DHCPv6 リレー エージェント
DHCPv6 リレー エージェントは、IPv6 ネットワークでサポートを提供することで、DHCP リレー エージェントを強化します。DHCPv6 リレー エージェントは、DHCP リレー エージェントが IPv4 ネットワークをサポートする方法と同様に、DHCPv6 クライアントと DHCPv6 サーバーの間でメッセージを渡します。DHCPv6 リレー エージェントを使用すると、各物理ネットワークに DHCPv6 サーバーを配置する必要がなくなります。DHCPv6 パケットへの DHCPv6 インターフェイス ID(オプション 18)、リモート ID(オプション 37)、またはクライアント MAC アドレス(オプション 79)の挿入と、DHCPv6 設定の検証の詳細については、このトピックをお読みください。
DHCPv6 リレー エージェントの概要
DHCPv6クライアントがログインすると、DHCPv6リレーエージェントはAAAサービスフレームワークを使用してRADIUSサーバーと対話し、認証とアカウンティングを提供します。DHCP とは独立して設定された RADIUS サーバーは、クライアントを認証し、IPv6 プレフィックスと、セッション タイムアウトやインターフェイスごとに許可されるクライアントの最大数などのクライアント構成パラメーターを提供します。
PTXシリーズパケットトランスポートルーターは、DHCPv6リレーエージェントの認証をサポートしていません。
ACX シリーズ ルーターでは、以下の DHCPv6 機能はサポートされていません。
DHCPv6 リレー エージェントの加入者認証
DHCP スヌーピング
DHCPv6 クライアント
活性検出
動的プロファイル
オプション 37 のリモート ID 挿入のサポート
DHCPv6 リレーの BFD(双方向フォワーディング検出)
DHCPv6 リレー エージェントは、DHCP ローカル サーバーおよび DHCP リレー エージェントと互換性があり、DHCP ローカル サーバーまたは DHCP リレー エージェントと同じインターフェイス上で有効にできます。
ルーター(またはスイッチ)で DHCPv6 リレー エージェントを構成するには、 ステートメントを dhcpv6
[edit forwarding-options dhcp-relay]
階層レベルで記述します。
また、 dhcpv6
以下の階層レベルに ステートメントを含めることもできます。
[edit logical-systems logical-system-name forwarding-options dhcp-relay]
[edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options dhcp-relay]
[edit routing-instances routing-instance-name forwarding-options dhcp-relay]
DHCPv6 バインディングと統計情報の表示とクリアに固有のコマンドについては、 DHCPv6 モニタリングと管理 を参照してください。
DHCPv6 リレー エージェントの設定
DHCPv6 リレー エージェントは、異なる IP ネットワーク上の DHCPv6 クライアントと DHCPv6 サーバー間でメッセージをリレーするためのインターフェイスとして機能します。
この例では、SRXシリーズファイアウォールでDHCPv6リレーエージェントを設定する方法について説明します。DHCPv6リレーエージェントとして機能するSRXシリーズファイアウォールは、異なるルーティングインスタンスの一部であるDHCPv6クライアントとサーバー間のリクエストとレスポンスの転送を担当します。
要件
DHCPv6 リレー エージェントの構成例は、次のハードウェアおよびソフトウェア コンポーネントでテスト済みです。
-
Junos OS 22.3R1以降を搭載したSRXシリーズファイアウォール。
概要
DHCPv6 サーバーと、異なる仮想ルーティング インスタンスに存在する DHCPv6 クライアントとの間で DHCPv6 メッセージを交換する際に、DHCPv6 リレー エージェントを設定してセキュリティを強化することができます。このタイプの構成は、DHCPv6 サーバーがクライアント ネットワークから分離されたネットワークに存在する場合に、DHCPv6 サーバーと DHCPv6 クライアント間の DHCPv6 リレー接続用です。
トポロジ
異なるルーティング インスタンス間で DHCPv6 メッセージを交換するには、DHCPv6 リレー エージェントのサーバー向けインターフェイスとクライアント側向けインターフェイスの両方で、DHCPv6 パケットを認識して転送できるようにする必要があります。
次の 図 1 は、DHCPv6 ローカル サーバー、DHCPv6 クライアント、DHCPv6 リレー エージェントとしての DHCPv6 のパフォーマンスを示しています
次のリストは、異なるルーティング インスタンス間で DHCPv6 メッセージ交換を作成するために必要なタスクの概要を示しています。
-
DHCPv6 リレー エージェントのクライアント側を構成します。
-
DHCPv6 リレー エージェントのサーバー側を構成します。
-
DHCPv6プロトコルを許可するようにセキュリティゾーンを設定します。
表1:DHCPv6リレーパラメータ:
パラメーター
クライアント側の詳細
サーバー側の詳細
インターフェイス
ge-0/0/3.0
ge-0/0/4.0
ルーティング インターフェイス
Trust-VR
untrust-vr
IPアドレス
2001:db8:12::1/64
2001:db8:23::1/64
メモ:この設定を機能させるには、DHCPv6 サーバ接続ルートとリレー エージェント インターフェイス ルートが両方のルーティング インスタンスに存在する必要があります。例えば、上記のトポロジーでは、サーバールート2001:db8:34::/64をdhcpリレーVRと共有する必要があり、dhcpリレーインターフェイスルート2001:db8:12::/64 exact はデフォルトのルーティングインスタンスと共有する必要があります。
また、ダミーのdhcp-relay設定を、DHCPv6サーバーのあるルーティングインスタンスに追加する必要があります。これが構成されていない場合、dhcp-relay は DHCPv6 サーバーからパケットを受信できません。
構成
CLIクイック構成
次の手順では、DHCPv6 サーバーと異なるルーティング インスタンスのクライアント間の DHCPv6 メッセージ交換を作成するための構成タスクについて説明します。この例を迅速に設定するには、以下のコマンドをコピーして、テキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致させる必要がある詳細情報を変更し、コマンドを 階層レベルでCLI [edit]
