DHCP スヌーピング
Junos OSデバイスのDHCPスヌーピングは、DHCPメッセージを検証し、無効なトラフィックをドロップします。DHCP リレー エージェントが DHCP スヌーピング パケットを処理する方法を設定できます。設定に応じて、DHCP リレー エージェントは受信したスヌーピング パケットを転送またはドロップします。詳細については、このトピックを参照してください。
DHCP スヌーピングのサポート
DHCP スヌーピングは、着信する DHCP パケットを識別し、ネットワーク内の信頼できないデバイスからの許容できないと判断された DHCP トラフィックを拒否することで、セキュリティを強化します。
DHCPスヌーピングとは
DHCPは、IPアドレスを動的に割り当て、アドレスをデバイスにリースして、アドレスが割り当てられたデバイスで不要になったときにアドレスを再利用できるようにします。DHCP 経由で取得した IP アドレスを必要とするホストおよびエンド デバイスは、LAN 経由で DHCP サーバーと通信する必要があります。
DHCP スヌーピングは、着信 DHCP パケットを調べ、DHCP メッセージを検査します。クライアントに割り当てられたIPアドレスとリース情報を抽出し、データベースを構築します。このデータベースを使用して、到着したパケットが有効なクライアントからのものかどうか、つまりクライアントの IP アドレスが DHCP サーバーによって割り当てられたかどうかを判断できます。このように、DHCPスヌーピングは、信頼できるDHCPサーバによってダウンストリームネットワークデバイスに割り当てられた有効なIPアドレスを追跡することにより、ネットワークセキュリティのガーディアンとして機能します(サーバは信頼できるネットワークポートに接続されています)。
DHCPスヌーピングのメリット
DHCPスヌーピングは、動的IPソースフィルタリングを介してセキュリティの追加レイヤーを提供します。
DHCPスヌーピングは、間違ったポートに到着しているDHCPパケットや不正な内容のDHCPパケットをフィルタリングすることで、ネットワーク内の不正なDHCPアクティビティを防ぐことができます。
DHCPスヌーピングのアクティブ化
DHCP スヌーピング機能を使用する場合は、DHCP スヌーピング機能の有効化について理解しておくことが重要です。
Junos OS デバイスでは、DHCP スヌーピング機能を独立した機能として設定することはできません。デバイスの特定のVLAN、インターフェイス、またはルーティングインスタンスにDHCPセキュリティ、DHCPリレー、またはDHCPサーバーを設定するたびに、そのVLAN/インターフェイス/ルーティングインスタンスでDHCPスヌーピングが自動的に有効になり、タスクを実行できます。
例えば:
- 特定のルーティングインスタンスのインターフェイスの特定のリストでDHCPリレーを有効にした場合
- DHCPスヌーピングは、そのルーティングインスタンスのインターフェイスで自動的に有効になります。
- 特定のVLANでDHCPセキュリティを有効化すると、そのVLANでDHCPスヌーピングが自動的に有効になります。
Junos OSは、次の場所でスイッチ/ルーター/ファイアウォールでDHCPスヌーピングを有効にします。
-
ルーティングインスタンスで以下のオプションを設定した場合のルーティングインスタンス:
dhcp-relayステートメントを [edit forwarding-options] 階層レベルに配置します。dhcp-local-serverステートメントを [edit system services] 階層レベルに配置します。
-
ポート セキュリティ機能に対して次のオプションを設定する場合のスイッチ。
dhcp-securityステートメントを [edit vlans vlan-name forwarding-options] 階層レベルに配置します。
DHCPリレーを設定する必要がある場合、加入者管理やサービスクラス(CoS)が必要でない限り、 ステートメントを使用します forward-only 。
DHCP のドキュメントを読み、DHCP トレース オプションを有効にしたラボを使用して、構成を確認して理解することをお勧めします。
DHCP スヌーピングの設定
デフォルトの DHCP スヌーピング設定では、すべてのトラフィックがスヌーピングされます。
Junos OS デバイスでは、ルーティングインスタンスで次のオプションを設定すると、ルーティングインスタンスで DHCP スヌーピングが有効になります。
dhcp-relay[edit forwarding-options]階層レベルのステートメントdhcp-local-server[edit system services]階層レベルのステートメントオプションで ステートメント
forward-snooped-clientsを使用して、スヌーピングされたトラフィックを評価し、インターフェイスがグループの一部として設定されているかどうかに基づいて、トラフィックが転送されるかドロップされるかを判断できます。
パケットに関連付けられた加入者がいない場合、ルーターはデフォルトでスヌーピングされたパケットを廃棄します。スヌーピングされたパケットの通常の処理を有効にするには、 階層レベルで ステートメントを[edit forwarding-options dhcp-relay]明示的に設定allow-snooped-clientsする必要があります。
次の特定のルーティング インスタンスに対して DHCP スヌーピング サポートを設定できます。
