Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

DHCPスヌーピングについて(非ELS)

手記:

このトピックでは、ELS(拡張レイヤー 2 ソフトウェア)をサポートしない Junos EXシリーズ スイッチで DHCP(動的ホスト構成プロトコル)スヌーピングを有効にする方法について説明します。ご使用のスイッチが、ELSをサポートするJunosのバージョンを実行している場合、 DHCPスヌーピングについて(ELS)を参照してください。ELSの詳細については、「 拡張レイヤー2ソフトウェアCLIの使用」を参照してください。

DHCP スヌーピングにより、スイッチング デバイス(スイッチまたはルーター)が、スイッチング デバイスに接続された信頼できないデバイスから受信した DHCP メッセージを監視できます。VLAN で DHCP スヌーピングが有効になっている場合、システムは VLAN に関連付けられた信頼できないホストから送信された DHCP メッセージを調べ、その IP アドレスとリース情報を抽出します。この情報は、DHCP スヌーピング データベースの構築と維持に使用されます。このデータベースを使用して検証できるホストのみが、ネットワークへのアクセスを許可されます。

DHCP スヌーピングの基本

動的ホスト構成プロトコル(DHCP)は、IPアドレスを動的に割り当て、デバイスにアドレスを リース することで、不要になったアドレスを再利用することができます。DHCP 経由で取得した IP アドレスを必要とするホストおよびエンド デバイスは、LAN 経由で DHCP サーバーと通信する必要があります。

DHCPスヌーピングは、信頼できるDHCPサーバー(サーバーは信頼できるネットワークポートに接続されている)によってダウンストリームネットワークデバイスに割り当てられた有効なIPアドレスを追跡することで、ネットワークセキュリティの守護者として機能します。

デフォルトでは、スイッチ上のすべてのトランク ポートは信頼されており、DHCP スヌーピングに対してすべてのアクセス ポートは信頼されていません。

DHCP スヌーピングが有効な場合、スイッチング デバイスからのリース情報を使用して、DHCP スヌーピング テーブル(バインディング テーブルとも呼ばれる)が作成されます。この表は、IP-MAC バインディングと、各ホストの IP アドレス、バインディングのタイプ、VLAN 名、およびインターフェイスのリース期間を示しています。

手記:

DHCP スヌーピングは、スイッチング デバイスのデフォルト設定では無効になっています。[edit ethernet-switching-options secure-access-port] 階層レベルで examine-dhcp を設定して、DHCP スヌーピングを明示的に有効にする必要があります。

DHCP スヌーピング データベースのエントリーは、次のイベントで更新されます。

  • DHCP クライアントが IP アドレスを解放したとき(DHCPRELEASE メッセージを送信するとき)。この場合、関連付けられたマッピング エントリがデータベースから削除されます。

  • ネットワーク デバイスを 1 つの VLAN から別の VLAN に移動する場合。この場合、通常、デバイスは新しいIPアドレスを取得する必要があります。したがって、VLAN ID を含むデータベース内のエントリーが更新されます。

  • DHCPサーバーによって割り当てられたリース時間(タイムアウト値)が期限切れになったとき。この場合、関連付けられたエントリはデータベースから削除されます。

先端:

デフォルトでは、スイッチング デバイスが再起動されると IP-MAC バインディングが失われ、DHCP クライアント(ネットワーク デバイスまたはホスト)はバインディングを再取得する必要があります。ただし、データベース・ファイルをローカルまたはリモートで格納するように dhcp-snooping-file 文を設定することで、バインディングを永続化するように設定できます。

特定の VLAN からの DHCP サーバーの応答のみをスヌーピングするようにスイッチング デバイスを設定できます。これにより、DHCP サーバー メッセージのなりすましが防止されます。

DHCP スヌーピングは、インターフェイス(ポート)ごとではなく、VLAN ごとに設定します。DHCP スヌーピングは、スイッチング デバイスではデフォルトで無効になっています。

DHCP スヌーピング プロセス

DHCP スヌーピングの基本的なプロセスは、次の手順で構成されています。

手記:

VLANに対してDHCPスヌーピングが有効になっている場合、そのVLAN内のネットワークデバイスから送信されたすべてのDHCPパケットがDHCPスヌーピングの対象となります。最終的なIP-MACバインディングは、DHCPサーバーがDHCPACKをDHCPクライアントに送信するときに発生します。

