Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

DHCP オプションと選択的トラフィック処理

DHCP オプションと選択的トラフィック処理の概要

加入者管理では、トラフィックに含まれる DHCP および DHCPv6 オプション文字列で提供される情報に基づいて、選択的なトラフィック処理を行うことができます。Junos OS リリース 15.1 以降では、選択的トラフィック処理機能により、拡張 DHCP および DHCPv6 リレー エージェントを使用してマルチベンダー ネットワークを管理できます。拡張DHCPおよびDHCPv6リレーエージェントを有効にして、DHCPクライアントパケットで受信したオプション固有の文字列を、ルーターで設定したASCIIまたは16進数の文字列のリストと比較することができます。選択的トラフィック処理機能を使用すると、DHCP クライアント パケットの オプションに基づいてトラフィックを識別し、トラフィックをフィルタリングし、DHCP リレーがトラフィックに対して実行するアクションを指定できます。DHCP オプション 60 および 77 と DHCPv6 オプション 15 および 16 を使用して、クライアント トラフィックを識別できます。特定のDHCPサーバーへのトラフィックの転送やトラフィックのドロップなど、選択したトラフィックに対してルーターが実行するアクションを設定します。DHCP リレー エージェント選択的トラフィック処理では、他のアクションが設定を満たさない場合にルーターが使用するデフォルト アクションを指定することもできます。

選択的トラフィック処理の使用は、DHCP クライアントが複数のベンダーおよび複数の DHCP サーバーによって提供されるサービスにアクセスするネットワーク環境で役立ちます。たとえば、DHCP クライアントは、あるベンダーが提供する特定の DHCP サーバーからインターネット アクセスを取得し、別のベンダーが所有する別の DHCP サーバーから IPTV サービスにアクセスする場合があります。DHCP クライアント パケット内のオプション固有の情報を使用することで、DHCP リレー エージェントは 2 つのサーバーを区別し、加入者に対して適切なアクションを実行できます。

また、選択的処理を使用して、同じインターフェイス上の異なる DHCP 加入者に対するサービスを区別することもできます。たとえば、世帯には、サービス プロバイダの DHCP サーバーから IP アドレスを取得する 2 つの IP デバイスが含まれている場合があります。サービス プロバイダーは、デバイスの 1 つを受信インターフェイスにバインドし、そのアドレスを他の世帯と共有することができます。同時に、サービス プロバイダーは、2 台目のデバイスに独自のフィルターと CoS 機能を持たせたい場合があります。この 2 台目のデバイスでは、サービス プロバイダーは選択的処理を使用して動的 IP デモックス インターフェイスを作成できます。

選択的処理サポートは、グローバルに、またはインターフェイスの名前付きグループに対して設定できます。また、拡張DHCPリレーエージェントのサポートは、論理システムごと、ルーティング インスタンスごとに設定することもできます。

選択的処理を設定するには、トラフィックを識別するDHCPまたはDHCPv6オプション属性、トラフィックのフィルタリングに使用される一致条件、およびフィルタリングされたトラフィックに対して実行するアクションを指定します。

次のDHCPオプションを使用して、クライアントトラフィックを選択的に処理できます。

  • DHCPv4 オプション 60(ベンダー クラス識別子)

  • DHCPv4 オプション 77(ユーザ クラス識別子)

  • DHCPv6 オプション 15(ユーザー クラス オプション)

  • DHCPv6 オプション 16(ベンダー クラス オプション)

完全一致または部分一致の基準を設定してクライアントトラフィックをフィルタリングし、 ascii オプション(1〜255文字の英数字の空でないASCII文字列を定義する)または hexadecimal オプション(1〜255文字の1〜255文字の16進文字列[0〜9、a〜f、およびA〜F])のいずれかを指定できます。

ベスト プラクティス:

DHCP オプション 77 と DHCPv6 オプション 16 の形式のため、ASCII マッチングではなく、これら 2 つのオプションのみで 16 進数のマッチングを設定することをお勧めします。

設定できる一致文字列の数に制限はありません。文字列を完全一致(equals)と部分一致(starts-with) の両方の条件として設定すると、完全一致が優先されます。ワイルドカード文字は、完全一致文字列または部分一致文字列ではサポートされていません。

以下の一致条件を使用して、クライアントトラフィックをフィルタリングします。

  • equals- 指定した文字列は、クライアント トラフィックの オプション文字列と完全に一致します。

  • starts-with- 指定した文字列は、クライアント トラフィックのオプション文字列のサブセットで、左端の文字から始まります。たとえば、文字列 "test" の構成は、クライアントのオプション文字列の "test123" のサブセットであり、 starts-with 条件に一致します。

  • default-action- クライアント トラフィックのオプション文字列が一致基準を満たしていないか、一致条件が設定されていません。

    手記:

    default-actionはオプションです。一致条件が満たされていないか、または未設定で、default-actionが設定されていない場合、DHCPリレーは通常の方法でトラフィックを処理します。

