DHCP オプション 82 について
DHCP オプション 82(DHCP リレー エージェント情報オプション)を使用すると、IP アドレスや MAC アドレスのスプーフィング(鍛造)攻撃、DHCP IP アドレス不足などの攻撃から、サポート対象のジュニパー デバイスを保護できます。
一般的なシナリオでは、さまざまなホストがスイッチ上の信頼できないアクセス インターフェイスを介してネットワークに接続され、これらのホストは DHCP サーバーに IP アドレスを要求して割り当てられます。しかし、攻撃者は、偽造されたネットワーク アドレスを使用して DHCP 要求をスプーフィングして、ネットワークに不適切な接続を得ることができます。
この脆弱性から保護するために、RFC 3046、 DHCP リレー エージェント情報オプション http://tools.ietf.org/html/rfc3046 、オプション 82 と呼ばれる標準について説明しています。この標準は、DHCP サーバーが IP アドレスやその他のパラメーターをクライアントに割り当てる際に DHCP クライアントの場所を使用する方法を定義しています。
DHCP オプション 82 の概要
DHCP オプション 82 が VLAN またはブリッジ ドメインで有効になっている場合、信頼できないインターフェイス上の VLAN またはブリッジ ドメインに接続されているネットワーク デバイス(DHCP クライアント)が DHCP 要求を送信すると、スイッチング デバイスはその要求のパケット ヘッダーにクライアントのネットワーク位置に関する情報を挿入します。その後、スイッチング デバイスが DHCP サーバーに要求を送信します。DHCP サーバーは、パケット ヘッダー内のオプション 82 の情報を読み取り、それを使用して IP アドレスまたはクライアントの別のパラメーターを実装します。 オプション 82 の詳細については、オプション 82 のサブオプション コンポーネント を参照してください。
EX4300 スイッチでは、DHCP オプション 82 の情報が、信頼できるインターフェイスと信頼できないインターフェイスで受信した DHCP パケットに追加されます。
オプション 82 が VLAN またはブリッジ ドメインで有効になっている場合、DHCP クライアントが DHCP 要求を送信すると、次の一連のイベントが発生します。
スイッチング デバイスは要求を受信し、オプション 82 の情報をパケット ヘッダーに挿入します。
スイッチング デバイスは、その要求を DHCP サーバーに転送(またはリレー)します。
サーバーは DHCP オプション 82 の情報を使用して応答を定式化し、応答をスイッチング デバイスに送信します。オプション 82 の情報は変更されません。
スイッチング デバイスは、オプション 82 の情報を応答パケットから取り除きます。
スイッチング デバイスは、応答パケットをクライアントに転送します。
DHCP オプション 82 機能を使用するには、DHCP サーバーがオプション 82 を受け入れるよう構成されていることを確認する必要があります。DHCP サーバーがオプション 82 を受け入れるよう構成されていない場合、オプション 82 の情報を含む要求を受信すると、DHCP サーバーはパラメーターの設定情報を使用せず、応答メッセージ内の情報をエコーしません。
スイッチング デバイスが EX シリーズ スイッチで、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルの Junos OS を使用している場合は、特定の VLAN に対してのみ DHCP オプション 82 を有効にできます。「 リレー(ELS)を使用しないスイッチで DHCP オプション 82 を設定する」を参照してください。
スイッチング デバイスが EX シリーズ スイッチで、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルの Junos OS を使用 していない 場合は、特定の VLAN またはすべての VLAN で DHCP オプション 82 を有効にできます。 「Relay(非 ELS)を使用しないスイッチで DHCP オプション 82 を設定する」を参照してください。
オプション 82 のサブオプション コンポーネント
スイッチング デバイスに実装されるオプション 82 は、サブオプションの回線 ID、リモート ID、ベンダー ID で構成されています。これらのサブオプションは、パケット ヘッダーのフィールドです。
circuit ID—リクエストが受信されたスイッチング デバイス上の回線(インターフェイスまたは VLAN)を識別します。回線 ID にはインターフェイス名と VLAN 名が含まれています。2 つの要素はコロンで区切られます。たとえば、ge-0/0/10:vlan1(ge-0/0/10 がインターフェイス名)、vlan1 が VLAN 名です。リクエスト パケットをレイヤー 3 インターフェイスで受信した場合、回線 ID はインターフェイス名(ge-0/0/10 など)に過ぎません。
プレフィックス オプションを使用して、オプションのプレフィックスを回線 ID に追加します。プレフィックス オプションを有効にすると、スイッチング デバイスのホスト名がプレフィックスとして使用されます。たとえば、device1:ge-0/0/10:vlan1(デバイス1がホスト名)です。
また、インターフェイス名ではなく、インターフェイスの説明を使用するか、VLAN 名ではなく VLAN ID を使用することを指定することもできます。
リモート ID — リモート ホストを識別します。詳細については、 remote-id を参照してください。
ベンダー ID — ホストのベンダーを識別します。オプションを指定しても値を
vendor-id入力しない場合は、デフォルト値のジュニパーが使用されます。値を指定するには、文字列を入力します。
オプション 82 をサポートするスイッチング デバイスの設定
オプション 82 をサポートするスイッチング デバイスの構成は次のとおりです。
スイッチング デバイス、DHCP クライアント、DHCP サーバーが同じ VLAN またはブリッジ ドメイン上にある
スイッチング デバイス、DHCP クライアント、DHCP サーバーがすべて同じ VLAN またはブリッジ ドメイン上にある場合、スイッチング デバイスは、信頼できないアクセス インターフェイス上のクライアントからの要求を信頼できるインターフェイス上のサーバーに転送します。 図 1 を参照してください。
上にある
スイッチング デバイスがリレー エージェントとして機能
スイッチング デバイスは、DHCP クライアントまたは DHCP サーバーがレイヤー 3 インターフェイスを介してスイッチング デバイスに接続されている場合、リレー エージェント(拡張リレー サーバー)として機能します。スイッチング デバイスでは、これらのインターフェイスは RVI(Routed VLAN Interfaces)として設定されます。 図 2 は、拡張リレー サーバーとして動作するスイッチング デバイスのシナリオを示しています。この場合、スイッチング デバイスはリクエストをサーバーに中継します。この図は、同じネットワーク上のリレー エージェントとサーバーを示していますが、異なるネットワーク上にある場合もあります。つまり、リレー エージェントは外部である可能性があります。
として動作するスイッチング デバイス
DHCPv6 オプション
DHCPv6 には、クライアントからサーバーに中継される DHCPv6 要求パケットに情報を挿入するために使用できるオプションがいくつか用意されています。これらのオプションは、DHCP オプション 82 のサブオプションに相当します。
オプション 37 —リモート ホストを識別します。オプション 37 は、DHCP オプション 82 のサブオプションに相当
remote-idします。オプション 18 —DHCP リクエスト パケットがクライアントから受信されたインターフェイスを識別します。オプション 18 は、DHCP オプション 82 のサブオプションに相当
circuit-idします。オプション 16 — クライアントがホストされているハードウェアのベンダーを識別します。オプション 16 は、DHCP オプション 82 のサブオプションに相当
vendor-idします。
VLAN で DHCPv6 スヌーピングが有効になっている場合、DHCPv6 オプションは自動的に有効にはなりません。ステートメントを使用して構成する dhcpv6-options 必要があります。