DHCPスヌーピングの機能説明

DHCPスヌーピングは、正規のDHCPサーバーからIPアドレスを配布されたDHCPクライアントにのみ、内部ネットワークへのアクセスを許可する機能です。装置全体でDHCPスヌーピングを有効化するには、dhcp-snooping enableコマンドを使用します。DHCPスヌーピングを有効にするインターフェースの設定には、dhcp-snooping interfaceコマンドを使用します。

DHCPスヌーピングでは、DHCPサーバーとDHCPクライアントの間でやりとりされるDHCPパケットをのぞき見る（スヌーピングする）ことで、以下の内容を実現します。

• DHCPスヌーピングを有効にしたインターフェースでDHCP offerパケットの受信をブロックすることにより、不正に設置されたDHCPサーバーによるIPアドレスの配布を禁止
• 固定IPアドレス端末や、正規DHCPサーバー以外からIPアドレスを取得した不正DHCPクライアントからのアクセスを禁止
• ARP詐称（ARPスプーフィング）を起点とした盗聴の防止

DHCPスヌーピング

DHCPスヌーピングのスタティックエントリー

DHCPスヌーピングを有効にしたインターフェースに固定IPアドレス端末を接続すると、デフォルトではアクセスが禁止されますが、スタティックエントリーを登録することにより、固定IPアドレス端末を許可できます。スタティックエントリーを登録するには、dhcp-snooping static-entryコマンドを使用します。