このページの目次
DHCP リレー エージェント
DHCP リレー エージェントは、DHCP クライアントとサーバー間のインターフェイスとして機能します。DHCP リレー エージェントは、異なる IP ネットワーク上の DHCP クライアントと DHCP サーバー間で DHCP メッセージをリレーします。詳細については、このトピックを参照してください。
DHCP リレーエージェントの動作について
DHCP リレー エージェントとして動作するジュニパーネットワークスのデバイスは、BOOTP および DHCP クライアントからの着信要求を、指定された BOOTP または DHCP サーバーに転送します。クライアント要求は、仮想プライベート ネットワーク (VPN) トンネルを通過できます。
単一のデバイスインターフェイスをDHCPクライアントとDHCPリレーの両方として動作するように設定することはできません。
インターフェイスで受信したDHCP要求は、インターフェイス上のプライマリIPアドレス/サブネットと同じサブネット内にあるDHCPプールに関連付けられます。インターフェイスが複数のIPアドレス/サブネットに関連付けられている場合、デバイスは数値的に割り当てられた最小のIPアドレスをインターフェイスのプライマリIPアドレス/サブネットとして使用します。インターフェイスでプライマリアドレスとしてリストされているIPアドレス/サブネットを変更するには、 set interfaces < interface name > unit 0 family inet xxx.xxx.xxx.xxx/yy primary
コマンドを使用して変更をコミットします。
DHCP 未構成インターフェイスを通過するすべての DHCP パケットが破棄される可能性があります。
DHCPリレーまたはDHCPサーバ機能をイネーブルにすると、デバイスの任意のインターフェイス(DHCP設定インターフェイスと未設定インターフェイスの両方)を介して受信したすべてのDHCPパケットを分析するDHCPスヌーピング機能も有効になります。
DHCP 設定にリストされていないインターフェイスは、インターフェイスと見なされます unconfigured
。設定によっては、DHCP 未設定インターフェイスで受信した DHCP パケットは破棄されます。
DHCP リレー エージェント、DHCP クライアント、DHCP サーバー間の相互作用
DHCP リレー エージェント、DHCP クライアント、および DHCP サーバー間の対話パターンは、ソフトウェアのインストールがルーターまたはスイッチのどちらであるかに関係なく同じです。ただし、利用内容には多少の違いがあります。
ルーター上 - 一般的なキャリアエッジネットワーク構成では、DHCPクライアントは加入者のコンピューター上にあり、DHCPリレーエージェントはDHCPクライアントと1つ以上のDHCPサーバー間のルーターで構成されます。
スイッチ上 - 一般的なネットワーク構成では、DHCP クライアントはパーソナル コンピュータなどのアクセス デバイス上にあり、DHCP リレー エージェントは DHCP クライアントと 1 つ以上の DHCP サーバー間のスイッチ上で構成されます。
次の手順では、2 つの DHCP サーバーを含む構成で、DHCP クライアント、DHCP リレー エージェント、および DHCP サーバーがどのように対話するかを簡単に説明します。
DHCPクライアントは、IPアドレスを含む加入者(またはDHCPクライアント)の設定パラメータを取得するネットワーク内のDHCPサーバを見つけるために検出パケットを送信します。
DHCP リレー エージェントは検出パケットを受信し、2 つの DHCP サーバーのそれぞれにコピーを転送します。DHCP リレー エージェントは、内部クライアント テーブルにエントリを作成し、クライアントの状態を追跡します。
検出パケットの受信に応答して、各 DHCP サーバーはオファー パケットをクライアントに送信します。DHCP リレー エージェントは、オファー パケットを受信し、DHCP クライアントに転送します。
オファー パケットを受信すると、DHCP クライアントは設定情報を取得するための DHCP サーバーを選択します。通常、クライアントは、IP アドレスで最も長いリース期間を提供するサーバーを選択します。
DHCP クライアントは、構成情報の取得元の DHCP サーバーを指定する要求パケットを送信します。
DHCP リレー エージェントは、要求パケットを受信し、2 つの DHCP サーバーのそれぞれにコピーを転送します。
クライアントによって要求された DHCP サーバーは、クライアントの構成パラメーターを含む確認応答 (ACK) パケットを送信します。
DHCP リレー エージェントは、ACK パケットを受信し、クライアントに転送します。
DHCP クライアントは ACK パケットを受信し、構成情報を格納します。
そのように構成されている場合、DHCP リレー エージェントは、このクライアントのホスト ルートとアドレス解決プロトコル (ARP) エントリをインストールします。
IP アドレスで初期リースを確立した後、DHCP クライアントと DHCP サーバーはユニキャスト送信を使用してリースの更新または解放をネゴシエートします。DHCP リレー エージェントは、ルーター(またはスイッチ)を通過するクライアントとサーバー間のすべてのパケット ユニキャストを「スヌープ」して、このクライアントのリースがいつ期限切れになったか、または解放されたかを判断します。このプロセスは、 リース シャドウイング または パッシブ スヌーピングと呼ばれます。
すべてのJunos OSデバイスで、DHCPリレーがオプションで設定 forward-only
されており、論理トンネルインターフェイスが
複数の論理インターフェイスを含む
同じ
lt
インターフェイスの複数の論理インターフェイスで同じVLANを使用する
このような場合、DHCP リレーは OFFER メッセージの送信に失敗する可能性があります。
この問題は、Junos OSリリース19.3R3、19.4R2、18.4R3、19.4R1、19.3R2、18.4R3-S1、17.4R3リリースで発生します。
DHCP リレー エージェントの最小設定
この例では、Junos OS デバイスで拡張 DHCP リレー エージェントを使用するために必要な最小構成を示します。デバイスが DHCP サーバーに接続できることを確認します。
この例では、特定の DHCP クライアント トラフィックを DHCP サーバーに送信します。各クライアントグループのトラフィックの転送先となるアクティブなサーバーグループを指定します。アクティブサーバーグループにサーバーIPアドレスを追加し、インターフェイスグループを設定し、グループのDHCPリレーインターフェイスを指定できます。DHCP リレー エージェントとして使用されるインターフェイスは、特定のサーバーにメッセージを転送できます。
DHCP オプション 82 および 前方専用 機能を設定します。
この例では、IP アドレス 203.0.113.21 という名前の my-dhcp-servers-group
アクティブなサーバー グループを作成します。DHCP リレー エージェントの設定は、 という名前の my-dhcp-interfaces
インターフェイス グループに適用されます。このグループ内では、DHCP リレー エージェントはインターフェイス ge-0/0/1.0 で有効です。
新しいサブスクライバ セッションを作成せずにトラフィックを転送する オプションを設定します。
user@host# set forwarding-options dhcp-relay forward-only
DHCPサーバー宛てのDHCPパケットでDHCPリレーエージェント情報オプション(オプション82)を有効にします。
user@host# set forwarding-options dhcp-relay relay-option-82 circuit-id use-interface-description device
DHCP リレー エージェントが DHCP サーバに送信する DHCP パケットの DHCP ベース オプション 82 エージェント回線 ID のインターフェイス識別子の代わりに、テキスト インターフェイスの説明を使用します。
DHCPサーバーグループを設定し、グループに属するDHCPサーバーのIPアドレスを追加します。
user@host# set forwarding-options dhcp-relay server-group my-dhcp-servers-group 203.0.113.2
DHCPサーバーグループをアクティブサーバーグループとして設定します。
user@host# set forwarding-options dhcp-relay active-server-group my-dhcp-servers-group
DHCP リレー エージェントは、アクティブ サーバー グループで定義された DHCP サーバーに DHCP クライアント要求をリレーします。
インターフェイスグループを設定し、グループのDHCPリレーインターフェイスを指定します。
user@host# set forwarding-options dhcp-relay group my-dhcp-interf-group interface ge-0/0/1.0
DHCPリレーは、グループで定義されたインターフェイスで実行されます。
スイッチにDHCPリレーモードを設定するには forward-only
、DHCPサーバーがDHCPオプション82をサポートしているかどうかを確認します。詳細については、 DHCPサーバーでのオプション82のサポートの確認 を参照してください。
DHCPリレー設定のオプションには forward-only
、S-SA-FPライセンスをインストールする必要はありません。
設定モードから、 コマンドを入力して show forwarding-options
設定を確認し、設定を確認します。
user@srx-01# show forwarding-options dhcp-relay { relay-option-82 { circuit-id { use-interface-description device; } } forward-only; server-group { my-dhcp-servers-group { 203.0.113.21; } } active-server-group my-dhcp-servers-group; group my-dhcp-interf-group { interface ge-0/0/1.0; } }
ループバック インターフェイスでの IPv4 および IPv6 アドレスの設定
別のサービス VRF で DHCP サーバを設定した場合、DCHP リレー機能が他のすべての VRF で動作するようにするには、サーバ VRF 設定のループバック インターフェイスに IPv4 および IPv6 アドレスを設定する必要があります。
DHCP リレー転送専用応答オプションを設定して、他の VRF の DHCP クライアントに転送される DHCP 応答パケットを有効にします。
[edit routing-instances] Svr-1 { instance-type vrf; routing-options { auto-export; } protocols { evpn { ip-prefix-routes { advertise direct-nexthop; encapsulation vxlan; vni 11000; export type5-export; } } } forwarding-options { dhcp-relay { dhcpv6 { forward-only-replies; } forward-only-replies; } } interface lo0.2; route-distinguisher 103.0.0.1:5000; vrf-import import-tenant; vrf-target target:5000:1; vrf-table-label; } lo0 { unit 0 { family inet { address 103.0.0.1/32; } family inet6 { address 1003::1/128; } } unit 1 { family inet { address 103.0.0.1/32; } family inet6 { address 1003::1/128; } } unit 2 { family inet { address 103.0.0.2/32; } family inet6 { address 1003::2/128; } }
DHCP リレー エージェントの設定
DHCP リレー エージェントは、DHCP クライアントとサーバー間のインターフェイスとして機能します。DHCP リレー エージェントは、異なる IP ネットワーク上の DHCP クライアントと DHCP サーバー間で DHCP メッセージをリレーします。
この例では、SRXシリーズファイアウォールでDHCPリレーエージェントを設定する方法を説明します。DHCPリレーエージェントとして機能するSRXシリーズファイアウォールは、異なるルーティングインスタンスの一部であるDHCPクライアントとサーバー間でリクエストとレスポンスを転送する役割を担います。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
Junos OS 15.1X49-D10以降を搭載したSRXシリーズファイアウォール
概要
DHCP リレー エージェントを構成して、DHCP サーバーと、異なる仮想ルーティング インスタンスに存在する DHCP クライアントとの間で DHCP メッセージを交換するときに、セキュリティを強化することができます。この種類の構成は、DHCP サーバーがクライアント ネットワークから分離されたネットワークに存在する場合に、DHCP サーバーと DHCP クライアント間の DHCP リレー接続用です。
トポロジ
異なるルーティング インスタンス間で DHCP メッセージを交換するには、DHCP リレー エージェントのサーバー向けインターフェイスとクライアント側向けインターフェイスの両方で、DHCP パケットを認識して転送できるようにする必要があります。
次の 図 1 は、DHCP ローカル サーバー、DHCP クライアント、および DHCP リレー エージェントとしての DHCP パフォーマンスを示しています
次の一覧は、異なるルーティング インスタンス間で DHCP メッセージ交換を作成するために必要なタスクの概要を示しています。
DHCP リレーエージェントのクライアント側を設定します。
DHCP リレー エージェントのサーバー側を構成します。
DHCPプロトコルを許可するようにセキュリティゾーンを設定します。
表1:DHCPリレーパラメータ:
パラメーター
クライアント側の詳細
サーバー側の詳細
インターフェイス
ge-0/0/3.0
ge-0/0/4.0
ルーティング インターフェイス
Trust-VR
untrust-vr
IPアドレス
10.1.1.2/24
20.1.1.1/24
