DHCPスヌーピングの構成例と設定例
DHCPスヌーピングの構成例と設定例を示します。
DHCPスヌーピングの設定例
DHCPスヌーピングの構成例と設定例を示します。この例では以下のように設定しています。
| 項目 | 設定 |
|---|---|
| 認証クライアントの最大数 | 256 |
| DHCPスヌーピング有効ポート | ポート1/0/1からポート1/0/5 |
| DHCPスヌーピングの動作モード | DENYモード固定 |
| スタティックエントリー | ポート1/0/1、192.168.10.11 |
DHCPスヌーピングの構成例
- VLAN 10、VLAN 100を作成し、構成例のようにVLANを割り当てます。
sw1# configure terminal sw1(config)# vlan 10,100 sw1(config-vlan)# exit sw1(config)# sw1(config)# interface range port 1/0/1-5 sw1(config-if-port-range)# switchport mode access sw1(config-if-port-range)# switchport access vlan 10 sw1(config-if-port-range)# exit sw1(config)# sw1(config)# interface port 1/0/49 sw1(config-if-port)# switchport mode trunk sw1(config-if-port)# switchport trunk allowed vlan 10,100 sw1(config-if-port)# exit sw1(config)#
- VLAN 100インターフェースに管理用IPアドレス[192.168.100.100/24]を設定します。また、本設定例ではデフォルトスタティックルートを[192.168.100.254]宛てに設定して、経路を解決しています。
sw1(config)# interface vlan 100 sw1(config-if-vlan)# ip address 192.168.100.100/24 sw1(config-if-vlan)# exit sw1(config)# ip route 0.0.0.0/0 192.168.100.254 sw1(config)#
- AccessDefender設定モードに遷移し、認証クライアントの最大数を[256]に設定します。
sw1(config)# access-defender sw1(config-a-def)# total-client 256 sw1(config-a-def)#
- ポート1/0/1からポート1/0/5でDHCPスヌーピングを有効に、動作モードをDENYモード固定に設定します。
sw1(config-a-def)# dhcp-snooping interface port 1/0/1-5 sw1(config-a-def)# dhcp-snooping mode deny sw1(config-a-def)#
- DHCPスヌーピングのスタティックエントリー[ポート1/0/1、192.168.10.11]を設定します。
sw1(config-a-def)# dhcp-snooping static-entry interface port 1/0/1 192.168.10.11 sw1(config-a-def)# exit sw1(config)#
- DHCPスヌーピングを有効にします。
sw1(config)# dhcp-snooping enable sw1(config)# end sw1#
- 実施後のAccessDefender関連の設定を以下に抜粋します。
# ACCESS-DEFENDER access-defender total-client 256 # DHCP-SNOOPING access-defender dhcp-snooping interface port 1/0/1-1/0/5 dhcp-snooping mode deny dhcp-snooping static-entry interface port 1/0/1 192.168.10.11 dhcp-snooping enable
DHCPスヌーピングとMAC認証を併用する場合
DHCPスヌーピングとMAC認証を併用する場合の構成例と設定例を示します。この例ではMAC認証は以下のように設定しています。
| 項目 | 設定 |
|---|---|
| RADIUS認証 | デフォルトのRADIUSサーバーグループ「radius」で使用 |
| RADIUSサーバー |
|
| 認証クライアントの最大数 | 256 |
| MAC認証有効ポート | ポート1/0/1からポート1/0/5 |
| MAC認証用パスワード | apresia-mac |
| エージングログアウト時間 | 1時間 |
また、DHCPスヌーピングは以下のように設定しています。
| 項目 | 設定 |
|---|---|
| DHCPスヌーピング有効ポート | ポート1/0/1からポート1/0/5 |
| DHCPスヌーピングの動作モード | DENYモード固定 |
| DHCPスヌーピングのMAC認証モード | 有効 |
DHCPスヌーピングとMAC認証を併用する場合の構成例
- VLAN 10、VLAN 100を作成し、構成例のようにVLANを割り当てます。
sw1# configure terminal sw1(config)# vlan 10,100 sw1(config-vlan)# exit sw1(config)# sw1(config)# interface range port 1/0/1-5 sw1(config-if-port-range)# switchport mode access sw1(config-if-port-range)# switchport access vlan 10 sw1(config-if-port-range)# exit sw1(config)# sw1(config)# interface port 1/0/49 sw1(config-if-port)# switchport mode trunk sw1(config-if-port)# switchport trunk allowed vlan 10,100 sw1(config-if-port)# exit sw1(config)#
