Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

信頼できるDHCPサーバーを理解して使用する

信頼できるポートと信頼できないポートと DHCP サーバーについて

DHCP サーバーは、ネットワークの DHCP クライアントに IP アドレスやその他の構成情報を提供します。DHCP サーバーに信頼できるポートを使用すると、リースを送信する不正な DHCP サーバーから保護されます。

信頼できないポートは、DHCP サーバーからのトラフィックをドロップして、承認されていないサーバーがクライアントに構成情報を提供するのを防ぎます。

デフォルトでは、すべてのトランク ポートは DHCP に対して信頼され、すべてのアクセス ポートは信頼されません。

デフォルト動作のオーバーライドを設定してトランク ポートを信頼できないポートとして設定し、そのインターフェイスからのイングレス DHCP サーバー メッセージをすべてブロックすることができます。これは、攻撃者が承認されていないサーバーをネットワークに導入する不正なDHCPサーバー攻撃を防ぐのに役立ちます。このサーバーから DHCP クライアントに提供される情報は、ネットワーク アクセスを中断させる可能性があります。許可されていないサーバーは、自身をネットワークのデフォルト ゲートウェイ デバイスとして割り当てる場合もあります。その後、攻撃者はネットワークトラフィックを盗聴し、中間者攻撃(正規のネットワークデバイス宛てのトラフィックを、選択したデバイスに誤って誘導する)を行うことができます。

アクセス ポートを信頼済みとして設定することもできます。DHCP サーバーをアクセス ポートに接続する場合、ポートを信頼済みとして設定する必要があります。その前に、サーバーが物理的にセキュリティで保護されていること、つまり、サーバーへのアクセスが監視および制御されていることを確認してください。

信頼できるDHCPサーバー(ELS)の有効化

手記:

この例では、ELS(拡張レイヤー 2 ソフトウェア)設定スタイルのサポートにより、EX シリーズ スイッチで Junos OS を使用します。

DHCPサーバーに接続するスイッチ上の任意のインターフェイスを、信頼できるインターフェイス(ポート)として設定できます。信頼できるインターフェイスに DHCP サーバーを構成すると、リースを送信する不正な DHCP サーバーから保護されます。

デフォルトでは、すべてのアクセス インターフェイスは信頼されず、すべてのトランク インターフェイスは信頼されます。ただし、VLAN 内のアクセス インターフェイスのグループを設定し、そのグループに属するインターフェイスを指定して、そのグループを信頼済みとして設定することで、アクセス インターフェイスのデフォルト設定を上書きできます。

信頼できるDHCPサーバーを設定する前に、VLANを設定する必要があります。 ELS をサポートする EX シリーズ スイッチの VLAN の設定(CLI 手順)を参照してください。

CLI を使用して、信頼できないアクセス インターフェイスを DHCP サーバーの信頼できるインターフェイスとして設定するには、次の手順を実行します。

  1. 特定のアクセスインターフェイスを持つVLAN内のグループを設定します。
  2. そのグループを trusted として設定し、グループ内に含まれる指定されたインターフェイスを信頼できるインターフェイスにします。

信頼できるDHCPサーバー(非ELS)の有効化

信頼された DHCP サーバーとポートを使用して、ネットワーク上で不正なリースを送信する不正な DHCP サーバーから保護できます。デフォルトでは、DHCP では、すべてのトランク ポートが信頼され、すべてのアクセス ポートが信頼されません。また、DHCPサーバーはインターフェイスでのみ設定できます。つまり、VLAN の使用はサポートされていません。

信頼できるポートを使用すると、DHCPサーバーはIPアドレスやその他の情報を要求元のデバイスに提供できます。信頼できないポートは、DHCP サーバーからのトラフィックをドロップして、承認されていないサーバーがクライアントに構成情報を提供するのを防ぎます。

DHCPサーバーをホストするポートを設定するには、Junos CLIから次のコマンドを入力します。

ここで、インターフェイス ge-0/0/8 は、ネットワークに対して有効な、物理的にセキュアな信頼できるインターフェイスです。

信頼できるDHCPサーバーの有効化(MXシリーズルーター)

DHCP サーバーに接続するスイッチング デバイス上の任意のインターフェイスを、信頼できるインターフェイス(ポート)として設定できます。信頼できるインターフェイスに DHCP サーバーを構成すると、リースを送信する不正な DHCP サーバーから保護されます。

デフォルトでは、すべてのアクセス インターフェイスは信頼されず、すべてのトランク インターフェイスは信頼されます。ただし、アクセス インターフェイスのデフォルト設定を上書きするには、ブリッジ ドメイン内でアクセス インターフェイスのグループを設定し、そのグループに属するインターフェイスを指定してから、そのグループを信頼済みとして設定します。

信頼できる DHCP サーバーを構成する前に、ブリッジ ドメインを構成する必要があります。

CLI を使用して、信頼できないアクセス インターフェイスを DHCP サーバーの信頼できるインターフェイスとして設定するには、次の手順を実行します。

  1. 特定のアクセスインターフェイスを持つブリッジドメイン内のグループを設定します。

  2. グループ内に含まれる指定されたインターフェイスを信頼できるインターフェイスにするには、そのグループを trusted として設定します。

信頼できる DHCP サーバーが正しく動作していることを確認する

目的

DHCP の信頼できるサーバーがスイッチで動作していることを確認します。DHCP サーバーが信頼され、信頼されなかった場合に何が起こるかを確認します。

アクション

スイッチに接続されたネットワークデバイス(ここではDHCPクライアント)からDHCPリクエストを送信します。

DHCP サーバがスイッチに接続するインターフェイスが信頼できる場合に、DHCP スヌーピング情報を表示します。要求が MAC アドレスから送信され、サーバーが IP アドレスとリースを提供した場合、次の出力結果になります。

意味

DHCP サーバーがスイッチに接続するインターフェイスが信頼済みに設定されている場合、出力(前のサンプルを参照)には、MAC アドレスごとに、割り当てられた IP アドレスとリース時間(リースの有効期限が切れるまでの残り時間(秒単位)が表示されます。

DHCPサーバが信頼できないものとして設定されていた場合、DHCPスヌーピングデータベースにエントリは追加されず、 show dhcp snooping binding コマンドの出力には何も表示されません。

DHCP セキュリティに対してトランク インターフェイスを信頼できないものに設定(CLI 手順)

インターフェイスのグループを設定する前に、VLAN を設定する必要があります。 ELS をサポートする EX シリーズ スイッチの VLAN の設定(CLI 手順)を参照してください。

信頼できないトランク インターフェイスは、VLAN で有効になっている場合、次の DHCP セキュリティ機能をサポートします。

  • DHCPおよびDHCPv6スヌーピング

  • ダイナミック ARP インスペクション

  • IPv6近隣探索インスペクション

トランク インターフェイスを信頼できないものとして設定するには、VLAN 内のインターフェイスのグループを設定し、トランク インターフェイスをグループに追加してから、グループを信頼できないものとして設定する必要があります。グループには少なくとも 1 つのインターフェイスが必要です。

トランク インターフェイスを DHCP セキュリティに対して信頼できないインターフェイスとして設定するには、次の手順に従います。

  1. トランク インターフェイスをメンバーとする VLAN 内のグループを設定します。
  2. グループ内に含まれる指定されたインターフェイスを信頼できないインターフェイスにするには、グループを untrusted として設定します。