DHCP グリーニングの前提条件
-
インターフェイスがレイヤ 2 インターフェイスとして設定されていることを確認します。
-
グローバルスヌーピングが有効になっていることを確認します。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
このセクションでは、DHCP グリーニングについて説明します。
インターフェイスがレイヤ 2 インターフェイスとして設定されていることを確認します。
グローバルスヌーピングが有効になっていることを確認します。
グリーニングは、Dynamic Host Configuration Protocol(DHCP)リレーエージェントによってメッセージが転送されるときに、DHCP メッセージからロケーション情報を抽出するのに役立ちます。このプロセスは完全にパッシブなスヌーピング機能であり、DHCP パケットのブロックも変更も行われません。またグリーニングは、エンドユーザに接続されている信頼できないデバイスポートと、DHCP サーバに接続されている信頼できるポートを区別するのに役立ちます。
DHCP グリーニングは、コンポーネントが DHCP バージョン 4 パケットのみを登録およびグリーニングできるようにする読み取り専用 DHCP スヌーピング機能です。DHCP グリーニングを有効にすると、DHCP スヌーピングが無効になっているすべてのアクティブインターフェイスで読み取り専用スヌーピングが実行されます。プライベート VLAN にセカンダリ VLAN を追加できます。セカンダリ VLAN をプライベート VLAN に追加する場合は、プライマリ VLAN でスヌーピングが無効になっている場合でも、セカンダリ VLAN でグリーニングが有効になっていることを確認します。デフォルトでは、グリーニング機能は無効になっています。ただし、デバイスセンサーを有効にすると、DHCP グリーニングが自動的に有効になります。
Dynamic Host Configuration Protocol(DHCP)スヌーピングは、信頼できないホストと信頼された DHCP サーバとの間のファイアウォールのように機能するセキュリティ機能です。DHCP スヌーピング機能では、次のアクティビティが実行されます。
信頼できないソースからの DHCP メッセージを検証し、無効なメッセージをフィルタ処理して除外する。
信頼できるソースおよび信頼できないソースからの DHCP トラフィックのレートを制限する。
DHCP スヌーピング バインディング データベースを構築し、管理します。このデータベースには、リース IP アドレスがある信頼できないホストに関する情報が保存されています。
DHCP スヌーピング バインディング データベースを使用して、信頼できないホストからの以降の要求を検証します。
動的な Address Resolution Protocol(ARP)などの他のセキュリティ機能でも、DHCP スヌーピング バインディング データベースに保存されている情報が使用されます。
DHCP スヌーピングは、VLAN ベースごとにイネーブルに設定されます。デフォルトでは、すべての VLAN でこの機能は非アクティブです。この機能は、1 つの VLAN または特定の VLAN 範囲で有効にできます。
デバイスでの DHCP グリーニングを有効化または無効化できます。DHCP メッセージの信頼された送信元または信頼できない送信元としてインターフェイスを設定できます。信頼できないインターフェイスまたはデバイスポートで DHCP グリーニングが有効になっている場合、DHCP パケットがドロップされないことを確認します。
(注) |
デフォルトでは、DHCP グリーニングは無効になっています。 |
DHCP の信頼状態は、次のタイプのインターフェイスに設定できます。
レイヤ 2 イーサネット インターフェイス
レイヤ 2 ポート チャネル インターフェイス
(注) |
デフォルトでは、すべてのインターフェイスは信頼できません。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
ip dhcp snooping glean 例:
|
インターフェイスで DHCP グリーニングを有効にします。 |
ステップ 4 |
interface type number 例:
|
インターフェイス コンフィギュレーション モードを開始します。type number は、DHCP スヌーピングのために信頼状態を設定するレイヤ 2 イーサネット インターフェイスです。 |
ステップ 5 |
[no] ip dhcp snooping trust 例:
|
DHCP スヌーピングに関してインターフェイスを信頼できるインターフェイスとして設定します。no オプションを使用すると、ポートは信頼できないインターフェイスとして設定されます。 |
ステップ 6 |
end 例:
|
インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
ステップ 7 |
show ip dhcp snooping statistics 例:
|
信頼できないインターフェイスとして設定されたデバイスポートでドロップされたパケットを表示します。 |
ステップ 8 |
show ip dhcp snooping 例:
|
DHCP グリーニングに関する情報など、DHCP スヌーピングの設定情報を表示します。 |
Dynamic Host Configuration Protocol(DHCP)グリーニングを有効にし、インターフェイスを信頼されたインターフェイスとして設定する例を示します。
Device> enable
Device# configure terminal
Device(config)# ip dhcp snooping glean
Device(config)# interface gigabitEthernet 1/0/1
Device(config-if)# ip dhcp snooping trust
Device(config-if)# end
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェアイメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
DHCP グリーニング |
Cisco IOS XE Fuji 16.8.1a |
DHCP グリーニングは、コンポーネントが DHCP バージョン 4 パケットのみを登録およびグリーニングできるようにする読み取り専用 DHCP スヌーピング機能です。 |