Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

DHCP オプション 82 について

DHCP オプション 82(DHCP リレー エージェント情報オプション)を使用して、IP アドレスや MAC アドレスのスプーフィング(偽造)などの攻撃、および DHCP IP アドレスのスタビレーションから、サポートされる ジュニパー デバイスを保護できます。

一般的なシナリオでは、さまざまなホストがスイッチ上の信頼できないアクセス インターフェイスを介してネットワークに接続され、DHCP サーバーに IP アドレスを要求して、割り当てられます。しかし、不正な行為は、偽造されたネットワーク アドレスを使用して DHCP 要求をスプーフィングし、ネットワークへの不正な接続を確立することができます。

この脆弱性を解決するために、RFC 3046、 DHCP リレー エージェント情報オプション、 http://tools.ietf.org/html/rfc3046  では、オプション 82 と呼ばれる標準について説明しています。このオプションでは、DHCP サーバーが IP アドレスなどのパラメーターを DHCP クライアントに割り当てる際に、DHCP クライアントの場所を使用する方法を定義します。

DHCP オプション 82 の概要

DHCP オプション 82 が VLAN またはブリッジ ドメインで有効になっている場合、信頼できないインターフェイス上の VLAN またはブリッジ ドメインに接続されているネットワーク デバイス(DHCP クライアント)が DHCP リクエストを送信すると、スイッチング デバイスは、クライアントのネットワーク位置に関する情報を、そのリクエストのパケット ヘッダーに挿入します。その後、スイッチング デバイスから DHCP サーバーにリクエストが送信されます。DHCP サーバーは、パケット ヘッダーのオプション 82 の情報を読み取り、それを使用してクライアントの IP アドレスまたは別のパラメーターを実装します。オプション 82 の詳細については、 オプション 82 の サブオプション コンポーネント を参照してください。

メモ:

スイッチEX4300 DHCP オプション 82 の情報は、信頼できるインターフェイスおよび信頼できないインターフェイスで受信した DHCP パケットに追加されます。

 オプション 82 が VLAN またはブリッジ ドメインで有効になっている場合、DHCP クライアントが DHCP リクエストを送信すると、以下の一連のイベントが発生します。

  1. スイッチング デバイスはリクエストを受信し、オプション 82 の情報をパケット ヘッダーに挿入します。

  2. スイッチング デバイスから DHCP サーバーにリクエストが転送(リレー)されます。

  3. サーバーは、DHCP オプション 82 の情報を使用して応答を定式化し、スイッチング デバイスに応答を送信します。オプション 82 の情報 は変更されない。

  4. スイッチング デバイスは、オプション 82 の情報を応答パケットから削除します。

  5. スイッチング デバイスは、応答パケットをクライアントに転送します。

DHCP オプション 82 の機能を使用するには、DHCP サーバーがオプション 82 を受け入れるするように設定されていることを 確認する必要があります。DHCP サーバーがオプション 82 を受け入れるよう設定されていない場合、オプション 82 の情報を含むリクエストを受信すると、設定パラメーターに関する情報は使用されません。その応答メッセージ内の情報がエコーされません。

メモ:

スイッチング デバイスが EX シリーズ スイッチで、ELS(拡張レイヤー 2 ソフトウェア)の設定スタイルで Junos OS を使用している場合、特定の VLAN に対して DHCP オプション 82 のみを有効にできます。「 Relay(ELS)を使用したスイッチで DHCP オプション 82 を設定する 」を参照してください

スイッチング デバイスが EX シリーズ スイッチで、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルで Junos OS を使用していない場合、特定の VLAN またはすべての VLAN に対して DHCP オプション 82 を有効にできます。「 Relay(非 ELS)を使用しないスイッチで DHCP オプション 82 を設定する 」を参照してください

オプション 82 のサブオプション コンポーネント

スイッチング デバイスに実装されているオプション 82 は、サブオプションの回線 ID、リモート ID、ベンダー ID で構成されています。これらのサブオプションは、パケット ヘッダーのフィールドです。

