令和元年午後1問3設問2(2)

takaさん  
(No.1)
L3SWと接続するポートについて「DHCPスヌーピングの制限を受けない設定」にするというのが解答例で、
左門氏のネスペR1では「正規のDHCPサーバのフレームまで破棄されては困る」とありますが、
DHCPスヌーピングの機能は登録されたDHCPサーバのフレームは破棄しない機能を有しているという解説があるにも関わらず、何故解答例のような設定が必要になるのでしょうか?

問題文にDHCPスヌーピングの設定でDHCPサーバを登録するという文言が無く、
正規DHCPサーバは未登録という前提なのでしょうか?
2024.02.26 22:25
boyonboyonさん 
(No.2)
管理サーバや業務サーバのIPアドレスは、DHCPに割り当てられたものではないと思うので、これらからの通信がL3SW→L2SWに通るようにするためかと思います。
DHCPスヌーピングは、不正PCからの通信を止めれば良いので。。。
2024.02.27 00:40
hisashiさん 
NW ゴールドマイスター
(No.3)
解説の部分は、Trustポートの説明だと思います。

DHCPスヌーピング機能を有効化すると、デフォルトですべてのポートが制約を受けることとなります。
ここでは制約を受けるポートをUntrustポート、制約を受けないポートをTrustポートとします。
特徴は以下の通りです。

①Trustポート
正規のDHCPサーバ側に接続するポート/ポートの制約なし

②Untrustポート
クライアント側に接続するポート/ポートの制約あり:不正なDHCPサーバの接続を防止のため、サーバからのDHCPメッセージをドロップする

DHCPスヌーピング機能を有効化すると、すべてのポートがデフォルトでUntrustポートになります。
Untrustポートのままでは、DHCPサーバからのDHCPメッセージはL2SWでドロップされてしまうため、ネスペR1の解説、IPAの解答に沿っていると思います。
2024.02.27 07:12
takaさん  
(No.4)
返答ありがとうございます。
てっきりDHCPスヌーピングを有効にし、
何らかの設定で正規のDHCPサーバを登録して通信を通すものだと思いこんでいました。

正規DHCPサーバをTrustに設定したポートに接続して正規とし、
スイッチの設定は勝手に変更できない前提として、
不正なDHCPサーバは残りのUntrustポートに接続されるはずだから遮断できるんですね。
2024.02.27 21:43

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop