DHCP の概要
レガシーDHCPと拡張DHCPの違いを理解する
このトピックでは、次のセクションについて説明します。
拡張DHCPの新機能と強化
拡張DHCPまたはJDHCPは、従来のDHCP運用を拡張および拡張します。拡張DHCPローカルサーバーでは、クライアント設定情報が一元化されたアドレス割り当てプールに保存され、高度なプールマッチングとアドレス範囲選択をサポートします。新機能は、拡張DHCPにのみ追加されます。拡張DHCPは、以下の機能と拡張機能をサポートしています。
拡張DHCPでは、アドレス割り当てプールはDHCPローカルサーバーの外部にあります。外部アドレス割り当てプールは、DHCPローカルサーバーとは独立して authd プロセスによって管理され、DHCPやPPPoEアクセスなどの異なるクライアントアプリケーションで共有することができます。従来のDHCPでは、クライアントアドレスプールとクライアント設定情報はDHCPサーバーに存在します。
拡張DHCPサーバーはローカルAAAサービスフレームワークと対話して、RADIUSなどのバックエンド認証サーバーを使用してDHCPクライアント認証を提供します。
グローバルベースまたは特定のインターフェイスグループに対して、動的プロファイルと認証サポートを設定できます。
拡張DHCPローカルサーバーは、IPv6クライアントをサポートします。
DHCPローカルサーバーとDHCPv6ローカルサーバーはどちらも特定のアドレスリクエスト機能をサポートしており、特定のアドレスをクライアントに割り当てることができます。
拡張DHCPローカルサーバーは、DHCPクライアントにDHCPオプション55が設定されていない場合、DHCPクライアントに最小限の設定を提供します。サーバーは、クライアント用に選択されたアドレス割り当てプールのサブネットマスクを提供します。選択したアドレス割り当てプールで情報が設定されている場合、サーバーはサブネットマスクに加えて以下の値をクライアントに提供します。
router—クライアントのサブネット上にあるルーター。このステートメントは、DHCP オプション 3 に相当します。
domain name—クライアントがDHCPサーバーホストを検索するドメインの名前。これは、完全修飾ではないホスト名に追加されるデフォルトのドメイン名です。これは、DHCP オプション 15 と同等です。
domain name server—ホスト名とクライアントのマッピングを解決するためにクライアントが使用できるドメインネームシステム(DNS)ネームサーバー。これは、DHCP オプション 6 と同等です。
クライアントPDUでDHCPオプション82の情報を使用するようにローカルサーバーを設定し、特定のクライアントに使用する名前付きアドレス範囲を決定できます。アドレス割り当てプールで構成されるクライアント設定情報には、ブートサーバー、猶予期間、リース時間などのユーザー定義オプションが含まれます。
拡張DHCPサーバーは、以下の機能をサポートします。
グレースフルルーティングエンジンスイッチオーバー(GRES):クライアントのミラーリングサポートを提供します。
仮想ルーティングおよび転送(VRF)。拡張DHCPは、仮想ルーター(VR)対応DHCPとも呼ばれます。拡張DHCP(VR認識DHCP)をサポートするデバイスのリストについては、 機能エクスプローラー(仮想ルーター認識DHCP) を参照してください。
表1は 、拡張DHCPとレガシーDHCP設定オプションを比較したものです。
機能 |
レガシーDHCPローカルサーバー |
拡張DHCPローカルサーバー |
|---|---|---|
ローカルアドレスプール |
X |
X |
外部の一元管理アドレスプール |
– |
X |
ローカル設定 |
X |
X |
アドレス割り当てプールまたは RADIUS サーバーからの情報を使用した外部設定 |
– |
X |
動的プロファイル添付ファイル |
– |
X |
RADIUSベースの加入者認証、およびRADIUS属性とジュニパーネットワークスVSAを使用した設定 |
– |
X |
IPv6 クライアントのサポート |
– |
X |
デフォルトの最小クライアント構成 |
X |
X |
拡張DHCPのメリット
拡張DHCPローカルサーバーは、アドレス割り当てとクライアント設定の追加機能と、加入者認識環境での柔軟性を提供することで、従来のDHCPサーバー運用を強化します。
拡張DHCPローカルサーバーにより、サービスプロバイダは、従来のローカルアドレスプールの継続的なサポートに加えて、外部アドレス割り当てプールと統合されたRADIUSベースの設定機能を活用できます。
拡張DHCP環境におけるDHCPローカルサーバーの設定の変更
拡張DHCPでは、以下の手順でDHCPサーバーとアドレス割り当てプールを設定します。
デバイス上で拡張DHCPローカルサーバーを設定し、DHCPローカルサーバーが使用するアドレス割り当てプールを決定する方法を指定します。
DHCPローカルサーバーが使用するアドレス割り当てプールを設定します。アドレス割り当てプールには、DHCP クライアントの IP アドレス、名前付きアドレス範囲、設定情報が含まれています。
サーバーが使用する拡張DHCPローカルサーバーとアドレス割り当てプールは、同じ論理システムとルーティングインスタンスで設定する必要があります。
従来のDHCPおよび拡張DHCPサーバー階層レベルの変更
レガシーDHCPサーバーと拡張DHCPサーバーは、 表2に示す階層レベルで設定できます。
DHCP サービス |
階層 |
|---|---|
レガシーDHCPサーバー |
|
拡張DHCPサーバー |
|
レガシーDHCPリレー |
|
拡張DHCPリレー |
|
レガシーDHCPアドレスプール |
|
拡張DHCPアドレスプール |
|
レガシーDHCPは非推奨であるため、つまりコマンドは「非表示」になっています。これらのコマンドはヘルプに表示されず、自動完了も表示されません。オプション show configuration を使用して設定を表示すると、システムは以下の警告を表示します。
## ## Warning: configuration block ignored: unsupported platform (...) ##
未設定のインターフェイスのDHCPパケットは破棄されます
DHCP-Relayを有効にすると、デバイスはすべてのインターフェイスで受信したDHCPパケットを検出します。DHCP設定に記載されていないインターフェイスは「未設定」と見なされます。
設定によっては、未設定のインターフェイスで受信したDHCPパケットは破棄されます。
DHCPパケットが「unconfigured」インターフェイスでドロップされた場合、DHCP traceoptionsは次のように報告します。
May 25 18:26:31.796241 [MSTR][NOTE] [default:default][RLY][INET][irb.82] jdhcpd_packet_handle: BOOTPREQUEST irb.82 arrived on unconfigured interface DISCOVER, flags 23, config 0x0
一部のプラットフォームに固有の動作の一部は、リリースに合わせて変更されています。 リリースノートを参照してください。
拡張DHCPリレーエージェントの概要
ルーターまたはスイッチで拡張DHCPリレーオプションを設定し、ルーター(またはスイッチ)がDHCPリレーエージェントとして機能できるようにすることができます。DHCPリレーエージェントは、DHCPクライアントとDHCPサーバーの間でDHCPリクエストと応答パケットを転送します。
DHCPリレーは、動的プロファイルの添付をサポートします。また、ローカルのAAAサービスフレームワークと対話して、RADIUSなどのバックエンド認証サーバーを使用して、加入者認証またはDHCPクライアント認証を提供します。動的プロファイルを添付し、グローバルベースまたは特定のインターフェイスグループに対して認証サポートを設定できます。
ルーターでは、ビデオ/IPTVなどのキャリアエッジアプリケーションでDHCPリレーを使用して、加入者のIPアドレスを含む設定パラメータを取得できます。
スイッチでは、DHCPリレーを使用して、DHCPクライアントのIPアドレスなどの設定パラメーターを取得できます。
dhcp-relayステートメントで設定された拡張DHCPリレーエージェントオプションは、bootpステートメントで設定されたDHCP/BOOTPリレーエージェントオプションと互換性がありません。その結果、ルーターで拡張DHCPリレーエージェントとDHCP/BOOTPリレーエージェントの両方を同時に有効にすることはできません。
DHCP/BOOTPリレーエージェントについては、 DHCPおよびBOOTPリレーエージェントとしてのルーター、スイッチ、およびインターフェイスの設定を参照してください。
IPv6クライアントをサポートするように、拡張DHCPリレーエージェントを設定することもできます。DHCPv6リレーエージェント機能については、DHCPv6リレーエージェントの概要 を参照してください。
ルーター(またはスイッチ)で拡張DHCPリレーエージェントを設定するには、[edit forwarding-options]階層レベルでdhcp-relayステートメントを含めます。
以下の階層レベルに dhcp-relay ステートメントを含めることもできます。
[edit logical-systems logical-system-name forwarding-options][edit logical-systems logical-system-name routing-instances routing-instance-name forwarding-options][edit routing-instances routing-instance-name forwarding-options]
