DHCPスヌーピングの仕組み
DHCPスヌーピングには、DENYモードとPERMITモードの2つの動作モードがあります。DHCPスヌーピングを有効にしたインターフェースがDENYモードの場合は、登録されたクライアントからの通信(IPv4、ARP)が許可され、それ以外のクライアントからの通信(IPv4、ARP)が制限されます。PERMITモードの場合は、未登録クライアントからの通信(IPv4、ARP)も許可されます。
DHCPスヌーピングの動作モードにかかわらず、DHCPスヌーピングだけを有効にしたインターフェースでは、非IPパケットは制限されません。
DHCPスヌーピングの動作モードにかかわらず、DHCPスヌーピングを有効にしたインターフェースでは、DHCPサーバーからのDHCP offerパケットを破棄します。
DHCPv6スヌーピングは未サポートです。IPv6パケットは、動作モードがDENYモードの場合は制限されますが、PERMITモードの場合は制限されません。なお、DENYモードの場合でもNDPの一部のパケットは制限されません。
動作モードは手動でDENYモードに設定するか、または自動切り替えタイマーでPERMITモードからDENYモードに切り替えることができます。自動切り替えタイマーを設定すると、装置が起動してDHCPスヌーピングが有効になってから一定時間はPERMITモードで動作し、自動切り替えタイマーが満了するとDENYモードに切り替わります。手動でDENYモードに設定するには、dhcp-snooping mode denyコマンドを使用します。自動切り替えタイマーを設定するには、dhcp-snooping mode timerコマンドを使用します。
登録されたDHCPスヌーピングエントリーは、クライアントからDHCP Releaseパケットを受信すると削除されます。また、DHCP Releaseパケットを受信しなかった場合でも、DHCPサーバーから払い出されたリース期間が経過すると、DHCPスヌーピングエントリーは削除されます。
DENYモード
DENYモードの場合は、登録されたクライアントからの通信(IPv4、ARP)が許可され、それ以外のクライアントからの通信(IPv4、ARP)が制限されます。DENYモードの動作フローは下図のとおりです。
DENYモードの動作フロー
PERMITモード
PERMITモードの場合は、登録されたクライアントだけでなく、未登録クライアントからの通信(IPv4、ARP)も許可されます。
PERMITモードの動作フロー