にコピーアンドペーストして、設定モードから を入力します commit
。
クライアント向けサポートの迅速な設定:
set routing-instances trust-vr instance-type virtual-router set routing-instances trust-vr interface ge-0/0/3.0 set interfaces ge-0/0/3 unit 0 family inet6 address 2001:db8:12::1/64
サーバー向けサポートのクイック構成:
set routing-instances untrust-vr instance-type virtual-router set routing-instances untrust-vr interface ge-0/0/4.0 set routing-instances untrust-vr forwarding-options dhcp-relay dhcpv6 forward-only-replies set interfaces ge-0/0/4 unit 0 family inet6 address 2001:db8:23::1/64
DHCPv6リレーサポートのクイック設定:
set routing-instances untrust-vr forwarding-options dhcp-relay dhcpv6 server-group dummy-config set routing-instances untrust-vr routing-options instance-import import_relay_route_to_server_vr set routing-instances untrust-vr routing-options static route 2001:db8:34::/64 next-hop 2001:db8:23::2 set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 server-group server-1 2001:db8:34::2 set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 active-server-group server-1 set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 group relay-in-vr interface ge-0/0/3.0 set routing-instances trust-vr routing-options instance-import export_dhcp_server_route set policy-options policy-statement export_dhcp_server_route term 1 from instance untrust-vr set policy-options policy-statement export_dhcp_server_route term 1 from route-filter 2001:db8:34::/64 exact set policy-options policy-statement export_dhcp_server_route term 1 then accept set policy-options policy-statement export_dhcp_server_route term 2 then reject set policy-options policy-statement import_relay_route_to_server_vr term 1 from instance trust-vr set policy-options policy-statement import_relay_route_to_server_vr term 1 from route-filter 2001:db8:12::/64 exact set policy-options policy-statement import_relay_route_to_server_vr term 1 then accept set policy-options policy-statement import_relay_route_to_server_vr term 2 then reject set routing-options static route 2001:db8:34::2/64 next-table untrust-vr.inet.0
DHCPv6プロトコルを許可するセキュリティゾーンのクイック設定:
set security policies default-policy permit-all set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services all set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic protocols all set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic system-services all set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic protocols all
手順
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、 CLIユーザー ガイドの 設定モードでのCLIエディターの使用を参照してください。
DHCPv6 リレー エージェントのクライアント側でサポートを構成するには:
-
ルーティングインスタンスタイプを仮想ルーターに設定します。
[edit] user@host# set routing-instances trust-vr instance-type virtual-router
-
仮想ルーターへのインターフェイスの設定
[edit] user@host# set routing-instances trust-vr interface ge-0/0/3.0
-
インターフェイスに IP アドレスを設定します。
[edit] user@host# set interfaces ge-0/0/3 unit 0 family inet6 address 2001:db8:12::1/64
手順
手順