フィルタリングされたクライアントトラフィックに対して、以下のアクションを指定できます。

  • drop- トラフィックを廃棄します。

  • forward-only- 新しい加入者セッションを作成せずに、トラフィックを転送します。

    手記:

    forward-only アクションを使用する場合、サポートされる設定されたoverrides操作は trust-option-82 オプションのみです。DHCP リレー エージェントは、設定されている他のすべての overrides オプションを無視します。

  • local-server-group:要求されたクライアントサービスを提供する、指定されたDHCPローカルサーバのグループにトラフィックを転送します。このオプションは、DHCPv6 リレー エージェントではサポートされていません。

  • relay-server-group—要求されたクライアント サービスを提供する指定された DHCP サーバ グループにトラフィックを転送します。

DHCP オプション情報を使用して DHCP クライアント トラフィックを選択的に処理する

Junos OS リリース 15.1 以降では、DHCP リレー エージェントがクライアント トラフィックを選択的に処理するように設定できます。選択的処理では、DHCP または DHCPv6 オプション情報を使用して、クライアント トラフィックを識別、フィルタリング、処理します。DHCPv6 サポートを設定するには、 [edit forwarding-options dhcp-relay dhcpv6] 階層レベルの手順を使用します。

オプション情報を使用して DHCP クライアント トラフィックを選択的に処理するように DHCP リレー エージェントを設定するには:

  1. DHCP リレー エージェント サポートを構成することを指定します。
  2. DHCP オプション機能を使用して、受信 DHCP トラフィックを選択的に処理することを指定します。
  3. DHCPリレーがクライアントトラフィックの識別と処理に使用するDHCPまたはDHCPv6オプション番号を指定します。DHCP リレーエージェントにはオプション 60 と 77 を、DHCPv6 リレーエージェントにはオプション 15 と 16 を指定できます。

    たとえば、DHCP オプション 60 の情報を持つトラフィックを特定するには、次のようにします。

  4. (オプション)受信クライアントトラフィックが設定された一致基準または部分一致基準を満たさない場合にDHCPリレーが使用するデフォルトアクションを設定します。

    たとえば、デフォルトでトラフィックをドロップするようにDHCPリレーを設定するには、次のようにします。

  5. (オプション)クライアント トラフィックをフィルタリングし、DHCP リレー エージェントが実行する関連アクションを指定する完全一致条件を設定します。

    たとえば、オプション 60 の ASCII 文字列が video25 のトラフィックを選択し、そのトラフィックを名前付きローカル サーバ グループに転送するには、次の手順に従います。

  6. (オプション)クライアント トラフィックをフィルタリングし、関連するアクションを指定する部分一致条件を設定します。

    たとえば、 766964656F (左から右)で始まるオプション 60 の 16 進文字列があるトラフィックを選択し、新しいセッションを作成せずにそのトラフィックを転送するには、次のようにします。

DHCP オプション文字列に基づく選択処理中にドロップまたは転送された DHCP パケットの数の表示

選択的処理中にドロップまたは転送されたDHCPまたはDHCPv6クライアントパケットの数を表示するには、次の運用コマンドを使用します。

例:DHCP オプション文字列に基づく DHCP リレー エージェント選択トラフィック処理の設定

この例では、DHCP オプション文字列を使用してクライアント トラフィックを選択的に識別、フィルタリング、および処理するように DHCP リレー エージェントを構成する方法を示します。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • MXシリーズ5GユニバーサルルーティングプラットフォームまたはEXシリーズスイッチ

DHCP リレー エージェント選択的処理サポートを設定する前に、必ず以下を実行してください。

概要

この例では、DHCP リレー エージェントを設定して、クライアント パケット内の DHCP オプション文字列を使用して、クライアント トラフィックを選択的に識別、フィルタリング、および処理します。選択処理を設定するには、以下の手順を実行します。

  1. [クライアント トラフィックの識別(Identify the client traffic)]:DHCP リレー エージェントが処理するクライアント トラフィックを識別するために使用する DHCP オプションを指定します。指定したオプションは、クライアントトラフィックのオプションと一致します。

  2. [デフォルト アクションの設定(Configure a default action)]:設定された一致基準を満たさない識別されたクライアント トラフィックに対して DHCP リレーが使用するデフォルト処理アクションを指定します。

  3. 一致フィルターを作成し、各フィルターにアクションを関連付ける—クライアントトラフィックをフィルタリングする一致条件を指定します。基準は、クライアントトラフィックの オプション文字列との完全一致または部分一致です。各一致条件に処理アクションを関連付けます。

構成

DHCP オプション情報に基づいて DHCP リレー エージェント選択処理を設定するには、以下のタスクを実行します。

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 [edit] 階層レベルのCLIにコマンドをコピー&ペーストしてください。

DHCP オプション文字列に基づいてクライアント トラフィックを選択的に処理するための DHCP リレー エージェントの設定

手順

DHCP リレー選択的処理を設定するには:

  1. DHCP リレー エージェント サポートを構成することを指定します。

  2. DHCP リレー エージェントが着信クライアント トラフィックを識別するために使用する DHCP オプションを指定します。

  3. 受信クライアント トラフィックが設定された一致基準を満たさない場合に DHCP リレー エージェントが使用するデフォルト アクションを設定します。

  4. DHCPリレーが識別されたクライアントトラフィックを処理するために使用する完全一致条件と関連アクションを設定します。

  5. DHCP リレーがクライアント トラフィックを処理するために使用する 2 番目の完全一致条件と関連するアクションを設定します。

  6. DHCPリレーがクライアントトラフィックを処理するために使用する部分一致条件と関連アクションを設定します。

業績

設定モードから、[edit forwarding-options]階層レベルで show ステートメントを発行して、設定の結果を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

DHCP リレー エージェント選択トラフィック処理のステータスを確認するには、次のタスクを実行します。

DHCP リレー エージェント セレクティブ トラフィック処理のステータスの確認

目的

DHCP リレー エージェントの選択的トラフィック処理ステータスを確認します。

アクション

DHCP リレー エージェントの統計情報を表示します。

意味

show dhcp relay statistics コマンド出力の Packets forwarded フィールドには、選択的トラフィック処理設定の結果として転送されたクライアント パケットの数が表示されます。この例では、出力は、DHCP リレー エージェントが転送したパケットの総数と、転送された BOOTREQUEST および BOOTREPLY パケットの数の内訳を示しています。

例:DHCP および DHCPv6 リレー エージェント グループレベルの選択的トラフィック処理の設定

この例では、DHCPv6 リレー エージェント選択的処理(DHCP オプション文字列を使用してクライアント トラフィックを識別、フィルタリング、および処理する)の名前付きインターフェイス グループベースのサポートを設定する方法を示します。

この例では、DHCPv6 リレー エージェントの設定について説明します。 [edit forwarding-options dhcp-relay] 階層レベルで DHCP リレー エージェント グループに関連する手順を設定できます。DHCPv6 選択的処理は、DHCPv6 オプション 15 および 16 をサポートします。DHCP 選択的処理は、オプション 60(MXシリーズ ルーターのみ)とオプション 77 をサポートしています。

必要条件

この例では、以下のハードウェアとソフトウェアのコンポーネントを使用しています。

  • MXシリーズ5GユニバーサルルーティングプラットフォームまたはPTXシリーズパケットトランスポートルーター

DHCPv6 リレー エージェント選択的処理サポートを設定する前に、必ず以下を実行してください。

概要

この例では、DHCPv6 オプション文字列に基づいてクライアント パケットを選択的に処理するためのインターフェイス サポートとして、グループレベルの DHCPv6 リレー エージェントを設定します。選択処理を設定するには、以下の手順を実行します。

  1. [クライアント トラフィックの識別(Identify the client traffic)]:DHCPv6 リレー エージェントが処理するクライアント トラフィックを識別するために使用する DHCPv6 オプションを指定します。指定した DHCPv6 オプションは、クライアント トラフィックの オプションと一致します。

  2. デフォルトアクションを設定する—設定された一致基準を満たさない識別されたクライアントトラフィックに対してDHCPv6リレーが使用するデフォルト処理アクションを指定します。

  3. 一致フィルターを作成し、各フィルターにアクションを関連付ける—クライアントトラフィックをフィルタリングする一致条件を指定します。条件は、クライアント トラフィックの DHCPv6 オプション文字列との完全一致または部分一致です。各一致条件に処理アクションを関連付けます。

構成

DHCPv6 オプション情報に基づいてグループレベルの DHCPv6 リレー エージェント選択処理を設定するには、以下のタスクを実行します。

CLIクイック構成

この例をすばやく設定するには、次のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク構成に合わせて必要な詳細を変更し、 [edit] 階層レベルのCLIにコマンドをコピー&ペーストしてください。簡易設定では、指定されたインターフェイスグループとDHCPサーバーグループが事前に設定されていることを前提としています。

DHCPv6 オプション文字列に基づいてクライアント トラフィックを選択的に処理するための、インターフェイス グループという名前の DHCPv6 リレー エージェントの設定

手順

この手順は、指定されたインターフェイス グループと DHCPv6 サーバ グループが事前に作成されていることを前提としています。DHCPv6 リレー グループレベルの選択的処理を設定するには、次の手順に従います。

  1. DHCPv6リレーエージェントサポートを設定することを指定します。

  2. グループレベルの DHCPv6 リレー エージェント サポートを構成することを指定します。

  3. DHCPv6 リレー エージェントが着信クライアント トラフィックを識別するために使用する DHCPv6 オプション番号を指定します。

  4. 受信クライアント トラフィックが設定された一致基準を満たさない場合に DHCPv6 リレー エージェントが使用するデフォルト アクションを設定します。

  5. DHCPv6リレーが識別されたクライアントトラフィックを処理するために使用する完全一致条件と関連アクションを設定します。

  6. DHCPv6 リレーがクライアント トラフィックを処理するために使用する 2 番目の完全一致条件と関連アクションを設定します。

  7. DHCPv6リレーがクライアントトラフィックを処理するために使用する部分一致条件と関連するアクションを設定します。

業績

設定モードから、[edit forwarding-options dhcp]階層レベルで show ステートメントを発行して、設定の結果を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

