネーブルにします。 no オプションを使用すると、指定した VLAN の DHCP スヌーピングがディセーブルになります。 |
||
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
DHCP スヌーピングの MAC アドレス検証のイネーブル化またはディセーブル化
ここでは、DHCP スヌーピングの MAC アドレス検証をイネーブルまたはディセーブルにする手順を説明します。信頼できないインターフェイスからパケットを受信し、この送信元 MAC アドレスと DHCP クライアント ハードウェア アドレスが一致しない場合、アドレス検証によってデバイスはパケットをドロップします。
はじめる前に
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
DHCP スヌーピングの MAC アドレス検証をイネーブルにします。 no オプションを使用すると MAC アドレス検証がディセーブルになります。 |
||
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
インターフェイスの信頼状態の設定
ここでは、特定の仮想インターフェイスが DHCP メッセージの送信元として信頼できるものかどうかを設定する手順を説明します。次のものの DHCP 信頼状態を設定できます。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• デフォルトでは、vEthernet インターフェイスは「信頼できない」となっています。ただし、信頼できる他の機能(VSD など)によって使用される特殊な vEthernet ポートは例外です。
• vEthernet インターフェイスがレイヤ 2 インターフェイスとして設定されていることを確認してください。
• DHCP スヌーピング、DAI、および IP ソース ガードをシームレスにするために、仮想サービス ドメイン(VSD)サービス VM ポートはデフォルトで信頼できるポートとなっています。これらのポートを「信頼できない」と設定しても、その設定は無視されます。
手順の概要
2. interface vethernet interface-number
手順の詳細
DHCP パケットのレート制限の設定
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• ポートは、この手順で設定した DHCP パケット/秒のレートの制限を超えると、errdisabled 状態になります。
手順の概要
2. interface vethernet interface-number
手順の詳細
DHCP レート制限違反がディセーブルなポートの検出
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• 設定されたレートに違反すると、ポートは自動的に errdisable 状態になります。
• shutdown コマンドを入力し、 no shutdown コマンドを入力して errdisable ステートから手動でインターフェイスを回復する必要があります。
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
DHCP errdisable 検出をイネーブルにします。 no オプションを使用すると、DHCP errdisable 検出がディセーブルになります。 |
||
(任意)リブート後に永続的な実行コンフィギュレーションを保存し、スタートアップ コンフィギュレーションにコピーして再起動します。 |
DHCP レート制限違反がディセーブルなポートの回復
DHCP レート制限の違反がディセーブルになっているポートの自動リカバリをグローバルに設定するには、次の手順を実行します。
はじめる前に
この手順を開始する前に、次のことを確認または実行する必要があります。
• レートによって errdisable ステートになるポート。
• shutdown コマンドを入力し、 no shutdown コマンドを入力して errdisable ステートから手動でインターフェイスを回復する必要があります。
手順の概要
2. [no] errdisable recovery cause dhcp-rate-limit
手順の詳細
DHCP スヌーピング バインディング データベースのクリア
すべてのバインディング エントリの消去
はじめる前に
手順の概要
手順の詳細
|
|
|
|
|---|---|---|
インターフェイスのバインディング エントリの消去
DHCP スヌーピング データベースからインターフェイスのバインディング エントリを削除するには、次の手順を実行します。
はじめる前に
手順の概要
1. clear ip dhcp snooping binding [{ vlan vlan-id mac mac-addr ip ip-addr interface interface-id } | vlan vlan-id1 | interface interface-id1 ]
手順の詳細
DHCP のスイッチおよび回線情報のリレー
DHCP パケットの VSM MAC アドレスおよび vEthernet ポート情報のリレーをグローバルに設定するには、次の手順を実行します。これは、オプション 82 およびリレー エージェント情報オプションとも呼ばれます。
はじめる前に
手順の概要
手順の詳細
DHCP スヌーピング設定の確認
DHCP スヌーピング設定を確認するには、次のコマンドを使用します。
|
|
|
|---|---|
これらのコマンドの詳細については、『 Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1) 』を参照してください。
DHCP スヌーピングのモニタリング
DHCP スヌーピングの統計情報をモニタするには、 show ip dhcp snooping statistics コマンドを使用します。このコマンドの詳細については、『 Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1) 』を参照してください。
DHCP スヌーピングの設定例
次に、2 つの VLAN 上で DHCP スヌーピングをイネーブルにする例を示します。vEthernet インターフェイス 5 が「信頼できる(trusted)」となっているのは、DHCP サーバがこのインターフェイスに接続されているからです。
その他の関連資料
DHCP スヌーピングの実装に関する詳細情報については、次の項を参照してください。
• 「関連資料」
• 「標準」
関連資料
|
|
|
|---|---|
『 Cisco Nexus 1000V セキュリティ コンフィギュレーション ガイド リリース 4.2(1)SV1(5.1) 』、「IP ソース ガードの設定」 |
|
『 Cisco Nexus 1000V セキュリティ コンフィギュレーション ガイド リリース 4.2(1)SV1(5.1) 』、「Dynamic ARP Inspection の設定」 |
|
『Cisco Nexus 1000V Command Reference, Release 4.2(1)SV1(5.1) 』 |
標準
|
|
|
|---|---|
『Dynamic Host Configuration Protocol』 ( http://tools.ietf.org/html/rfc2131) |
|
DHCP スヌーピングの機能の履歴
表 12-2 は、この機能のリリースの履歴です。
|
|
|
|
|---|---|---|
フィードバック