  1. ネットワーク デバイスは、DHCPDISCOVER パケットを送信して IP アドレスを要求します。

  2. スイッチング デバイスによって、パケットが DHCP サーバーに転送されます。

  3. サーバーは、アドレスを提供するためにDHCPOFFERパケットを送信します。DHCPOFFERパケットが信頼できるインターフェイスからのものである場合、スイッチングデバイスによってパケットがDHCPクライアントに転送されます。

  4. ネットワーク デバイスは、DHCPREQUEST パケットを送信して IP アドレスを受け入れます。スイッチング デバイスによって、IP-MAC プレースホルダー バインディングがデータベースに追加されます。このエントリは、サーバーからDHCPACKパケットを受信するまでプレースホルダーと見なされます。それまでは、IPアドレスを他のホストに割り当てることができます。

  5. サーバーは、DHCPACK パケットを送信して IP アドレスを割り当てるか、DHCPNAK パケットを送信してアドレス要求を拒否します。

  6. スイッチング デバイスは、受信したパケットのタイプに応じて、DHCP スヌーピング データベースを更新します。

    • スイッチング デバイスは、DHCPACK パケットを受信すると、データベース内の IP-MAC バインディングのリース情報を更新します。

    • スイッチング デバイスが DHCPNACK パケットを受信すると、プレースホルダーを削除します。

手記:

DHCP スヌーピング データベースは、DHCPREQUEST パケットが送信された後にのみ更新されます。

DHCPクライアントとDHCPサーバーが、クライアントのIPアドレスを割り当てる際に交換するメッセージに関する一般的な情報については、 Junos OS管理ライブラリを参照してください。

DHCPv6スヌーピング

DHCPv6 スヌーピングは、IPv6 の DHCP スヌーピングに相当します。DHCPv6 スヌーピングのプロセスは DHCP スヌーピングのプロセスと似ていますが、IPv6 アドレスを割り当てるためにクライアントとサーバー間で交換されるメッセージに異なる名前を使用します。 表 1 は、DHCPv6 メッセージとそれに相当する DHCP メッセージを示しています。

表 1:DHCPv6 メッセージと同等の DHCPv4 メッセージ

送信者

DHCPv6 メッセージ

同等の DHCP メッセージ

クライアント

強請る

DHCPDISCOVERの

サーバー

宣伝する

DHCPOFFERの

クライアント

要求、更新、再バインド

DHCPREQUESTリクエスト

サーバー

答える

DHCPACK/DHCPNAK

クライアント

解放

DHCPRELEASEの

クライアント

情報リクエスト

DHCPINFORM

クライアント

断る

DHCPDECLINE

クライアント

確認する

何一つ

サーバー

再構成

DHCPFORCERENEWの

クライアント

リレー-フォー、リレー-応答

何一つ

DHCPv6 のラピッドコミット

DHCPv6 には Rapid Commit オプション(DHCPv6 オプション 14)が用意されており、サーバーがサポートし、クライアントが設定することで、交換を 4 方向リレーから 2 メッセージ ハンドシェイクに短縮できます。ラピッド コミット オプションの有効化について、詳しくは DHCPv6 ラピッド コミットの設定(MXシリーズ、EXシリーズ)を参照してください。

ラピッドコミットプロセスでは、次のようになります。

  1. DHCPv6 クライアントは、アドレス、プレフィックス、およびその他の設定パラメータの迅速な割り当てを優先する要求を含む SOLICIT メッセージを送信します。

  2. DHCPv6サーバーが迅速な割り当てをサポートしている場合、割り当てられたIPv6アドレスとプレフィックス、およびその他の設定パラメータを含むREPLYメッセージで応答します。

DHCP サーバー アクセス

スイッチング デバイスの DHCP サーバーへのアクセスを設定するには、次の 3 つの方法があります。

スイッチング デバイス、DHCP クライアント、DHCP サーバーはすべて同じ VLAN 上にあります

スイッチング デバイス、DHCP クライアント、DHCP サーバー がすべて同じ VLAN のメンバーである場合、DHCP サーバーは次の 2 つの方法のいずれかでスイッチング デバイスに接続できます。

  • サーバーは、DHCPクライアント(サーバーにIPアドレスを要求しているホストまたはネットワークデバイス)に接続されているデバイスと同じスイッチングデバイスに直接接続されています。VLAN では、DHCP スヌーピングが有効になり、信頼できないアクセス ポートが保護されます。トランク ポートは、デフォルトで信頼できるポートとして設定されています。 図 1 を参照してください。

