ウィルス、サービス妨害(DoS)攻撃、サービス不正使用攻撃により、未使用のアドレスを探し出すために IP アドレス範囲のスキャンが開始された場合、問題が発生することがあります。Cisco CMTS ルータが不明な IP アドレスを検証しているときに、この種のスキャンによって大量の DHCP リースクエリが生成されて、次の問題が発生する可能性があります。
-
Cisco CMTS ルータ PRE カードによる CPU 使用率が高くなる。
-
DHCP サーバの使用率が高くなり、応答が遅くなったり無応答になったりする。
-
Cisco CMTS ルータまたは DHCP サーバ(あるいは設定済みの代替サーバ)によってパケットがドロップされる。
-
ケーブル インター フェースで他の顧客が利用できる帯域幅がなくなる。
このような大量のリースクエリ要求がケーブル インターフェイスで発生しないようにするには、アップストリーム インターフェイス、ダウンストリーム インターフェイス、またはその両方で、これらの要求のフィルタリングを有効にできます。ケーブル DHCP リースクエリ機能を有効にすると、Cisco CMTS は、設定された期間中、サービス ID(SID)ごとに特定の数の DHCP リースクエリ要求だけをインターフェイスで許可します。ある SID が最大許容数を超えるリースクエリを生成すると、ルータは次の設定期間が始まるまで、最大許容数を超える過剰な要求をドロップします。
DHCP サーバ(または設定済みの代替サーバ)とケーブル ネットワークの機能に合わせて、DHCP リースクエリ要求の許容数と間隔を設定できます。
DHCP リースクエリ要求を DHCP サーバに送信するように Cisco CMTS ルータを設定するには、cablesource-verifydhcp andnocablearp コマンドを使用します。ケーブル インターフェイス上でケーブル モデムを使用する顧客宅内機器(CPE)デバイスのパケット内で不明な IP アドレスが見つかると、それが検証されます。この IP アドレスが割り当てられている CPE デバイスが存在する場合、そのデバイスの DHCP リレー情報とリース情報を含む DHCP ACK メッセージが DHCP サーバから返されます。
cablesource-verifydhcp コマンドと nocablearp コマンドが設定されている場合、ケーブル バンドル インターフェイスで設定されている IP アドレス範囲内の不明な IP アドレスを検証するために、ダウンストリーム パケットに関する DHCP リースクエリが送信されます。
DHCP リース クエリがダウンストリーム方向で機能するためには、Cisco Network Registrar(CNR)が DHCP Option 82 を認識する必要があります。CMTS で CPE IP アドレスを正しい CM にマッピングするためには、これが必要です。これを行うには、DHCP DISCOVER メッセージの中にサービス クラス リレー エージェント オプションを挿入するよう、バンドル インターフェイスで ipdhcprelayinformationoption コマンドを設定します。このように設定すると、DHCP DISCOVER 実行中に DHCP Option 82 の値が CNR によりキャッシュに入れられ、その IP アドレスに関する後続の DHCP リースクエリでこの値が CMTS に返されます。
DHCP リースクエリ要求を DHCP サーバ以外のサーバに送るように Cisco CMTS ルータを設定するには、cablesource-verifydhcpserveripaddressandnocablearp コマンドを使用します。
Cisco CMTS では、シスコの標準に従った DHCP リースクエリ、および RFC 4388 標準準拠の DHCP リースクエリの 2 種類の DHCP リースクエリ実装がサポートされます。これらの 2 つの標準の主な違いは、クエリまたは DHCP サーバへの応答で使用される識別子です。DHCP サーバでサポートされている標準に応じて、いずれかの実装を選択できます。
Cisco モードまたは RFC 4388 標準モードで Cisco CMTS を設定するには、ipdhcpcompatibility lease-query client {cisco | standard} コマンドを使用します。