DHCPv6リレーエージェント
DHCPv6リレーエージェントは、IPv6ネットワークにサポートを提供することで、DHCPリレーエージェントを強化します。DHCPv6リレーエージェントは、IPv4ネットワークをサポートするDHCPリレーエージェントと同様に、DHCPv6クライアントとDHCPv6サーバー間でメッセージを渡します。DHCPv6リレーエージェントにより、各物理ネットワークにDHCPv6サーバーが必要なくなります。DHCPv6パケットにDHCPv6インターフェイスID(オプション18)、リモートID(オプション37)またはクライアントMACアドレス(オプション79)を挿入し、DHCPv6設定を検証する方法の詳細については、このトピックをお読みください。
DHCPv6リレーエージェントの概要
DHCPv6クライアントがログインすると、DHCPv6リレーエージェントはAAAサービスフレームワークを使用してRADIUSサーバーと通信し、認証とアカウンティングを提供します。DHCPから独立して設定されたRADIUSサーバーは、クライアントを認証し、セッションタイムアウトやインターフェイスごとに許可されるクライアントの最大数など、IPv6プレフィックスとクライアント設定パラメーターを提供します。
PTXシリーズパケットトランスポートルーターは、DHCPv6リレーエージェントの認証をサポートしていません。
ACX シリーズ ルーターでは、以下の DHCPv6 機能はサポートされていません。
DHCPv6リレーエージェントの加入者認証
DHCP スヌーピング
DHCPv6 クライアント
ライブネス検出
動的プロファイル
オプション 37 でリモート ID 挿入をサポート
DHCPv6リレー用BFD(Bidirectional Forwarding Detection)
DHCPv6リレーエージェントは、DHCPローカルサーバーおよびDHCPリレーエージェントと互換性があり、DHCPローカルサーバーまたはDHCPリレーエージェントのいずれかと同じインターフェイスで有効にすることができます。
ルーター(またはスイッチ)でDHCPv6リレーエージェントを設定するには、 階層レベルに ステートメントを[edit forwarding-options dhcp-relay]含dhcpv6めます。
また、以下の dhcpv6 階層レベルで ステートメントを含めることもできます。
[edit logical-systems logical-system-name forwarding-options dhcp-relay][edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options dhcp-relay][edit routing-instances routing-instance-name forwarding-options dhcp-relay]
DHCPv6 バインディングと統計の表示とクリアに固有のコマンドについては、DHCPv6 の監視と管理を参照してください。
DHCPv6リレーエージェントの設定
DHCPv6リレーエージェントは、異なるIPネットワーク上のDHCPv6クライアントとDHCPv6サーバー間のメッセージをリレーするインターフェイスとして動作します。
この例では、SRXシリーズデバイスでDHCPv6リレーエージェントを設定する方法を説明します。DHCPv6リレーエージェントとして機能するSRXシリーズデバイスは、異なるルーティングインスタンスの一部であるDHCPv6クライアントとサーバー間のリクエストと応答を転送します。
要件
DHCPv6リレーエージェントの設定例は、以下のハードウェアおよびソフトウェアコンポーネントでテストされています。
-
Junos OS 22.3R1 以降を搭載した SRX シリーズ デバイス。
概要
DHCPv6リレーエージェントを設定して、異なる仮想ルーティングインスタンスに存在するDHCPv6サーバーとDHCPv6クライアント間でDHCPv6メッセージを交換する際に、セキュリティを強化することができます。このタイプの設定は、DHCPv6サーバーがクライアントネットワークから分離されたネットワークに存在する場合に、DHCPv6サーバーとDHCPv6クライアント間のDHCPv6リレー接続用です。
トポロジ
異なるルーティング インスタンス間で DHCPv6 メッセージを交換するには、サーバー側インターフェイスと DHCPv6 リレー エージェントのクライアント側インターフェイスの両方が DHCPv6 パケットを認識して転送できるようにする必要があります。
以下の 図1 は、DHCPv6ローカルサーバー、DHCPv6クライアント、DHCPv6リレーエージェントとしてのDHCPv6パフォーマンスを示しています。
内の DHCPv6 サービスについて
以下のリストは、異なるルーティング インスタンス間で DHCPv6 メッセージ交換を作成するために必要なタスクの概要を示しています。
-
DHCPv6リレーエージェントのクライアント側を設定します。
-
DHCPv6 リレー エージェントのサーバー側を設定します。
-
DHCPv6 プロトコルを許可するようにセキュリティ ゾーンを設定します。
表1:DHCPv6リレーパラメータ:
パラメーター
クライアント側の詳細
サーバー側の詳細
インターフェイス
ge-0/0/3.0
ge-0/0/4.0
ルーティング インターフェイス
trust-vr
untrust-vr
IP アドレス
2001:db8:12::1/64
2001:db8:23::1/64
メモ:この設定を機能させるためには、DHCPv6 サーバー接続ルートとリレー エージェント インターフェイス ルートが両方のルーティング インスタンスにある必要があります。例えば、上記のトポロジーでは、サーバー ルート 2001:db8:34::/64 を dhcp-relay VR と共有し、dhcp-relay インターフェイス ルート 2001:db8:12::/64 正確をデフォルト のルーティング インスタンスと共有する必要があります。
また、DHCPv6 サーバーを使用して、ルーティング インスタンスにダミー dhcp-relay 構成を追加する必要があります。これが設定されていない場合、dhcp-relayはDHCPv6サーバーからパケットを受信できません。
構成
CLI クイックコンフィギュレーション