デバイスの設定が完了したら、設定モードから commit を入力します。

検証

DHCPv6 リレー エージェント選択トラフィック処理のステータスを確認するには、次のタスクを実行します。

DHCPv6 リレー エージェントの選択的トラフィック処理のステータスの確認

目的

DHCPv6 リレー エージェントの選択的トラフィック処理ステータスを確認します。

アクション

DHCPv6 リレー エージェントの統計情報を表示します。

意味

show dhcpv6 relay statistics コマンド出力の Packets forwarded フィールドには、選択的トラフィック処理設定の結果として転送されたクライアント パケットの数が表示されます。この例では、出力は、DHCPv6リレーエージェントが転送したパケットの総数と、転送されたFWD REQUESTおよびFWD REPLYパケットの数の内訳を示しています。

異なるVRF内でのDHCPクライアントとDHCPサーバー間のDHCPメッセージ交換

一部のサービス プロバイダ ネットワークでは、DHCP サーバーが存在するサービス ネットワークが、実際の加入者ネットワークから分離されています。このようにサービスネットワークと加入者ネットワークを分離することで、ルート漏洩などのセキュリティ上の問題が発生する場合があります。

Junos OS リリース 14.2 以降では、異なる VRF(仮想ルーティングおよび転送インスタンス)間で DHCP メッセージを交換する際に、DHCP リレー エージェントを使用してセキュリティを強化できます。DHCP リレー エージェントは、クライアント VRF と DHCP サーバ VRF の間に直接ルーティングがないこと、および許容可能な DHCP パケットのみが 2 つの VRF 間でリレーされることを確認できます。 加入者管理は、DHCP と DHCPv6 の両方のパケットについて、クロス VRF メッセージ交換をサポートします。

異なる VRF 間で DHCP メッセージを交換するには、DHCP リレー エージェントのサーバー側とクライアント側の両方が、パケット内の DHCP オプション情報に基づいて許容可能なトラフィックを認識して転送できるようにする必要があります。メッセージ交換では、次の DHCP オプションを使用して、リレーするトラフィックを識別します。

  • DHCPv4 パケットのエージェント回線 ID(DHCP オプション 82、サブオプション 1)

  • DHCPv6パケットのリレーエージェントインターフェイスID(DHCPv6オプション18)

クロス VRF メッセージ交換を使用した DHCP パケットの統計情報は、クライアント VRF でカウントされます。

次のリストでは、DHCP リレー エージェントが異なる VRF 内の DHCP クライアントと DHCP サーバー間でどのようにメッセージを交換するかについて説明します。

  • DHCP クライアントから DHCP サーバーへのパケット—DHCP リレー エージェントは、クライアント VRF でクライアントから DHCP パケットを受信し、適切な DHCP オプション 82 サブオプション 1 または DHCPv6 オプション 18 属性をパケットに挿入します。その後、リレー エージェントは、パケットをサーバーの VRF 内の DHCP サーバーに転送します。

  • DHCP サーバから DHCP クライアントへのパケット:DHCP リレー エージェントは、サーバ VRF で DHCP サーバから DHCP 応答メッセージを受信します。リレー エージェントは、DHCP サーバー VRF 内のパケット内の DHCP オプション 82 サブオプション 1 または DHCPv6 オプション 18 属性から、VRF を含むクライアントのインターフェイスを取得します。その後、リレー エージェントは、クライアントの VRF 内の DHCP クライアントに応答メッセージを転送します。

異なる仮想ルーティング インスタンス内の DHCP サーバーとクライアント間の DHCP メッセージ交換を構成する

Junos OS リリース 14.2 以降では、DHCP リレー エージェントを構成して、異なる VRF(仮想ルーティングおよび転送インスタンス)に存在する DHCP サーバーと DHCP クライアントとの間で DHCP メッセージを交換するときに、セキュリティを強化できます。

DHCP リレー エージェントを構成して、DHCP サーバーと異なる仮想ルーティング インスタンスに存在する DHCP クライアントとの間で DHCP メッセージを交換するときに、セキュリティを強化できます。このタイプの構成は、DHCP サーバーがクライアント ネットワークから分離する必要があるネットワーク内に存在する場合に、DHCP サーバーと DHCP クライアント間の ステートレス DHCP リレー接続用です。

ステートレスDHCPリレーエージェントは、DHCPクライアントに関する動的状態情報を保持せず、クライアントとサーバールーティングインスタンス間を流れるトラフィックの静的ルートも維持しません。

2 つの VRF 間で DHCP メッセージ交換を可能にするには、パケット内の DHCP オプション情報に基づき、受け入れ可能なトラフィックを認識して転送するように DHCP リレーの各側を設定します。受け入れ可能なトラフィックは、DHCPv4 パケットのエージェント サーキット ID(DHCP オプション 82、サブオプション 1)、または DHCPv6 パケットのリレー エージェント インターフェイス ID(DHCPv6 オプション 18)によって識別されます。