DHCPv6 リレー エージェントのサーバー側に面する側でサポートを構成するには:
-
仮想ルーターを設定します。
[edit] user@host# set routing-instances untrust-vr instance-type virtual-router
-
仮想ルーターにインターフェイスを設定します。
[edit] user@host# set routing-instances untrust-vr interface ge-0/0/4.0
-
返信の転送のみのオプションを設定します。
[edit] user@host# set routing-instances untrust-vr forwarding-options dhcp-relay dhcpv6 forward-only-replies
-
インターフェイスに IP アドレスを設定します。
[edit] user@host# set interfaces ge-0/0/4 unit 0 family inet6 address 2001:db8:23::1/64
手順
手順
DHCPv6 ローカル サーバーをサポートするように構成するには:
-
untrust-vrルーティングインスタンスのdhcpリレーで設定を行います
[edit ] user@host# set routing-instances untrust-vr forwarding-options dhcp-relay dhcpv6 server-group dummy-config user@host# set routing-instances untrust-vr routing-options instance-import import_relay_route_to_server_vr user@host# set routing-instances untrust-vr routing-options static route 2001:db8:34::/64 next-hop 2001:db8:23::2
-
trust-vrルーティングインスタンスのdhcpリレーで設定を行います
[edit ] user@host# set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 server-group server-1 2001:db8:34::2 user@host# set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 active-server-group server-1 user@host# set routing-instances trust-vr forwarding-options dhcp-relay dhcpv6 group relay-in-vr interface ge-0/0/3.0 user@host# set routing-instances trust-vr routing-options instance-import export_dhcp_server_route
-
ルーティングインスタンス間でルートを共有するように構成を設定します。
[edit ] user@host# set policy-options policy-statement export_dhcp_server_route term 1 from instance untrust-vr user@host# set policy-options policy-statement export_dhcp_server_route term 1 from route-filter 2001:db8:34::/64 exact user@host# set policy-options policy-statement export_dhcp_server_route term 1 then accept user@host# set policy-options policy-statement export_dhcp_server_route term 2 then reject user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 from instance trust-vr user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 from route-filter 2001:db8:12::/64 exact user@host# set policy-options policy-statement import_relay_route_to_server_vr term 1 then accept user@host# set policy-options policy-statement import_relay_route_to_server_vr term 2 then reject user@host# set routing-options static route 2001:db8:34::2/64 next-table untrust-vr.inet.0
メモ:SRXシリーズファイアウォールをDHCPv6ローカルサーバーとして機能させることができます。DHCPv6 ローカル サーバーは、クライアント要求に応じて IP アドレスとその他の構成情報を提供します。
手順
手順
DHCPv6プロトコルを許可するようにセキュリティゾーンを設定するには:
-
すべてのトラフィックを許可するようにデフォルトのセキュリティポリシーを設定します。
[edit ] user@host# set security policies default-policy permit-all
-
インターフェイスge-0/0/4.0ですべてのシステムサービスとプロトコルを設定します。
[edit ] user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic system-services all user@host# set security zones security-zone untrust interfaces ge-0/0/4.0 host-inbound-traffic protocols all
-
インターフェイスge-0/0/3.0ですべてのシステムサービスとプロトコルを設定します。
[edit ] user@host# set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic system-services all user@host# set security zones security-zone trust interfaces ge-0/0/3.0 host-inbound-traffic protocols all
