Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

セキュアなDHCPメッセージ交換

Junos OSでは、DHCPリレーエージェントを使用して、異なる仮想ルーティングおよび転送インスタンス(VRF)間でセキュアなメッセージ交換を行うことができます。DHCP メッセージの安全な交換を有効にするには、DHCP リレー エージェントのサーバー側とクライアント側の両方を構成して、DHCP オプション情報に基づいて受け入れ可能なトラフィックを認識して転送する必要があります。詳細については、このトピックを参照してください。

異なるVRF内のDHCPクライアントとDHCPサーバー間のDHCPメッセージ交換

一部のサービス プロバイダ ネットワークでは、DHCP サーバが存在するサービス ネットワークが実際の加入者ネットワークから分離されています。このようにサービスネットワークと加入者ネットワークを分離すると、ルート漏洩などの潜在的なセキュリティ問題が生じる場合があります。

Junos OS リリース 14.2 以降、DHCP リレー エージェントを使用して、異なる仮想ルーティングおよび転送インスタンス(VRF)間で DHCP メッセージを交換する際のセキュリティを強化できます。DHCP リレー エージェントは、クライアント VRF と DHCP サーバ VRF の間に直接ルーティングがないこと、および受け入れ可能な DHCP パケットのみが 2 つの VRF 間でリレーされることを確認できます。加入者管理は、DHCP パケットと DHCPv6 パケットの両方に対してクロス VRF メッセージ交換をサポートします。

異なる VRF 間で DHCP メッセージを交換するには、DHCP リレー エージェントのサーバー側とクライアント側の両方が、パケット内の DHCP オプション情報に基づいて受け入れ可能なトラフィックを認識して転送できるようにする必要があります。メッセージ交換では、次の DHCP オプションを使用して、中継するトラフィックを識別します。

  • DHCPv4 パケットのエージェント回線 ID(DHCP オプション 82 サブオプション 1)

  • DHCPv6 パケットのリレー エージェント インターフェイス ID(DHCPv6 オプション 18)

クロス VRF メッセージ交換を使用する DHCP パケットの統計情報は、クライアント VRF でカウントされます。

次のリストは、DHCP リレー エージェントが異なる VRF の DHCP クライアントと DHCP サーバ間でメッセージを交換する方法を示しています。

  • DHCPクライアントからDHCPサーバーへのパケット:DHCPリレーエージェントは、クライアントVRFでクライアントからDHCPパケットを受信し、適切なDHCPオプション82サブオプション1またはDHCPv6オプション18属性をパケットに挿入します。次に、リレー エージェントは、サーバーの VRF 内の DHCP サーバーにパケットを転送します。

  • DHCP サーバから DHCP クライアントへのパケット:DHCP リレー エージェントは、サーバ VRF 内の DHCP サーバから DHCP 応答メッセージを受信します。リレー エージェントは、VRF を含むクライアントのインターフェイスを、DHCP サーバー VRF 内のパケット内の DHCP オプション 82 サブオプション 1 または DHCPv6 オプション 18 属性から導き出します。次に、リレー エージェントは、クライアントの VRF 内の DHCP クライアントに応答メッセージを転送します。

異なる仮想ルーティング インスタンス内の DHCP サーバーとクライアント間の DHCP メッセージ交換の設定

Junos OS リリース 14.2 以降、DHCP サーバーと、異なる仮想ルーティングおよび転送インスタンス(VRF)に存在する DHCP クライアントとの間で DHCP メッセージを交換する際に、DHCP リレーエージェントを設定してセキュリティを強化できます。

DHCP リレー エージェントを構成して、DHCP サーバーと、異なる仮想ルーティング インスタンスに存在する DHCP クライアントとの間で DHCP メッセージを交換するときに、セキュリティを強化することができます。この種類の構成は、DHCP サーバーがクライアント ネットワークから分離する必要があるネットワークに存在する場合に、DHCP サーバーと DHCP クライアント間の ステートレス DHCP リレー接続用です。

ステートレス DHCP リレー エージェントは、DHCP クライアントに関する動的な状態情報を保持せず、クライアントとサーバーのルーティング インスタンス間をトラフィックが流れる静的ルートも維持しません。

2 つの VRF 間で DHCP メッセージ交換を有効にするには、パケット内の DHCP オプション情報に基づいて受け入れ可能なトラフィックを認識して転送するように DHCP リレーの両側を設定します。受け入れ可能なトラフィックは、DHCPv4 パケットの場合はエージェント回線 ID(DHCP オプション 82 サブオプション 1)によって、DHCPv6 パケットの場合はリレー エージェント インターフェイス ID(DHCPv6 オプション 18)によって識別されます。

次のリストは、異なる VRF 間の DHCP メッセージ交換を作成するために必要なタスクの概要を示しています。

  • クライアント側のサポート:DHCP リレー エージェント forward-only ステートメントを設定して、DHCP サーバーの VRF の場所を指定します。この場所へ、DHCP リレー エージェントは、適切な DHCP オプション情報を含むクライアント パケットを転送します。このステートメントは forward-only 、DHCPリレーエージェントが新しいセッションを作成したり、その他の加入者管理操作(動的インターフェイスの作成やリースの維持など)を実行したりしないようにします。

