例:DHCP オプション 82(リレーなし)の設定
DHCP オプション 82 (DHCP リレー エージェント情報オプションとも呼ばれます) を使用すると、IP アドレスや MAC アドレスのスプーフィング(偽造)や DHCP IP アドレスの枯渇などの攻撃からスイッチを保護できます。オプション 82 は、DHCP クライアントのネットワーク ロケーションに関する情報を提供し、DHCP サーバーはこの情報を使用して、クライアントの IP アドレスまたはその他のパラメーターを実装します。
DHCP オプション 82 は、QFX10000 スイッチではサポートされていません。
DHCP オプション 82 機能は、複数のトポロジで設定できます。
スイッチ、DHCP クライアント、DHCP サーバーはすべて、同じ VLAN 上にあります。スイッチは、クライアントの要求をサーバーに転送し、サーバーの応答をクライアントに転送します。このトピックでは、この構成について説明します。
DHCP クライアントまたは DHCP サーバーがレイヤー 3 インターフェイスを介してスイッチに接続されている場合、スイッチはリレー エージェントとして機能します。つまり、リレー エージェントとサーバーは異なるネットワーク上に存在できます。つまり、リレー エージェントは外部に存在できます。スイッチでは、これらのインターフェイスは RVI(Routed VLAN Interface)として設定されるか、インターフェイスは IRB(Integrated Routing and Bridging)インターフェイスとして設定されます。いずれの場合も、スイッチはクライアントの要求をサーバーにリレーしてから、サーバーの応答をクライアントに転送します。これらの設定については、 例:DHCP オプション 82 の設定で説明しています。
スイッチで DHCP オプション 82 を設定する前に、次のタスクを実行します。
DHCP サーバーに接続して構成します。
手記:DHCP サーバーは、DHCP オプション 82 を受け入れるように構成されている必要があります。サーバーが DHCP オプション 82 用に構成されていない場合、サーバーは、応答メッセージの作成時に送信される要求で DHCP オプション 82 の情報を使用しません。
スイッチに VLAN を設定し、クライアントとサーバーがスイッチに接続するインターフェイスをその VLAN に関連付けます。ELS をサポートする EX シリーズ スイッチの VLAN の設定(CLI 手順)を参照してください
リレー(ELS)を使用しないスイッチで DHCP オプション 82 を設定する
このタスクでは、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートにより、EX シリーズ スイッチで Junos OS を使用します。スイッチが ELS をサポートしていないソフトウェアを実行している場合、 リレーを使用しないスイッチ(非 ELS)で DHCP オプション 82 を設定するを参照してください。ELSの詳細については、「 拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
DHCP オプション 82 を設定するには、次の手順を実行します。
関連項目
リレーを使用しないスイッチで DHCP オプション 82 を設定する(非 ELS)
このタスクでは、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートが含まれていない EX シリーズスイッチでJunos OSを使用します。スイッチが ELS をサポートするソフトウェアを実行している場合は、 リレーを使用しないスイッチ(ELS)で DHCP オプション 82 を設定するを参照してください。ELSの詳細については、「 拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
DHCP オプション 82 を設定するには、次の手順を実行します。
斜体で表示されている値を、ご使用の設定の値に置き換えます。
コンフィギュレーションをコミットする前に、コンフィギュレーション・ステップの結果を表示するには、ユーザー・プロンプトで show
コマンドを入力します。
これらの変更をアクティブなコンフィギュレーションにコミットするには、ユーザ プロンプトで commit
コマンドを入力します。
関連項目
例:同じ VLAN を使用した DHCP オプション 82 の設定
この例では、DHCP クライアント、DHCP サーバー、およびスイッチをすべて同じ VLAN 上にあるスイッチで DHCP オプション 82 を設定する方法について説明します。
必要条件
この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。
1 つの EX シリーズまたは QFX シリーズ スイッチ
EX シリーズ スイッチの場合は Junos OS リリース 9.3 以降、QFX シリーズの場合は Junos OS リリース 12.1 以降
スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー
概要とトポロジー
DHCP オプション 82 がスイッチで有効になっている場合、信頼できないインターフェイス上のスイッチに接続されているネットワーク デバイス(DHCP クライアント)が DHCP 要求を送信すると、スイッチはクライアントのネットワーク上の位置情報をその要求のパケット ヘッダーに挿入します。その後、スイッチは要求を DHCP サーバーに送信します。DHCP サーバーは、パケット ヘッダーのオプション 82 の情報を読み取り、IP アドレスやその他のパラメーターをクライアントに実装するためにこれを使用します。
DHCP オプション 82 は、個々の VLAN、またはスイッチ上のすべての VLAN で有効になっています。
オプション 82 がスイッチで有効になっている場合、DHCP クライアントが DHCP 要求を送信すると、次の一連のイベントが発生します。
スイッチはリクエストを受信し、オプション 82 の情報をパケット ヘッダーに挿入します。