メモ:この設定を機能させるには、DHCP サーバーの接続ルートとリレー エージェント インターフェイスのルートが両方のルーティング インスタンスに存在する必要があります。例えば、上記のトポロジーでは、サーバールート30.1.1.0/24をdhcpリレーVRと共有し、dhcpリレーインターフェイスルート10.1.1.0/24 exact をデフォルトのルーティングインスタンスと共有する必要があります。
また、ダミーのdhcp-relay設定を、DHCPサーバーのあるルーティングインスタンスに追加する必要があります。これが構成されていない場合、dhcpリレーはDHCPサーバーからパケットを受信できません。
構成
CLIクイック構成
次の手順では、異なるルーティング インスタンスの DHCP サーバーとクライアント間の DHCP メッセージ交換を作成するための構成タスクについて説明します。この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit]
にコピーアンドペーストして、設定モードから を入力します commit
。
クライアント向けサポートの迅速な設定:
set routing-instances trust-vr instance-type virtual-router set routing-instances trust-vr interface ge-0/0/3.0 set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/24
サーバー向けサポートのクイック構成:
set routing-instances untrust-vr instance-type virtual-router set routing-instances untrust-vr interface ge-0/0/4.0 set routing-instances untrust-vr forwarding-options dhcp-relay forward-only-replies set interfaces ge-0/0/4 unit 0 family inet address 20.1.1.1/24
DHCPリレーサポートのクイック設定:
set routing-instances untrust-vr forwarding-options dhcp-relay server-group dummy-config set routing-instances untrust-vr routing-options instance-import import_relay_route_to_server_vr set routing-instances untrust-vr routing-options static route 30.1.1.0/24 next-hop 20.1.1.2 set routing-instances trust-vr forwarding-options dhcp-relay server-group server-1 30.1.1.2 set routing-instances trust-vr forwarding-options dhcp-relay active-server-group server-1 set routing-instances trust-vr forwarding-options dhcp-relay group relay-in-vr interface ge-0/0/3.0 set routing-instances trust-vr routing-options instance-import export_dhcp_server_route set policy-options policy-statement export_dhcp_server_route term 1 from instance untrust-vr set policy-options policy-statement export_dhcp_server_route term 1 from route-filter 30.1.1.0/24 exact set policy-options policy-statement export_dhcp_server_route term 1 then accept set policy-options policy-statement export_dhcp_server_route term 2 then reject set policy-options policy-statement import_relay_route_to_server_vr term 1 from instance trust-vr set policy-options policy-statement import_relay_route_to_server_vr term 1 from route-filter 10.1.1.0/24 exact set policy-options policy-statement import_relay_route_to_server_vr term 1 then accept set policy-options policy-statement import_relay_route_to_server_vr term 2 then reject set routing-options static route 30.1.1.2/32 next-table untrust-vr.inet.0
DHCPプロトコルを許可するためのセキュリティゾーンのクイック構成:
set security policies default-policy permit-all set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic protocols all
手順
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。
DHCP リレー エージェントのクライアント側でサポートを構成するには:
ルーティングインスタンスタイプを仮想ルーターに設定します。
[edit] user@host# set routing-instances trust-vr instance-type virtual-router
仮想ルーターへのインターフェイスの設定
[edit] user@host# set routing-instances trust-vr interface ge-0/0/3.0
インターフェイスに IP アドレスを設定します。
[edit] user@host# set interfaces ge-0/0/3 unit 0 family inet address 10.1.1.2/24
手順
手順
DHCP リレー エージェントのサーバーに面した側でサポートを構成するには、次の手順を実行します。
仮想ルーターを設定します。
[edit] user@host# set routing-instances untrust-vr instance-type virtual-router
仮想ルーターにインターフェイスを設定します。
[edit] user@host# set routing-instances untrust-vr interface ge-0/0/4.0
返信の転送のみのオプションを設定します。
[edit] user@host# set routing-instances untrust-vr forwarding-options dhcp-relay forward-only-replies