DHCP リレー エージェント、DHCP クライアント、DHCP サーバー間の相互作用
DHCP リレー エージェント、DHCP クライアント、DHCP サーバー間の対話パターンは、ソフトウェアのインストールがルーター上にあるかスイッチ上にあるかに関係なく同じです。ただし、使用方法の詳細にはいくつかの違いがあります。
ルーター上—典型的なキャリアエッジネットワーク設定では、DHCPクライアントは加入者のコンピュータ上にあり、DHCPリレーエージェントはDHCPクライアントと1台以上のDHCPサーバーの間のルーター上で設定されます。
スイッチ上—一般的なネットワーク設定では、DHCP クライアントはパーソナル コンピュータなどのアクセス デバイス上にあり、DHCP リレー エージェントは DHCP クライアントと 1 つ以上の DHCP サーバーの間のスイッチ上で設定されます。
次の手順では、2 台の DHCP サーバーを含む構成で DHCP クライアント、DHCP リレー エージェント、DHCP サーバーがどのように相互作用するかを大まかに説明します。
DHCP クライアントは、ネットワーク内の DHCP サーバーを見つけるためにディスカバリーパケットを送信し、そこから IP アドレスなどの加入者(または DHCP クライアント)の設定パラメーターを取得します。
DHCPリレーエージェントは検出パケットを受信し、2つのDHCPサーバーのそれぞれにコピーを転送します。次に、DHCP リレー エージェントは、内部クライアント テーブルにエントリーを作成し、クライアントの状態を追跡します。
ディスカバリーパケットの受信に応答して、各DHCPサーバーはクライアントにオファーパケットを送信します。DHCPリレーエージェントは、オファーパケットを受信し、DHCPクライアントに転送します。
オファーパケットを受信すると、DHCP クライアントは設定情報を取得する DHCP サーバーを選択します。通常、クライアントは、IPアドレスでリース時間が最も長いサーバーを選択します。
DHCP クライアントは、設定情報を取得する DHCP サーバーを指定するリクエスト パケットを送信します。
DHCPリレーエージェントはリクエストパケットを受信し、2台のDHCPサーバーのそれぞれにコピーを転送します。
クライアントによって要求されたDHCPサーバーは、クライアントの設定パラメーターを含む確認応答(ACK)パケットを送信します。
DHCP リレー エージェントは ACK パケットを受信し、クライアントに転送します。
DHCP クライアントは ACK パケットを受信し、設定情報を保存します。
そのように設定されている場合、DHCP リレーエージェントは、このクライアントのホストルートとアドレス解決プロトコル(ARP)エントリをインストールします。
IPアドレスで初期リースを確立した後、DHCPクライアントとDHCPサーバーはユニキャスト送信を使用してリースの更新またはリリースをネゴシエートします。DHCP リレーエージェントは、ルーター(またはスイッチ)を通過するクライアントとサーバー間のユニキャストのすべてのパケットを「スヌープ」し、このクライアントのリースがいつ期限切れになったか、いつ解放されたかを判断します。このプロセスは、 リースシャドーイング または パッシブスヌーピングと呼ばれます。
DHCP ライブネス検出
DHCP加入者またはDHCPクライアントIPセッションのライブネス検出では、アクティブなライブネス検出プロトコルを利用して、関連するクライアントのライブネス検出チェックを開始します。クライアントは、指定された時間内にライブネス検出要求に応答することが期待されます。一定回数の連続試行に対してその時間内に応答を受信しなかった場合、ライブネス検出チェックは失敗し、失敗アクションが実装されます。
グローバルまたはDHCPグループごとのDHCPライブネス検出。
DHCPリレープロキシの概要
DHCPリレープロキシモードは、拡張DHCPリレーの拡張機能です。DHCPリレープロキシは、すべてのDHCPリレー機能をサポートしながら、追加の機能とメリットを提供します。
通常、拡張DHCPリレーはDHCP操作のヘルパーアプリケーションとして動作します。DHCPリレーエージェントオプションとゲートウェイアドレス(giaddr)をDHCPパケットに追加する機能を除けば、DHCPリレーはDHCPクライアントとDHCPサーバーに対して透過的であり、DHCPクライアントとサーバー間でメッセージを転送するだけです。
