ページの本文へ

設定例5:DHCP-Snooping

構成

機能の図解

設定例(AEOS8)

基本設定  
hostname A-Def ホスト名の設定
logging ip 192.168.1.100 local0 notice syslogサーバの設定
vlan database
 vlan 10 name v10
 vlan 100 name mgmt
VLANの設定
・ユーザー所属VLAN名 : "v10"
・管理用VLAN名 : "mgmt"
interface port 1/1-46
 switchport access vlan 10
ユーザー向け物理インタフェース(port 1-46)の設定
※ 暫定VLANをaccessポートとして設定します。
※ 認証前のポートは孤立状態のため、未認証端末同士も通信不可です。
interface lag 1
 switchport mode trunk
 switchport trunk add 10,100
interface port 1/47-48
 link-aggregation 1
Uplink向け物理インターフェース(port 47-48)の設定
interface vlan 10
 ip address 10.1.10.1/24
ユーザー所属VLANのアドレス設定
interface vlan 100
 ip address 192.168.100.1/24
管理用VLANのアドレス設定
ip route 0.0.0.0/0 192.168.100.254 デフォルトルートの設定
■ AccessDefender設定
access-defender
 packet-filter2 max-rule 128
 dhcp-authentication port 1/1-46
 dhcp-snooping mode timer 600
 dhcp-snooping static-entry port 1/2 10.1.10.99
AccessDefenderの設定
・最大認証端末(128台)
・DHCP-Snoopingポート(1-46)
・DENYモード切替時間の設定(600秒)
・スタティックエントリでプリンタ(ポート2, 固定IP:10.1.10.99)を許可
dhcp-authentication enable DHCP-Snoopingの有効化

設定例(AEOS7)

基本設定  
hostname A-Def ホスト名の設定
logging ip 192.168.1.100 local0 notice syslogサーバの設定
vlan database
 vlan 10 name v10
 vlan 100 name mgmt
VLANの設定
・ユーザー所属VLAN名 : "v10"
・管理用VLAN名 : "mgmt"
interface port 1-44
 switchport access vlan 10
interface port 45-46
 media utp
 switchport access vlan 10
ユーザー向け物理インタフェース(port 1-46)の設定
※ 暫定VLANをaccessポートとして設定します。
※ 認証前のポートは孤立状態のため、未認証端末同士も通信不可です。
interface port 47-48
 utp auto-negotiation disable
 utp link-speed-duplex 100m/full
media utp
 switchport mode trunk
 switchport trunk add 10,100
 link-aggregation 1
Uplink向け物理インターフェース(port 47-48)の設定
※ link-aggregationを組むため全IFのポート速度を固定します。
interface vlan 10
 ip address 10.1.10.1/24
ユーザー所属VLANのアドレス設定
interface vlan 100
 ip address 192.168.100.1/24
管理用VLANのアドレス設定
ip route 0.0.0.0/0 192.168.100.254 デフォルトルートの設定
■ AccessDefender設定
access-defender
 packet-filter2 max-rule 128
 dhcp-snooping port 1-46
 dhcp-snooping mode timer 600
 dhcp-snooping static-entry port 2 10.1.10.99
AccessDefenderの設定
・最大認証端末(128台)
・DHCP-Snoopingポート(1-46)
・DENYモード切替時間の設定(600秒)
・スタティックエントリでプリンタ(ポート2, 固定IP:10.1.10.99)を許可
dhcp-authentication enable DHCP-Snoopingの有効化

設定項目一覧

★:必須設定項目

No. 項目 デフォルト設定 備考
1 AccessDefender有効化★ disable
2 認証ポート★ なし  
3 最大接続台数
  ポート番号
  1ポートあたり
  装置あたり★

なし
なし
なし
 
4 静的フィルター登録(※1)
自動切換えモードタイマー(※2)
なし
なし
 
5 syslog(IP/facility/priority) なし  
6 packet-filter2 強制転送(認証バイパス) なし  

※1 ポートに対して、静的にフィルターを登録することで、DHCP-Snoopingが有効なポートであっても、特定の固定IP 端末からの通信を許可します。
※2 PERMITモードで起動後、自動的にDENYモードに切替わるまでの時間です。

補足事項

DENYモード/PERMITモード

  • DHCP-SnoopingにはDENYモード/PERMITモードの2つのモードがあり、DENYモードはDHCPクライアント情報の収集とアクセス制限を行ないますが、PERMITモードはDHCPクライアント情報の収集のみを行ないアクセス制限を行ないません。
  • デフォルトではPERMITモードで動作するため、DHCP-Snoopingによるアクセス制限を行なうためにはPERMITモードからDENYモードへの切り替えタイマーを設定する必要があります。本設定によりスイッチ起動後暫くの間はDHCPクライアント情報の収集のみを行ない、クライアント情報が十分に収集できる時間の経過後にアクセス制御を開始することが可能となりますので、スイッチがリブートしてしまった場合などDHCPクライアント情報がクリアされてしまうことで全クライアントがアクセス制限されてしまうようなケースを救うことが可能となります。
  • PERMITモードからDENYモードへの切り替えタイマーを設定していない場合は、PERMITモードのまま動作し続けるため適切なアクセス制限が行なわれません。モード切り替えタイマーは必ず設定してください。
  • PERMITモードでは固定IPアドレスの機器も通信が許可されます。

基本設定

  • 正規DHCPサーバーが接続されるポートはDHCP-Snoopingの対象ポートから除外する必要があります。
  • AEOS7の7.21.01より前のバージョンでは、DHCP-Snoopingを有効とするVLANには必ずIPアドレスを付与する必要があります。
    7.21.01以降、およびAEOS8ではIPアドレスを付与しなくとも動作します。

注意事項、制限事項など

  • DHCP-SnoopingとDHCPリレー機能またはDHCPサーバー機能を併用することはできません。従ってDHCP-SnoopingとWEB認証/Dynamic VLANを併用する場合、暫定DHCPサーバーはAPRESIA内部ではなくAPRESIA外部に持たせる必要があります。
  • DHCP-SnoopingではDHCPクライアント情報が登録されているポートがリンクダウンしても情報のクリアは行なわれず、リースタイマ経過によるクリアが行なわれます。
ページの先頭へ