Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 

DHCP の活性検知の概要

 

PPP とは異なり、DHCP では、DHCPv4 または DHCPv6 プロトコルの一部としてネイティブ keepalive メカニズムが定義されていません。Keepalive メカニズムを使用しない場合、DHCP ローカルサーバー、DHCP リレー、DHCP リレープロキシは、加入者または DHCP クライアントとの接続が失われているかどうかを迅速に検知できません。代わりに、標準の DHCP 加入者セッションまたは DHCP クライアントセッション終了メッセージに頼っている必要があります。

DHCP クライアントは、ネットワークを終了する前に DHCP 解放メッセージを送信しないことがよくあります。このような欠勤は、既存の DHCP リース期間とリリースリクエストメカニズムに依存しています。これらのメカニズムは多くの場合、DHCP 加入者アクセスまたは DHCP で管理されたネットワーク内のクライアントに対して、セッションの稼働状態チェックとして機能する場合には不十分です。通常、DHCP リース期間は、セッション稼働状態障害に対して適切な応答時間を提供するには時間がかかります。また、短時間の DHCP リース期間を構成すると、制御プレーンの処理に過度の負担がかかる可能性があります。 DHCP 活性検知メカニズムを実装することによりバインドされた DHCP クライアントの監視の改善。活性検知プロトコルを使用して設定した場合、特定の加入者 (またはクライアント) が、設定された数の連続する活性検知リクエストに応答しなかった場合、加入者 (クライアント) バインドが削除され、リソースが開放します。

DHCP 加入者 IP または DHCP クライアント IP セッションの DHCP 活性検知は、アクティブな活性検知プロトコルを使用して、関連するクライアントの活性検知チェックを構築します。クライアントは、指定された時間内に活性検知リクエストに応答する必要があります。指定した回数連続して応答が受信されなかった場合、その時間内に活性検出チェックが失敗し、障害アクションが実装されます。

DHCP 活性検知を使用すると、活性検知チェックが失敗すると同時に IP セッションに対応します。この迅速な応答時間は以下のように機能します。

  • 加入者 (または DHCP クライアント) セッションの時間ベースのアカウンティングをより正確に提供します。

  • ルーター (スイッチ) リソースをより適切に維持します。

  • セキュリティ上の攻撃に対する脆弱性のウィンドウを削減する方法をご紹介します。

活性検知プロトコルの例として、DHCPv4 および DHCPv6 加入者の双方向転送検知 (BFD)、DHCPv4 加入者の IPv4 アドレス解決プロトコル (ARP)、IPv6 近傍不到達検知 (NUD) などが挙げられます。DHCPv6 加入者向けの検出 (ND) パケットです。

Junos OS リリース 17.4 R1 では、DHCPv6 用の DHCPv4 および ND パケットに対する ARP パケットの使用が、MX シリーズルーターでサポートされており、BFD 活性検知に加え、レイヤー2の活性検知も可能です。以前のリリースでは、すべてのプラットフォームでサポートされているのは BFD のみです。

2つの活性検知方法は相互に排他的です。

BFD の活性検知を設定する際は、以下の点に注意してください。

  • DHCP ローカルサーバーと DHCP リレーの両方について、活性検出を設定できます。

  • DHCPv4 および DHCPv6 活性検知は、グローバルに、または DHCPv4 ごとに、または DHCPv6 グループごとに設定できます。

  • BFD をサポートしていない DHCPv4 または DHCPv6 加入者アクセスクライアントは、活性検知構成の影響を受けません。ルーター (またはスイッチ) で BFD の活性検知が有効になっている場合でも、これらのクライアントはネットワークに継続してアクセスできます (検証後)。

  • 構成した場合、DHCPv4 または DHCPv6 は、そのクライアントがバインド状態になったときに BFD をサポートするクライアントに対して、活性検出チェックを開始します。

  • BFD クライアントのプロトコル固有のメッセージが開始されると、クライアントの加入者 (またはクライアント) IP アドレスに定期的に送信され、それらの活性検知要求に対する応答は、設定された時間内に予定されます。

  • 構成された回数連続試行するために構成された時間内に、BFD をサポートするクライアントから活性検知応答が受信されない場合は、活性検知チェックが失敗したと見なされます。クライアントバインディングをクリアするために設定された失敗アクションが適用されます。

  • レイヤー2の活性検知でサポートされているclear-binding唯一の障害アクションは、

DHCP ARP および ND レイヤー2の活性検知を MX シリーズで設定する場合は、以下の点に注意してください。

  • DHCP ローカルサーバーと DHCP リレーの両方について、活性検出を設定できます。

  • DHCPv4 および DHCPv6 の活性検知は、1つの DHCPv4 または DHCPv6 グループごとに、さらにはデュアルスタックグループごとに、グローバルに設定することができます。

  • ARP/ND 活性検知は、以下のような DHCP クライアントにのみ適用されます。

    • ダイナミック Vlan 上で直接接続されます。

    • 永続的なレイヤー2エントリーがあります。

  • DHCPv6 クライアントは、固有の送信元 MAC アドレスとリンクローカルアドレスを持っている必要があります。特定のクライアントセッションに関連付けられたすべての IPv6 アドレスに使用されるのは、単一の活性検知エントリのみです。

Release History Table
リリース
説明
Junos OS リリース 17.4 R1 では、DHCPv6 用の DHCPv4 および ND パケットに対する ARP パケットの使用が、MX シリーズルーターでサポートされており、BFD 活性検知に加え、レイヤー2の活性検知も可能です。