以下のリストは、異なる VRF 間で DHCP メッセージ交換を作成するために必要なタスクの概要を示しています。

  • クライアント側サポート—DHCPリレーエージェント forward-only ステートメントを設定して、DHCPリレーエージェントが適切なDHCPオプション情報を含むクライアントパケットを転送するDHCPサーバーのVRFの場所を指定します。 forward-only ステートメントは、DHCPリレーエージェントが新しいセッションを作成したり、他の加入者管理操作(動的インターフェイスの作成やリースの維持など)を実行したりしないようにします。

    オプションで、サーバー VRF に特定の論理システムおよびルーティング インスタンスを設定できます。論理システムまたはルーティング インスタンスを指定しない場合、DHCP は設定が追加されたローカル論理システムとルーティング インスタンスを使用します。

  • サーバー側サポート—DHCPリレーエージェント forward-only-replies ステートメントを設定して、DHCPリレーエージェントが適切なDHCPオプション情報を持つ応答パケットを転送するようにします。また、このステートメントは、DHCP リレー エージェントが新しいセッションを作成したり、他の加入者管理操作を実行したりしないようにします。

    手記:

    DHCPクライアントとDHCPサーバーが同じ論理システム/ルーティング インスタンスに存在する場合、 forward-only-replies ステートメントを設定する必要はありません。

  • DHCPローカルサーバーサポート—DHCP NAKおよびforcerenewメッセージでオプション82の情報をサポートするようにDHCPローカルサーバーを設定します。デフォルトでは、この 2 つのメッセージ・タイプはオプション 82 をサポートしていません。

  • 追加サポート:以下の必要なサポートが設定されていることを確認します。

    • DHCP リレー エージェントがクライアントの ARP 要求と DHCP サーバ VRF のクライアント側のインターフェイスを受信して応答できるように、DHCP サーバ VRF のサーバ側インターフェイスでプロキシ ARP サポートを有効にする必要があります。

    • クライアント VRF で到達可能なクライアントのために、サーバ VRF で DHCP サーバから DHCP パケットを受信するためのルートが使用可能である必要があります。

以下の手順では、異なる VRF 内の DHCP サーバとクライアント間で DHCP メッセージ交換を作成するための設定作業について説明します。

クライアント側のサポート

DHCP リレー エージェントのクライアント側でサポートを構成するには:

  1. DHCP リレー エージェント設定を有効にします。
  2. DHCP リレー エージェントが DHCP クライアントからのパケットを転送する DHCP サーバー VRF を指定します。DHCPリレーエージェントは、適切なDHCPオプション情報を持つ許容可能なパケットを転送しますが、追加の加入者管理操作は実行しません。 forward-only ステートメントは、グローバルに、またはインターフェイスの名前付きグループに対して、および DHCPv4 または DHCPv6 に対して設定できます。サーバ VRF の現在、デフォルト、または特定の論理システムまたはルーティング インスタンスを指定できます。

    次の例では、DHCPv4 の forward-only ステートメントをグローバルに設定し、デフォルトの論理システムとルーティング インスタンスを指定します。

手記:

ローカル DHCPv4 クライアントの場合、DHCP リレー エージェントは [エージェント サーキット ID(Agent Circuit ID)] オプションを追加します。ただし、エージェント回線IDオプションがパケット内にすでに存在する場合は、DHCPサーバーがオプション82ベンダー固有情報サブオプション(サブオプション9)をサポートしていることを確認する必要があります。

forward-onlyステートメントが[edit forwarding-options dhcp-relay relay-option]階層レベルで設定されている場合、そのリレーオプションアクションは、DHCPクロスVRFメッセージ交換のforward-onlyステートメントの設定よりも優先されます。

サーバー側のサポート

DHCP リレーのサーバー側でクロス VRF メッセージ交換サポートを設定するには、次の手順を実行します。

手記:

DHCPクライアントとDHCPサーバーが同じ論理システム/ルーティング インスタンスに存在する場合、 forward-only-replies ステートメントを設定する必要はありません。
  1. DHCP リレー エージェント設定を有効にします。
  2. DHCP サーバの VRF からクライアントに DHCP パケットを転送するように DHCP リレー エージェントを設定します。DHCP リレー エージェントはパケットを転送するだけで、追加の加入者管理操作は実行しません。 forward-only-replies ステートメントは、DHCPv4およびDHCPv6に対してグローバルに設定できます。

    次の例では、 forward-only-replies ステートメントを DHCPv4 用にグローバルに設定します。

DHCP ローカルサーバーのサポート

DHCP ローカル サーバが NAK でオプション 82 の情報をサポートし、メッセージを強制更新するように設定するには、次の手順に従います。クロス VRF メッセージ交換機能は、オプション 82 または DHCPv6 オプション 18 の情報を使用して、クライアント VRF を決定します。

