セキュアなDHCPメッセージ交換
Junos OSでは、DHCPリレーエージェントを使用して、異なる仮想ルーティングおよび転送インスタンス(VRF)間でセキュアなメッセージ交換を行うことができます。DHCP メッセージの安全な交換を有効にするには、DHCP リレー エージェントのサーバー側とクライアント側の両方を構成して、DHCP オプション情報に基づいて受け入れ可能なトラフィックを認識して転送する必要があります。詳細については、このトピックを参照してください。
異なるVRF内のDHCPクライアントとDHCPサーバー間のDHCPメッセージ交換
一部のサービス プロバイダ ネットワークでは、DHCP サーバが存在するサービス ネットワークが実際の加入者ネットワークから分離されています。このようにサービスネットワークと加入者ネットワークを分離すると、ルート漏洩などの潜在的なセキュリティ問題が生じる場合があります。
Junos OS リリース 14.2 以降、DHCP リレー エージェントを使用して、異なる仮想ルーティングおよび転送インスタンス(VRF)間で DHCP メッセージを交換する際のセキュリティを強化できます。DHCP リレー エージェントは、クライアント VRF と DHCP サーバ VRF の間に直接ルーティングがないこと、および受け入れ可能な DHCP パケットのみが 2 つの VRF 間でリレーされることを確認できます。加入者管理は、DHCP パケットと DHCPv6 パケットの両方に対してクロス VRF メッセージ交換をサポートします。
異なる VRF 間で DHCP メッセージを交換するには、DHCP リレー エージェントのサーバー側とクライアント側の両方が、パケット内の DHCP オプション情報に基づいて受け入れ可能なトラフィックを認識して転送できるようにする必要があります。メッセージ交換では、次の DHCP オプションを使用して、中継するトラフィックを識別します。
DHCPv4 パケットのエージェント回線 ID(DHCP オプション 82 サブオプション 1)
DHCPv6 パケットのリレー エージェント インターフェイス ID(DHCPv6 オプション 18)
クロス VRF メッセージ交換を使用する DHCP パケットの統計情報は、クライアント VRF でカウントされます。
次のリストは、DHCP リレー エージェントが異なる VRF の DHCP クライアントと DHCP サーバ間でメッセージを交換する方法を示しています。
DHCPクライアントからDHCPサーバーへのパケット:DHCPリレーエージェントは、クライアントVRFでクライアントからDHCPパケットを受信し、適切なDHCPオプション82サブオプション1またはDHCPv6オプション18属性をパケットに挿入します。次に、リレー エージェントは、サーバーの VRF 内の DHCP サーバーにパケットを転送します。
DHCP サーバから DHCP クライアントへのパケット:DHCP リレー エージェントは、サーバ VRF 内の DHCP サーバから DHCP 応答メッセージを受信します。リレー エージェントは、VRF を含むクライアントのインターフェイスを、DHCP サーバー VRF 内のパケット内の DHCP オプション 82 サブオプション 1 または DHCPv6 オプション 18 属性から導き出します。次に、リレー エージェントは、クライアントの VRF 内の DHCP クライアントに応答メッセージを転送します。
異なる仮想ルーティング インスタンス内の DHCP サーバーとクライアント間の DHCP メッセージ交換の設定
Junos OS リリース 14.2 以降、DHCP サーバーと、異なる仮想ルーティングおよび転送インスタンス(VRF)に存在する DHCP クライアントとの間で DHCP メッセージを交換する際に、DHCP リレーエージェントを設定してセキュリティを強化できます。
DHCP リレー エージェントを構成して、DHCP サーバーと、異なる仮想ルーティング インスタンスに存在する DHCP クライアントとの間で DHCP メッセージを交換するときに、セキュリティを強化することができます。この種類の構成は、DHCP サーバーがクライアント ネットワークから分離する必要があるネットワークに存在する場合に、DHCP サーバーと DHCP クライアント間の ステートレス DHCP リレー接続用です。
ステートレス DHCP リレー エージェントは、DHCP クライアントに関する動的な状態情報を保持せず、クライアントとサーバーのルーティング インスタンス間をトラフィックが流れる静的ルートも維持しません。
