DHCPスヌーピングの設定 - Catalyst

　以下のようにコアスイッチB、Cがあり、エッジスイッチにパソコンとDHCPサーバーが接続された構成を例に説明します。

　スイッチAでは以下の設定によりDHCPスヌーピングを有効にします。

Switch# configure terminal
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 1-4094      ※サポートされているVLAN IDを指定
Switch(config)# interface range gigabitethernet1/0/1 - 2
Switch(config-if-range)# ip dhcp snooping trust
Switch(config-if-range)# exit

　上記の設定によりgi1/0/1及び2はTrustedインターフェースとなり通信が遮断されません。gi1/0/3はUntrustedインターフェースであるため正式にDHCPサーバーからIPアドレスを割り当てられていないと通信が出来ません。

　有効にするVLANは上記では1-4094と指定していますが、VLAN1と10〜14を指定したい場合は1,10-14等と指定する事も出来ます。

　スイッチDではDHCPサーバーが接続されるgi1/0/3に対してもTrustedインターフェースの設定が必要です。

　又、スイッチBとCはコアスイッチでパソコン等が接続されない場合は特にDHCPスヌーピングの設定は不要で、同一ネットワークにDHCPスヌーピングを設定したスイッチと設定していないスイッチが混在しても大丈夫です。

　DHCPスヌーピングを有効にするとオプション情報として、どのインターフェースから受信したかの情報をフレームに追加出来ます。この情報をオプション82と言います。オプション82で追加された情報からDHCPサーバーでは1つのインターフェースには4つのIPアドレスだけ割り当てる等、追加機能を持たせる事が出来ます。

　オプション82機能はデフォルトで有効ですが、無効にする場合は以下の設定を行います。

Switch(config)# no ip dhcp snooping information option

　オプション82機能を利用するためにはDHCPサーバー側でも対応する設定が必要です。

　DHCPスヌーピングの確認はshow ip dhcp snoopingで行えます。

Switch# show dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1-10
Insertion of option 82 is disable
circuit-id format: vlan-mod-port
remote-id format: string
Option 82 on untrusted port is allowed
Verification of hwaddr field is enabled
Interface                Trusted Rate limit (pps)
------------------------ ------- ----------------
GigabitEthernet1/0/1     yes     unlimited
GigabitEthernet1/0/2     yes     unlimited
GigabitEthernet1/0/3     no      unlimited
・・・

　上記でyesとなっているインターフェースがTrustedインターフェースで、noとなっているインターフェースはUntrustedインターフェースです。

応用編「DHCPスヌーピング」