DHCP Guardとは
IPv6 DHCPガードは、IPv6ネットワークにおいて不正なDHCPサーバからのDHCPメッセージをブロックするためのセキュリティ機能です。この機能は、正当なDHCPサーバからのメッセージのみを許可し、不正なDHCPサーバによる攻撃や不正なアドレス配布を防ぐために使用されます。
IPv6ネットワークでは、ホストはDHCPv6を使用してIPアドレスやその他のネットワーク設定(DNSサーバ、デフォルトゲートウェイなど)を取得します。しかし、不正なユーザーが意図的に不正なDHCPサーバを設置し、ホストに誤った情報を提供することが可能です。このような攻撃を防止するのがDHCPガードの役割です。
DHCP Guardの設定
基本構文
IPv6 DHCP ガード ポリシーを作成します。
Switch(config)#ipv6 dhcp guard policy policy-name
このポリシーが適用されるデバイスの役割を指定します。
Switch(config-dhcp-guard)#device-role {client | server}
| コマンド | 内容 |
|---|---|
| client | デフォルト値。接続されたデバイスがクライアントであることを指定します。 |
| server | 適用されたデバイスが DHCPv6 サーバであることを指定します。このポートでは、サーバ メッセージが許可されます。 |
DHCPメッセージに対してIPv6アクセスリスト(ACL)に基づいたフィルタリングを行います。
Switch(config-dhcp-guard)#match server access-list ipv6-access-list-name
プレフィックスリストに基づいて、DHCPサーバからのリプライメッセージをフィルタリングします。
Switch(config-dhcp-guard)#match reply prefix-list ipv6-prefix-list-name
device-role が server である場合に max および min を設定して、DHCPv6 サーバ アドバタイズメント値をサーバ優先度値に基づいてフィルタします。
Switch(config-dhcp-guard)#preference{ max limit | min limit }
このポートを信頼されたポートとして指定します。
Switch(config-dhcp-guard)#trusted-port
IPv6DHCPガードをインターフェイスに適用します。
Switch(config)#interface interface-id
Switch(config-if)#ipv6 dhcp guard [ attach-policy policy_name [ vlan {vlan_ids | add vlan_ids | except vlan_ids | none | remove vlan_ids | all} ]
コマンド 内容 add ポリシーを指定したVLANに追加します。 except 指定したVLANをDHCPガードポリシーの適用対象から除外します。 none VLAN設定を行わず、DHCPガードポリシーを適用しません。 remove 指定したVLANからDHCPガードポリシーを削除します。 all すべてのVLANに対してDHCPガードポリシーを適用します。