例:DHCP オプション 82 の設定
DHCP オプション 82 (DHCP リレー エージェント情報オプションとも呼ばれます) を使用すると、IP アドレスや MAC アドレスのスプーフィング(偽造)や DHCP IP アドレスの枯渇などの攻撃からスイッチを保護できます。オプション 82 は、DHCP クライアントのネットワーク ロケーションに関する情報を提供し、DHCP サーバーはこの情報を使用して、クライアントの IP アドレスまたはその他のパラメーターを実装します。
DHCP オプション 82 機能は、さまざまなトポロジで設定できます。
DHCP クライアントまたは DHCP サーバーがレイヤー 3 インターフェイスを介してスイッチに接続されている場合、スイッチはリレー エージェントとして機能します。スイッチでは、これらのインターフェイスは RVI(ルーテッドVLANインターフェイス)として設定されます。スイッチは、クライアントの要求をサーバーに中継してから、サーバーの応答をクライアントに転送します。
EXシリーズスイッチの場合、このトポロジーの構成は、拡張レイヤー2ソフトウェア(ELS)と非ELSの両方で同じです。
スイッチ、DHCP クライアント、DHCP サーバーはすべて、同じ VLAN 上にあります。スイッチは、クライアントの要求をサーバーに転送し、サーバーの応答をクライアントに転送します。
スイッチがEXシリーズの場合、ELSおよび非ELSの両方の手順については、 リレーなし(ELS)を使用したスイッチでのDHCPオプション82の設定 を参照してください。
スイッチング デバイス、DHCP クライアント、DHCP サーバーはすべて、同じブリッジ ドメイン上にあります。スイッチング デバイスは、クライアントの要求をサーバーに転送し、サーバーの応答をクライアントに転送します。このトピックでは、この構成について説明します。
スイッチで DHCP オプション 82 を設定する前に、DHCP サーバーが DHCP オプション 82 を受け入れるように設定されていることを確認してください。サーバーが DHCP オプション 82 用に構成されていない場合、サーバーは、応答メッセージの作成時に送信される要求で DHCP オプション 82 の情報を使用しません。
例:VLAN での DHCP オプション 82 の設定
必要条件
この例では、リレー エージェントとして機能し、DHCP クライアントと同じ VLAN 上にあり、DHCP サーバーとは別の VLAN 上にあるスイッチで DHCP オプション 82 を設定する方法について説明します。この例には、次のハードウェアとソフトウェアのコンポーネントが含まれています。
1 つの EX4200-24P スイッチまたは 1 つの QFX3500 スイッチ
EX シリーズ スイッチの場合は Junos OS リリース 9.3 以降、QFX シリーズの場合は Junos OS リリース 12.1 以降
スイッチ上のネットワーク デバイスに IP アドレスを提供する DHCP サーバー
概要とトポロジー
この例では、スイッチにオプション 82 を設定します。スイッチは BOOTP リレー エージェントとして設定されます(詳細については、 スイッチ向け DHCP/BOOTP リレーの概要 を参照してください)。 スイッチ上のIRBインターフェイスの設定 (CLI手順)のQFXおよびスイッチ上のルーティングされた VLANインターフェイスの設定(CLI手順)のEXシリーズスイッチの説明に従って、スイッチはルーティングされたVLANインターフェイス(RVI)を介してDHCPサーバーに接続します。スイッチとクライアントは 、従業員 VLANのメンバーです(詳細については、 EXおよびQFXシリーズの スイッチ上のVLANの構成 を参照してください)。DHCP サーバーは、 企業 VLAN のメンバーです。
DHCP オプション 82 がスイッチで有効になっている場合、信頼できないインターフェイス上のスイッチに接続されているネットワーク デバイス(DHCP クライアント)が DHCP 要求を送信すると、スイッチはクライアントのネットワーク上の位置情報をその要求のパケット ヘッダーに挿入します。次に、スイッチは要求をDHCPサーバーに送信します(この設定では、要求をリレーします)。DHCP サーバーは、パケット ヘッダーのオプション 82 の情報を読み取り、IP アドレスやその他のパラメーターをクライアントに実装するためにこれを使用します。
オプション 82 がスイッチで有効になっている場合、DHCP クライアントが DHCP 要求を送信すると、次の一連のイベントが発生します。
スイッチはリクエストを受信し、オプション 82 の情報をパケット ヘッダーに挿入します。
スイッチは要求を DHCP サーバーにリレーします。
サーバーは、DHCP オプション 82 の情報を使用して応答を作成し、スイッチに応答を送り返します。オプション 82 の情報は変更されません。
スイッチは、応答パケットからオプション 82 の情報を削除します。
スイッチは、応答パケットをクライアントに転送します。
構成
DHCP オプション 82 を設定するには、次の手順を実行します。
プロシージャ
CLIクイック構成
DHCP オプション 82 を迅速に設定するには、以下のコマンドをコピーしてスイッチの端末ウィンドウに貼り付けます。
set forwarding-options helpers bootp dhcp-option82 set forwarding-options helpers bootp dhcp-option82 circuit-id prefix hostname set forwarding-options helpers bootp dhcp-option82 circuit-id use-vlan-id set forwarding-options helpers bootp dhcp-option82 remote-id set forwarding-options helpers bootp dhcp-option82 remote-id prefix mac set forwarding-options helpers bootp dhcp-option82 remote-id use-string employee-switch1 set forwarding-options helpers bootp dhcp-option82 vendor-id
