出題年度と内容
出題された年度と内容は以下の通りです。
| 平成25年 午後1 問2 | DHCPリレーエージェント DHCPメッセージ(DHCP DISCOVER) DHCPスヌーピング ブロードキャストドメインとVLANによる制御 |
|---|---|
| 令和元年 午後1 問3 | DHCPリレーエージェント DHCPスヌーピング DHCPスヌーピングの制限を受けないtrustedポート ARPスプーフィング |
「平成25年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2」
「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3」
DHCPとは
- Dynamic Host Configuration Protocol
- 自動的にホストのIPアドレス設定を行うL7プロトコル
- トランスポート層はUDPを利用
- IPアドレスを自動的に割り当てるサーバーがDHCPサーバー
- DHCPサーバからIPアドレスを割り当てられるのがDHCPクライアント
DHCPとは通信用の基本的な設定を自動的に行うプロトコル。ホスト(DHCPクライアント)に対して、自動的にIPv4アドレス、サブネットマスク、デフォルトゲートウェイ、DNSサーバの情報(IPアドレス)などを付与する。
DHCPサーバによって払い出されたIPアドレスにはリース期間が設定されているので、DHCPクライアントは期限が切れる前に更新する、もしくは、IPアドレスをリリースする。そのため、IPアドレスを効率よく管理できる。
手動(静的)でIPアドレスを設定する方法もあるが、IPアドレスの重複のミスや設定するIPアドレスが増えれば増えるほど設定作業も負担になることがデメリット。
そこで、DHCPで自動的にIPアドレスを付与することで、設定作業の簡略化やIPアドレスの一元管理をしやすいのがメリット。
IPアドレスの一元管理をすることになるので、DHCPサーバに障害が発生して使用できなくなると通信ができなくなってしまう可能性がある。
また、決められたIPアドレス範囲の中(IPアドレスプール)から未使用のIPアドレスを払い出すDHCPの特徴から、クライアントに払い出されるIPアドレスが毎回違う可能性もあります。回避する場合は、DHCPで特定の端末には固定のIPアドレスで払い出したり、そもそも手動で固定IPアドレスを付与したりする。
DHCPの処理手順
- DHCP Discover
- DHCP Offer
- DHCP Request
- DHCP Ack
DHCP Discoverは、DHCPクライアントがDHCPサーバーを探すために、ブロードキャスト通信を行う。
DHCPクライアントとは異なるセグメントにDHCPサーバーがある場合は、L3SWやルータのDHCPリレーエージェント機能でブロードキャスト通信をユニキャスト通信に変換することでDHCPサーバと通信が可能になる。
DHCP Offerは、DHCPサーバーがクライアントからのDHCP Discoverに対して、候補のIPアドレスをDHCPクライアントに応答する。その際に、DHCPサーバーが複数ある場合はDHCP Offerの応答が早いほうをDHCPクライアントは優先する。
DHCP Requestは、DHCPクライアントからDHCPサーバーへ、DHCP Offerで提案されたIPアドレスをくださいとお願いする。
DHCP Ackは、DHCPサーバーがDHCP Requestに対して、IPアドレスを許可する。それにより、DHCPクライアントはIPアドレスを取得する。
DHCP × セグメントまたぎ
- 異なるサブネットに存在するPCとDHCPサーバ間のDHCP通信を可能にする、L3SWやルータで実装できる機能
- DHCPクライアント(ホスト・端末)からのブロードキャスト通信をDHCPリレーエージェント機能を実装した機器でユニキャストへ変換し転送できる
L3SWやルータのDHCPリレーエージェント機能で、DHCP Discoverなどのブロードキャスト通信をユニキャスト通信に変換することで異なるサブネットのDHCPサーバと通信が可能になる。
DHCP × 監視
- 正規のDHCPサーバと端末間で通信されるDHCPメッセージを、通過するポートの場所を含めて監視する
- 正規のDHCPサーバからIPアドレスを割り当てられた端末だけが通信できるように、ポートのフィルタを自動制御する
- セキュリティ面の向上がメリット。不正なDHCPサーバーから不正なIPアドレスが払い出されていないかを確認することや正当なDHCPサーバーから割り当てられたIPアドレスをもつDHCPクライアントのみを許可したりできる。
DHCPスヌーピングはDHCPクライアントとDHCPサーバのやりとりをスヌーピング(のぞき見)することで、通信を監視する機能。
DHCPサーバのなりすましや正当なDHCPクライアントの通信のみを許可するために利用される。
DHCP × IPv6
ステートレス自動設定(DHCPを利用しない)
- DHCPを利用しないでIPアドレス(IPv6)を自動設定できる機能
- オートコンフィグレーションともいわれる
- ホストのIPアドレスの状態を管理しないことからステートレスといわれる
- ホストからルータにRS(Router Solicitation、ルータ要請)を送信
- ルータはRA(Router Advertisement、ルータアドバタイズメント)をホストに応答
- ホストはルータからのRAに含まれたプレフィックスと自身のMACアドレスを利用してEUI-64で作成したインターフェースIDを組み合わせてグローバルユニキャストアドレスを生成・設定する
RAでキャッシュDNSサーバーのIPアドレスなどの情報を通知することができないのが課題。
その際、RAとDHCPv6を組み合わせて、DHCPv6でそのキャッシュDNSサーバーのIPのみ通知をしたり、RA(RFC6106で定義された新しいRA)を活用したり、手動設定を組み合わせたりする。
ステートフル自動設定(DHCPv6)
- DHCPサーバからIPアドレス(IPv6)を自動設定
- ホストのIPアドレスの状態をDHCPによって管理するので、ステートフルといわれる
デフォルトゲートウェイを通知することができないので、RAを利用して補う必要がある。