インターフェイスに IP アドレスを設定します。
[edit] user@host# set interfaces ge-0/0/4 unit 0 family inet address 20.1.1.1/24
手順
手順
DHCP ローカル サーバーをサポートするように構成するには:
untrust-vrルーティングインスタンスのdhcpリレーで設定を行います
[edit ] user@host# set routing-instances untrust-vr forwarding-options dhcp-relay server-group dummy-config user@host# set routing-instances untrust-vr routing-options instance-import import_relay_route_to_server_vr user@host# set routing-instances untrust-vr routing-options static route 30.1.1.0/24 next-hop 20.1.1.2
trust-vrルーティングインスタンスのdhcpリレーで設定を行います
[edit ] user@host# set routing-instances trust-vr forwarding-options dhcp-relay server-group server-1 30.1.1.2 user@host# set routing-instances trust-vr forwarding-options dhcp-relay active-server-group server-1 user@host# set routing-instances trust-vr forwarding-options dhcp-relay group relay-in-vr interface ge-0/0/3.0 user@host# set routing-instances trust-vr routing-options instance-import export_dhcp_server_route
ルーティングインスタンス間でルートを共有するように構成を設定します。
[edit ] user@host# set policy-options policy-statement export_dhcp_server_route term 1 from instance untrust-vr user@host# set policy-options policy-statement export_dhcp_server_route term 1 from route-filter 30.1.1.0/24 exact user@host# set policy-options policy-statement export_dhcp_server_route term 1 then accept user@host# set policy-options policy-statement export_dhcp_server_route term 2 then reject user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 from instance trust-vr user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 from route-filter 10.1.1.0/24 exact user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 then accept user@host# set policy-options policy-statement import_relay_route_to_server_vr term 2 then reject user@host# set routing-options static route 30.1.1.2/32 next-table untrust-vr.inet.0
メモ:SRXシリーズファイアウォールをDHCPローカルサーバーとして機能させることができます。DHCP ローカル サーバーは、クライアント要求に応じて IP アドレスとその他の構成情報を提供します。
手順
手順
セキュリティゾーンでDHCPプロトコルを許可するには:
すべてのトラフィックを許可するようにデフォルトのセキュリティポリシーを設定します。
[edit ] user@host# set security policies default-policy permit-all
インターフェイスge-0/0/4.0ですべてのシステムサービスとプロトコルを設定します。
[edit ] user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic protocols all
インターフェイスge-0/0/3.0ですべてのシステムサービスとプロトコルを設定します。
[edit ] user@host# set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic system-services all user@host# set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic protocols all
結果
クライアント向けサポートの結果:
設定モードから、 コマンドを入力して show routing-instances
設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show routing-instances trust-vr { instance-type virtual-router; interface ge-0/0/3.0; }
サーバー向けサポートの結果:
設定モードから、 コマンドを入力して
show routing-instances
設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show routing-instances untrust-vr { instance-type virtual-router; interface ge-0/0/4.0; forwarding-options { dhcp-relay { forward-only-replies; } } }
DHCPローカルサーバーサポートの結果:
コンフィギュレーションモードから、 および
show policy-options
show routing-options
コマンドを入力してshow routing-instances