スイッチは要求を DHCP サーバに転送します。
サーバーは、DHCP オプション 82 の情報を使用して応答を作成し、スイッチに応答を送り返します。オプション 82 の情報は変更されません。
スイッチは、応答パケットからオプション 82 の情報を削除します。
スイッチは、応答パケットをクライアントに転送します。
図 1 に、この例のトポロジーを示します。
![Network Topology for Configuring DHCP Option 82 on a Switch That Is on the Same VLAN as the DHCP Clients and the DHCP Server](/documentation/us/en/software/junos/security-services/images/g020046.gif)
位相幾何学
この例では、スイッチで DHCP オプション 82 を設定します。スイッチは、インターフェイス ge-0/0/8 で DHCP サーバーに接続します。DHCP クライアントは、インターフェイス ge-0/0/1、 ge-0/0/2、 および ge-0/0/3 でスイッチに接続します。
スイッチ、サーバー、クライアントはすべて 従業員 VLANのメンバーです。スイッチで 従業員 VLANを設定し、クライアントとサーバーがスイッチに接続するインターフェイスを 従業員 VLANに関連付けてください。
構成
プロシージャ
CLIクイック構成
DHCP オプション 82 を迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
set ethernet-switching-options secure-access-port vlan employee dhcp-option82 set ethernet-switching-options secure-access-port vlan employee dhcp-option82 circuit-id prefix hostname set ethernet-switching-options secure-access-port vlan employee dhcp-option82 circuit-id use-vlan-id set ethernet-switching-options secure-access-port vlan employee dhcp-option82 remote-id set ethernet-switching-options secure-access-port vlan employee dhcp-option82 remote-id prefix mac set ethernet-switching-options secure-access-port vlan employee dhcp-option82 remote-id use-string employee-switch1 set ethernet-switching-options secure-access-port vlan employee dhcp-option82 vendor-id
手順
DHCP オプション 82 を設定するには、次の手順を実行します。
従業員VLANにDHCPオプション82を指定します。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82
circuit ID サブオプションのプレフィックスを設定します(プレフィックスは常にスイッチのホスト名です)。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82 circuit-id prefix hostname
回線 ID サブオプションの値に、VLAN 名ではなく VLAN ID が含まれることを指定します(デフォルト)。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82 circuit-id use-vlan-id
リモート ID サブオプションが DHCP オプション 82 の情報に含まれることを指定します。
[edit ethernet-switching-options secure-accesswitch# set vlan employee dhcp-option82 remote-id
リモート ID サブオプションのプレフィックスを設定します(ここでは、プレフィックスはスイッチの MAC アドレスです)。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82 remote-id prefix mac
リモート ID サブオプション値に文字ストリング (ここでは、ストリングは employee-switch1) が含まれることを指定します。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82 remote-id use-string employee-switch1
ベンダー ID サブオプション値を構成し、既定値を使用します。デフォルト値を使用するには、 vendor-id オプション・キーワードの後に文字ストリングを入力しないでください。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82 vendor-id
業績
構成の結果を確認します。
[edit ethernet-switching-options secure-access-port] user@switch# show vlan employee { dhcp-option82 { circuit-id { prefix hostname; use-vlan-id; } remote-id { prefix mac; use-string employee-switch1; } vendor-id; } }
変更履歴テーブル
機能のサポートは、使用しているプラットフォームとリリースによって決まります。 機能エクスプローラー を使用して、機能がプラットフォームでサポートされているかどうかを判断します。