12.1.2 DHCPパケットの監視
(1) ポートの種別
DHCP snoopingでは,ポートを次の種別に分類して,DHCPパケットを監視します。
-
DHCPサーバや部門サーバなど,信頼済みの端末を接続するポートをtrustポートと呼びます。
-
DHCPクライアントなど,信頼されていない端末を接続するポートをuntrustポートと呼びます。
DHCPサーバは接続しません。
ポートの種別を次の図に示します。
|
|
![[図データ]](./GRAPHICS/ZU216020.GIF)
コンフィグレーションコマンドip dhcp snoopingでDHCP snoopingを有効にすると,デフォルトですべてのポートがuntrustポートになります。DHCPサーバへ接続するポートをtrustポートとして設定してください。trustポートはコンフィグレーションコマンドip dhcp snooping trustで設定できます。
なお,DHCP snoopingでは,コンフィグレーションコマンドip dhcp snooping vlanで指定したVLANを監視対象にします。
(2) 端末情報の学習
端末情報の学習の動作概要を次の図に示します。
|
|
![[図データ]](./GRAPHICS/ZU216030.GIF)
trustポートでは,受信したDHCPサーバからのパケットを監視し,IPアドレスが配布された場合にはバインディングデータベースに端末情報を登録します。バインディングデータベースへの登録対象は,untrustポートに接続した端末の端末情報です。
untrustポートでは,受信したDHCPクライアントからのパケットを監視し,IPアドレスの解放要求の場合にはバインディングデータベースから端末情報を削除します。
バインディングデータベースの登録には,次の二つの種類があります。
-
ダイナミック登録
DHCPサーバからIPアドレスが配布されたときに登録します。
通常は,ダイナミック登録によって端末情報を登録します。
-
スタティック登録
コンフィグレーションコマンドip source bindingで登録します。
スタティック登録は,untrustポートに固定IPアドレスを持つ部門サーバなどを接続するときに利用します。バインディングデータベースに端末情報をスタティック登録することで通信を許可できます。
バインディングデータベースに登録する端末情報を次の表に示します。
|
項目 |
ダイナミック登録 |
スタティック登録 |
|---|---|---|
|
端末のMACアドレス |
DHCPクライアントのMACアドレス |
固定IPアドレスを持つ端末のMACアドレス |
|
端末のIPアドレス |
DHCPサーバから配布されたIPアドレス |
固定IPアドレスを持つ端末のIPアドレス |
|
次に示す範囲が有効
|
||
|
端末が所属するVLAN |
端末を接続するポートまたはチャネルグループの所属するVLAN ID |
|
|
端末を接続するポート番号 |
端末を接続するポート番号またはチャネルグループ番号 |
|
|
エージング時間 |
エージングによってエントリを削除するまでの時間 なお,DHCPサーバから配布されたIPアドレスのリース時間を適用します。 |
エージング対象外 |
(3) バインディングデータベースの保存
コンフィグレーションの設定によって,バインディングデータベースの保存および装置再起動時の復元ができます。
(a) バインディングデータベースの保存の動作条件
バインディングデータベースを保存するには,コンフィグレーションコマンドip dhcp snooping database urlを設定します。
実際に保存が開始されるのは,コンフィグレーションで設定された書き込み待ち時間満了時です。
(b) 書き込み待ち時間満了時の保存
書き込み待ち時間とは,バインディングデータベース保存時の,保存契機から書き込むまでの待ち時間です。次のどれかを保存契機としてタイマを開始し,タイマが満了した時点で指定した保存先へ保存します。
-
ダイナミックのバインディングデータベースの登録,更新,または削除時
-
コンフィグレーションコマンドip dhcp snooping database url設定時(保存先の変更を含む)
-
運用コマンドclear ip dhcp snooping binding実行時
書き込み待ち時間は,コンフィグレーションコマンドip dhcp snooping database write-delayで設定できます。
これらの保存契機で書き込み待ち時間のタイマを開始すると,タイマ満了までタイマは停止しません。この間にバインディングデータベースの登録,更新,または削除が発生してもタイマは再開始しません。
保存契機と書き込み待ち時間との関係を次の図に示します。なお,この図ではバインディングデータベースへの登録を保存契機としています。
|
|
![[図データ]](./GRAPHICS/ZU216040.GIF)
(c) バインディングデータベースの保存先
保存先には,内蔵フラッシュメモリとMCのどちらかを選択できます。保存先はコンフィグレーションコマンドip dhcp snooping database urlで設定します。
保存対象は,書き込み時点の全エントリです。また,次の書き込み時には上書きされます。
(d) 保存したバインディングデータベースの復元
保存したバインディングデータベースは,装置起動時に復元します。復元には,装置起動時に次の条件をどちらも満たしている必要があります。
-
コンフィグレーションコマンドip dhcp snooping database urlで保存先が設定されている
-
保存先がMCの場合,保存したファイルのMCが挿入されている
(4) DHCPパケットの検査
DHCPパケット検査の動作概要を次の図に示します。
|
|
![[図データ]](./GRAPHICS/ZU216050.GIF)
untrustポートに接続された端末を対象にDHCPパケットを監視し,次に示すアクセスを除外します。
-
信頼されていないDHCPサーバからのIPアドレス配布を抑止
untrustポートで,信頼されていないDHCPサーバからのDHCPパケットを受信した場合,該当するDHCPパケットを廃棄します。これによって,信頼されていないDHCPサーバからのIPアドレス配布を抑止します。
-
信頼されていないDHCPクライアントからのIPアドレス解放を抑止
untrustポートで,バインディングデータベース未登録の端末からIPアドレス解放要求を受信した場合,該当するDHCPパケットを廃棄します。これによって,DHCPサーバからIPアドレスを配布されていない端末からのIPアドレス解放を抑止します。
また,同様にIPアドレス重複検出通知,リース時間更新,およびオプション情報取得要求を受信したときもDHCPパケットを廃棄します。これによって,信頼されていないDHCPクライアントからの不正なIPアドレスの解放,IPアドレスの取得,およびオプションの取得を抑止します。
-
MACアドレスの詐称を抑止
untrustポートで,受信したDHCPパケットの送信元MACアドレス(Source MAC Address)と,DHCPパケット内のクライアントハードウェアアドレス(chaddr)が不一致の場合,該当するDHCPパケットを廃棄します。これによって,MACアドレスの詐称を抑止します。
-
Option82の詐称を抑止
untrustポートで,受信したDHCPパケットにOption82が付与されている場合,該当するDHCPパケットを廃棄します。これによって,Option82の詐称を抑止します。