DHCPv4 リレー エージェント:ルータ(またはスイッチ)のデフォルト スヌーピング設定を上書きし、DHCP スヌーピングをグローバルに、名前付きインターフェイス グループに対して、または名前付きグループ内の特定のインターフェイスに対して有効または無効に指定します。
別の手順では、グローバル設定を設定して、DHCPv4 リレー エージェントがすべてのインターフェイス、設定済みインターフェイスのみ、または非設定インターフェイスに対してスヌープ パケットを転送またはドロップするかどうかを指定できます。また、ルータはグローバル DHCP リレー エージェント スヌーピング設定を使用して、スヌーピングされた BOOTREPLY パケットを転送するかドロップするかを決定します。更新要求は、DHCP サーバーに直接ユニキャストできます。これは BOOTPREQUEST パケットであり、スヌーピングされています。
DHCPv6 リレー エージェント:DHCPv4 リレー エージェントのスヌーピング サポートと同様に、ルータのデフォルトの DHCPv6 リレー エージェント スヌーピング設定を上書きして、グローバルに、指定されたインターフェイス グループに対して、または名前付きインターフェイス グループを持つ特定のインターフェイスに対して、スヌーピング サポートを明示的に有効または無効にすることができます。
DHCPv6 クライアントと DHCPv6 サーバの間に複数の DHCPv6 リレー エージェントが存在するマルチリレー トポロジーでは、スヌーピングにより、クライアントとサーバの間に介在する DHCPv6 リレー エージェントが、クライアントからのユニキャスト トラフィックを正しく受信して処理し、サーバに転送できます。DHCPv6 リレー エージェントは、UDP ポート 547(DHCPv6 UDP サーバー ポート)でフィルターを転送テーブルごとに設定することで、受信ユニキャスト DHCPv6 パケットをスヌーピングします。次に、DHCPv6 リレー エージェントは、フィルターによって傍受されたパケットを処理し、そのパケットを DHCPv6 サーバーに転送します。
DHCPv4 リレー エージェントとは異なり、DHCPv6 リレー エージェントは、DHCPv6 スヌーピング パケットの転送サポートのグローバル設定をサポートしていません。
DHCPローカルサーバー:DHCPローカルサーバーが、すべてのインターフェイス、設定済みインターフェイスのみ、または未設定インターフェイスのみのスヌーピングパケットを転送するかドロップするかを設定します。
スヌーピング フィルタを無効にすることもできます。前述の設定では、すべての DHCP トラフィックは、転送またはドロップされる前に、ルーティング インスタンスの遅いルーティング プレーンに転送されます。スヌーピング フィルタを無効にすると、より高速なハードウェア コントロール プレーンから直接転送できる DHCP トラフィックがルーティング コントロール プレーンをバイパスします。
例:DHCP リレー エージェントの DHCP スヌーピング サポートの設定
この例では、DHCP リレー エージェントの DHCP スヌーピング サポートを設定する方法を示します。
要件
DHCP リレー エージェントを構成します。 拡張DHCPリレーエージェントの概要を参照してください。
概要
この例では、次の操作を完了して、DHCP リレー エージェントの DHCP スヌーピング サポートを設定します。
デフォルトのDHCPスヌーピング設定を上書きし、グループ frankfurt内のインターフェイスのDHCPスヌーピングサポートを有効にします。
設定したインターフェイスのみにスヌープされたパケットを転送するようにDHCPリレーエージェントを設定します。
構成
手順
手順
DHCP スヌーピングの DHCP リレー サポートを設定するには、次の手順を実行します。
DHCP リレー エージェントを構成することを指定します。
[edit] user@host# edit forwarding-options dhcp-relay
DHCPスヌーピングがサポートされているインターフェイスの名前付きグループを指定します。
[edit forwarding-options dhcp-relay] user@host# edit group frankfurt
グループに含めるインターフェイスを指定します。DHCP リレーエージェントは、トラフィックを転送するかドロップするかを決定する際に、これらを設定されたインターフェイスと見なします。
[edit forwarding-options dhcp-relay group frankfurt] user@host# set interface fe-1/0/1.3 upto fe-1/0/1.9
グループのデフォルト設定を上書きすることを指定します。
[edit forwarding-options dhcp-relay group frankfurt] user@host# edit overrides
グループの DHCP スヌーピング サポートを有効にします。
[edit forwarding-options dhcp-relay group frankfurt overrides] user@host# set allow-snooped-clients
階層レベルに戻り