  1. DHCP ローカル サーバー構成を有効にします。
  2. 上書きオプションを設定することを指定します。
  3. デフォルト動作を上書きし、DHCP NAK のオプション 82 情報をサポートするように DHCP ローカル サーバーを設定し、メッセージを強制します。オーバーライド アクションは、グローバルに、インターフェイスのグループに対して、または特定のインターフェイスに対して設定できます。

リモートIDに基づくDHCP発信サービス変更

加入者管理では、クライアントのリモートID(エージェントリモートID)を使用して、DHCPクライアントの現在のサービスを更新できます。リモート ID は、オプション 82、サブオプション 2(DHCPv4 クライアント)、または オプション 37(DHCPv6 クライアント)にあります。

DHCP クライアントが最初に確立されたとき、DHCP はクライアントの受信リモート ID を DHCP クライアントデータベースに保持します。そのクライアントの再バインドまたは更新メッセージを受信すると、DHCP はクライアントの初期リモート ID と DHCP 更新または再バインドメッセージ内のリモート ID を比較します。2つのリモートIDが一致しない場合、DHCPローカルサーバーは既存のバインディングを破棄してNAKメッセージ(DHCPv6の場合は論理NAK)を送信し、クライアントに再接続シーケンスを開始させます。クライアントが再接続すると、DHCP ローカル サーバーは、新しいエージェント リモート ID 文字列内にエンコードされた新しいサービスをアクティブ化します。

ルーターは、リモートIDサービス変更機能をグローバルに、または特定のグループに対してサポートするように設定でき、DHCPローカルサーバーとDHCPリレーエージェントでサポートを設定できます。

デュアルスタック環境では、DHCPが開始するサービス変更機能を使用するには、クライアントのDHCPv4およびDHCPv6セッションが同じVLAN(1:1マッピング)上に存在し、2つのセッションのエージェントリモートID文字列が同一である必要があります。また、デュアルスタックをサポートするためには、2つのネットワーク間でリモートIDの一貫性を確保するために、DHCPv4とDHCPv6の両方のネットワークに同じ動的クライアントプロファイルを適用する必要があります。DHCPは、デュアルスタックの1つのセッションでリモートIDの不一致を検出すると、そのセッションを破棄します。次に、受信リモートIDがデュアルスタックの他のセッションと比較され、不一致がある場合は、もう一方のセッションが正常に破棄されます。

支障のない破棄プロセス中に、他のセッションが現在バインド状態にある場合、そのセッションは遅延削除状態に移行します。遅延削除状態により、変更を検出したセッションは新しいサービス プランでただちに再確立され、ルータは後続の更新および再バインド メッセージに応答して NAK メッセージを送信することで、他のセッションを正常に破棄できます。

DHCP が開始するサービス変更機能の一環として、AAA はセッションのクライアント プロファイルを設定できます。AAA はリモート ID からクライアント プロファイルを取得し、そのプロファイルをセッション データベースに書き込みます。AAA がデータベースに書き込むクライアント プロファイルは、ローカルの DHCP 設定よりも常に優先されます。

エージェントリモートIDの変更により、再認証中にサービスの変更が始まることもあります。remote-id-mismatch ステートメントと reauthenticate ステートメントの両方を、グローバルレベル([edit system services dhcp-local-server])で設定することはできません。ただし、DHCP の優先順位ルールでは、両方のステートメントが異なるレベルにある場合に設定できます。たとえば、グローバル レベルで reauthenticate を設定し、[edit system services dhcp-local-server dhcpv6] 階層レベルで DHCPv6 のremote-id-mismatchを設定したり、[edit system services dhcp-local-server group name] 階層レベルで特定のグループに対して設定したりできます。

リモートIDに基づくDHCP発信サービス変更のメリット

  • クライアントのリモート ID が変更され、以前に保存されたエージェントのリモート ID と一致しない場合に、DHCP サーバーまたはリレー エージェントがリモート ID に基づいてクライアントのサービスを更新できるようにします。デュアルスタック環境で、DHCP サーバーまたはリレーエージェントを有効にして、デュアルスタックのセッション間のリモート ID の整合性を確保します。

リモート ID に基づいて DHCP が開始するサービス変更の設定

このトピックでは、DHCP ローカル サーバーと DHCP リレー エージェントで DHCP が開始するサービス変更のサポートを構成する方法について説明します。

DHCP ローカルサーバーの設定

DHCP ローカル サーバーと DHCPv6 ローカル サーバーに対して、グローバルに、または名前付きインターフェイス グループに対して、DHCP が開始するサービス変更のサポートを設定できます。

DHCPローカルサーバーがDHCPによって開始されたサービス変更をサポートするように、名前付きグループを設定するには:

  1. DHCPが開始するサービス変更機能の設定を開始する前に、DHCPまたはDHCPv6リレーエージェントが、デフォルト動作を上書きし、リモートID不一致が発生したときにDHCPサーバーにリリースメッセージを送信するように設定されていることを確認してください。この設定は、リレー エージェントがクライアント バインディングを直接破棄できないために必要です。リリースパケットは、元のバインディングを破棄するようにDHCPサーバーに信号を送ります。
  2. DHCPローカルサーバーを設定することを指定します。
  3. 設定したい名前付きグループを指定します。
  4. 指定されたグループについて、DHCP ローカルサーバが初期クライアントリモート ID と新規クライアントリモート ID を照合し、不一致が発生した場合に disconnect アクションを実行することを指定します。