DHCP リレーをプロキシ モードで動作するように設定すると、リレーは透過的ではなくなります。プロキシモードでは、DHCPリレーはDHCPクライアントからDHCPサーバーの詳細を隠します。DHCPクライアントは、あたかもDHCPサーバーであるかのようにプロキシモードのDHCPリレーと対話します。DHCP サーバーの場合、プロキシ モードは DHCP サーバーと DHCP リレーのやり取り方法に影響しないため、変更はありません。
DHCPリレープロキシと拡張DHCPローカルサーバーの両方を同じインターフェイス上で設定することはできません。
DHCPリレープロキシを使用するメリット
DHCPリレープロキシには、以下のような利点があります。
DHCPサーバーの分離とDoS保護—DHCPクライアントは、DHCPサーバーを検出したり、DHCPサーバーアドレスを学習したり、DHCPサポートを提供しているサーバーの数を特定したりすることはできません。サーバー分離は、DHCPサーバーのサービス拒否(DoS)保護も提供します。
複数のリースオファーの選択—DHCPリレープロキシは、複数のDHCPサーバーからリースオファーを受信し、DHCPクライアントに送信する単一のオファーを選択することで、ネットワーク内のトラフィックを削減します。現在、DHCP リレー プロキシは、受信した最初のオファーを選択します。
番号ありおよび番号なしのイーサネットインターフェイスの両方をサポート—イーサネットインターフェイスを介して接続されたDHCPクライアントの場合、DHCPクライアントがアドレスを取得すると、DHCPリレープロキシは、そのインターフェイスをアウトバウンドインターフェイスとして指定するアクセス内部ホストルートを追加します。リース時間が終了するか、クライアントがアドレスを解放すると、ルートは自動的に削除されます。番号なしイーサネットインターフェイスのDHCPリレーサポートは、ACX7000デバイス(ACX7024、ACX7100、ACX7100、ACX7509)では利用できないことに注意してください。
論理システムのサポート—DHCPリレープロキシは論理システムで設定できますが、非プロキシモードのDHCPリレーは設定できません。
DHCPリレープロキシ、DHCPクライアント、およびDHCPサーバー間の相互作用
DHCP リレー エージェントは、DHCP クライアントと 1 つ以上の DHCP サーバーの間で動作するルーター(またはスイッチ)上に設定されます。
以下の手順では、DHCPリレープロキシがDHCPクライアントおよびDHCPサーバーとどのように対話するかについて簡単に説明します。
DHCP クライアントは、ディスカバリー パケットを送信して、ネットワーク内の DHCP サーバーを見つけ、そこから加入者の設定パラメーターを取得します。
DHCPリレープロキシは、DHCPクライアントからディスカバリーパケットを受信し、パケットのコピーをサポートされている各DHCPサーバーに転送します。次に、DHCP リレー プロキシは、クライアントの状態を追跡するためにクライアント テーブル エントリを作成します。
ディスカバリーパケットに応答して、各DHCPサーバーはオファーパケットをクライアントに送信し、DHCPリレープロキシはそれを受信します。DHCP リレー プロキシは、以下を実行します。
クライアントに送信するオファーとして最初に受信したオファーを選択します
DHCPサーバーアドレスをDHCPリレープロキシのアドレスに置き換えます
オファーをDHCPクライアントに転送します。
DHCP クライアントは、DHCP リレープロキシからオファーを受信します。
DHCP クライアントは、設定情報を取得する DHCP サーバーを示すリクエスト パケットを送信します。リクエスト パケットは DHCP リレー プロキシのアドレスを指定します。
DHCPリレープロキシはリクエストパケットを受信し、選択したサーバーのアドレスを含むコピーを、サポートされているすべてのDHCPサーバーに転送します。
クライアントによって要求されたDHCPサーバーは、クライアント設定パラメーターを含む確認応答(ACK)パケットを送信します。
DHCPリレープロキシはACKパケットを受信し、DHCPサーバーアドレスを独自のアドレスに置き換えて、パケットをクライアントに転送します。
DHCP クライアントは ACK パケットを受信し、設定情報を保存します。
そのように設定されている場合、DHCP リレープロキシは、DHCP クライアントにホストルートとアドレス解決プロトコル(ARP)エントリをインストールします。
最初のDHCPリースが確立されると、DHCPリレープロキシはDHCPクライアントからすべてのリース更新とリースリリースを受信し、DHCPサーバーに転送します。
DHCPリレーエージェントの最小設定
この例では、Junos OSデバイスで拡張DHCPリレーエージェントを使用するために必要な最小設定を示しています。デバイスがDHCPサーバーに接続できることを確認します。
