構成
設定なしの場合
PC1は両方のDHCPサーバーからアドレスを取得できてしまう。
セキュリティ事案に発展する可能性あり。
DORAはおそらくDiscoverからAckの流れ
失敗するとDDDDと表示される
設定
■L2SW
L2SW(config)#ip dhcp snooping
L2SW(config)#ip dhcp snooping vlan <VLAN-ID>
L2SW(config)#int <IF>
L2SW(config-if)#ip dhcp snooping trust■設定後DHCPサーバーから以下のログが出力され、PCでアドレス取得できなくなった
リレー情報が矛盾しているという内容
giaddr=DHCPリレーエージェントのアドレス
*Dec 31 07:30:31.255: DHCPD: inconsistent relay information.
*Dec 31 07:30:31.255: DHCPD: relay information option exists, but giaddr is zero.■DHCPサーバー設定変更
DHCP-SV(config)ip dhcp relay information trust-all■変更後のDHCP-SVアドレス払い出しログ
DHCP-SV#
*Dec 31 07:39:33.379: DHCPD: DHCPDISCOVER received from client 0100.5079.6668.01 on interface Vlan1.
*Dec 31 07:39:33.379: DHCPD: Sending DHCPOFFER to client 0100.5079.6668.01 (192.168.1.1).
*Dec 31 07:39:33.379: DHCPD: creating ARP entry (192.168.1.1, 0050.7966.6801).
*Dec 31 07:39:33.379: DHCPD: unicasting BOOTREPLY to client 0050.7966.6801 (192.168.1.1).
*Dec 31 07:39:34.379: DHCPD: DHCPREQUEST received from client 0100.5079.6668.01.
*Dec 31 07:39:34.379: DHCPD: Sending DHCPACK to client 0100.5079.6668.01 (192.168.1.1).
*Dec 31 07:39:34.379: DHCPD: creating ARP entry (192.168.1.1, 0050.7966.6801).
*Dec 31 07:39:34.379: DHCPD: unicasting BOOTREPLY to client 0050.7966.6801 (192.168.1.1).確認
■L2SW
L2SW#sh ip dhcp snooping binding
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- --------------------
00:50:79:66:68:01 192.168.1.1 86381 dhcp-snooping 1 Ethernet0/0
Total number of bindings: 1■PC
trustインターフェースの先にいるDHCPサーバーからのみアドレスを取得する。
■補足
ip dhcp relay information trusted
ip dhcp relay information option