、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show routing-instances trust-vr { routing-options { instance-import export_dhcp_server_route; } forwarding-options { dhcp-relay { server-group { server-1 { 30.1.1.2; } } active-server-group server-1; group relay-in-vr { interface ge-0/0/3.0; } } } } untrust-vr { routing-options { static { route 30.1.1.0/24 next-hop 20.1.1.2; } instance-import import_relay_route_to_server_vr; } forwarding-options { dhcp-relay { server-group { dummy-config; } } } } [edit] user@host# show policy-options policy-statement export_dhcp_server_route { term 1 { from { instance untrust-vr; route-filter 30.1.1.0/24 exact; } then accept; } term 2 { then reject; } } policy-statement import_relay_route_to_server_vr { term 1 { from { instance trust-vr; route-filter 10.1.1.0/24 exact; } then accept; } term 2 { then reject; } } [edit] user@host# show routing-options static { route 30.1.1.2/32 next-table untrust-vr.inet.0; }
セキュリティゾーンでDHCPプロトコルを許可した結果:
設定モードから、 および
show security zones
コマンドを入力してshow security policies
設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security zones security-zone HOST { interfaces { all; } } security-zone untrust { interfaces { ge-0/0/4.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } security-zone trust { interfaces { ge-0/0/3.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
DHCP リレー統計の設定の確認。
目的
DHCP リレー統計が設定されていることを確認します。
アクション
動作モードから コマンド
show dhcp relay statistics routing-instance dhcp-relay
を入力します。Packets dropped: Total 0 Messages received: BOOTREQUEST 1 DHCPDECLINE 0 DHCPDISCOVER 0 DHCPINFORM 0 DHCPRELEASE 0 DHCPREQUEST 1 Messages sent: BOOTREPLY 1 DHCPOFFER 0 DHCPACK 1 DHCPNAK 0 DHCPFORCERENEW 0
EXシリーズスイッチでのDHCPリレーエージェントの設定
EXシリーズスイッチを、拡張DHCPリレーエージェントとして動作するように設定することができます。つまり、ローカルに接続されたホストは DHCP リクエストをブロードキャスト メッセージとして発行でき、DHCP リレー用に設定されたスイッチがそのメッセージを指定された DHCP サーバーにリレーします。ローカルに接続されたホストとリモート DHCP サーバーがある場合、スイッチを DHCP リレー エージェントとして設定します。
始める前に:
スイッチが DHCP サーバーに接続できることを確認します。
拡張DHCPリレーエージェントサーバーとして機能するようスイッチを設定するには、次の手順に従います。
DHCPスマートリレー(レガシーDHCPリレー)の設定
DHCP スマート リレーを使用して、DHCP リレー構成に冗長性と耐障害性を提供できます。スマートリレーは追加のリレー機能を提供し、DHCPリレーに必要なすべての構成設定が必要です。DHCP スマート リレーを使用するには、複数の IP アドレスが割り当てられたインターフェイスも必要です。これを行うには、次のいずれかのタスクを実行します。
ルーテッドVLANインターフェイスを作成し、少なくとも2つのIPアドレスを割り当てます。このアプローチの詳細については 、 スイッチでの IRB インターフェイスの設定 および 例:IRB インターフェイスを使用した 1 つのスイッチでの VLAN 間ルーティングの設定 を参照してください。
レイヤー 3 論理インターフェイスを(VLAN タグ付けを使用して)作成し、少なくとも 2 つの IP アドレスを割り当てます。このアプローチの詳細については、 レイヤー3論理インターフェイスについて および レイヤー3論理インターフェイスの設定 を参照してください。
複数の IP アドレスを持つインターフェイスを作成したら、次のいずれかのステートメントを入力してスマート リレーの設定を完了します。
set forwarding-options helpers bootp smart-relay-global
:リレーエージェントとして設定されているすべてのインターフェイスでスマートリレーを有効にするには、このステートメントを使用します。set forwarding-options helpers bootp interface interface-name smart-relay-agent
: 特定のインターフェイスでスマートリレーを有効にするには、このステートメントを使用します。
インターフェイスにスマートリレーが設定されている場合、スイッチは最初に、インターフェイスのプライマリアドレスをDHCPメッセージのゲートウェイIPアドレス(giaddrフィールド内)として使用して、そのインターフェイスからDHCPリクエスト(検出)メッセージを送信します。応答としてサーバーから DHCP オファー メッセージを受信しない場合、スイッチは、クライアントが同じゲートウェイ IP アドレスを使用してさらに 3 つの検出メッセージを送信することを許可します。3 回再試行しても DHCP オファー メッセージが受信されない場合、スイッチは代替 IP アドレスをゲートウェイ IP アドレスとして使用してディスカバリー メッセージを再送信します。リレー エージェント インターフェイスに 2 つ以上の IP アドレスを設定すると、DHCP オファー メッセージを受信するか、すべての IP アドレスが使用されても成功しないまで、スイッチはこの処理を繰り返します。
関連項目
迷走 DHCP 要求の自動バインドの無効化
受信したがデータベースにエントリがない DHCP 要求は、浮遊要求と呼ばれます。デフォルトでは、DHCP リレー、DHCP リレー プロキシ、および DHCPv6 リレー エージェントは、データベース エントリを作成して要求を DHCP サーバーに転送することで、要求元のクライアントのバインドを試みます。サーバーが ACK で応答した場合、クライアントはバインドされ、ACK がクライアントに転送されます。サーバーが NAK で応答すると、データベース エントリが削除され、NAK がクライアントに転送されます。この動作は、認証が構成されているかどうかに関係なく発生します。
グローバル レベルで、インターフェイスの名前付きグループ、または名前付きグループ内の特定のインターフェイスのデフォルト設定を上書きできます。デフォルトを上書きすると、DHCP リレー、DHCP リレー プロキシ、および DHCPv6 リレー エージェントは、クライアントのバインドを試みるのではなく、すべての浮遊要求をドロップします。
