例:DHCP オプション 82 の設定(リレーなし)
DHCP オプション 82(DHCP リレー エージェント情報オプション)を使用すると、IP アドレスや MAC アドレスのスプーフィング(鍛造)や DHCP IP アドレス不足などの攻撃からスイッチを保護できます。オプション 82 は、DHCP クライアントのネットワーク位置に関する情報を提供し、DHCP サーバーはこの情報を使用して、クライアントに IP アドレスやその他のパラメーターを実装します。
DHCP オプション 82 は、QFX10000 スイッチではサポートされていません。
DHCP オプション 82 機能は、複数のトポロジで設定できます。
スイッチ、DHCP クライアント、DHCP サーバーはすべて同じ VLAN 上にあります。スイッチは、クライアントの要求をサーバーに転送し、サーバーの応答をクライアントに転送します。このトピックでは、この構成について説明します。
このスイッチは、DHCP クライアントまたは DHCP サーバーがレイヤー 3 インターフェイスを介してスイッチに接続されている場合、リレー エージェントとして機能します。これは、リレー エージェントとサーバーが異なるネットワーク上にある可能性があることを意味します。つまり、リレー エージェントは外部である可能性があります。スイッチでは、これらのインターフェイスは RVI(Routed VLAN Interfaces)として設定されるか、インターフェイスが IRB(統合型ルーティングおよびブリッジング)インターフェイスとして設定されます。いずれの場合も、スイッチはクライアントの要求をサーバーに中継し、サーバーの応答をクライアントに転送します。これらの設定については、「 例: DHCP オプション 82 の設定」で説明されています。
スイッチで DHCP オプション 82 を設定する前に、次のタスクを実行します。
DHCP サーバーを接続して設定します。
メモ:DHCP サーバーは、DHCP オプション 82 を受け入れるよう構成されている必要があります。サーバーが DHCP オプション 82 用に構成されていない場合、サーバーは応答メッセージを作成するときに、サーバーに送信された要求で DHCP オプション 82 の情報を使用しません。
スイッチ上で VLAN を設定し、クライアントとサーバーがスイッチに接続するインターフェイスをその VLAN に関連付けます。ELS サポートを使用した EX シリーズ スイッチの VLAN の設定(CLI プロシージャ)を参照してください。
リレー(ELS)を使用しないスイッチで DHCP オプション 82 を設定する
このタスクでは、EX シリーズ スイッチに Junos OS を使用し、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルをサポートします。スイッチが ELS をサポートしていないソフトウェアを実行している場合は、「 リレーなし(ELS 以外)を使用してスイッチで DHCP オプション 82 を設定する」を参照してください。ELS の詳細については、「 拡張レイヤー 2 ソフトウェア CLI の使用」を参照してください。
DHCP オプション 82 を設定するには、
「」も参照
リレーなしのスイッチで DHCP オプション 82 を設定する(ELS 以外)
このタスクでは、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートを含まない EX シリーズ スイッチに Junos OS を使用します。スイッチが ELS をサポートするソフトウェアを実行している場合は、「 リレーなし(ELS)を使用してスイッチで DHCP オプション 82 を設定する」を参照してください。ELS の詳細については、「 拡張レイヤー 2 ソフトウェア CLI の使用」を参照してください。
DHCP オプション 82 を設定するには、
斜体で表示された値を設定の値に置き換えます。
設定をコミットする前に設定手順の結果を表示するには、ユーザー プロンプトでコマンドを入力 show
します。
これらの変更をアクティブな設定にコミットするには、ユーザー プロンプトでコマンドを入力 commit
します。
「」も参照
例:同じ VLAN を使用した DHCP オプション 82 の設定
この例では、DHCP クライアント、DHCP サーバー、およびスイッチすべてを同じ VLAN 上で使用して、スイッチで DHCP オプション 82 を設定する方法について説明します。
要件
この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。
EX シリーズまたは QFX シリーズ スイッチ 1 台
QFX シリーズの EX シリーズ スイッチまたは Junos OS リリース 12.1 以降の Junos OS リリース 9.3 以降
スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー
概要とトポロジー
DHCP オプション 82 がスイッチで有効になっている場合、信頼できないインターフェイス上のスイッチに接続されているネットワーク デバイス(DHCP クライアント)が DHCP 要求を送信すると、そのクライアントのネットワーク位置に関する情報がその要求のパケット ヘッダーに挿入されます。その後、スイッチは DHCP サーバーにリクエストを送信します。DHCP サーバーは、パケット ヘッダー内のオプション 82 の情報を読み取り、それを使用してクライアントの IP アドレスまたはその他のパラメーターを実装します。
DHCP オプション 82 は、個々の VLAN またはスイッチ上のすべての VLAN で有効になっています。