手順
DHCP オプション 82 を設定するには(斜体の値を独自のネットワークの値に置き換えます)。
BOOTP サーバー上の 従業員 VLAN に DHCP オプション 82 を指定します。
サーバーに接続するすべてのインターフェイスで、次の操作を行います。
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82
サーバーに接続する特定のインターフェイス上:
[edit forwarding-options helpers bootp] user@switch# set interface ge-0/0/10 dhcp-option82
残りの手順は省略可能です。すべてのインターフェイスの設定が表示されます。特定のインターフェイス指定を含め、特定のインターフェイスで次のオプションのいずれかを設定します。
circuit ID サブオプションのプレフィックスを設定します(プレフィックスは常にスイッチのホスト名です)。
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id prefix hostname
回線 ID サブオプション値に、インターフェイス名(デフォルト)ではなくインターフェイス記述を含めるように指定するには:
手記:インターフェイス名ではなくインターフェイス記述を使用する場合、インターフェイス記述はインターフェイスユニットで指定する必要があります(「set interfaces ge-0/0/0 unit 0 description "client"」)。これを行わないと、インターフェイス名が使用されます。
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id use-interface-description
回線 ID サブオプションの値に、VLAN 名ではなく VLAN ID が含まれることを指定します(デフォルト)。
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 circuit-id use-vlan-id
リモート ID サブオプションが DHCP オプション 82 の情報に含まれることを指定します。
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id
リモート ID サブオプションのプレフィックスを設定します(ここでは、プレフィックスはスイッチの MAC アドレスです)。
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id prefix mac
または、リモート ID サブオプションのプレフィックスを、スイッチの MAC アドレス(デフォルト)ではなく、スイッチのホスト名に指定するには:
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id prefix hostname
リモート ID サブオプション値にインターフェース記述を含めるように指定するには、以下のようにします。
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id use-interface-description
リモート ID サブオプション値に文字ストリング (ここでは、ストリングは employee-switch1) が含まれることを指定します。
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 remote-id use-string employee-switch1
ベンダー ID サブオプション値を構成し、既定値を使用します。デフォルト値( ジュニパー)を使用する場合は、 vendor-id オプション キーワードの後に文字列を入力しないでください。それ以外の場合は、次のように値を指定します。
[edit forwarding-options helpers bootp] user@switch# set dhcp-option82 vendor-id mystring
業績
コンフィギュレーションをコミットする前に、コンフィギュレーション・ステップの結果を表示するには、ユーザー・プロンプトで show コマンドを入力します。
これらの変更をアクティブなコンフィギュレーションにコミットするには、ユーザ プロンプトで commit コマンドを入力します。
構成の結果を確認します。
[edit forwarding-options helpers bootp]
user@switch# show
dhcp-option82 {
circuit-id {
prefix hostname;
use-vlan-id;
}
remote-id {
prefix mac;
use-string employee-switch1;
}
vendor-id;
}
ブリッジ ドメインを持つルーターでの DHCP オプション 82 の設定
スイッチング デバイスで DHCP オプション 82 を設定する前に、次のタスクを実行してください。
DHCP サーバーに接続して構成します。
手記:DHCP サーバーは、DHCP オプション 82 を受け入れるように構成されている必要があります。サーバーが DHCP オプション 82 用に構成されていない場合、サーバーは、応答メッセージの作成時に送信される要求で DHCP オプション 82 の情報を使用しません。
スイッチング デバイスにブリッジ ドメインを設定し、クライアントとサーバーが接続するインターフェイスを、そのブリッジ ドメインを持つスイッチに関連付けます。
DHCP オプション 82 を設定するには、次の手順を実行します。