この例では、特定のDHCPクライアントトラフィックをDHCPサーバーに誘導します。各クライアントグループのトラフィックが転送されるアクティブなサーバーグループを指定します。アクティブサーバーグループにサーバーIPアドレスを追加し、インターフェイスグループを設定し、グループのDHCPリレーインターフェイスを指定できます。DHCPリレーエージェントとして使用されるインターフェイスは、メッセージを特定のサーバーに転送できます。
DHCP オプション 82 と フォワード専用 機能を設定します。
この例では、IPアドレスが203.0.113.21の my-dhcp-servers-group という名前のアクティブサーバーグループを作成します。DHCP リレー エージェント設定は、 my-dhcp-interfaces という名前のインターフェイス グループに適用されます。このグループ内では、DHCP リレーエージェントがインターフェイス ge-0/0/1.0 で有効になっています。
新しい加入者セッションを作成せずにトラフィックを転送するオプションを設定します。
user@host# set forwarding-options dhcp-relay forward-only
DHCPサーバー宛てのDHCPパケットでDHCPリレーエージェント情報オプション(オプション82)を有効にします。
user@host# set forwarding-options dhcp-relay relay-option-82 circuit-id use-interface-description device
DHCP基本オプション82 DHCPリレーエージェントがDHCPサーバーに送信するDHCPパケットのエージェント回線IDでは、インターフェイス識別子の代わりにテキスト付きのインターフェイス記述を使用します。
DHCPサーバーグループを設定し、グループに属するDHCPサーバーのIPアドレスを追加します。
user@host# set forwarding-options dhcp-relay server-group my-dhcp-servers-group 203.0.113.2
DHCPサーバーグループをアクティブサーバーグループとして設定します。
user@host# set forwarding-options dhcp-relay active-server-group my-dhcp-servers-group
DHCP リレーエージェントは、アクティブなサーバーグループで定義された DHCP サーバーに DHCP クライアント要求を中継します。
インターフェイスグループを設定し、グループのDHCPリレーインターフェイスを指定します。
user@host# set forwarding-options dhcp-relay group my-dhcp-interf-group interface ge-0/0/1.0
DHCPリレーは、グループで定義されたインターフェイスで動作します。
スイッチを forward-only モードでDHCPリレーで設定するには、DHCPサーバーがDHCPオプション82をサポートしているかどうかを確認します。詳細については、「 DHCP サーバーでのオプション 82 のサポートの確認 」を参照してください。
DHCPリレー設定の forward-only オプションを使用するには、S-SA-FPライセンスのインストールは必要ありません。
設定モードから、 show forwarding-options コマンドを入力して設定を確認し、設定を確認します。
user@srx-01# show forwarding-options
dhcp-relay {
relay-option-82 {
circuit-id {
use-interface-description device;
}
}
forward-only;
server-group {
my-dhcp-servers-group {
203.0.113.21;
}
}
active-server-group my-dhcp-servers-group;
group my-dhcp-interf-group {
interface ge-0/0/1.0;
}
}
ループバックインターフェイスでのIPv4およびIPv6アドレスの設定
異なるサービスVRFでDHCPサーバーを設定した場合、DCHPリレー機能が他のすべてのVRFで機能するためには、サーバーVRF設定のループバックインターフェイスでIPv4およびIPv6アドレスを設定する必要があります。
dhcp-relay forward-only-replies オプションを設定して、他の VRF の DHCP クライアントに転送される DHCP 応答パケットを有効にします。
[edit routing-instances]
Svr-1 {
instance-type vrf;
routing-options {
auto-export;
}
protocols {
evpn {
