第25章 DHCPサーバのセットアップ
ネットワーク > DHCPサーバ
この章は、次のセクションから構成されています。
SonicWALLセキュリティ装置には、IPアドレス、サブネット マスク、ゲートウェイ アドレス、およびDNSサーバ アドレスをネットワーク クライアントに配布するDHCP (Dynamic Host Configuration Protocol) サーバが搭載されています。SonicWALLセキュリティ装置のDHCPサーバの設定は、「ネットワーク > DHCPサーバ」ページで行います。
SonicWALLセキュリティ装置のDHCPサーバを使用することも、ネットワーク上の既存のDHCPサーバを使用することもできます。ネットワーク独自のDHCPサーバを使用する場合は、「DHCPサーバを有効にする」チェックボックスをオフにしてください。
SonicWALL DHCPサーバが割り当てることができるアドレス範囲とIPアドレスの数は、SonicWALLセキュリティ装置のモデル、オペレーティング システム、およびライセンスによって異なります。次の表にSonicWALLセキュリティ装置の最大許容DHCPリース数を示します。
DHCPサーバ オプションの概要
このセクションでは、DHCPサーバ オプション機能の概要を説明します。このセクションは次のサブセクションから構成されています。
・ 「利点」
SonicWALL DHCPサーバ オプション機能とは
SonicWALL DHCPサーバ オプション機能は、ベンダー拡張とも呼ばれるDHCPオプションのサポートを提供します。これらのオプションは、主にRFC 2131およびRFC 2132で定義されている機能です。DHCPオプションを使用すると、あらかじめ定義されたベンダー固有の情報を追加的なDHCPパラメータとして指定することができ、指定した情報はDHCPメッセージのオプション フィールドに格納されます。そのため、DHCPメッセージの送信により、ネットワーク上のクライアントに対してベンダー固有の設定情報およびサービス情報を提供することができます。各DHCPオプションの説明は、「DHCPオプション番号」 の一覧表 (RFCで割り当てられたオプション番号順) にまとめてあります。
利点
SonicWALL DHCPサーバ オプション機能では、DHCPオプションを番号または名前で選択できるわかりやすいインターフェースが用意されているため、RFCで定義されているDHCP標準に準拠した形でDHCPオプションを手早く簡単に設定することができます。
SonicWALL DHCPサーバ オプション機能の仕組み
SonicWALL DHCPサーバ オプション機能では、RFC定義のオプション番号に基づくドロップダウン メニューを使用してDHCPオプションを指定できるため、管理者はDHCPオブジェクトやDHCPオブジェクト グループを簡単に作成できるだけでなく、動的および静的なDHCPリース範囲に関するDHCP汎用オプションも容易に設定できます。指定したDHCPオプションはDHCPメッセージのオプション フィールドに格納されてネットワーク上のDHCPクライアントに渡され、クライアントはネットワークの設定や利用可能なサービスに関する情報を取得することができます。
サポートされている標準
SonicWALL DHCPサーバ オプション機能では、次の標準がサポートされています。
・ RFC 2131 - Dynamic Host Configuration Protocol
・ RFC 2132 - DHCP Options and BOOTP Vendor Extensions
インターフェースごとの複数DHCPスコープ
以下のセクションでは、インターフェースごとの複数DHCPスコープ機能の概要を説明します。
インターフェースごとの複数DHCPスコープとは
通常、DHCPサーバとクライアントは同じIPネットワークまたはサブネット上に存在しますが、DHCPクライアントとそれに関連付けられているDHCPサーバが同じサブネットに存在しない場合もあります。インターフェースごとの複数DHCPスコープの機能を使用すると、1台のDHCPサーバで複数のサブネットに存在するクライアントに対する異なるスコープを管理できます。
複数のDHCPスコープの利点
インターフェースごとの複数DHCPスコープの仕組み
通常、DHCPクライアントは、ブロードキャストDHCP検出メッセージを送信することで、アドレスの割り当てを開始します。ほとんどのルートはブロードキャスト パケットを転送しないので、この方法では、DHCPクライアントとサーバが同じIPネットワークまたはサブネット上に存在している必要があります。
DHCPクライアントとそれに関連付けられたDHCPサーバが同じサブネット上に存在しない場合、クライアントとサーバの間でDHCPメッセージを転送するために、ある種のサードパーティ エージェント (BOOTPリレー エージェント、IPヘルパーなど) が必要です。DHCPリレー エージェントは、その受信インターフェースのIPアドレスをgiaddrフィールドに設定した後、設定されているDHCPサーバに転送します。DHCPサーバはメッセージを受信すると、giaddrフィールドを調べて、クライアントにIPアドレスのリースを提供するために使用できるDHCPスコープかどうかを判断します。
図 25:11つのDHCPサーバを共有する複数のサブネット
