DHCP オプション 82 について
DHCP オプション 82(DHCP リレー エージェント情報オプションとも呼ばれます)を使用すると、IP アドレスや MAC アドレスのスプーフィング(偽造)や DHCP IP アドレスのスターベーションなどの攻撃から、サポートされているジュニパー デバイスを保護できます。
一般的なシナリオでは、さまざまなホストがスイッチ上の信頼できないアクセス インターフェイスを介してネットワークに接続され、これらのホストは DHCP サーバに IP アドレスを要求して割り当てられます。しかし、悪意のある人物は、偽造されたネットワーク アドレスを使用して DHCP 要求をスプーフィングし、ネットワークへの不正な接続を取得する可能性があります。
この脆弱性を解消するため、RFC 3046, DHCP Relay Agent Information Option, http://tools.ietf.org/html/rfc3046 では、オプション 82 と呼ばれる標準について説明しています。このオプションでは、DHCP サーバーが IP アドレスやその他のパラメータを DHCP クライアントに割り当てる際に、DHCP クライアントの場所をどのように使用するかを定義します。
DHCP オプション 82 の概要
DHCP オプション 82 が VLAN またはブリッジ ドメインで有効になっている場合、信頼できないインターフェイス上の VLAN またはブリッジ ドメインに接続されているネットワーク デバイス(DHCP クライアント)が DHCP リクエストを送信すると、スイッチング デバイスは、クライアントのネットワーク上の位置情報を、そのリクエストのパケット ヘッダーに挿入します。その後、スイッチング デバイスから DHCP サーバーにリクエストが送信されます。DHCP サーバーは、パケット ヘッダーのオプション 82 の情報を読み取り、IP アドレスやその他のパラメーターをクライアントに実装するためにこれを使用します。オプション 82 の詳細については、オプション 82 のサブオプション・コンポーネント を参照してください。
EX4300 スイッチでは、DHCP オプション 82 の情報は、信頼できるインターフェイスおよび信頼できないインターフェイスで受信した DHCP パケットに追加されます。
オプション 82 が VLAN またはブリッジ ドメインで有効になっている場合、DHCP クライアントが DHCP リクエストを送信すると、以下の一連のイベントが発生します。
スイッチング デバイスはリクエストを受信し、オプション 82 の情報をパケット ヘッダーに挿入します。
スイッチング デバイスから DHCP サーバーにリクエストが転送(リレー)されます。
サーバーは、DHCP オプション 82 の情報を使用して応答を構築し、スイッチング デバイスに応答を送信します。オプション 82 の情報は変更されません。
スイッチング デバイスは、応答パケットからオプション 82 の情報を削除します。
スイッチング デバイスによって、応答パケットがクライアントに転送されます。
DHCP オプション 82 の機能を使用するには、DHCP サーバーがオプション 82 を受け入れるように設定されていることを確認する必要があります。DHCP サーバーがオプション 82 を受け入れるように設定されていない状態でオプション 82 の情報を含むリクエストを受信すると、設定パラメーターに関する情報は使用されず、その応答メッセージ内の情報がエコーされません。
スイッチング デバイスが EX シリーズ スイッチで、ELS(拡張レイヤー 2 ソフトウェア)の設定スタイルで Junos OS を使用している場合、特定の VLAN に対してのみ DHCP オプション 82 を有効にできます。 「 Relay(ELS)を使用しないスイッチで DHCP オプション 82 を設定する」を参照してください。
スイッチング デバイスが EX シリーズ スイッチで、ELS(拡張レイヤー 2 ソフトウェア)の設定スタイルで Junos OS を使用して い ない場合、特定の VLAN、またはすべての VLAN に対して DHCP オプション 82 を有効にできます。 「 Relay(非 ELS)を使用しないスイッチで DHCP オプション 82 を設定する」を参照してください。
オプション 82 のサブオプション コンポーネント
スイッチング デバイスに実装されているオプション 82 は、サブオプションの回線 ID、リモート ID、ベンダー ID で構成されています。これらのサブオプションは、パケット ヘッダー内のフィールドです。
circuit ID:リクエストを受信したスイッチング デバイス上の回線(インターフェイスまたは VLAN)を特定します。回線 ID にはインターフェイス名と VLAN 名が含まれ、2 つの要素がコロンで区切られます(例:ge-0/0/10:vlan1 ここで、「ge-0/0/10」がインターフェイス名、「vlan1」が VLAN 名)。リクエスト パケットがレイヤー 3 インターフェイスで受信された場合、回線 ID はインターフェイス名だけになります(例:ge-0/0/10)。
プレフィックス オプションを使用して、任意のプレフィックスを回線 ID に追加します。Prefix オプションを有効にした場合、スイッチング デバイスのホスト名がプレフィックスとして使用されます。例えば、device1:ge-0/0/10:VLAN1では、device1がホスト名です。
インターフェイス名ではなく、インターフェイスの説明を使用するように指定することも、VLAN 名の代わりに VLAN ID を使用するように指定することもできます。
リモート ID:リモート ホストを識別します。詳細については、「 remote-id 」を参照してください。
ベンダー ID:ホストのベンダーを識別します。
vendor-idオプションを指定しても値を入力しない場合は、デフォルト値の Juniper が使用されます。値を指定するには、文字列を入力します。
オプション 82 をサポートするスイッチング デバイスの設定
オプション 82 をサポートするスイッチング デバイスの設定では、
スイッチング デバイス、DHCP クライアント、および DHCP サーバーは同じ VLAN またはブリッジ ドメイン上にあります。
スイッチング デバイス、DHCP クライアント、DHCP サーバーのすべてが同一の VLAN またはブリッジ ドメイン上にある場合、スイッチング デバイスは、信頼できないアクセス インターフェイス上のクライアントから、信頼できるインターフェイス上のサーバーへリクエストを転送します。 図1を参照してください。
リレー エージェントとして動作するスイッチング デバイス
スイッチング デバイスは、DHCP クライアントまたは DHCP サーバーがレイヤー 3 インターフェイスを介してスイッチング デバイスに接続している場合、リレー エージェント(拡張リレー サーバー)として機能します。スイッチング デバイスでは、これらのインターフェイスは RVI(Routed VLAN Interface)として設定されます。 図 2 は、拡張リレー サーバとして機能するスイッチング デバイスのシナリオを示しています。この場合、スイッチング デバイスはリクエストをサーバーにリレーします。この図では、同じネットワーク上のリレー エージェントとサーバーを示していますが、これらは異なるネットワーク上にある場合、つまりリレー エージェントが外部にある場合もあります。
として動作するスイッチング デバイス
DHCPv6 のオプション
DHCPv6 には、クライアントからサーバーにリレーされる DHCPv6 リクエスト パケットに情報を挿入するために使用できる複数のオプションが用意されています。これらのオプションは、DHCP オプション 82 のサブオプションに相当します。
オプション 37:リモート ホストを識別します。オプション 37 は、DHCP オプション 82 の
remote-idサブオプションに相当します。オプション 18—DHCP リクエスト パケットをクライアントから受信したインターフェイスを識別します。オプション 18 は、DHCP オプション 82 の
circuit-idサブオプションに相当します。オプション 16:クライアントがホストされているハードウェアのベンダーを識別します。オプション 16 は、DHCP オプション 82 の
vendor-idサブオプションに相当します。
VLAN で DHCPv6 スヌーピングが有効になっている場合、DHCPv6 オプションは自動的に有効になりません。これらは、 dhcpv6-options ステートメントを使用して設定する必要があります。