  • 回線 ID — リクエストを受信したスイッチング デバイスの回線(インターフェイスまたは VLAN)を識別します。回線 ID にはインターフェイス名と VLAN 名が含まれています。たとえば、ge-0/0/10:vlan1 など、2 つの要素はコロンで区切ります。ge-0/0/10 はインターフェイス名、vlan1 は VLAN 名です。リクエスト パケットがレイヤー 3 インターフェイスで受信された場合、回線 ID はインターフェイス名だけになります(例:ge-0/0/10)。

    プレフィックス オプションを使用して、オプションのプレフィックスを回線 ID に追加します。prefix オプションを有効にした場合、スイッチング デバイスのホスト名がプレフィックスとして使用されます。たとえば device1:ge-0/0/10:vlan1では、「device1」がホスト名です。

    インターフェイス名ではなく、インターフェイスの説明を使用するか、VLAN 名のではなく VLAN ID を使用する方法を指定することもできます。

  • リモート ID —リモート ホストを識別します。詳細 は、 リモート ID を 参照してください。

  • ベンダー ID — ホストのベンダーを識別します。オプションを指定した vendor-id のに値を入力しない場合は、デフォルト値のジュニパーされます。値を指定するには、文字列を入力します。

オプション 82 をサポートするスイッチング デバイスの設定

オプション 82 をサポートするスイッチング デバイス の設定は次のとおりです。

スイッチング デバイス、DHCP クライアント、DHCP サーバーは同じ VLAN またはブリッジ ドメイン上にあります。

スイッチング デバイス、DHCP クライアント、DHCP サーバーすべてが同じ VLAN またはブリッジ ドメイン上にある場合、スイッチング デバイスは信頼できないアクセス インターフェイス上のクライアントから 信頼できるインターフェイス 上のサーバーにリクエストを転送します。図 1 を参照してください

図 1:DHCP クライアント、スイッチング デバイス、DHCP サーバーはすべて、同じ VLAN またはブリッジ ドメイン DHCP Clients, Switching Device, and the DHCP Server Are All on the Same VLAN or Bridge Domain上にあります

スイッチング デバイスがリレー エージェントとして機能

スイッチング デバイスは、DHCP クライアントまたは DHCP サーバーがレイヤー 3 インターフェイスを介してスイッチング デバイスに接続している場合、リレー エージェント(拡張リレー サーバー)として機能します。スイッチング デバイスでは、これらのインターフェイスは ROUTED VLAN Interface(RVIS)として設定されています。 図 2 は、拡張リレー サーバーとして動作するスイッチング デバイスのシナリオを示しています。この例では、スイッチング デバイスがリクエストをサーバーにリレーします。この図は、同じネットワーク上のリレー エージェントとサーバーを示していますが、これらは異なるネットワーク上にある、つまりリレー エージェントが外部にある場合があります。

図 2:拡張リレー サーバーとして動作するスイッチング デバイス Switching Device Acting as an Extended Relay Server

DHCPv6 のオプション

DHCPv6 には、クライアントからサーバーにリレーされる DHCPv6 リクエスト パケットに情報を挿入するために使用できる複数のオプションが用意されています。これらのオプションは、DHCP オプション 82 のサブオプションに相当します。

  • オプション 37 —リモート ホストを識別します。オプション 37 は、 remote-id DHCP オプション 82 のサブオプションに相当します。

  • オプション 18 —DHCP リクエスト パケットをクライアントから受信したインターフェイスを識別します。オプション 18 は、 circuit-id DHCP オプション 82 のサブオプションに相当します。

  • オプション16 —クライアントがホストされているハードウェアのベンダーを識別します。オプション 16 は、 vendor-id DHCP オプション 82 のサブオプションに相当します。

DHCPv6 スヌーピングが VLAN で有効になっている場合、DHCPv6 オプションは自動的に有効になりません。ステートメントを使用して設定する必要 dhcpv6-options があります。