2 つの VRF 間で DHCP メッセージ交換を有効にするには、パケット内の DHCP オプション情報に基づいて受け入れ可能なトラフィックを認識して転送するように DHCP リレーの両側を設定します。受け入れ可能なトラフィックは、DHCPv4 パケットの場合はエージェント回線 ID(DHCP オプション 82 サブオプション 1)によって、DHCPv6 パケットの場合はリレー エージェント インターフェイス ID(DHCPv6 オプション 18)によって識別されます。
次のリストは、異なる VRF 間の DHCP メッセージ交換を作成するために必要なタスクの概要を示しています。
クライアント側のサポート:DHCP リレー エージェント
forward-only
ステートメントを設定して、DHCP サーバーの VRF の場所を指定します。この場所へ、DHCP リレー エージェントは、適切な DHCP オプション情報を含むクライアント パケットを転送します。このステートメントはforward-only
、DHCPリレーエージェントが新しいセッションを作成したり、その他の加入者管理操作(動的インターフェイスの作成やリースの維持など)を実行したりしないようにします。オプションで、サーバ VRF に特定の論理システムとルーティング インスタンスを設定できます。論理システムまたはルーティング インスタンスを指定しない場合、DHCP は構成の追加元のローカル論理システムおよびルーティング インスタンスを使用します。
サーバー側のサポート - DHCP リレー エージェントが適切な DHCP オプション情報を持つ応答パケットを転送するように、DHCP リレー エージェント
forward-only-replies
ステートメントを構成します。また、このステートメントは、DHCP リレー エージェントが新しいセッションを作成したり、その他の加入者管理操作を実行したりしないようにします。メモ:DHCPクライアントとDHCPサーバーが同じ論理システム/ルーティングインスタンスに存在する場合、 ステートメントを設定する
forward-only-replies
必要はありません。DHCP ローカル サーバーのサポート - DHCP NAK でオプション 82 の情報をサポートし、メッセージを強制的に更新するように DHCP ローカル サーバーを設定します。デフォルトでは、2 つのメッセージ・タイプはオプション 82 をサポートしません。
追加サポート:次の必要なサポートが設定されていることを確認します。
DHCP リレー エージェントが、DHCP サーバー VRF 内のクライアントおよびクライアント側インターフェイスの ARP 要求を受信して応答できるように、DHCP サーバ VRF のサーバ向けインターフェイスでプロキシ ARP サポートを有効にする必要があります。
クライアント VRF で到達可能なクライアントのサーバ VRF 内の DHCP サーバから DHCP パケットを受信するルートが使用可能である必要があります。
次の手順では、異なる VRF の DHCP サーバとクライアント間の DHCP メッセージ交換を作成するための設定タスクについて説明します。
クライアント側のサポート
DHCP リレーエージェントのクライアント側でサポートを設定するには、次の手順に従います。
ローカル DHCPv4 クライアントの場合、DHCP リレー エージェントはエージェント回線 ID オプションを追加します。ただし、エージェント回線 ID オプションがすでにパケットに存在する場合、DHCP サーバーがオプション 82 ベンダー固有情報サブオプション(サブオプション 9)をサポートしていることを確認する必要があります。
ステートメントが forward-only
階層 [edit forwarding-options dhcp-relay relay-option]
レベルで設定されている場合、そのリレーオプションアクションは、DHCPクロスVRFメッセージ交換のためのステートメントの設定 forward-only
よりも優先されます。
サーバー側のサポート
DHCP リレーのサーバー側でクロス VRF メッセージ交換サポートを設定するには、次の手順を実行します。
DHCPクライアントとDHCPサーバーが同じ論理システム/ルーティングインスタンスに存在する場合、 ステートメントを設定する forward-only-replies
必要はありません。
DHCP ローカル サーバーのサポート
NAKでオプション82の情報をサポートし、メッセージを強制的に更新するようにDHCPローカルサーバーを設定するには。クロス VRF メッセージ交換機能は、オプション 82 または DHCPv6 オプション 18 の情報を使用してクライアント VRF を決定します。
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。