    オプションで、サーバ VRF に特定の論理システムとルーティング インスタンスを設定できます。論理システムまたはルーティング インスタンスを指定しない場合、DHCP は構成の追加元のローカル論理システムおよびルーティング インスタンスを使用します。

  • サーバー側のサポート - DHCP リレー エージェントが適切な DHCP オプション情報を持つ応答パケットを転送するように、DHCP リレー エージェント forward-only-replies ステートメントを構成します。また、このステートメントは、DHCP リレー エージェントが新しいセッションを作成したり、その他の加入者管理操作を実行したりしないようにします。

    メモ:

    DHCPクライアントとDHCPサーバーが同じ論理システム/ルーティングインスタンスに存在する場合、 ステートメントを設定する forward-only-replies 必要はありません。

  • DHCP ローカル サーバーのサポート - DHCP NAK でオプション 82 の情報をサポートし、メッセージを強制的に更新するように DHCP ローカル サーバーを設定します。デフォルトでは、2 つのメッセージ・タイプはオプション 82 をサポートしません。

  • 追加サポート:次の必要なサポートが設定されていることを確認します。

    • DHCP リレー エージェントが、DHCP サーバー VRF 内のクライアントおよびクライアント側インターフェイスの ARP 要求を受信して応答できるように、DHCP サーバ VRF のサーバ向けインターフェイスでプロキシ ARP サポートを有効にする必要があります。

    • クライアント VRF で到達可能なクライアントのサーバ VRF 内の DHCP サーバから DHCP パケットを受信するルートが使用可能である必要があります。

次の手順では、異なる VRF の DHCP サーバとクライアント間の DHCP メッセージ交換を作成するための設定タスクについて説明します。

クライアント側のサポート

DHCP リレーエージェントのクライアント側でサポートを設定するには、次の手順に従います。

  1. DHCP リレー エージェントの設定を有効にします。
  2. DHCP リレー エージェントが DHCP クライアントからパケットを転送する DHCP サーバー VRF を指定します。DHCP リレー エージェントは、適切な DHCP オプション情報を持つ受け入れ可能なパケットを転送しますが、追加の加入者管理操作は実行しません。ステートメントは forward-only 、グローバルに設定することも、インターフェイスの名前付きグループに対して設定することも、DHCPv4 または DHCPv6 に対して設定することもできます。サーバ VRF の現在の論理システム、デフォルト、または特定の論理システムまたはルーティング インスタンスを指定できます。

    次に、 forward-only DHCPv4 に対して ステートメントをグローバルに設定し、デフォルトの論理システムとルーティング インスタンスを指定する例を示します。

メモ:

ローカル DHCPv4 クライアントの場合、DHCP リレー エージェントはエージェント回線 ID オプションを追加します。ただし、エージェント回線 ID オプションがすでにパケットに存在する場合、DHCP サーバーがオプション 82 ベンダー固有情報サブオプション(サブオプション 9)をサポートしていることを確認する必要があります。

ステートメントが forward-only 階層 [edit forwarding-options dhcp-relay relay-option] レベルで設定されている場合、そのリレーオプションアクションは、DHCPクロスVRFメッセージ交換のためのステートメントの設定 forward-only よりも優先されます。

サーバー側のサポート

DHCP リレーのサーバー側でクロス VRF メッセージ交換サポートを設定するには、次の手順を実行します。

メモ:

DHCPクライアントとDHCPサーバーが同じ論理システム/ルーティングインスタンスに存在する場合、 ステートメントを設定する forward-only-replies 必要はありません。

  1. DHCP リレー エージェントの設定を有効にします。
  2. DHCP サーバー VRF からクライアントに DHCP パケットを転送するように DHCP リレー エージェントを設定します。DHCP リレーエージェントはパケットを転送するだけで、追加の加入者管理操作は実行しません。DHCPv4およびDHCPv6に対して、 forward-only-replies ステートメントをグローバルに設定できます。

    次に、DHCPv4 に対してステートメント forward-only-replies をグローバルに設定する例を示します。

DHCP ローカル サーバーのサポート

NAKでオプション82の情報をサポートし、メッセージを強制的に更新するようにDHCPローカルサーバーを設定するには。クロス VRF メッセージ交換機能は、オプション 82 または DHCPv6 オプション 18 の情報を使用してクライアント VRF を決定します。

  1. DHCP ローカル サーバー構成を有効にします。
  2. 上書きオプションを設定することを指定します。
  3. デフォルトの動作を上書きし、DHCP NAKのオプション82の情報をサポートし、メッセージを強制更新するようにDHCPローカルサーバーを設定します。上書きアクションは、グローバルに、インターフェイスのグループに対して、または特定のインターフェイスに対して設定できます。

変更履歴テーブル

機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。

リリース
説明
14.2
Junos OS リリース 14.2 以降、DHCP リレー エージェントを使用して、異なる仮想ルーティングおよび転送インスタンス(VRF)間で DHCP メッセージを交換する際のセキュリティを強化できます。
14.2
Junos OS リリース 14.2 以降、DHCP サーバーと、異なる仮想ルーティングおよび転送インスタンス(VRF)に存在する DHCP クライアントとの間で DHCP メッセージを交換する際に、DHCP リレーエージェントを設定してセキュリティを強化できます。