コンフィグレーションガイド Vol.2
- <この項の構成>
- (1) ポートの種別
- (2) 端末情報の学習
- (3) バインディングデータベースの保存
- (4) DHCPパケットの検査
(1) ポートの種別
DHCP snoopingでは,ポートを次の種別に分類して,DHCPパケットを監視します。
- trustポート
DHCPサーバや部門サーバなど,信頼済みの端末を接続するポートをtrustポートと呼びます。
- untrustポート
DHCPクライアントなど,信頼されていない端末を接続するポートをuntrustポートと呼びます。
DHCPサーバは接続しません。
ポートの種別を次の図に示します。
図12-2 ポートの種別
コンフィグレーションコマンドip dhcp snoopingでDHCP snoopingを有効にすると,デフォルトですべてのポートがuntrustポートになります。DHCPサーバへ接続するポートをtrustポートとして設定してください。trustポートはコンフィグレーションコマンドip dhcp snooping trustで設定できます。
なお,DHCP snoopingでは,コンフィグレーションコマンドip dhcp snooping vlanで指定したVLANを監視対象にします。
(2) 端末情報の学習
端末情報の学習の動作概要を次の図に示します。
図12-3 端末情報の学習の動作概要
trustポートでは,受信したDHCPサーバからのパケットを監視し,IPアドレスが配布された場合にはバインディングデータベースに端末情報を登録します。バインディングデータベースへの登録対象は,untrustポートに接続した端末の端末情報です。
untrustポートでは,受信したDHCPクライアントからのパケットを監視し,IPアドレスの解放要求の場合にはバインディングデータベースから端末情報を削除します。
バインディングデータベースの登録には,次の二つの種類があります。
- ダイナミック登録
DHCPサーバからIPアドレスが配布されたときに登録します。
通常は,ダイナミック登録によって端末情報を登録します。
- スタティック登録
コンフィグレーションコマンドip source bindingで登録します。
スタティック登録は,untrustポートに固定IPアドレスを持つ部門サーバなどを接続するときに利用します。バインディングデータベースに端末情報をスタティック登録することで通信を許可できます。
バインディングデータベースに登録する端末情報を次の表に示します。
表12-2 バインディングデータベースに登録する端末情報
項目 ダイナミック登録 スタティック登録 端末のMACアドレス DHCPクライアントのMACアドレス 固定IPアドレスを持つ端末のMACアドレス 端末のIPアドレス DHCPサーバから配布されたIPアドレス 固定IPアドレスを持つ端末のIPアドレス 次に示す範囲が有効
- 1.0.0.0 〜 126.255.255.255
- 128.0.0.0 〜 223.255.255.255
端末が所属するVLAN 端末を接続するポートまたはチャネルグループの所属するVLAN ID 端末を接続するポート番号 端末を接続するポート番号またはチャネルグループ番号 エージング時間 エージングによってエントリを削除するまでの時間
なお,DHCPサーバから配布されたIPアドレスのリース時間を適用します。エージング対象外
(3) バインディングデータベースの保存
コンフィグレーションの設定によって,バインディングデータベースの保存および装置再起動時の復元ができます。
(a) バインディングデータベースの保存の動作条件
バインディングデータベースを保存するには,コンフィグレーションコマンドip dhcp snooping database urlを設定します。
実際に保存が開始されるのは,コンフィグレーションで設定された書き込み待ち時間満了時です。
(b) 書き込み待ち時間満了時の保存
書き込み待ち時間とは,バインディングデータベース保存時の,保存契機から書き込むまでの待ち時間です。次のどれかを保存契機としてタイマを開始し,タイマが満了した時点で指定した保存先へ保存します。
- ダイナミックのバインディングデータベースの登録,更新,または削除時
- コンフィグレーションコマンドip dhcp snooping database url設定時(保存先の変更を含む)
- 運用コマンドclear ip dhcp snooping binding実行時
書き込み待ち時間は,コンフィグレーションコマンドip dhcp snooping database write-delayで設定できます。
これらの保存契機で書き込み待ち時間のタイマを開始すると,タイマ満了までタイマは停止しません。この間にバインディングデータベースの登録,更新,または削除が発生してもタイマは再開始しません。
保存契機と書き込み待ち時間との関係を次の図に示します。なお,この図ではバインディングデータベースへの登録を保存契機としています。
図12-4 保存契機と書き込み待ち時間との関係
(c) バインディングデータベースの保存先
保存先には,内蔵フラッシュメモリとMCのどちらかを選択できます。保存先はコンフィグレーションコマンドip dhcp snooping database urlで設定します。
保存対象は,書き込み時点の全エントリです。また,次の書き込み時には上書きされます。
(d) 保存したバインディングデータベースの復元
保存したバインディングデータベースは,装置起動時に復元します。復元には,装置起動時に次の条件をどちらも満たしている必要があります。
- コンフィグレーションコマンドip dhcp snooping database urlで保存先が設定されている
- 保存先がMCの場合,保存したファイルのMCが挿入されている
(4) DHCPパケットの検査
DHCPパケット検査の動作概要を次の図に示します。
図12-5 DHCPパケット検査の動作概要
untrustポートに接続された端末を対象にDHCPパケットを監視し,次に示すアクセスを除外します。
- 信頼されていないDHCPサーバからのIPアドレス配布を抑止
untrustポートで,信頼されていないDHCPサーバからのDHCPパケットを受信した場合,該当するDHCPパケットを廃棄します。これによって,信頼されていないDHCPサーバからのIPアドレス配布を抑止します。
- 信頼されていないDHCPクライアントからのIPアドレス解放を抑止
untrustポートで,バインディングデータベース未登録の端末からIPアドレス解放要求を受信した場合,該当するDHCPパケットを廃棄します。これによって,DHCPサーバからIPアドレスを配布されていない端末からのIPアドレス解放を抑止します。
また,同様にIPアドレス重複検出通知,リース時間更新,およびオプション情報取得要求を受信したときもDHCPパケットを廃棄します。これによって,信頼されていないDHCPクライアントからの不正なIPアドレスの解放,IPアドレスの取得,およびオプションの取得を抑止します。
- MACアドレスの詐称を抑止
untrustポートで,受信したDHCPパケットの送信元MACアドレス(Source MAC Address)と,DHCPパケット内のクライアントハードウェアアドレス(chaddr)が不一致の場合,該当するDHCPパケットを廃棄します。これによって,MACアドレスの詐称を抑止します。
- Option82の詐称を抑止
untrustポートで,受信したDHCPパケットにOption82が付与されている場合,該当するDHCPパケットを廃棄します。これによって,Option82の詐称を抑止します。
All Rights Reserved, Copyright(C), 2017, 2020, ALAXALA Networks, Corp.