以下の手順では、異なるルーティング インスタンス内の DHCPv6 サーバーとクライアント間で DHCPv6 メッセージ交換を作成するための設定タスクについて説明します。この例を迅速に設定するには、以下のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルの [edit] CLI にコピー アンド ペーストして、設定モードから を入力 commit します。
クライアント対応サポートの迅速な設定:
set routing-instances trust-vr instance-type virtual-router set routing-instances trust-vr interface ge-0/0/3.0 set interfaces ge-0/0/3 unit 0 family inet6 address 2001:db8:12::1/64
サーバーに面したサポートの迅速な設定:
set routing-instances untrust-vr instance-type virtual-router set routing-instances untrust-vr interface ge-0/0/4.0 set routing-instances untrust-vr forwarding-options dhcp-relay dhcpv6 forward-only-replies set interfaces ge-0/0/4 unit 0 family inet6 address 2001:db8:23::1/64
DHCPv6 リレー サポートの迅速な設定:
set routing-instances untrust-vr forwarding-options dhcp-relay dhcpv6 server-group dummy-config set routing-instances untrust-vr routing-options instance-import import_relay_route_to_server_vr set routing-instances untrust-vr routing-options static route 2001:db8:34::/64 next-hop 2001:db8:23::2 set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 server-group server-1 2001:db8:34::2 set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 active-server-group server-1 set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 group relay-in-vr interface ge-0/0/3.0 set routing-instances trust-vr routing-options instance-import export_dhcp_server_route set policy-options policy-statement export_dhcp_server_route term 1 from instance untrust-vr set policy-options policy-statement export_dhcp_server_route term 1 from route-filter 2001:db8:34::/64 exact set policy-options policy-statement export_dhcp_server_route term 1 then accept set policy-options policy-statement export_dhcp_server_route term 2 then reject set policy-options policy-statement import_relay_route_to_server_vr term 1 from instance trust-vr set policy-options policy-statement import_relay_route_to_server_vr term 1 from route-filter 2001:db8:12::/64 exact set policy-options policy-statement import_relay_route_to_server_vr term 1 then accept set policy-options policy-statement import_relay_route_to_server_vr term 2 then reject set routing-options static route 2001:db8:34::2/64 next-table untrust-vr.inet.0
DHCPv6プロトコルを許可するセキュリティゾーンの迅速な設定:
set security policies default-policy permit-all set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic protocols all
手順
手順
次の例では、設定階層内のさまざまなレベルに移動する必要があります。その方法の詳細については、 CLIユーザーガイドの設定モードでのCLIエディターの使用を参照してください。
DHCPv6リレーエージェントのクライアント側でサポートを設定するには:
-
ルーティングインスタンスタイプを仮想ルーターとして設定します。
[edit] user@host# set routing-instances trust-vr instance-type virtual-router
-
インターフェイスを仮想ルーターに設定する
[edit] user@host# set routing-instances trust-vr interface ge-0/0/3.0
-
IPアドレスをインターフェイスに設定します。
[edit] user@host# set interfaces ge-0/0/3 unit 0 family inet6 address 2001:db8:12::1/64
手順
手順
DHCPv6 リレー エージェントのサーバー側でサポートを設定するには、
-
仮想ルーターを設定します。
