DHCP
DHCPとは
DHCP(Dynamic Host Configuration Protocol)
- 自動的にホストのIPアドレス設定を行うプロトコル
- 手動でやるとIPアドレスの重複など人為的なミスが起こるなど管理が大変
- ホストが多いと設定作業が負担になる
- PCをネットワークに接続した際に、IPアドレスの自動割り当てをする
- IPアドレスの一元管理が可能
- トランスポート層はUDPを利用
- DHCPクライアントからDHCPサーバはUDP67番ポート
- DHCPサーバからDHCPクライアントはUDP68番ポート
- アプリケーション層のプロトコル
- IPアドレスを設定したい端末やホストがDHCPクライアント
- DHCPクライアントに対して、IPアドレスを自動的に割り当てるサーバーがDHCPサーバー
DHCPの処理手順
①DHCP Discover
②DHCP Offer
③DHCP Request
④DHCP Ack
- Discoverは、DHCPクライアントがブロードキャストを送ることでDHCPサーバーを探す
異なるセグにDHCPサーバーがある場合は、DHCPリレーエージェントを中継する - Offerは、DHCPサーバーが①に応答して、候補のIPアドレスをDHCPクライアントに返答
その際に、DHCPサーバーが複数ある場合はDHCP Offerの応答が早いほうを優先する - Requestは、DHCPクライアントからDHCPサーバーへ、②のIPアドレスでくださいとお願い
- Ackは、DHCPサーバーが③のRequestに対して、IPアドレスを許可する
それにより、DHCPクライアントはIPアドレスを取得する
DHCPリレーエージェント
- 異なるサブネットに存在するPCとDHCPサーバ間でも動的にIPアドレスの設定を可能にする中継サーバ(ルータ、L3SW)
- DHCPクライアント(ホスト・端末)からのブロードキャストをユニキャストへ変換・転送
DHCPv6の場合、マルチキャストをユニキャストに変換・転送 - 異なるセグメントのDHCPのやり取りを仲立ちする機能
DHCPスヌーピング(DHCP snooping )
DHCPスヌーピング(DHCP snooping )
- DHCPサーバとDHCPクライアント(ホスト・端末)のやり取りを覗き見ることで、ポートを監視する
- DHCPサーバからIPアドレスを割り当てられたDHCPクライアント(ホスト・端末)のみを許可するようにポートの制御をする
- 要は意図しない不正なDHCPサーバーが立っていないかを確認したり、意図した正当なDHCPサーバーから割り当てれたIPアドレスをもつDHCPクライアントのみを許可することでセキュリティ面を強化する目的がある
DHCPv6
ステートレス自動設定
ステートレス自動設定
- DHCPサーバを利用しない
- DHCPを利用しないでIPアドレス(IPv6)を自動設定できる
- IPv6のICMPv6に対応したルーターからのRA(Router Advertisement、ルータアドバタイズメント)で情報(プレフィックス)をもらう
- その際にお願いするのがRS(Router Solicitation、ルータ要請)
- ルータからRAでもらったプレフィックスに加えて、IPv6に対応した端末・ホストがEUI-64というフォーマットで自動生成するインターフェースIDを組み合わせることでIPv6のユニキャストアドレスが設定される
- ホストのIPアドレスの状態(state)を管理しないことからステートレスといわれる
- 要はそれまでの状況を踏まえないで、単調に応答するやつ
- RAでキャッシュDNSサーバーのIPアドレスなどの情報を通知することができないのが課題
- 下記解決策は組み合わせることもある
- DHCPv6でそのキャッシュDNSサーバーのIPのみ通知、要はRAとDHCPv6のセット
- RA(RFC6106で定義された新しいRA)
- 手動設定
- 下記解決策は組み合わせることもある
ステートフル自動設定(DHCPv6)
ステートフル自動設定(DHCPv6)
- DHCPサーバからIPアドレスを自動設定
- DHCPのIPv6版
- ステートレスとは反対に、ホストのIPアドレスの状態をDHCPによって管理するので、ステートフルといわれる
- 要は、それまでの状況を踏まえたうえで柔軟に応答してくれるやつ
- デフォルトゲートウェイを通知することができないので、RAを利用して補う必要がある
IPv6 基礎知識
●IPv6の背景
- IPv4のグローバルIPアドレスの枯渇
- 通信機器の増加(特に携帯)
- IoT(Internet of Things)
●IPv4との違い
- IPv6ではブロードキャストが廃止
- ヘッダが小さくなる→ルーティングの高速化
- 拡張ヘッダの新規追加
- DHCPを使わずに自動でIPアドレス設定が行える(DHCPもある、それがDHCPv6)
- ほぼ無限のグローバルIPアドレス
- IPsecのサポート必須
●IPv6の種類
- ユニキャスト 1対1
- マルチキャスト 1対多
- エニーキャスト グループの中で近いノードと通信
- ブロードキャストは廃止された
- ユニキャストには3種類
- グローバルユニキャストアドレス IPv4のグローバルIPアドレスと一緒
- ユニークローカルユニキャストアドレス IPv4のプライベートIPアドレスと一緒
- リンクローカルユニキャストアドレス 物理的に接続するネットワークのみで有効なアドレス
●IPv4との移行・連携技術
- トンネリング
- パケットを別のプロトコルでカプセル化することで転送
- IPv6とIPv4の境界にどちらにも対応したデュアルスタックルータが必要
- NATが課題
- デュアルスタック
- IPv4とIPv6の両方に対応したデュアルスタックノード(単一機器)を利用することで転送
- トランスレータ
- IPv4からIPv6への通信(逆も同様)を間に入って変換することで転送
- NATの延長線上の技術
- IPヘッダを変換し、必要に応じてポート番号も変換する
下記資料は内容を深めるうえで参考になりますので、理解を深めたい方はどうぞ!!
IPA 情報セキュリティ技術動向調査(2011 年上期)
JPNIC インターネット10分講座:IPv4/IPv6共存技術
JPNIC IPv6セキュリティ ~問題点と対策~
JPNIC インターネット10分講座:IPv6
ABOUT ME
