DHCP グリーニングの前提条件
-
インターフェイスがレイヤ 2 インターフェイスとして設定されていることを確認します。
-
グローバルスヌーピングが有効になっていることを確認します。
The documentation set for this product strives to use bias-free language. For the purposes of this documentation set, bias-free is defined as language that does not imply discrimination based on age, disability, gender, racial identity, ethnic identity, sexual orientation, socioeconomic status, and intersectionality. Exceptions may be present in the documentation due to language that is hardcoded in the user interfaces of the product software, language used based on RFP documentation, or language that is used by a referenced third-party product. Learn more about how Cisco is using Inclusive Language.
このセクションでは、DHCP グリーニングについて説明します。
インターフェイスがレイヤ 2 インターフェイスとして設定されていることを確認します。
グローバルスヌーピングが有効になっていることを確認します。
グリーニングは、Dynamic Host Configuration Protocol(DHCP)リレーエージェントによってメッセージが転送されるときに、DHCP メッセージからロケーション情報を抽出するのに役立ちます。このプロセスは完全にパッシブなスヌーピング機能であり、DHCP パケットのブロックも変更も行われません。またグリーニングは、エンドユーザに接続されている信頼できないデバイスポートと、DHCP サーバに接続されている信頼できるポートを区別するのに役立ちます。
DHCP グリーニングは、コンポーネントが DHCP バージョン 4 パケットのみを登録およびグリーニングできるようにする読み取り専用 DHCP スヌーピング機能です。DHCP グリーニングを有効にすると、DHCP スヌーピングが無効になっているすべてのアクティブインターフェイスで読み取り専用スヌーピングが実行されます。プライベート VLAN にセカンダリ VLAN を追加できます。セカンダリ VLAN をプライベート VLAN に追加する場合は、プライマリ VLAN でスヌーピングが無効になっている場合でも、セカンダリ VLAN でグリーニングが有効になっていることを確認します。デフォルトでは、グリーニング機能は無効になっています。ただし、デバイスセンサーを有効にすると、DHCP グリーニングが自動的に有効になります。
Dynamic Host Configuration Protocol(DHCP)スヌーピングは、信頼できないホストと信頼された DHCP サーバとの間のファイアウォールのように機能するセキュリティ機能です。DHCP スヌーピング機能では、次のアクティビティが実行されます。
信頼できないソースからの DHCP メッセージを検証し、無効なメッセージをフィルタ処理して除外する。
信頼できるソースおよび信頼できないソースからの DHCP トラフィックのレートを制限する。
DHCP スヌーピング バインディング データベースを構築し、管理します。このデータベースには、リース IP アドレスがある信頼できないホストに関する情報が保存されています。
DHCP スヌーピング バインディング データベースを使用して、信頼できないホストからの以降の要求を検証します。
動的な Address Resolution Protocol(ARP)などの他のセキュリティ機能でも、DHCP スヌーピング バインディング データベースに保存されている情報が使用されます。
DHCP スヌーピングは、VLAN ベースごとにイネーブルに設定されます。デフォルトでは、すべての VLAN でこの機能は非アクティブです。この機能は、1 つの VLAN または特定の VLAN 範囲で有効にできます。
デバイスでの DHCP グリーニングを有効化または無効化できます。DHCP メッセージの信頼された送信元または信頼できない送信元としてインターフェイスを設定できます。信頼できないインターフェイスまたはデバイスポートで DHCP グリーニングが有効になっている場合、DHCP パケットがドロップされないことを確認します。
(注) |
デフォルトでは、DHCP グリーニングは無効になっています。 |
DHCP の信頼状態は、次のタイプのインターフェイスに設定できます。
レイヤ 2 イーサネット インターフェイス
レイヤ 2 ポート チャネル インターフェイス
(注) |
デフォルトでは、すべてのインターフェイスは信頼できません。 |
コマンドまたはアクション | 目的 | |
---|---|---|
ステップ 1 |
enable 例:
|
特権 EXEC モードを有効にします。
|
ステップ 2 |
configure terminal 例:
|
グローバル コンフィギュレーション モードを開始します。 |
ステップ 3 |
ip dhcp snooping glean 例:
|
インターフェイスで DHCP グリーニングを有効にします。 |
ステップ 4 |
interface type number 例:
|
インターフェイス コンフィギュレーション モードを開始します。type number は、DHCP スヌーピングのために信頼状態を設定するレイヤ 2 イーサネット インターフェイスです。 |
ステップ 5 |
[no] ip dhcp snooping trust 例:
|
DHCP スヌーピングに関してインターフェイスを信頼できるインターフェイスとして設定します。no オプションを使用すると、ポートは信頼できないインターフェイスとして設定されます。 |
ステップ 6 |
end 例:
|
インターフェイス コンフィギュレーション モードを終了し、特権 EXEC モードに戻ります。 |
ステップ 7 |
show ip dhcp snooping statistics 例:
|
信頼できないインターフェイスとして設定されたデバイスポートでドロップされたパケットを表示します。 |
ステップ 8 |
show ip dhcp snooping 例:
|
DHCP グリーニングに関する情報など、DHCP スヌーピングの設定情報を表示します。 |
Dynamic Host Configuration Protocol(DHCP)グリーニングを有効にし、インターフェイスを信頼されたインターフェイスとして設定する例を示します。
Device> enable
Device# configure terminal
Device(config)# ip dhcp snooping glean
Device(config)# interface gigabitEthernet 1/0/1
Device(config-if)# ip dhcp snooping trust
Device(config-if)# end
標準/RFC | タイトル |
---|---|
RFC-2131 |
『Dynamic Host Configuration Protocol』 |
RFC-4388 |
DHCP リースクエリ |
説明 | リンク |
---|---|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
次の表に、このモジュールで説明した機能に関するリリース情報を示します。この表は、ソフトウェア リリース トレインで各機能のサポートが導入されたときのソフトウェア リリースだけを示しています。その機能は、特に断りがない限り、それ以降の一連のソフトウェア リリースでもサポートされます。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator にアクセスするには、www.cisco.com/go/cfn に移動します。Cisco.com のアカウントは必要ありません。
機能名 |
リリース |
機能情報 |
---|---|---|
DHCP グリーニング |
Cisco IOS XE Fuji 16.8.1a |
DHCP グリーニングは、コンポーネントが DHCP バージョン 4 パケットのみを登録およびグリーニングできるようにする読み取り専用 DHCP スヌーピング機能です。 |