    不一致が発生すると、DHCPローカルサーバーは既存のバインディングを破棄してNAKメッセージをクライアントに送信し、クライアントの再接続シーケンスを開始します。エージェントリモートID文字列にエンコードされた新しいサービスは、クライアントが再接続するとアクティブ化されます。

DHCP リレー エージェントの設定

DHCP リレー エージェントと DHCPv6 リレー エージェントの DHCP が開始するサービス変更のサポートをグローバルに、またはインターフェイスの名前付きグループに対して設定できます。

次の例は、DHCP が開始するサービスの変更をグローバルにサポートするように DHCPv6 リレー エージェントを設定する手順を示しています。

  1. DHCP が開始するサービス変更機能の設定を開始する前に、リモート ID の不一致が発生したときに、デフォルトの動作を上書きし、DHCP サーバーにリリース メッセージを送信するように DHCPv6 リレー エージェントが設定されていることを確認します。この設定は、リレー エージェントがクライアント バインディングを直接破棄できないために必要です。リリースパケットは、元のバインディングを破棄するようにDHCPサーバーに信号を送ります。

  2. DHCP リレー エージェントを構成することを指定します。

  3. DHCPv6リレーエージェントを設定することを指定します。

  4. DHCPv6 リレー エージェントが初期クライアント リモート ID と新規クライアント リモート ID を照合し、不一致が発生した場合に disconnect アクションを実行することを指定します。

    不一致が発生すると、DHCPv6 リレー エージェントはリリース メッセージを DHCPv6 ローカル サーバーに送信し、論理 NAK メッセージ(ライフタイムが 0 の応答パケット)をクライアントに送信します。次に、サーバーは既存のバインディングを破棄し、クライアントは再接続シーケンスを開始します。エージェントリモートID文字列にエンコードされた新しいサービスは、クライアントが再接続するとアクティブ化されます。

DHCP サーバ アドレスが不明なリレー トラフィックに対する DHCPv4 および DHCPv6 転送専用アクション

DHCPv4 または DHCPv6 サーバー上で作成できる DHCP リレー エージェント エントリーは、認証、許可、アカウンティング、フィルタリングの適用、クライアントでの Quality of Service(QoS)の保証、およびパケットで指定されたオプションの処理に役立ちます。リレーエージェントまたはクライアントエントリの作成には、jdhcpdプロセス、メモリリソース、セッションデータベースリソース、認証手順、アカウンティング、動的プロファイルインスタンス化、動的インターフェイス作成、ファイアウォール、サービスクラス(CoS)アソシエーションなどの参加が含まれます。カスタマー ネットワークには、これらのリレー エージェント エントリ機能を必要としない、カスタマーが制御しないバインディングが含まれている場合があります。顧客のネットワークにこのようなトラフィックがある場合、クライアント エントリの作成に関連するリレー エージェント エントリの作成は、リソースを不必要に消費し、プロファイルの誤った関連付けにつながる可能性があります。現在のネットワーク シナリオでは、特定のインターフェイスから受信したすべてのトラフィックが宛先アドレスを処理せずに転送されるためです。

Junos OS リリース 17.4R1以降、不明なDHCPサーバーアドレスとともに、顧客以外のトラフィックに対して、ブロードバンドネットワークゲートウェイ(BNG)デバイスで forward-only 設定を有効にすることができます。 forward-only ステートメントの設定と新しい DHCP オプション(DHCPv4 では option-54 、DHCPv6 では option-2 )により、BNG での DHCP リレー エージェント エントリーの作成が回避され、トラフィックが指定された宛先アドレスに確実に転送されます。

これらの構成を使用すると、管理者はクライアントがバインドされているサーバーを決定できます。リレークライアントエントリーを作成し、動的プロファイルとポリシーを適用する必要があるクライアントなど。 forward-only 設定が有効になっているユーザー(顧客以外)の質問です。

宛先アドレスを処理するために、2 つの新しい構成ステートメント、options-54options-2が導入されました。

DHCPv4 および DHCPv6 宛先アドレスの処理

管理者は、 forward-only ステートメントを設定して、顧客以外のクライアントエントリが作成されないようにすることができます。jdhcpdプロセスは、受信パケット内のサーバー識別子(DHCPv4の場合はoption-54 、DHCPv6の場合は option-2 )と、受信パケット内の宛先アドレスの有無を、設定されたサーバーアドレスとともに比較します。サーバー識別子と設定されたサーバーアドレスが一致する場合、アクションはクライアントエントリを作成せずに転送のみを行います。