インターフェースごとの複数DHCPスコープの機能は、DHCPサーバへのアクセスを広く許可するとどうしても発生する可能性のある脆弱性を保護するための、セキュリティの拡張を提供します。「DHCPの詳細設定」ページでは、セキュリティに関する設定用に信頼できるエージェントについての新しいタブがあり、このタブでは信頼できるDHCPリレー エージェントを指定できます。DHCPサーバは、リストにないエージェントによってリレーされたメッセージをすべて破棄します。
図 25:2信頼できるDHCPリレー エージェント
DHCPサーバの設定
SonicWALLセキュリティ装置のDHCPサーバを使いたい場合は、「ネットワーク > DHCPサーバ」 ページで 「DHCPサーバを有効にする」 を選択します。
以下のDHCPサーバオプションが設定できます。
・ 各ゾーンで自動DHCPスコープ競合検出を有効にするには、「競合の検出を有効にする」 を選択します。- 現在、SonicWALLのDHCP
・ DHCPサーバが他のDHCPサーバ ネットワークをスキャンするようにするには、「DHCP サーバのネットワーク事前発見を有効にする」 を選択します。 DHCPサーバのネットワーク事前発見のパフォーマンスをカスタマイズするために、以下のオプションを編集できます。
・ DHCP サーバ競合の検出周期: DHCPサーバが他のネットワークをスキャンする頻度を設定します。 既定値は300秒です。
・ 検出する DHCP リソースの数: スキャンするDHCPネットワークの数を設定します。 既定値は10です。
・ 競合したリソースの再確認タイムアウト: 競合したリソースを再確認した後の持続時間を設定します。 既定値は1800秒です。
・ 利用可能なリソースの再確認タイムアウト: 利用可能なリソースを再確認した後の持続時間を設定します。 既定値は600秒です。
補足 競合検出とネットワーク事前発見は、”リレーされた” サブネット スコープに属するIPアドレスに対しては実行されません。 DHCPサーバはインターフェースに結びついているサブネット範囲に対してのみ、競合検出のICMP確認を実行します。
オプション オブジェクト、オプション グループ、および信頼されたエージェントを設定するには、「詳細」 ボタンを選択します。 これらの機能を設定するための詳細な情報については、「DHCP サーバ オプションの詳細設定」 を参照してください。
DHCPサーバ恒久性の設定
DHCPサーバの恒久性は、DHCPリースの情報をファイアウォールに保存することにより、クライアントが再起動された場合でも、ネットワーク上の他の用途と競合するおそれのない予測可能なIPアドレスをクライアントに提供できるようにする機能です。
DHCPサーバの恒久性は、DHCPリースの情報を定期的にフラッシュ メモリに保存することによって実現されます。これにより、予測可能なIPアドレスを各ユーザに確実に割り当てることが可能となり、再起動後にIPアドレスが競合する危険を最小限に抑えられます。
DHCPサーバの恒久性は、ユーザがワークステーションを再起動しても変化しない安定した使用環境を実現します。DHCPリースの情報が保存されているため、ワークステーションの再起動後も同じIPアドレスが保持されます。DHCPサーバの恒久性は、保守やアップグレードの作業に伴ってファイアウォールが再起動される場合にも、次の点で有益です。
・ IPアドレスの一意性: リース情報はフラッシュ メモリに保存されているので、複数のユーザに同じIPアドレスが割り当てられる危険はまったくありません。
・ 使いやすさ: ユーザの接続は、フラッシュ メモリに保存されているリース情報を使用して、自動的に復元されます。
DHCPサーバ恒久性を設定するには、「DHCPサーバ恒久割り当てを有効にする」チェックボックスを選択します。 オプションで、「DHCPサーバ持続監視間隔」 フィールドを変更して、DHCPサーバがDHCPリース情報を保存する頻度を変更できます。
DHCPサーバ リース範囲
「DHCPサーバ リース範囲」テーブルには、現在設定されているDHCPのIP範囲が表示されます。テーブルには以下が表示されます。
・ 「タイプ」: 「動的」または「静的」。
・ 「リース範囲」: IPアドレスの範囲 (例えば、172.16.31.2 - 172.16.31.254)。
・ 「インターフェース」: そのアドレス範囲が割り当てられるインターフェース。
・ 「詳細」: 詳細アイコン
の上にマウス ポインタを置くと、リースに関する詳細情報がツール ヒントとして表示されます。
・ 「有効」: DHCP範囲を有効にするには、「有効」列のチェックボックスをオンにします。範囲を無効にする場合は、チェックボックスをオフにします。
・ 「設定」: DHCP範囲を設定するには、設定アイコン
を選択します。
現在のDHCPリース
「現在のDHCPリース」テーブルには、現在のDHCPリース情報が表示されます。各バインド エントリには、バインドの「IPアドレス」、「MACアドレス」、および「タイプ」 (動的、動的BootP、または静的BootP) が表示されます。
バインドを削除すると、DHCPサーバでIPアドレスが解放されます。バインドを削除するには、エントリの横の削除アイコン 
を選択します。例えば、ネットワークからホストが削除されていて、そのIPアドレスを再利用する必要がある場合は、削除アイコン 
を使用します。
DHCP サーバ オプションの詳細設定
