12.1.1　概要

DHCP snoopingは，本装置を通過するDHCPパケットを監視して，信頼されていない端末からのアクセスを制限する機能です。

また，信頼されていない端末からのIPv4パケットを制限する端末フィルタや，不正なARPパケットを廃棄するダイナミックARP検査もサポートしています。

DHCP snoopingは，次の図に示すようにDHCPサーバとDHCPクライアントの間に本装置を接続して使用します。

図12‒1　DHCP snooping概要

端末情報の登録先をバインディングデータベースと呼びます。

DHCP snoopingでサポートする機能を次の表に示します。

表12‒1　DHCP snoopingでサポートする機能
項目	機能の概要
DHCPパケットの監視	DHCPサーバからIPアドレスを配布されたDHCPクライアントを監視し，端末情報をバインディングデータベースで管理
固定IPアドレスを持つ端末の登録	バインディングデータベースへ端末情報をスタティックに登録
バインディングデータベースの保存	バインディングデータベースの保存および装置再起動時の復元
DHCPパケットの検査	信頼されていないDHCPサーバからのIPアドレス配布を抑止信頼されていないDHCPクライアントからのIPアドレス解放を抑止 MACアドレスの詐称を抑止 Option82の詐称を抑止
DHCPパケットの受信レート制限	設定した受信レートを超えたDHCPパケットを廃棄
端末フィルタ	信頼されていない端末からのIPv4パケットの中継を抑止
ARPパケットの検査	信頼されていない端末からのARPパケットの中継を抑止 MACアドレスおよびIPアドレスの詐称を抑止
ARPパケットの受信レート制限	設定した受信レートを超えたARPパケットを廃棄