オプション 82 がスイッチで有効になっている場合、この一連のイベントは、DHCP クライアントが DHCP 要求を送信したときに発生します。
スイッチは要求を受信し、オプション 82 の情報をパケット ヘッダーに挿入します。
スイッチは、DHCP サーバーに要求を転送します。
サーバーは、DHCP オプション 82 の情報を使用して応答を定式化し、応答をスイッチに返します。オプション 82 の情報は変更されません。
スイッチは、オプション 82 の情報を応答パケットから削除します。
スイッチは応答パケットをクライアントに転送します。
図 1 は、この例のトポロジーを示しています。
トポロジ
この例では、スイッチで DHCP オプション 82 を設定します。このスイッチは、インターフェイス ge-0/0/8 上の DHCP サーバーに接続します。DHCP クライアントは、インターフェイス ge-0/0/1、 ge-0/0/2、 ge-0/0/3 上のスイッチに接続します。
スイッチ、サーバー、クライアントはすべて 従業員 VLAN のメンバーです。スイッチ上で 従業員 VLAN を設定し、クライアントとサーバーが従業員 VLAN を使用してスイッチに接続する インターフェイスを関連付 ける必要があります。
構成
手順
CLI クイック設定
DHCP オプション 82 を迅速に設定するには、次のコマンドをコピーして、スイッチ端末ウィンドウに貼り付けます。
set ethernet-switching-options secure-access-port vlan employee dhcp-option82 set ethernet-switching-options secure-access-port vlan employee dhcp-option82 circuit-id prefix hostname set ethernet-switching-options secure-access-port vlan employee dhcp-option82 circuit-id use-vlan-id set ethernet-switching-options secure-access-port vlan employee dhcp-option82 remote-id set ethernet-switching-options secure-access-port vlan employee dhcp-option82 remote-id prefix mac set ethernet-switching-options secure-access-port vlan employee dhcp-option82 remote-id use-string employee-switch1 set ethernet-switching-options secure-access-port vlan employee dhcp-option82 vendor-id
手順
DHCP オプション 82 を設定するには、
従業員 VLAN に DHCP オプション 82 を指定します。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82
回線 ID サブオプションのプレフィックスを設定します(プレフィックスは常にスイッチのホスト名です)。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82 circuit-id prefix hostname
回線 ID サブオプション値に、VLAN 名ではなく VLAN ID が含まれていることを指定します(デフォルト)。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82 circuit-id use-vlan-id
DHCP オプション 82 の情報にリモート ID サブオプションを含めるように指定します。
[edit ethernet-switching-options secure-accesswitch# set vlan employee dhcp-option82 remote-id
リモート ID サブオプションのプレフィックスを設定します(ここでは、プレフィックスがスイッチの MAC アドレスです)。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82 remote-id prefix mac
リモートIDサブオプション値に文字列が含まれていることを指定します(ここでは、文字列が 従業員スイッチ1です)。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82 remote-id use-string employee-switch1
ベンダー ID サブオプション値を設定し、デフォルト値を使用します。デフォルト値を使用するには、 vendor-id option キーワードの後に文字列を入力しないでください。
[edit ethernet-switching-options secure-access-port] user@switch# set vlan employee dhcp-option82 vendor-id
結果
設定の結果を確認します。
[edit ethernet-switching-options secure-access-port] user@switch# show vlan employee { dhcp-option82 { circuit-id { prefix hostname; use-vlan-id; } remote-id { prefix mac; use-string employee-switch1; } vendor-id; } }