DHCPスヌーピング : ネットワークスペシャリスト

ネットワークスペシャリスト - SE娘の剣 -

ネットワークスペシャリストの試験対策サイト（by 左門至峰の株式会社エスエスコンサルティング）です。ネットワークスペシャリスト試験の
勉強方法、合格体験談、合格のコツ、過去問解説、基礎知識などの情報を掲載します。試験対策セミナー・研修も行っております。
ネットワークスペシャリスト試験対策・勉強なら左門至峰の最も詳しい過去問解説「ネスペ」シリーズ（技術評論社）で！！

ネットワークスペシャリスト試験の過去問（H25年秋NW午後Ⅰ問2）では、以下の記述がある。

L2SW及びSWがもつDHCPスヌーピング機能を使用する。この機能によって，L2SW及びSWは，正規のDHCPサーバと端末間で通信されるDHCPメッセージを，通過するポートの場所を含めて監視する。さらに，正規のDHCPサーバからIPアドレスを割り当てられた端末だけが通信できるように，ポートのフィルタを自動制御する。

スヌーピングとは，「のぞき見する」という意味です。つまり、DHCPのパケットをのぞき見し、不正な通信をブロックします。具体的に、今回のDHCPスヌーピングの機能は以下です。

正規のDHCPサーバを接続するポートを指定する機能
指定したポート以外にDHCPサーバを接続しても、DHCPの払い出しをさせません。もし、指定したポート以外からDHCP OFFERやDHCP ACKが届いたとしても、そのフレームをSWが破棄します。

正規のDHCPサーバからIPアドレスを割り当てたPCだけを通信させる機能
DHCPのパケットをスヌーピングし、正規のDHCPからIPアドレスを払い出されたPCだけを通過させます。PCの特定はMACアドレスで行います。さらには，利用者が勝手に固定IPアドレスを割当てたPCの通信も拒否します。
DHCPスヌーピングの機能

CatalystでのDHCPスヌーピングの設定を紹介します。

SW(config)# ip dhcp snooping 　←DHCPスヌーピングを有効化
SW(config)# ip dhcp snooping vlan 10　←DHCPスヌーピングを有効にするVLANを指定
SW(config)# interface fastethernet0/24　←上記①の設定
SW(config-if)# ip dhcp snooping trust　　←　　〃
SW(config)# interface fastethernet0/1　　　　　　　←上記②の設定
SW(config-if)# ip verify source port-security　　　←　　　　〃

少し補足します。①の設定は、DHCPサーバを接続する24番ポートをtrust（信頼された）として設定します。この設定をしないポートはuntrust（信用されない）という設定になり、DHCPサーバを接続してもDHCPのフレームが破棄されます。
②の設定は、DHCPスヌーピングにIP Source Guardを付加しています。1番ポートでは、正規の端末以外からの通信を拒否します。「verify」とは「正しいかどうかを確かめる」という意味です。

スポンサードリンク