  • サーバーは、中間スイッチング デバイス(スイッチング デバイス 2)に接続されています。DHCP クライアントはスイッチング デバイス 1 に接続されており、スイッチング デバイス 1 はトランク ポートを介してスイッチング デバイス 2 に接続されています。スイッチング デバイス 2 は、トランジット デバイスとして使用されています。VLAN では、DHCP スヌーピングが有効になり、信頼できないアクセス ポートが保護されます。トランク ポートは、デフォルトで信頼できるポートとして設定されています。 図 2 に示すように、ge-0/0/11 は信頼できるトランク ポートです。

図 1:スイッチング デバイスに直接接続されたDHCPサーバー DHCP Server Connected Directly to a Switching Device
図 2:スイッチング デバイス 2 に直接接続された DHCP サーバーと、スイッチング デバイス 2 が信頼できるトランク ポートを介してスイッチング デバイス 1 に接続された Network diagram showing DHCP clients connected to a switch via port ge-0/0/1 and then to a DHCP server via another switch using port ge-0/0/11.

スイッチング デバイスは DHCP サーバーとして動作

手記:

DHCP サーバーとして動作するスイッチング デバイスは、QFXシリーズではサポートされていません。

スイッチング デバイス自体は DHCP サーバーとして設定されます。これは、 ローカル設定と呼ばれます。 図 3 を参照してください。

図3:スイッチングデバイスはDHCPサーバー Switching Device Is the DHCP Server

リレー エージェントとして動作するスイッチング デバイス

スイッチング デバイスは、DHCP クライアントまたは DHCP サーバーがレイヤー 3 インターフェイスを介してデバイスに接続されている場合、リレー エージェントとして機能します。スイッチング デバイス上のレイヤー 3 インターフェイスは、IRB(統合型ルーティングおよびブリッジング)インターフェイスとも呼ばれる RVI(Routed VLAN Interface)として設定されます。トランク インターフェイスはデフォルトで信頼されています。

次の 2 つのシナリオは、リレー エージェントとして動作するスイッチング デバイスを示しています。

  • DHCPサーバーとクライアントは異なるVLANにあります。

  • スイッチング デバイスはルーターに接続され、ルーターは DHCP サーバーに接続されています。 図 4 を参照してください。

図 4:ルーターを介してDHCPサーバーNetwork diagram showing DHCP clients connected to a switch, router, and DHCP server for IP allocation.にリレー エージェントとして機能するスイッチング デバイス

DHCP スヌーピング データベースへの静的 IP アドレスの追加

特定の静的IPアドレスをデータベースに追加したり、DHCPスヌーピングを介してアドレスを動的に割り当てることができます。静的 IP アドレスを追加するには、IP アドレス、デバイスの MAC アドレス、デバイスが接続されているインターフェイス、およびインターフェイスが関連付けられている VLAN を指定します。エントリにリース期間は割り当てられません。静的に設定されたエントリは期限切れになることはありません。

無効なIPアドレスを持つDHCPパケットのスヌーピング

VLANでDHCPスヌーピングを有効にした後、そのVLAN上のデバイスが無効なIPアドレスを要求するDHCPパケットを送信した場合、これらの無効なIPアドレスは、デフォルトのタイムアウトに達したときに削除されるまでDHCPスヌーピングデータベースに保存されます。DHCP スヌーピング データベース内のスペースが不必要に消費されるのを防ぐため、スイッチング デバイスは、無効な IP アドレスを要求する DCHP パケットをドロップし、これらのパケットのスヌーピングを防止します。無効な IP アドレスは次のとおりです。

  • 0.0.0.0

  • 128.0.x.x

  • 191.255.x.x

  • 192.0.0.x

  • 223.255.255.x

  • 224.x.x.x

  • 240.x.x.x から255.255.255.255

スヌーピングされたパケットの優先順位付け

手記:

スヌーピングされたパケットの優先順位付けは、QFXシリーズとEX4600スイッチではサポートされていません。

class-of-service(CoS)転送クラスとキューを使用して、指定したVLANのDHCPスヌーピングパケットに優先順位を付けることができます。このタイプの設定では、そのVLANのDHCPスヌーピングされたパケットが指定されたエグレスキューに配置されるため、セキュリティ手順が優先度の高いトラフィックの送信に干渉することはありません。

関連資料