- VLAN 100インターフェースに管理用IPアドレス[192.168.100.100/24]を設定します。また、本設定例ではデフォルトスタティックルートを[192.168.100.254]宛てに設定して、経路を解決しています。
sw1(config)# interface vlan 100 sw1(config-if-vlan)# ip address 192.168.100.100/24 sw1(config-if-vlan)# exit sw1(config)# ip route 0.0.0.0/0 192.168.100.254 sw1(config)#
- 装置のAAAを有効化します。また、MAC認証で使用する認証方式リストを、デフォルトのRADIUSサーバーグループ「radius」に指定します。
sw1(config)# aaa new-model sw1(config)# aaa authentication mac-auth default group radius sw1(config)#
- RADIUSサーバーを、IPアドレス[172.16.1.101]、共有鍵[apresia]で設定します。設定したRADIUSサーバーは、所属するRADIUSグループを指定しない場合はデフォルトのRADIUSサーバーグループ「radius」に所属します。
sw1(config)# radius-server host 172.16.1.101 key apresia sw1(config)#
- AccessDefender設定モードに遷移し、認証クライアントの最大数を[256]に設定します。
sw1(config)# access-defender sw1(config-a-def)# total-client 256 sw1(config-a-def)#
- ポート1/0/1からポート1/0/5でMAC認証を有効に、MAC認証用パスワードを[apresia-mac]に設定します。また、エージングログアウト時間を[1時間]に設定します。
sw1(config-a-def)# authentication interface port 1/0/1-5 mac sw1(config-a-def)# mac-authentication password apresia-mac mac sw1(config-a-def)# logout aging-time 0 0 1 mac sw1(config-a-def)# exit sw1(config)#
- MAC認証を有効にします。
sw1(config)# mac-authentication enable sw1(config)#
- ポート1/0/1からポート1/0/5でDHCPスヌーピングを有効に、動作モードをDENYモード固定に、DHCPスヌーピングのMAC認証モードを有効に設定します。
sw1(config)# access-defender sw1(config-a-def)# dhcp-snooping interface port 1/0/1-5 sw1(config-a-def)# dhcp-snooping mode deny sw1(config-a-def)# dhcp-snooping mode mac-authentication sw1(config-a-def)# exit sw1(config)#
- DHCPスヌーピングを有効にします。
sw1(config)# dhcp-snooping enable sw1(config)# end sw1#
- 実施後のAccessDefender関連の設定を以下に抜粋します。
# AAA aaa new-model radius-server host 172.16.1.101 key apresia aaa authentication mac-auth default group radius # ACCESS-DEFENDER access-defender total-client 256 logout aging-time 0 0 1 mac # MAC-AUTHENTICATION access-defender authentication interface port 1/0/1-1/0/5 mac mac-authentication password apresia-mac mac mac-authentication enable # DHCP-SNOOPING access-defender dhcp-snooping interface port 1/0/1-1/0/5 dhcp-snooping mode deny dhcp-snooping mode mac-authentication dhcp-snooping enable
DHCPスヌーピングとWeb認証を併用する場合
DHCPスヌーピングとWeb認証を併用する場合の構成例と設定例を示します。この例ではWeb認証は以下のように設定しています。
| 項目 | 設定 |
|---|---|
| RADIUS認証 | デフォルトのRADIUSサーバーグループ「radius」で使用 |
| RADIUSサーバー |
|
| 認証クライアントの最大数 | 256 |
| Web認証有効ポート | ポート1/0/1からポート1/0/5 |
| 認証用Webサーバー |
http://192.0.2.100:80/、またはhttps://192.0.2.100:443/ ※HTTPプロトコル(80)とHTTPSプロトコル(443)はデフォルト有効 |
| エージングログアウト時間 | 1時間 |
また、DHCPスヌーピングは以下のように設定しています。
| 項目 | 設定 |