結果
-
クライアント向けサポートの結果:
設定モードから、 コマンドを入力して show routing-instances
設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show routing-instances trust-vr { instance-type virtual-router; interface ge-0/0/3.0; }
-
サーバー向けサポートの結果:
設定モードから、 コマンドを入力して
show routing-instances
設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show routing-instances untrust-vr { instance-type virtual-router; interface ge-0/0/4.0; forwarding-options { dhcp-relay { forward-only-replies; } } }
-
DHCPv6 ローカル サーバ サポートの結果:
コンフィギュレーションモードから、 および
show policy-options
show routing-options
コマンドを入力してshow routing-instances
、コンフィギュレーションを確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show routing-instances trust-vr { routing-options { instance-import export_dhcp_server_route; } forwarding-options { dhcp-relay { server-group { server-1 { 2001:db8:34::2; } } active-server-group server-1; group relay-in-vr { interface ge-0/0/3.0; } } } } untrust-vr { routing-options { static { route 2001:db8:34::/64 next-hop 2001:db8:23::2; } instance-import import_relay_route_to_server_vr; } forwarding-options { dhcp-relay { server-group { dummy-config; } } } } [edit] user@host# show policy-options policy-statement export_dhcp_server_route { term 1 { from { instance untrust-vr; route-filter 2001:db8:34::/64 exact; } then accept; } term 2 { then reject; } } policy-statement import_relay_route_to_server_vr { term 1 { from { instance trust-vr; route-filter 2001:db8:12::/64 exact; } then accept; } term 2 { then reject; } } [edit] user@host# show routing-options static { route 2001:db8:34::2/64 next-table untrust-vr.inet.0; }
-
DHCPv6プロトコルを許可するセキュリティゾーンの結果:
設定モードから、 および
show security zones
コマンドを入力してshow security policies
設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit] user@host# show security policies default-policy { permit-all; } [edit] user@host# show security zones security-zone HOST { interfaces { all; } } security-zone untrust { interfaces { ge-0/0/4.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } security-zone trust { interfaces { ge-0/0/3.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } }
デバイスの設定が完了したら、設定モードから を入力します commit
。
DHCPv6 パケットへの DHCPv6 インターフェイス ID オプション(オプション 18)の挿入
リレーが DHCPv6 サーバーに送信するパケットに DHCPv6 インターフェイス ID(オプション 18)を挿入するように DHCPv6 リレー エージェントを設定できます。オプション 18 のサポートは、DHCPv6 グローバル レベルまたはグループ レベルで設定できます。
オプション 18 のサポートを設定する場合、オプションで次の追加情報を含めることができます。
Prefix—インターフェイス識別子にプレフィックスを追加するオプションを指定します
prefix
。プレフィックスは、ホスト名、論理システム名、ルーティングインスタンス名の任意の組み合わせにすることができます。インターフェイスの説明—インターフェイス識別子の代わりにテキスト形式のインターフェイスの説明を含めるオプションを指定します
use-interface-description
。デバイス・インターフェース記述または論理インターフェース記述のいずれかを含めることができます。オプション 82 エージェント回線 ID サブオプション(サブオプション 1)—DHCPv4 オプション 82 エージェント回線 ID サブオプション(サブオプション 1)を含めるオプションを指定します
use-option-82
。この設定は、DHCPv4とDHCPv6の両方の加入者が同じ基盤となる論理インターフェイス上に存在するデュアルスタック環境で役立ちます。ルーターはオプション 82 サブオプション 1 の値を確認し、発信パケットに挿入します。DHCPv4 バインディングが存在しない場合、またはバインディングにオプション 82 サブオプション 1 の値がない場合、ルーターはオプション 18 を追加せずにパケットを送信します。
