Layer 2 Security DHCP Snooping and the Information Option

REFERENCE

Configuring DHCP Features and IP Source Guard

MEMO

  • DHCPリレー有りの環境を想定している
  • DHCPリレーを使うとエージェントが代理となるので、DHCPサーバはどのクライアントか理解できない
  • エージェントが送るメッセージにはSWのMACアドレスとポート番号が入っている
    ⇒DHCPサーバはその情報でクライアントをユニークにできる
  • DHCPサーバがOP82をサポートしていないとIPが払い出せないので、その場合はエージェント側を
    no ip dhcp snooping information option で無効化する

[CL]—–[SW1]—–[SW2]—–[SV]

  • このようにSWが続く構成の場合、DHCPサーバが接続されないポートはuntrust になる
  • DHCP Snooping はuntrust からOP82が入ったパケットがくると破棄する
    ip dhcp snooping information option allow-untrusted で回避

デフォルトで有効なのでこれはなくても可

(config)# ip dhcp snooping informaiton option

DHCP Snooping はuntrust からOP82が入ったパケットがくると破棄するのでそれを回避

(config)# ip dhcp snooping informaiton option allow-untrusted

SWにIDを付与、これをしないとデフォルトでSWのMACアドレス

(config)# ip dhcp snooping information option format remote-id string SWITCH1

ClientをユニークするにはSWの他にポート単位にIDが必要なので付与

(config)# interface XXXXX
(config-if)# ip dhcp snooping vlan 10 information option format-type circuit-id string PORT1

コメント