第6編
AccessDefender

DHCPスヌーピングの仕組み

DHCPスヌーピングには、DENYモードとPERMITモードの2つの動作モードがあります。DHCPスヌーピングを有効にしたインターフェースがDENYモードの場合は、登録されたクライアントからの通信(IPv4、ARP)が許可され、それ以外のクライアントからの通信(IPv4、ARP)が制限されます。PERMITモードの場合は、未登録クライアントからの通信(IPv4、ARP)も許可されます。

補 足

DHCPスヌーピングの動作モードにかかわらず、DHCPスヌーピングだけを有効にしたインターフェースでは、非IPパケットは制限されません。

補 足

DHCPv6スヌーピングは未サポートです。IPv6パケットは、動作モードがDENYモードの場合は制限されますが、PERMITモードの場合は制限されません。

動作モードは手動でDENYモードに設定するか、または自動切り替えタイマーでPERMITモードからDENYモードに切り替えることができます。自動切り替えタイマーを設定すると、装置が起動してDHCPスヌーピングが有効になってから一定時間はPERMITモードで動作し、自動切り替えタイマーが満了するとDENYモードに切り替わります。手動でDENYモードに設定するには、dhcp-snooping mode denyコマンドを使用します。自動切り替えタイマーを設定するには、dhcp-snooping mode timerコマンドを使用します。

登録されたDHCPスヌーピングエントリーは、クライアントからDHCP Releaseパケットを受信すると削除されます。また、DHCP Releaseパケットを受信しなかった場合でも、DHCPサーバーから払い出されたリース期間が経過すると、DHCPスヌーピングエントリーは削除されます。

DENYモード

DENYモードの場合は、登録されたクライアントからの通信(IPv4、ARP)が許可され、それ以外のクライアントからの通信(IPv4、ARP)が制限されます。DENYモードの動作フローは下図のとおりです。

DENYモードの動作フロー

PERMITモード

PERMITモードの場合は、登録されたクライアントだけでなく、未登録クライアントからの通信(IPv4、ARP)も許可されます。

PERMITモードの動作フロー

ページトップへ