各DHCPオプションの説明は、「DHCPオプション番号」 の一覧表 (RFCで割り当てられたオプション番号順) にまとめてあります。
DHCPオプション オブジェクトの設定
DHCPオプション オブジェクトを設定するには、以下の手順を実行します。
DHCPオプション グループの設定
DHCPオプション グループを設定するには、以下の手順を実行します。
信頼されたDHCPリレー エージェント アドレス グループの設定
「既定の信頼されたリレー エージェント リスト」アドレス グループを設定するには、最初に信頼できる各リレー エージェントに対してアドレス オブジェクトを設定した後、これらのアドレス オブジェクトを「既定の信頼されたリレー エージェント リスト」アドレス グループまたはカスタム アドレス グループに追加します。
アドレス オブジェクトまたはアドレス グループの設定は、「ネットワーク > アドレス オブジェクト」ページで行います。
信頼できるリレー エージェントにアドレス オブジェクトを設定し、「既定の信頼されたリレー エージェント リスト」アドレス グループまたはカスタム アドレス グループを設定するには、次の手順を実行します。
信頼されたDHCPリレー エージェントの有効化
「DHCPの詳細設定」ページでは、「既定の信頼されたリレー エージェント リスト」アドレス グループを使用して「信頼されたリレー エージェント リスト」オプションを有効にするか、または既存のアドレス オブジェクトを使用して別のアドレス グループを作成できます。
「信頼されたリレー エージェント リスト」オプションを有効にし、目的のアドレス グループを選択するには、次の手順を実行します。
DHCPサーバの動的範囲の設定
SonicOS ではインターフェースごとに複数のDHCPスコープを設定できるので、DHCPスコープを設定するときにサブネット範囲がインターフェースに接続されている必要はありません。
DHCPサーバの動的IPアドレス範囲を設定するには、次の手順に従います。
一般設定
補足 「インターフェース」メニューからインターフェースを選択するには、対象のインターフェースをあらかじめ完全に設定しておく必要があります。選択できるのは、LAN、WLAN、DMZのいずれかのゾーン タイプ、またはVLANサブインターフェースのみです。
BOOTPはBootstrap Protocolの略であり、ディスクを持たないワークステーションが自分のIPアドレス、他のTCP/IP設定情報、起動イメージ ファイルをBOOTPサーバから取得することを実現するTCP/IPプロトコルおよびサービスです。
DNS/WINS設定
詳細設定
「ネットワーク起動設定」の下のフィールドはPre-boot Execution Environment (PXE) で使われるものであり、クライアントはネットワーク インターフェースから取得したファイルを使用して起動します。PXEクライアントは、PXE起動サーバのIPアドレスと名前および起動ファイル名を、DHCPサーバから取得します。
これらのオプションを使用するときは、「DHCP 汎用オプション」の「PXE」を選択します。
SonicWALLセキュリティ装置のVoIPサポート機能の詳細については、「VoIPの概要」 を参照してください。
静的DHCP登録の設定
静的登録は、永続的なIP設定を要求するサーバに割り当てられるIPアドレスです。SonicOSではインターフェースごとに複数のDHCPスコープを設定できるので、DHCPスコープを設定するときにサブネット範囲がインターフェースに接続されている必要はありません。
静的登録を設定するには、以下の手順に従います。
一般設定
補足 「インターフェース」メニューからインターフェースを選択するには、対象のインターフェースをあらかじめ完全に設定しておく必要があります。選択できるのは、LAN、WLAN、DMZのいずれかのゾーン タイプ、またはVLANサブインターフェースのみです。
DNS/WINS設定
詳細設定
「ネットワーク起動設定」の下のフィールドはPre-boot Execution Environment (PXE) で使われるものであり、クライアントはネットワーク インターフェースから取得したファイルを使用して起動します。PXEクライアントは、PXE起動サーバのIPアドレスと名前および起動ファイル名を、DHCPサーバから取得します。
これらのオプションを使用するときは、「DHCP 汎用オプション」の「PXE」を選択します。
SonicWALLセキュリティ装置のVoIPサポート機能の詳細については、「VoIPの概要」 を参照してください。
DHCPリース範囲のDHCP汎用オプションの設定
ここでは、リース範囲のDHCP汎用オプションの設定作業について説明します。
補足 DHCPリース範囲の汎用オプションを設定するには、あらかじめ静的または動的なDHCPサーバ リース範囲を作成しておく必要があります。
各DHCPオプションの説明は、「DHCPオプション番号」 の一覧表 (RFCで割り当てられたオプション番号順) にまとめてあります。
DHCPリース範囲のDHCP汎用オプションを設定するには、以下の手順を実行します。
「ネットワーク起動設定」のフィールドをPXE用に設定する場合は、ここで「PXE」を選択します。
DHCPオプション番号
このセクションでは、RFCで定義されているDHCPオプション番号の一覧を簡単な説明とともに示します。