DHCPスヌーピング

不正端末、間違ってIPアドレスを設定した端末、不正なDHCPサーバーの排除方法として多くの機器で採用されているDHCPスヌーピングについて説明します。

DHCPスヌーピングとは

DHCPスヌーピングを有効にすると、DHCPでのIPアドレス取得のやりとりをLANスイッチで監視します。

LANスイッチでDHCPを監視する様子

LANスイッチは、正式にIPアドレスを割り当てられた端末が接続されているインターフェースやMACアドレスなどの情報を保持しており、その端末の通信しか許可しません。

不正にIPアドレスを設定したパソコンの通信を遮断

つまり、パソコンにDHCPを利用せずに固定でIPアドレスを設定しても通信できないようにできます。

DHCPスヌーピングの仕組み

DHCPスヌーピングを動作させた際は、DHCPサーバーや固定でIPアドレスを割り当てるサーバー、プリンターなどが接続されるインターフェースをTrustedインターフェースとして設定します。

Trustedインターフェースでは、スヌーピングを行わないため自由に通信が可能です。

DHCPサーバーとWebサーバーが接続されたインターフェースをTrustedに設定

その他のインターフェースはUntrustedインターフェースと呼ばれ、正式にDHCPサーバーからIPアドレスが割り当てられた場合のみ通信が可能になります。

DHCPスヌーピングのメリット

DHCPスヌーピングのメリットとして大きな点は、不正なDHCPサーバーを排除できる点です。

最近では、特に家庭向けの機器でDHCPサーバーがデフォルトで動作していることが多く、安易にネットワークに接続した場合、本来のサブネットと違うIPアドレスが割り当てられて通信できない可能性があります。

意図しないDHCPサーバーからIPアドレスを割り当てられると通信不可になる可能性がある。

また、不正なDHCPサーバーからIPアドレスを割り当てられてIPアドレスが重複する可能性もあります。IPアドレスが重複した場合は、通信できたりできなくなったりします。

DHCPスヌーピングを適用すると、Trustedに設定されたインターフェース以外のDHCPサーバーからのIPアドレス割り当てを遮断できるため、意図しないDHCPサーバーによりIPアドレスが割り当てられることを防げます。

DHCPスヌーピングによって意図しないDHCPサーバーからの割り当てを防止できる。

2点目のメリットは、不正に持ち込んだパソコンや間違って固定でIPアドレスを設定されたパソコンが通信できないようにできる点です。

固定でIPアドレスを設定されたパソコンは、DHCPスヌーピングだけでも通信を遮断できますが、不正に持ち込んだパソコンはDHCPスヌーピングだけでは通信を遮断できません。

不正に持ち込んだパソコンでも、DHCPでIPアドレスを取得する設定にすれば誰でも通信が可能になるためです。このため、DHCPサーバーに登録されたMACアドレスだけIPアドレスを割り当てるようにすれば、登録されていない不正に持ち込んだパソコンにはIPアドレスが割り当てられないようにできます。

DHCPサーバーにMACアドレスを登録したパソコンだけが通信可能になる。

規模が大きくなるとパソコン1台1台のMACアドレスの管理は大変ですが、通信しているARP(Address Resolution Protocol)の情報からMACアドレスを自動収集したり、IDとパスワードなどの認証でMACアドレスを利用者側が登録するなど、管理者側でMACアドレスを設定せずにDHCPサーバーに登録できるDHCPサーバーを導入すると、容易な管理で不正アクセスを防ぐ効果も期待できます。

関連ページ

応用編「DHCPリレーエージェント
ルーターを介してDHCPを利用するためのDHCPリレーエージェントについて説明しています。
設定編「DHCPスヌーピングの設定 - Catalyst
CatalystでのDHCPスヌーピングの設定方法を説明しています。