DHCP snooping

DHCP snoopingとは

端的に言うとDHCPサーバーを偽装して接続されたり、不正端末の通信を防ぐ技術の一つです。

サーバーが接続されてるべきポートとクライアントが接続されるべきポートを選択することで、Descover,Offer,RequestやAckなどのパケットを制御するわけです。

設定例

サーバーが刺さっているSW

(config)#ip dhcp snooping

(config)#ip dhcp snooping vlan XX

(config)#interface XX

(config-if)#ip dhcp snooping trust

これで、Trustに刺さっているサーバーは固定IPアドレスなどで問題なく通信できますが、Trustが設定されていないポートに接続された端末はDHCPでIPアドレスを割り振られていないと通信ができなくなります。

注意点としては、プリンタなどの固定IPアドレス系のものが接続されているのであればすべてTrust設定する必要があるということです。

仕組みとしてはTrustが設定されていないポートについて以下の情報をもちます。

・MAC address

・VLAN

・ポート番号

などなど。

おまけ

送信元IPアドレスを偽装して送信しようとする端末を防ぐためにIPソースガードという機能があります。

それにはTrustされてないポートに以下のコマンドを打ちます。

(config-if)#ip verify source 

また、オプション８２に対応しているDHCPサーバーだと以下のコマンドも有効です。

(config)#ip dhcp snooping information option

総評

忘れないうちにメモしとけと、私のノートに書いてたのでメモしておきます。

実機かVirlなどがあれば確認できたんでしょうが、貧弱回線でもあるし微妙ですね。。。

わかってそうでわからない言葉でもあるのでしっかり確認しておきたいものです。