迷子要求の自動バインドは、既定で有効になっています。
自動バインディング動作を無効にするには、グローバル、グループ、またはインターフェイスレベルでDHCPオーバーライドを設定する際に、 ステートメントを含め
no-bind-on-request
ます。[edit forwarding-options dhcp-relay overrides] user@host# set no-bind-on-request
DHCPv6 リレー エージェントの既定の動作を上書きするには、階層レベルで上書き
[edit forwarding-options dhcp-relay dhcpv6]
を構成します。[edit forwarding-options dhcp-relay dhcpv6 overrides] user@host# set no-bind-on-request
次の 2 つの例では、インターフェイスのグループに対する浮遊リクエストの自動バインディングを無効にする設定と、特定のインターフェイスに対する自動バインディングを無効にする設定を示します。
インターフェイスのグループで漂遊要求の自動バインドを無効にするには:
特定のインターフェイスで浮遊要求の自動バインドを無効にするには:
インターフェイスがメンバーである名前付きグループを指定します。
[edit forwarding-options dhcp-relay] user@host# edit group boston
自動バインドを無効にするインターフェイスを指定します。
[edit forwarding-options dhcp-relay group boston] user@host# edit interface fe-1/0/1.2
上書きを設定することを指定します。
[edit forwarding-options dhcp-relay group boston interface fe-1/0/1.2] user@host# edit overrides
インターフェイスで自動バインディングを無効にします。
[edit forwarding-options dhcp-relay group boston interface fe-1/0/1.2 overrides] user@host# set no-bind-on-request
DHCP パケットのブロードキャストの代わりにレイヤー 2 ユニキャスト伝送を使用する
DHCP リレー エージェントを構成して、DHCP 要求パケットのブロードキャスト ビットの設定を上書きできます。その後、DHCP リレー エージェントは、代わりにレイヤー 2 ユニキャスト伝送方式を使用して、検出プロセス中に DHCP サーバーから DHCP クライアントに DHCP オファー応答パケットと DHCP ACK 応答パケットを送信します。
DHCP リクエストパケットのブロードキャストビットのデフォルト設定を上書きするには:
ゲートウェイ IP アドレス(giaddr)フィールドを DHCP リレー エージェントの giaddr に変更する
DHCP リレー エージェントを構成して、DHCP クライアントと DHCP サーバー間で転送するパケットのゲートウェイ IP アドレス (giaddr) フィールドを変更できます。
パケットを DHCP サーバーに転送する前に、すべての DHCP パケットの giaddr を DHCP リレー エージェントの giaddr で上書きするには、次のようにします。
要求パケットをゲートウェイ IP アドレスに置き換えて解放するように DHCP リレー エージェントを構成する
DHCP リレー エージェントを構成して、要求パケットをゲートウェイ IP アドレス (giaddr) に置き換えて解放してから、DHCP サーバーに転送することができます。
送信元アドレスを giaddr に置き換えるには、次のようにします。
デフォルトのDHCPリレー構成設定の上書き
デフォルトのDHCPリレー構成設定は、グローバルレベルで、インターフェイスの名前付きグループに対して、または名前付きグループ内の特定のインターフェイスに対して上書きできます。
グローバルなデフォルトの DHCP リレーエージェント設定オプションを上書きするには、階層レベルで ステートメントとその下位ステートメントを含め
overrides
ます[edit forwarding-options dhcp-relay]
。インターフェイスの名前付きグループの DHCP リレー設定オプションを上書きするには、 階層レベルでステートメントを含めます
[edit forwarding-options dhcp-relay group group-name]
。指定されたインターフェイス グループ内の特定のインターフェイスの DHCP リレー設定オプションを上書きするには、 階層レベルでステートメントを含めます
[edit forwarding-options dhcp-relay group group-name interface interface-name]
。DHCPv6リレーのオーバーライドをグローバルレベル、グループレベル、またはインターフェイスごとに設定するには、 階層レベルで対応するステートメント
[edit forwarding-options dhcp-relay dhcpv6]
を使用します。
デフォルトの DHCP リレー エージェント構成設定を上書きするには:
インターフェイス、グループ、またはグローバルのDHCPリレーエージェントの無効化
すべてのインターフェイスまたはインターフェイスのグループでDHCPリレーを無効にすることができます。
DHCPリレーエージェントを無効にするには:
例:DHCP オプション文字列に基づく DHCP リレー エージェントの選択的トラフィック処理の設定
この例では、DHCP オプション文字列を使用してクライアント トラフィックを選択的に識別、フィルタリング、および処理するように DHCP リレー エージェントを構成する方法を示します。
要件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
MXシリーズ5GユニバーサルルーティングプラットフォームまたはEXシリーズスイッチ
DHCP リレー エージェントの選択的処理サポートを構成する前に、次のことを確認してください。
DHCP リレー エージェントを構成します。
拡張DHCPリレーエージェントの概要を参照してください。
(オプション)クライアント トラフィックをサーバー グループに転送する場合は、名前付き DHCP ローカル サーバー グループを構成します。
一般的なDHCP設定でのインターフェイスのグループ化を参照してください。
概要
この例では、クライアント パケットで DHCP オプション文字列を使用して、クライアント トラフィックを選択的に識別、フィルタリング、および処理するように DHCP リレー エージェントを構成します。選択的処理を構成するには、次の手順を実行します。
[クライアント トラフィックを特定する] - 処理する DHCP リレー トラフィックを識別するために DHCP リレー エージェントが使用する DHCP オプションを指定します。指定したオプションは、クライアント トラフィックのオプションと一致します。
デフォルトアクションの設定 - 設定された一致条件を満たさない識別されたクライアントトラフィックに対してDHCPリレーが使用するデフォルトの処理アクションを指定します。
一致フィルターを作成し、各フィルターにアクションを関連付ける:クライアントのトラフィックをフィルタリングする一致条件を指定します。基準は、クライアントトラフィックのオプション文字列との完全一致または部分一致です。処理アクションを各一致基準に関連付けます。