オプションの設定のいずれかを指定し、指定された情報が存在しない場合(たとえば、インターフェイスの説明がない場合)、DHCPv6リレーはオプションの設定を無視し、デフォルトのインターフェイス識別子をパケットに挿入します。
DHCPv6 パケットに DHCPv6 インターフェイス ID オプション(オプション 18)を挿入するには、次の手順を実行します。
関連項目
DHCPv6 パケットへの DHCPv6 リモート ID オプション(オプション 37)の挿入
Junos OS リリース 14.1 以降では、リレーが DHCPv6 サーバーに送信するパケットに DHCPv6 リモート ID(オプション 37)を挿入するように DHCPv6 リレー エージェントを設定できます。オプション 37 のサポートは、DHCPv6 グローバル レベルまたはグループ レベルで設定できます。
オプション 37 のサポートを設定する場合、オプションで次の情報を含めることができます。
Prefix—インターフェイス識別子にプレフィックスを追加するオプションを指定します
prefix
。プレフィックスは、ホスト名、論理システム名、ルーティングインスタンス名の任意の組み合わせにすることができます。インターフェイスの説明—インターフェイス識別子の代わりにテキスト形式のインターフェイスの説明を含めるオプションを指定します
use-interface-description
。デバイス・インターフェース記述または論理インターフェース記述のいずれかを含めることができます。オプション 82 エージェント リモート ID サブオプション(サブオプション 2)—DHCPv4 オプション 82 リモート ID サブオプション(サブオプション 2)の値を使用するオプションを指定します
use-option-82
。この設定は、DHCPv4とDHCPv6の両方の加入者が同じ基盤となる論理インターフェイス上に存在するデュアルスタック環境で役立ちます。ルーターはオプション 82 サブオプション 2 の値を確認し、発信パケットに挿入します。
オプションの設定のいずれかを指定し、指定された情報が存在しない場合(たとえば、インターフェイスの説明がない場合)、DHCPv6リレーはオプションの設定を無視し、デフォルトのインターフェイス識別子をパケットに挿入します。
DHCPv6 パケットに DHCPv6 リモート ID オプション(オプション 37)を挿入するには、次の手順に従います。
関連項目
DHCPv6 パケットへの DHCPv6 クライアント MAC アドレス オプション(オプション 79)の挿入
既存のIPv4ネットワークにIPv6を段階的に導入すると、デバイスがDHCPv4クライアントとDHCPv6クライアントの両方として機能するデュアルスタックネットワーク環境になる可能性があります。デュアルスタックのシナリオでは、オペレーターは、インターフェイスに共通の識別子に基づいて、DHCPv4 メッセージと DHCPv6 メッセージを同じクライアント インターフェイスに関連付けることができる必要があります。
DHCPv6 リレー エージェントを構成して、リレーが DHCPv6 サーバーに送信するパケットに DHCPv6 クライアント MAC アドレスを挿入できます。クライアント MAC アドレスは、DHCPv4 メッセージと DHCPv6 メッセージを同じクライアント インターフェイスに関連付けるために使用されます。
デュアルスタック クライアントからの DHCPv4 メッセージと DHCPv6 メッセージを関連付けるだけでなく、DHCPv6 パケットにクライアント MAC アドレスを含めることで、リレー エージェントとサーバーのクライアントに関連するイベント デバッグとロギングの追加情報が提供されます。
DHCPv6 オプション 79 が有効になっている場合、DHCPv6 リレー エージェントは、クライアントから受信した DHCPv6 要請メッセージおよび DHCPv6 要求メッセージの送信元 MAC アドレスを読み取ります。リレー エージェントは、DHCPv6 リレー転送メッセージ内に送信請求メッセージと要求メッセージをカプセル化し、メッセージをサーバーにリレーする前に、クライアント MAC アドレスをオプション 79 としてリレー転送ヘッダーに挿入します。
DHCPv6 パケットにすでにリレー転送ヘッダーがある場合、パケットにリレー転送ヘッダーが 1 つしかなく、リレー転送ヘッダーが LDRA によって追加され、リレー転送ヘッダーにオプション 79 の情報が含まれていない条件をパケットが満たせば、DHCPv6 リレー エージェントはクライアント MAC アドレスを追加します。
軽量の DHCPv6 リレー エージェント(LDRA)用に DHCPv6 オプション 79 を設定することもできます。LDRA は、DHCPv6 クライアントおよびリレー エージェントまたはサーバーと同じ IPv6 リンク上に存在し、レイヤー 2 リレー エージェントとして機能しますが、異なる IPv6 リンクにあるサーバーまたはリレー エージェントにメッセージを転送するために必要なルーティング機能は実行されません。
[edit] user@host# set forwarding-options dhcp-relay dhcpv6 relay-agent-option-79
LDRA(レイヤー 2)に DHCPv6 オプション 79 を設定するには、次の手順に従います。
[edit] user@host# set vlans vlan-name forwarding-options dhcp-security dhcpv6-options option-79
関連項目
DHCPv6 リレー設定の検証と管理
目的
拡張 DHCPv6 リレーエージェントクライアントのアドレスバインディングまたは統計情報を表示またはクリアします。
アクション
拡張 DHCPv6 リレー エージェント クライアントのアドレス バインディングを表示するには:
user@host> show dhcpv6 relay binding
拡張 DHCPv6 リレー エージェントの統計情報を表示するには、次の手順を実行します。
user@host> show dhcpv6 relay statistics
DHCPv6 リレーエージェントクライアントのバインディング状態をクリアするには、以下を行います。
user@host> clear dhcpv6 relay binding
拡張 DHCPv6 リレー エージェント統計情報をすべて消去するには、次の手順を実行します。
user@host> clear dhcpv6 relay statistics
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。