ip-prefix-routes {
advertise direct-nexthop;
encapsulation vxlan;
vni 11000;
export type5-export;
}
}
}
forwarding-options {
dhcp-relay {
dhcpv6 {
forward-only-replies;
}
forward-only-replies;
}
}
interface lo0.2;
route-distinguisher 103.0.0.1:5000;
vrf-import import-tenant;
vrf-target target:5000:1;
vrf-table-label;
}
lo0 {
unit 0 {
family inet {
address 103.0.0.1/32;
}
family inet6 {
address 1003::1/128;
}
}
unit 1 {
family inet {
address 103.0.0.1/32;
}
family inet6 {
address 1003::1/128;
}
}
unit 2 {
family inet {
address 103.0.0.2/32;
}
family inet6 {
address 1003::2/128;
}
}
例:複数のクライアントとサーバーを使用したDHCPリレーエージェントの設定
この例では、複数の DHCP クライアントと DHCP サーバーを含むネットワーク向けに、拡張 DHCP リレー エージェントの設定を示します。詳細については、例に従います。
[edit forwarding-options]
dhcp-relay {
server-group {
sp-1 {
203.0.113.21;
203.0.113.22;
}
sp-2 {
203.0.113.31;
203.0.113.32;
203.0.113.33;
}
}
active-server-group sp-1;
overrides layer2-unicast-replies;
group clients_a {
relay-option-82 circuit-id;
interface fe-1/0/1.1;
interface fe-1/0/1.2;
interface fe-1/0/1.3;
}
group clients_b {
relay-option-82 {
circuit-id {
prefix routing-instance-name;
}
}
interface fe-1/0/1.4;
interface fe-1/0/1.5;
interface fe-1/0/1.6;
}
group eth_dslam_relay {
active-server-group sp-2;
overrides {
trust-option-82;
layer2-unicast-replies;
}
interface fe-1/0/1.7;
interface fe-1/0/1.8;
interface fe-1/0/1.9;
}
}
この例では、DHCP サーバー アドレス 203.0.113.21 および 203.0.113.22 を含む sp-1 と、DHCP サーバー アドレス 203.0.113.31、203.0.113.32、203.0.113.33 を含む sp-2 の 2 つのサーバー グループを作成します。DHCPリレーエージェント設定が適用されるアクティブなサーバーグループは sp-1です。グローバルオーバーライドが設定されており、これによりDHCPリレーエージェントは、検出プロセス中にレイヤー2ユニキャスト送信を使用して、DHCPサーバーからDHCPクライアントにDHCP応答パケットを送信します。
この例では、加入者の 3 つのグループとそれに関連するファスト イーサネット インターフェイス( clients_a、 clients_b、 eth_dslam_relay)も作成します。これらのグループは、以下のようにさまざまなニーズを満たすように設定されています。
clients_aグループとclients_bグループは、基本的な加入者で構成されています。これらのグループのサービスプロバイダは、DHCP サーバー宛ての DHCP パケットにオプション 82 の情報を挿入します。eth_dslam_relayの加入者は、レイヤー2 DHCPリレーエージェントとして機能するイーサネットデジタル加入者回線アクセスマルチプレクサ(DSLAM)に接続されています。eth_dslam_relayのアクティブなサーバーグループはsp-2です。オーバーライドは、DHCP リレー エージェントがオプション 82 の情報を信頼し、検出中にレイヤー 2 ユニキャスト送信を使用して DHCP 応答パケットを DHCP クライアントに送信できるようにするeth_dslam_relayグループに設定されます。