構成
DHCP オプション情報に基づいて DHCP リレー エージェントの選択的処理を設定するには、次のタスクを実行します。
CLIクイック構成
この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 階層レベルのCLI [edit]
にコマンドをコピーして貼り付けます。
set forwarding-options dhcp-relay relay-option option-number 60 set forwarding-options dhcp-relay relay-option equals ascii video-gold forward-only set forwarding-options dhcp-relay relay-option equals ascii video-bronze local-server-group servergroup-15 set forwarding-options dhcp-relay relay-option starts-with hexadecimal fffff local-server-group servergroup-east set forwarding-options dhcp-relay relay-option default-action drop
DHCP オプション文字列に基づいてクライアント トラフィックを選択的に処理するための DHCP リレー エージェントの設定
手順
DHCP リレー選択的処理を設定するには、次の手順に従います。
DHCP リレー エージェント サポートを設定することを指定します。
[edit forwarding-options] user@host#
edit dhcp-relay
DHCP リレー エージェントが着信クライアント トラフィックを識別するために使用する DHCP オプションを指定します。
[edit forwarding-options dhcp-relay] user@host#
set relay-option option-number 60
着信クライアントトラフィックが設定された一致条件を満たさない場合にDHCPリレーエージェントが使用するデフォルトアクションを設定します。
[edit forwarding-options dhcp-relay] user@host#
set relay-option default-action drop
完全一致条件と、識別されたクライアントトラフィックをDHCPリレーが処理するために使用する関連アクションを設定します。
[edit forwarding-options dhcp-relay] user@host#
set relay-option equals ascii video-gold
forward-only2 番目の完全一致条件と、DHCP リレーがクライアント トラフィックの処理に使用する関連アクションを構成します。
[edit forwarding-options dhcp-relay] user@host#
set relay-option equals ascii video-bronze
local-server-group servergroup-15DHCP リレーがクライアント トラフィックを処理するために使用する部分一致条件と関連アクションを構成します。
[edit forwarding-options dhcp-relay] user@host#
set relay-option starts-with hexadecimal fffff local-server-group servergroup-east
結果
設定モードから、 階層レベルで ステートメント[edit forwarding-options]
を発行show
して設定結果を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit forwarding-options] user@host# show dhcp-relay { relay-option { option-number 60; equals { ascii video-gold { forward-only; } } equals { ascii video-bronze { local-server-group servergroup-15; } } default-action { drop; } starts-with { hexadecimal fffff { local-server-group servergroup-east; } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
検証
DHCP リレー エージェントの選択的トラフィック処理のステータスを確認するには、次のタスクを実行します。
DHCP リレー エージェントの選択的トラフィック処理のステータスの確認
目的
DHCP リレー エージェントの選択的トラフィック処理ステータスを検証します。
アクション
DHCP リレー エージェントの統計情報を表示します。
user@host> show dhcp relay statistics Packets dropped: Total 30 Bad hardware address 1 Bad opcode 1 Bad options 3 Invalid server address 5 No available addresses 1 No interface match 2 No routing instance match 9 No valid local address 4 Packet too short 2 Read error 1 Send error 1 Option 60 1 Option 82 2 Messages received: BOOTREQUEST 116 DHCPDECLINE 0 DHCPDISCOVER 11 DHCPINFORM 0 DHCPRELEASE 0 DHCPREQUEST 105 Messages sent: BOOTREPLY 0 DHCPOFFER 2 DHCPACK 1 DHCPNAK 0 DHCPFORCERENEW 0 Packets forwarded: Total 4 BOOTREQUEST 2 BOOTREPLY 2
意味
コマンド出力の show dhcp relay statistics
フィールドにはPackets forwarded
、選択的トラフィック処理設定の結果として転送されたクライアント パケットの数が表示されます。この例では、出力には、DHCP リレー エージェントが転送したパケットの総数と、転送された および のパケット数のBOOTREQUEST
BOOTREPLY
内訳が表示されます。
DHCPリレー設定の検証と管理
目的
DHCP リレーエージェントクライアントのアドレスバインディングまたは統計情報を表示またはクリアします。
アクション
DHCP リレーエージェントクライアントのアドレスバインディングを表示するには:
user@host>
show dhcp relay binding
DHCP リレー エージェントの統計情報を表示するには、次の手順を実行します。
user@host>
show dhcp relay statistics
DHCP リレーエージェントクライアントのバインディング状態をクリアするには、次の手順に従います。
user@host>
clear dhcp relay binding
すべてのDHCPリレーエージェント統計情報を消去するには、次の手順に従います。