[edit] user@host# set routing-instances untrust-vr instance-type virtual-router
-
インターフェイスを仮想ルーターに設定します。
[edit] user@host# set routing-instances untrust-vr interface ge-0/0/4.0
-
転送専用の返信オプションを設定します。
[edit] user@host# set routing-instances untrust-vr forwarding-options dhcp-relay dhcpv6 forward-only-replies
-
IPアドレスをインターフェイスに設定します。
[edit] user@host# set interfaces ge-0/0/4 unit 0 family inet6 address 2001:db8:23::1/64
手順
手順
DHCPv6 ローカル サーバーをサポートするように設定するには、次の手順にしたがってください。
-
untrust-vrルーティングインスタンスのdhcp-relayで設定を設定する
[edit ] user@host# set routing-instances untrust-vr forwarding-options dhcp-relay dhcpv6 server-group dummy-config user@host# set routing-instances untrust-vr routing-options instance-import import_relay_route_to_server_vr user@host# set routing-instances untrust-vr routing-options static route 2001:db8:34::/64 next-hop 2001:db8:23::2
-
trust-vrルーティングインスタンスのdhcp-relayで設定を設定する
[edit ] user@host# set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 server-group server-1 2001:db8:34::2 user@host# set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 active-server-group server-1 user@host# set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 group relay-in-vr interface ge-0/0/3.0 user@host# set routing-instances trust-vr routing-options instance-import export_dhcp_server_route
-
ルーティング インスタンス間でルートを共有する設定を設定します。
[edit ] user@host# set policy-options policy-statement export_dhcp_server_route term 1 from instance untrust-vr user@host# set policy-options policy-statement export_dhcp_server_route term 1 from route-filter 2001:db8:34::/64 exact user@host# set policy-options policy-statement export_dhcp_server_route term 1 then accept user@host# set policy-options policy-statement export_dhcp_server_route term 2 then reject user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 from instance trust-vr user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 from route-filter 2001:db8:12::/64 exact user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 then accept user@host# set policy-options policy-statement import_relay_route_to_server_vr term 2 then reject user@host# set routing-options static route 2001:db8:34::2/64 next-table untrust-vr.inet.0
メモ:SRX シリーズ デバイスを DHCPv6 ローカル サーバーとして機能させることができます。DHCPv6 ローカル サーバーは、クライアントの要求に応じて IP アドレスとその他の構成情報を提供します。
手順
手順
DHCPv6プロトコルを許可するようにセキュリティゾーンを設定するには:
-
すべてのトラフィックを許可するデフォルトのセキュリティポリシーを設定します。
[edit ] user@host# set security policies default-policy permit-all
-
インターフェイスge-0/0/4.0ですべてのシステムサービスとプロトコルを設定します。
[edit ] user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic protocols all
-
インターフェイス ge-0/0/3.0 ですべてのシステム サービスとプロトコルを設定します。
[edit ] user@host# set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic system-services all user@host# set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic protocols all
結果
-
クライアント対応サポートの結果:
設定モードから、 コマンドを入力して設定を show routing-instances 確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show routing-instances
trust-vr {
instance-type virtual-router;
interface ge-0/0/3.0;
}
-
サーバー対応サポートの結果:
設定モードから、 コマンドを入力して設定を
show routing-instances確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show routing-instances
untrust-vr {
instance-type virtual-router;
interface ge-0/0/4.0;
forwarding-options {
dhcp-relay {
forward-only-replies;
}
}
}
-
DHCPv6 ローカル サーバー サポートの結果:
設定モードから、 、
show policy-optionsおよびshow routing-optionsコマンドを入力して設定をshow routing-instances確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show routing-instances
trust-vr {
routing-options {
instance-import export_dhcp_server_route;
}
forwarding-options {
dhcp-relay {
server-group {
server-1 {
2001:db8:34::2;
}
}
active-server-group server-1;
group relay-in-vr {
interface ge-0/0/3.0;
}
}
}
}
untrust-vr {
routing-options {
static {
route 2001:db8:34::/64 next-hop 2001:db8:23::2;
}
instance-import import_relay_route_to_server_vr;
}
forwarding-options {
dhcp-relay {
server-group {
dummy-config;
}
}
}
}
[edit]
user@host# show policy-options
policy-statement export_dhcp_server_route {
term 1 {
from {
instance untrust-vr;
route-filter 2001:db8:34::/64 exact;
}
then accept;
}
term 2 {
then reject;
}
}
policy-statement import_relay_route_to_server_vr {
term 1 {
from {
instance trust-vr;
route-filter 2001:db8:12::/64 exact;
}
then accept;
}
term 2 {
then reject;
}
}
[edit]
user@host# show routing-options
static {
route 2001:db8:34::2/64 next-table untrust-vr.inet.0;
}
-
DHCPv6 プロトコルを許可するセキュリティ ゾーンの結果:
設定モードから、 および
show security zonesコマンドを入力して設定をshow security policies確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。
[edit]
user@host# show security policies
default-policy {
permit-all;
}
[edit]
user@host# show security zones
security-zone HOST {
interfaces {
all;
}
}
security-zone untrust {
interfaces {
ge-0/0/4.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone trust {
interfaces {
ge-0/0/3.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから を入力します commit 。
DHCPv6パケットへのDHCPv6インターフェイスIDオプション(オプション18)の挿入
DHCPv6リレーエージェントを設定して、リレーがDHCPv6サーバーに送信するパケットにDHCPv6インターフェイスID(オプション18)を挿入できます。オプション 18 サポートは、DHCPv6 グローバル レベルまたはグループ レベルのいずれかで設定できます。
オプション 18 サポートを構成する場合、オプションで以下の追加情報を含めることができます。
プレフィックス—インターフェイス識別子にプレフィックスを追加するオプションを指定
prefixします。プレフィックスは、ホスト名、論理システム名、ルーティングインスタンス名の任意の組み合わせです。インターフェイスの説明—インターフェイス識別子の
use-interface-description代わりにテキストインターフェイス記述を含めるオプションを指定します。デバイスインターフェイスの説明または論理インターフェイスの説明のいずれかを含めることができます。オプション 82 エージェント回線 ID サブオプション(サブオプション 1)—DHCPv4 オプション 82 エージェント回線 ID サブオプション(サブオプション 1)を含めるオプションを指定
use-option-82します。この設定は、DHCPv4とDHCPv6の両方の加入者が同じ基礎となる論理インターフェイス上に存在するデュアルスタック環境で有効です。ルーターは、オプション 82 サブオプション 1 の値を確認し、それを発信パケットに挿入します。DHCPv4 バインディングが存在しない場合、またはバインディングにオプション 82 サブオプション 1 値がない場合、ルーターはオプション 18 を追加せずにパケットを送信します。