[edit forwarding-options dhcp-relay]、転送アクションを設定し、DHCPリレーエージェントが設定されたインターフェイスでのみスヌーピングパケットを転送することを指定します。[edit forwarding-options dhcp-relay group frankfurt overrides] user@host# up 2
DHCPリレーエージェントのDHCPスヌーピングパケット転送を有効にします。
[edit forwarding-options dhcp-relay] user@host# edit forward-snooped-clients
スヌーピングされたパケットが、設定されたインターフェイス(グループ
frankfurt内のインターフェイス)でのみ転送されることを指定します。[edit forwarding-options dhcp-relay forward-snooped-clients] user@host# set configured-interfaces
結果
設定モードから、 コマンドを入力して show forwarding-options 設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の手順を繰り返して設定を修正します。次の出力は、グループ フランクフルトで設定されたインターフェイスの範囲も示しています。
[edit]
user@host# show forwarding-options
dhcp-relay {
forward-snooped-clients configured-interfaces;
group frankfurt {
overrides {
allow-snooped-clients;
}
interface fe-1/0/1.3 {
upto fe-1/0/1.9;
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
DHCPリレーエージェントのDHCPスヌーピングパケット転送サポートの設定
DHCP リレー エージェントが DHCP スヌーピング パケットを処理する方法を設定できます。設定に応じて、DHCP リレー エージェントは受信したスヌーピング パケットを転送またはドロップします。
DHCPリレーは、2つの部分からなる構成を使用して、DHCPスヌーピングパケットの処理方法を決定します。このトピックでは、パケットが forward-snooped-clients スヌーピングされるインターフェイスのタイプに応じて、DHCPリレーエージェントがスヌーピングされたパケットを転送するかドロップするかを管理するためにステートメントを使用する方法を説明します。DHCP リレー エージェント スヌーピング設定の他の部分では、DHCP リレー スヌーピング機能を有効または無効にします。
表 1 は、DHCP スヌーピングが ステートメントによって allow-snooped-clients 有効になっている場合に、ルーターまたはスイッチがスヌーピングされたパケットに対して実行するアクションを示しています。
また、ルータまたはスイッチは、DHCP リレー エージェント転送サポートの設定を使用して、スヌーピングされた BOOTREPLY パケットの処理方法を決定します。
forward-snooped-clients 構成 |
設定されたインターフェイスに対するアクション |
非設定インターフェイスでのアクション |
|---|---|---|
|
スヌーピングされたパケットにより、加入者(DHCPクライアント)が作成される |
削除 |
|
転送 |
転送 |
|
転送 |
削除 |
|
スヌーピングされたパケットにより、加入者(DHCPクライアント)が作成される |
転送 |
表 2 は、ステートメントによって no-allow-snooped-clients DHCP スヌーピングが無効になっている場合に、ルーター(またはスイッチ)がスヌーピングされたパケットに対して実行するアクションを示しています。
forward-snooped-clients 構成 |
設定されたインターフェイスに対するアクション |
非設定インターフェイスでのアクション |
|---|---|---|
|
削除 |
削除 |
|
削除 |
転送 |
|
削除 |
削除 |
|
削除 |
転送 |
表 3 に、スヌーピングされた BOOTREPLY パケットに対してルーター(またはスイッチ)が実行するアクションを示します。
forward-snooped-clients 構成 |
アクション |
|---|---|
|
クライアントが見つからない場合にドロップされる BOOTREPLY スヌーピングパケット |
|
クライアントが見つからない場合に転送されるスヌーピング BOOTREPLY されたパケット |
設定されたインターフェイスは、 階層内の [edit forwarding-options dhcp-relay] ステートメントでgroup設定されています。非設定インターフェイスは論理システム/ルーティング インスタンスにありますが、 ステートメントによってgroup設定されていません。
DHCP リレー エージェントの DHCP スヌープ パケット転送と BOOTREPLY スヌープ パケット転送を設定するには、次の手順を実行します。
たとえば、設定されたインターフェイスでのみDHCPスヌーピングパケットを転送するようにDHCPリレーエージェントを設定するには、次の手順に従います。
[edit]
forwarding-options {
dhcp-relay {
forward-snooped-clients configured-interfaces;
}
}