Configuring DHCP Features(1回目)
目次
はじめに
今回からはCatalystスイッチのDHCP機能についてお勉強していきましょう。
ここでとりあげる主なトピックは、DHCP snoopingとoption-82data insertion
です。
Understanding DHCP Features
DHCPはLAN環境で動的にIPアドレスを割り当てるためにひろく利用されていま
す。またDHCPはネットワークに接続されているホストだけにIPアドレスを割り
当てるので、アドレススペースの節約に一役買っています。
スイッチは以下のDHCP 機能をサポートしています。
- DHCP Server
- DHCP Relay Agent
- DHCP Snooping
- Option-82 Data Insertion
- Cisco IOS DHCP Server Database
- DHCP Snooping Binding Database
DHCP Server
DHCP ServerはSwitchに設定されている特定のアドレスプールからDHCPクライ
アントにIPアドレスを割り当て、それらを管理します。
DHCP Serverは、DHCPクライアントに要求された設定パラメータを、自分のデ
ータベースから渡すことができない場合は、管理者によって定義された1つ、
または複数のセカンダリDHCPサーバにその要求を転送させることができます。
DHCP Relay Agent
DHCP Relay AgentはL3デバイスで、DHCPクライアントとDHCPサーバの間でDHCP
パケットを転送します。Relay Agentはリクエストとリプライをクライアント
とサーバの間でそれらが同じサブネット上にいないときに転送します。
Relay Agentの転送は通常のL2デバイスが行う透過的なIPパケットの転送とは
異なり、Relay AgentがDHCPメッセージを受け取ると、新しいDHCPメッセージ
を生成してインタフェースから送信します。
DHCP Snooping
DHCP snoopingは、DHCP snooping biding tableというbinding databaseを作
成し、信頼できないDHCPメッセージをフィルタする、DHCPのセキュリティ機能
です。
DHCP snoopingは、DHCP Serverと信頼できないクライアントとの間でFirewall
のような動きをします。DHCP snoopingを使ってuntrustedなインタフェースに
接続されているエンドユーザと、trustedなインタフェースに接続されている
DHCPサーバや他のスイッチからのDHCPパケットを区別することができます。
untrustedなメッセージとは、ネットワークまたはFirewallの外から受信した
メッセージのことです。例えばDHCP snoopingをサービスプロバイダ環境で使
用した場合、untrustedなメッセージはカスタマースイッチといったサービス
プロバイダネットワークの外部にあるデバイスから送信されたことを意味しま
す。
不明なデバイスから送信されたメッセージはAttackの原因になる可能性がある
ため信頼されません。
DHCP Snoopingのbinding databaseには、MACアドレス、IPアドレスリース期間、
binding type、VLAN番号、untrustedなインタフェースの情報が含まれていま
す。Trustedなインタフェースと接続されているホストに関する情報はありま
せん。
サービスプロバイダネットワーク内でtrustedなインタフェースとは、同じネ
ットワーク内にあるデバイスと接続されているポートを指します。
スイッチがuntrustedなインタフェースでパケットを受信して、そのインタフ
ェースでDHCP snoopingがenableになっているVLANに属している場合、スイッ
チは送信元のMACアドレスとDHCPクライアントのMACアドレスを比較します。ア
ドレスがマッチした場合、スイッチはパケットを転送します。
もしアドレスが一致しない場合、スイッチはパケットをドロップします。
スイッチがDHCPパケットをドロップするのは、以下の条件のなかのどれか1つ
でも当てはまる場合です。
- DHCPサーバから出されるパケット(DHCPOFFER、DHCPACK、DHCPNAC、DHCPLEASEQUERY)
が外部のネットワークから受信した場合 - untrustedなインタフェースでパケットが受信され、送信元MACアドレスとD
HCPクライアントのMACアドレスが一致しない場合 - スイッチがDHCPRELESE、DHCPDECLINEブロードキャストメッセージを受信し
て、それらのメッセージのMACアドレスがDHCP snooping binding tableには
存在するが、受信したインタフェースの情報がマッチしない場合 - DHCP Relay Agentがrelay-agent IPアドレスが0.0.0.0でないものを含むDHCP
パケットを転送するとき、もしくはOption-82情報を含むパケットをuntrusted
ポートに転送する場合
DHCP Snoopingをサポートする集約スイッチで、DHCP Option-82情報をinsert
するエッジスイッチに接続されている場合、パケットがuntrustedなインタフ
ェース上で受信されると、スイッチはOption-82情報を持ったパケットを破棄
します。
DHCP snoopingがenableで、パケットがtrustedなインタフェースで受信された
場合、集約スイッチはDHCP snooping bidingを学習せず完全な
DHCP snooping binding tableを構築できません。
また、Option-82情報が12.1(22)EA3より前の、または12.2(25)SEA以降のバー
ジョンが動作するエッジスイッチによってinsertされている場合、
DHCP snooping biding databaseが正しく読み込まれないので、DHCP snooping
を集約スイッチに設定できません。
次回もDHCPの機能についてみていきます。
By 『Overseas and Beyond』 Koichi