オプションの設定のいずれかを指定し、指定された情報が存在しない場合(例えば、インターフェイスの説明がない)、DHCPv6リレーはオプションの設定を無視し、パケットにデフォルトのインターフェイス識別子を挿入します。
DHCPv6 パケットに DHCPv6 Interface-ID オプション(オプション 18)を挿入するには、次の手順に従います。
「」も参照
DHCPv6リモートIDオプション(オプション37)をDHCPv6パケットに挿入する
Junos OSリリース14.1以降、DHCPv6リレーエージェントが、リレーがDHCPv6サーバーに送信するパケットにDHCPv6リモートID(オプション37)を挿入するように設定できます。オプション 37 サポートは、DHCPv6 グローバル レベルまたはグループ レベルのいずれかで設定できます。
オプション 37 サポートを設定する場合、オプションで以下の情報を含めることができます。
プレフィックス—インターフェイス識別子にプレフィックスを追加するオプションを指定
prefixします。プレフィックスは、ホスト名、論理システム名、ルーティングインスタンス名の任意の組み合わせです。インターフェイスの説明—インターフェイス識別子の
use-interface-description代わりにテキストインターフェイス記述を含めるオプションを指定します。デバイスインターフェイスの説明または論理インターフェイスの説明のいずれかを含めることができます。オプション 82 エージェント Remote-ID サブオプション(サブオプション 2)—DHCPv4 オプション 82 Remote-ID サブオプション(サブオプション 2)の値を使用するオプションを指定
use-option-82します。この設定は、DHCPv4とDHCPv6の両方の加入者が同じ基礎となる論理インターフェイス上に存在するデュアルスタック環境で有効です。ルーターは、オプション 82 サブオプション 2 の値を確認し、それを発信パケットに挿入します。
オプションの設定のいずれかを指定し、指定された情報が存在しない場合(例えば、インターフェイスの説明がない)、DHCPv6リレーはオプションの設定を無視し、パケットにデフォルトのインターフェイス識別子を挿入します。
DHCPv6 パケットに DHCPv6 リモート ID オプション(オプション 37)を挿入するには、
「」も参照
DHCPv6 パケットに DHCPv6 クライアント MAC アドレス オプション(オプション 79)を挿入する
既存の IPv4 ネットワークに IPv6 を段階的に導入すると、デバイスが DHCPv4 クライアントと DHCPv6 クライアントの両方として機能するデュアルスタック ネットワーク環境が生じる可能性があります。デュアルスタックシナリオでは、オペレーターは、インターフェイスに共通する識別子に基づいて、同じクライアントインターフェイスにDHCPv4およびDHCPv6メッセージを関連付けできるようにする必要があります。
DHCPv6リレーエージェントを設定して、リレーがDHCPv6サーバーに送信するパケットにDHCPv6クライアントMACアドレスを挿入できます。クライアントMACアドレスは、DHCPv4およびDHCPv6メッセージを同じクライアントインターフェイスに関連付けるために使用されます。
デュアルスタッククライアントからDHCPv4とDHCPv6メッセージを関連付けるだけでなく、DHCPv6パケットにクライアントMACアドレスを含め、リレーエージェントとサーバーのクライアントに関連するイベントのデバッグとロギングに関する追加情報を提供します。
DHCPv6 オプション 79 が有効になっている場合、DHCPv6 リレー エージェントは、クライアントから受信した DHCPv6 要求および DHCPv6 リクエスト メッセージの送信元 MAC アドレスを読み取ります。リレー エージェントは、DHCPv6 リレーフォワード メッセージ内で要求メッセージとリクエスト メッセージをカプセル化し、メッセージをサーバーにリレーする前に、オプション 79 としてリレーフォワード ヘッダーにクライアント MAC アドレスを挿入します。
DHCPv6 パケットにすでにリレーフォワード ヘッダーがある場合、DHCPv6 リレー エージェントは、パケットが次の条件を満たしている場合、クライアント MAC アドレスを追加します。パケットにリレーフォワード ヘッダーが 1 つだけあり、LDRA によってリレーフォワード ヘッダーが追加され、リレーフォワード ヘッダーにオプション 79 情報がまだ含まれていません。
軽量の DHCPv6 リレー エージェント(LDRA)に対して DHCPv6 オプション 79 を設定することもできます。LDRAは、DHCPv6クライアントおよびリレーエージェントまたはサーバーと同じIPv6リンク上に存在し、レイヤー2リレーエージェントとして機能します。異なるIPv6リンクに存在するサーバーまたはリレーエージェントにメッセージを転送するために必要なルーティング機能を実行しません。
[edit] user@host# set forwarding-options dhcp-relay dhcpv6 relay-agent-option-79
LDRA(レイヤー2)にDHCPv6オプション79を設定するには:
[edit] user@host# set vlans vlan-name forwarding-options dhcp-security dhcpv6-options option-79
「」も参照
DHCPv6リレー設定の検証と管理
目的
拡張 DHCPv6 リレー エージェント クライアントのアドレス バインディングまたは統計情報を表示またはクリアします。
アクション
拡張 DHCPv6 リレー エージェント クライアントのアドレス バインディングを表示するには、
user@host> show dhcpv6 relay binding
拡張DHCPv6リレーエージェント統計を表示するには:
user@host> show dhcpv6 relay statistics
DHCPv6リレーエージェントクライアントのバインディング状態をクリアするには、
user@host> clear dhcpv6 relay binding
すべての拡張DHCPv6リレーエージェント統計をクリアするには:
user@host> clear dhcpv6 relay statistics