|---|---|
| DHCPスヌーピング有効ポート | ポート1/0/1からポート1/0/5 |
| DHCPスヌーピングの動作モード | DENYモード固定 |
DHCPスヌーピングとWeb認証を併用する場合の構成例
- VLAN 10、VLAN 100を作成し、構成例のようにVLANを割り当てます。
sw1# configure terminal sw1(config)# vlan 10,100 sw1(config-vlan)# exit sw1(config)# sw1(config)# interface range port 1/0/1-5 sw1(config-if-port-range)# switchport mode access sw1(config-if-port-range)# switchport access vlan 10 sw1(config-if-port-range)# exit sw1(config)# sw1(config)# interface port 1/0/49 sw1(config-if-port)# switchport mode trunk sw1(config-if-port)# switchport trunk allowed vlan 10,100 sw1(config-if-port)# exit sw1(config)#
- VLAN 100インターフェースに管理用IPアドレス[192.168.100.100/24]を設定します。また、本設定例ではデフォルトスタティックルートを[192.168.100.254]宛てに設定して、経路を解決しています。
sw1(config)# interface vlan 100 sw1(config-if-vlan)# ip address 192.168.100.100/24 sw1(config-if-vlan)# exit sw1(config)# ip route 0.0.0.0/0 192.168.100.254 sw1(config)#
- 装置のAAAを有効化します。また、Web認証で使用する認証方式リスト[ID:1]を、デフォルトのRADIUSサーバーグループ「radius」に指定します。
sw1(config)# aaa new-model sw1(config)# aaa authentication web-auth 1 default group radius sw1(config)#
- RADIUSサーバーを、IPアドレス[172.16.1.101]、共有鍵[apresia]で設定します。設定したRADIUSサーバーは、所属するRADIUSグループを指定しない場合はデフォルトのRADIUSサーバーグループ「radius」に所属します。
sw1(config)# radius-server host 172.16.1.101 key apresia sw1(config)#
- AccessDefender設定モードに遷移し、認証クライアントの最大数を[256]に設定します。
sw1(config)# access-defender sw1(config-a-def)# total-client 256 sw1(config-a-def)#
- ポート1/0/1からポート1/0/5でWeb認証を有効に、認証用WebサーバーのIPアドレスを[192.0.2.100]に設定します。装置の認証用Webサーバーでは、HTTPプロトコル(TCPポート番号80)とHTTPSプロトコル(TCPポート番号443)はデフォルト有効になっています。また、エージングログアウト時間を[1時間]に設定します。
sw1(config-a-def)# authentication interface port 1/0/1-5 web sw1(config-a-def)# web-authentication http-ip ipv4 192.0.2.100 sw1(config-a-def)# logout aging-time 0 0 1 web sw1(config-a-def)# exit sw1(config)#
- Web認証を有効にします。
sw1(config)# web-authentication enable sw1(config)#
- ポート1/0/1からポート1/0/5でDHCPスヌーピングを有効に、動作モードをDENYモード固定に設定します。
sw1(config)# access-defender sw1(config-a-def)# dhcp-snooping interface port 1/0/1-5 sw1(config-a-def)# dhcp-snooping mode deny sw1(config-a-def)# exit sw1(config)#
- DHCPスヌーピングを有効にします。
sw1(config)# dhcp-snooping enable sw1(config)# end sw1#
- 実施後のAccessDefender関連の設定を以下に抜粋します。
# AAA aaa new-model radius-server host 172.16.1.101 key apresia aaa authentication web-auth 1 default group radius # ACCESS-DEFENDER access-defender total-client 256 logout aging-time 0 0 1 web # WEB-AUTHENTICATION access-defender authentication interface port 1/0/1-1/0/5 web web-authentication http-ip ipv4 192.0.2.100 web-authentication enable # DHCP-SNOOPING access-defender dhcp-snooping interface port 1/0/1-1/0/5 dhcp-snooping mode deny dhcp-snooping enable