user@host>
clear dhcp relay statistics
ルーティングインスタンスのクライアントバインディングと統計に関する情報をクリアまたは表示するには、次のコマンドを実行します:
show dhcp relay binding routing instance <routing-instance name>
show dhcp relay statistics routing instance <routing-instance name>
clear dhcp relay binding routing instance <routing-instance name>
clear dhcp relay statistics routing instance <routing-instance name>
すべてのSRXシリーズファイアウォールで、DHCPリレーはDHCP_RENEWおよびDHCP_RELEASEメッセージに基づいてバインディングステータスを更新できません。
関連項目
拡張 DHCP リレー エージェントの概要
ルーターまたはスイッチで拡張DHCPリレーオプションを設定し、ルーター(またはスイッチ)をDHCPリレーエージェントとして機能させることができます。DHCP リレー エージェントは、DHCP クライアントと DHCP サーバー間で DHCP 要求パケットと応答パケットを転送します。
DHCPリレーは、動的プロファイルの添付をサポートし、またローカルAAAサービスフレームワークと対話して、RADIUSなどのバックエンド認証サーバーを使用して、加入者認証またはDHCPクライアント認証を提供します。動的プロファイルをアタッチし、認証サポートをグローバルに、または特定のインターフェイス グループに対して設定できます。
PTXシリーズパケットトランスポートルーターは、DHCPリレーエージェントの認証をサポートしていません。
ルーターでは、ビデオ/IPTVなどのキャリアエッジアプリケーションでDHCPリレーを使用して、加入者のIPアドレスを含む設定パラメータを取得できます。
スイッチでは、DHCPリレーを使用して、DHCPクライアントのIPアドレスなどの設定パラメータを取得できます。
ステートメント dhcp-relay
で設定した拡張DHCPリレーエージェントオプションは、 ステートメントで bootp
設定したDHCP/BOOTPリレーエージェントオプションと互換性がありません。このため、ルーター上の拡張 DHCP リレー エージェントと DHCP/BOOTP リレー エージェントの両方を同時に有効にすることはできません。
DHCP/BOOTP リレー エージェントの詳細については 、ルーター、スイッチ、およびインターフェイスを DHCP および BOOTP リレー エージェントとして構成するを参照してください。
IPv6 クライアントをサポートするように拡張 DHCP リレー エージェントを構成することもできます。DHCPv6 リレー エージェント機能の詳細については、DHCPv6 リレー エージェントの概要 を参照してください。
ルーター(またはスイッチ)で拡張 DHCP リレー エージェントを構成するには、 dhcp-relay
ステートメントを 階層レベルで記述します [edit forwarding-options]
。
また、 dhcp-relay
以下の階層レベルに ステートメントを含めることもできます。
[edit logical-systems logical-system-name forwarding-options]
[edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options]
[edit routing-instances routing-instance-name forwarding-options]
DHCP リレー エージェント、DHCP クライアント、DHCP サーバー間の相互作用
DHCP リレー エージェント、DHCP クライアント、および DHCP サーバー間の対話パターンは、ソフトウェアのインストールがルーターまたはスイッチのどちらであるかに関係なく同じです。ただし、利用内容には多少の違いがあります。
ルーター上 - 一般的なキャリアエッジネットワーク構成では、DHCPクライアントは加入者のコンピューター上にあり、DHCPリレーエージェントはDHCPクライアントと1つ以上のDHCPサーバー間のルーターで構成されます。
スイッチ上 - 一般的なネットワーク構成では、DHCP クライアントはパーソナル コンピュータなどのアクセス デバイス上にあり、DHCP リレー エージェントは DHCP クライアントと 1 つ以上の DHCP サーバー間のスイッチ上で構成されます。
次の手順では、2 つの DHCP サーバーを含む構成で、DHCP クライアント、DHCP リレー エージェント、および DHCP サーバーがどのように対話するかを簡単に説明します。
DHCPクライアントは、IPアドレスを含む加入者(またはDHCPクライアント)の設定パラメータを取得するネットワーク内のDHCPサーバを見つけるために検出パケットを送信します。
DHCP リレー エージェントは検出パケットを受信し、2 つの DHCP サーバーのそれぞれにコピーを転送します。DHCP リレー エージェントは、内部クライアント テーブルにエントリを作成し、クライアントの状態を追跡します。
検出パケットの受信に応答して、各 DHCP サーバーはオファー パケットをクライアントに送信します。DHCP リレー エージェントは、オファー パケットを受信し、DHCP クライアントに転送します。
オファー パケットを受信すると、DHCP クライアントは設定情報を取得するための DHCP サーバーを選択します。通常、クライアントは、IP アドレスで最も長いリース期間を提供するサーバーを選択します。
DHCP クライアントは、構成情報の取得元の DHCP サーバーを指定する要求パケットを送信します。
DHCP リレー エージェントは、要求パケットを受信し、2 つの DHCP サーバーのそれぞれにコピーを転送します。
クライアントによって要求された DHCP サーバーは、クライアントの構成パラメーターを含む確認応答 (ACK) パケットを送信します。
DHCP リレー エージェントは、ACK パケットを受信し、クライアントに転送します。
DHCP クライアントは ACK パケットを受信し、構成情報を格納します。
そのように構成されている場合、DHCP リレー エージェントは、このクライアントのホスト ルートとアドレス解決プロトコル (ARP) エントリをインストールします。
IP アドレスで初期リースを確立した後、DHCP クライアントと DHCP サーバーはユニキャスト送信を使用してリースの更新または解放をネゴシエートします。DHCP リレー エージェントは、ルーター(またはスイッチ)を通過するクライアントとサーバー間のすべてのパケット ユニキャストを「スヌープ」して、このクライアントのリースがいつ期限切れになったか、または解放されたかを判断します。このプロセスは、 リース シャドウイング または パッシブ スヌーピングと呼ばれます。
DHCP 活性検出
DHCP加入者またはDHCPクライアントIPセッションの活性検出では、アクティブ活性検出プロトコルを使用して、関連するクライアントの活性検出チェックを開始します。クライアントは、指定された時間内に活性検出要求に応答することが期待されます。指定された回数連続して応答がその時間内に受信されない場合、活性検出検査は失敗し、失敗アクションが実装されます。
グローバルまたはDHCPグループごとのDHCP活性検出。