要点 まとめ

【ネスペ直前対策】DHCP 要点まとめ (ネットワークスペシャリスト)

出題年度と内容

出題された年度と内容は以下の通りです。

平成25年 午後1 問2DHCPリレーエージェント
DHCPメッセージ(DHCP DISCOVER)
DHCPスヌーピング
ブロードキャストドメインとVLANによる制御
令和元年 午後1 問3DHCPリレーエージェント
DHCPスヌーピング
DHCPスヌーピングの制限を受けないtrustedポート
ARPスプーフィング


「平成25年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問2」

「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問3」

DHCPとは

DHCP
  • Dynamic Host Configuration Protocol
  • 自動的にホストのIPアドレス設定を行うL7プロトコル
  • トランスポート層はUDPを利用
  • IPアドレスを自動的に割り当てるサーバーがDHCPサーバー
  • DHCPサーバからIPアドレスを割り当てられるのがDHCPクライアント

DHCPとは通信用の基本的な設定を自動的に行うプロトコル。ホスト(DHCPクライアント)に対して、自動的にIPv4アドレス、サブネットマスク、デフォルトゲートウェイ、DNSサーバの情報(IPアドレス)などを付与する。

DHCPサーバによって払い出されたIPアドレスにはリース期間が設定されているので、DHCPクライアントは期限が切れる前に更新する、もしくは、IPアドレスをリリースする。そのため、IPアドレスを効率よく管理できる。

手動(静的)でIPアドレスを設定する方法もあるが、IPアドレスの重複のミスや設定するIPアドレスが増えれば増えるほど設定作業も負担になることがデメリット。

そこで、DHCPで自動的にIPアドレスを付与することで、設定作業の簡略化やIPアドレスの一元管理をしやすいのがメリット。

IPアドレスの一元管理をすることになるので、DHCPサーバに障害が発生して使用できなくなると通信ができなくなってしまう可能性がある。

また、決められたIPアドレス範囲の中(IPアドレスプール)から未使用のIPアドレスを払い出すDHCPの特徴から、クライアントに払い出されるIPアドレスが毎回違う可能性もあります。回避する場合は、DHCPで特定の端末には固定のIPアドレスで払い出したり、そもそも手動で固定IPアドレスを付与したりする。

  • DHCPクライアントからDHCPサーバはUDP67番ポート
  • DHCPサーバからDHCPクライアントはUDP68番ポート

DHCPの処理手順

DHCPメッセージの順番
  1. DHCP Discover
  2. DHCP Offer
  3. DHCP Request
  4. DHCP Ack

 

DHCP Discoverは、DHCPクライアントがDHCPサーバーを探すために、ブロードキャスト通信を行う。

DHCPクライアントとは異なるセグメントにDHCPサーバーがある場合は、L3SWやルータのDHCPリレーエージェント機能でブロードキャスト通信をユニキャスト通信に変換することでDHCPサーバと通信が可能になる。

DHCP Offerは、DHCPサーバーがクライアントからのDHCP Discoverに対して、候補のIPアドレスをDHCPクライアントに応答する。その際に、DHCPサーバーが複数ある場合はDHCP Offerの応答が早いほうをDHCPクライアントは優先する。

DHCP Requestは、DHCPクライアントからDHCPサーバーへ、DHCP Offerで提案されたIPアドレスをくださいとお願いする。

DHCP Ackは、DHCPサーバーがDHCP Requestに対して、IPアドレスを許可する。それにより、DHCPクライアントはIPアドレスを取得する。

DHCP × セグメントまたぎ

DHCPリレーエージェント
  • 異なるサブネットに存在するPCとDHCPサーバ間のDHCP通信を可能にする、L3SWやルータで実装できる機能
  • DHCPクライアント(ホスト・端末)からのブロードキャスト通信をDHCPリレーエージェント機能を実装した機器でユニキャストへ変換し転送できる

L3SWやルータのDHCPリレーエージェント機能で、DHCP Discoverなどのブロードキャスト通信をユニキャスト通信に変換することで異なるサブネットのDHCPサーバと通信が可能になる。

DHCP × 監視

DHCPスヌーピング
  • 正規のDHCPサーバと端末間で通信されるDHCPメッセージを、通過するポートの場所を含めて監視する
  • 正規のDHCPサーバからIPアドレスを割り当てられた端末だけが通信できるように、ポートのフィルタを自動制御する
  • セキュリティ面の向上がメリット。不正なDHCPサーバーから不正なIPアドレスが払い出されていないかを確認することや正当なDHCPサーバーから割り当てられたIPアドレスをもつDHCPクライアントのみを許可したりできる。

DHCPスヌーピングはDHCPクライアントとDHCPサーバのやりとりをスヌーピング(のぞき見)することで、通信を監視する機能。

DHCPサーバのなりすましや正当なDHCPクライアントの通信のみを許可するために利用される。

DHCP × IPv6

ステートレス自動設定(DHCPを利用しない)

ステートレス自動設定
  • DHCPを利用しないでIPアドレス(IPv6)を自動設定できる機能
  • オートコンフィグレーションともいわれる
  • ホストのIPアドレスの状態を管理しないことからステートレスといわれる

RAでキャッシュDNSサーバーのIPアドレスなどの情報を通知することができないのが課題。

その際、RAとDHCPv6を組み合わせて、DHCPv6でそのキャッシュDNSサーバーのIPのみ通知をしたり、RA(RFC6106で定義された新しいRA)を活用したり、手動設定を組み合わせたりする。

ステートフル自動設定(DHCPv6)

ステートフル自動設定
  • DHCPサーバからIPアドレス(IPv6)を自動設定
  • ホストのIPアドレスの状態をDHCPによって管理するので、ステートフルといわれる

デフォルトゲートウェイを通知することができないので、RAを利用して補う必要がある。

ABOUT ME
のこのこ
26歳フリーランスのネットワークエンジニア 文系第2新卒からSESに入社、2年目にフリーランスに転職 ●保持資格 CCNP,LPIC level3,F5101,TOEIC820,AWSクラウドプラクティショナー,AWSアソシエイト ●目指す資格 ネットワークスペシャリスト,F5 201,セキスペなど
おすすめの関連記事