非パッシブリレーでは、server-matchステートメントを設定することは、server-matchステートメントが処理されるクライアントに対してdelay-authenticationステートメントを暗黙的に有効にすることを意味します。また、オプション 60 および 77(DHCPv4 の場合)またはオプション 15 および 16(DHCPv6 の場合)を、オプションで関連する処理とともに設定することもできます。これらのオプションの構成には、処理順序の指定も含まれます。これらのオプションが設定されていない場合、デフォルトの順序は、DHCPv4 では 60, 77、DHCPv6 では 15, 16 です。

手記:

RFC 3315、IPv6の動的ホスト構成プロトコル(DHCPv6)で定義されているDHCPv6option-16データは、4バイトの企業番号と可変長のベンダークラスデータで構成されています。企業番号は、ベンダーがIANAに登録した番号です。このため、企業番号option-16印刷可能なASCII文字の値と一致する必要があるため、リレーオプションの一致と組み合わせてASCII一致を設定しても機能しない可能性があることが予想されます。

DHCPv4 option-77 ステートメントでも、 option-77 データがサブオプションやサブレングスを含むように細分化される可能性があるため、同様の制限があります。このため、リレーオプションの一致でASCII一致を設定し option-77 機能しない場合があります。

非パッシブリレーでは、要求パケットが 再バインド フェーズで受信され、対応するリレーエントリが存在しない場合、最初に bind-on-request ステートメントを設定する必要があり、その後リレーエントリが作成されてパケットが転送されます。確認応答を受信すると、jdhcpd プロセスは、 server-match 設定内の送信元アドレス(DHCPv4 のオプション 54、DHCPv6 のオプション 2 の有無にかかわらず)を検証します。検証の結果がステートレスエントリーとなった場合、リレーエントリーは削除されます。

管理者は、サーバーのアドレスの有無にかかわらず、DHCP 意の識別子(DUID)を指定できます。jdhcpdプロセスは、最初にアドレスステートメントを処理し、次にDUIDステートメントを処理します。アドレス・ステートメントと DUID ステートメントに同じサーバー・アドレスが指定されている場合、アドレスと DUID ステートメントの両方に同じアクションを指定するのは管理者の責任です。

パッシブリレーと非パッシブリレーの両方で、受信パケットにリレー転送ヘッダーが含まれ、宛先アドレスがマルチキャストまたはリンクローカルアドレスの場合、パケットはそれ以上の処理を行わずに転送されます。

手記:

DHCPv4とDHCPv6の両方の加入者にとって、 relay-optionserver-match ステートメントは同じ階層にあり、同じ優先度を持っています。

処理順序とアクション

リレーオプションとサーバーの一致処理は相互に排他的です。これらは同じ階層にあり、同じ優先度を持ちますが、実装の目的で、リレーオプションを処理し、その後にサーバー一致を指定します。

以下は、DHCPv4 リレー オプションの処理アクションです。

  • drop- 一致した場合に破棄します。

  • forward-only—一致がある場合、クライアント サービスなしで転送します。

  • local-server-group—一致がある場合のDHCPローカルサーバーグループの名前。

  • relay-server-group—一致がある場合のDHCPリレーサーバーグループの名前。

以下に、DHCPv6 リレー オプション処理アクションを示します。

  • drop- 一致した場合に破棄します。

  • forward-only—一致がある場合、クライアント サービスなしで転送します。

  • relay-server-group—一致がある場合のDHCPリレーサーバーグループの名前。

手記:

IPv6 アドレスの DHCPv6 サーバーの一致は、パッシブ リレーでのみ使用できます。

デフォルトおよび設定可能なオプションの順序は、 図 1 に示すように処理されます。オプションの順序を逆にする必要がある場合は(DHCPv4またはDHCPv6のいずれか)、DHCPv4 option-order 77,66 ステートメントまたはDHCPv6 option-order 16,15 ステートメントを[edit forwarding-options dhcp-relay relay-option]階層レベルで設定します。

図 1:DHCPv4 および DHCPv6 オプションの順序DHCPv4 and DHCPv6 Option Order

DHCP リレー転送専用アクションの利点

  • クライアント エントリの作成時に作成されたリレー エージェント エントリを必要としない、顧客が制御する非バインディングのリソースの不要な消費を削減します。

関連資料

変更履歴

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。特定の機能がお使いのプラットフォームでサポートされているかどうかを確認するには、 Feature Explorer を使用します。

解放
形容
15.1
Junos OS リリース 15.1 以降では、選択的トラフィック処理機能により、拡張 DHCP および DHCPv6 リレー エージェントを使用してマルチベンダー ネットワークを管理できます。
15.1
Junos OS リリース 15.1 以降では、DHCP リレー エージェントがクライアント トラフィックを選択的に処理するように設定できます。
14.2
Junos OS リリース 14.2 以降では、異なる VRF(仮想ルーティングおよび転送インスタンス)間で DHCP メッセージを交換する際に、DHCP リレー エージェントを使用してセキュリティを強化できます。
14.2
Junos OS リリース 14.2 以降では、DHCP リレー エージェントを構成して、異なる VRF(仮想ルーティングおよび転送インスタンス)に存在する DHCP サーバーと DHCP クライアントとの間で DHCP メッセージを交換するときに、セキュリティを強化できます。