この章は、次のセクションから構成されています。
Dell SonicWALL セキュリティ装置には、IP アドレス、サブネット マスク、ゲートウェイ アドレス、および DNS サーバ アドレスをネットワーク クライアントに配布する DHCP (Dynamic Host Configuration Protocol) サーバが搭載されています。Dell SonicWALL セキュリティ装置の DHCP サーバの設定は、「ネットワーク > DHCP サーバ」ページで行います。
Dell SonicWALL セキュリティ装置の DHCP サーバを使用することも、ネットワーク上の既存の DHCP サーバを使用することもできます。ネットワーク独自の DHCP サーバを使用する場合は、「DHCP サーバを有効にする」チェックボックスをオフにしてください。
Dell SonicWALL DHCP サーバが割り当てることができるアドレス範囲と IP アドレスの数は、Dell SonicWALL セキュリティ装置のモデル、オペレーティング システム、およびライセンスによって異なります。次の表に Dell SonicWALL セキュリティ装置の最大許容 DHCP リース数を示します。
|
このセクションでは、DHCP サーバ オプション機能の概要を説明します。このセクションは次のサブセクションから構成されています。
• Dell SonicWALL DHCP サーバ オプション機能とは
• 利点
• Dell SonicWALL DHCP サーバ オプション機能の仕組み
Dell SonicWALL DHCP サーバ オプション機能とは
Dell SonicWALL DHCP サーバ オプション機能は、ベンダー拡張とも呼ばれる DHCP オプションのサポートを提供します。これらのオプションは、主に RFC 2131 および RFC 2132 で定義されている機能です。 DHCP オプションを使用すると、あらかじめ定義されたベンダー固有の情報を追加的なDHCP パラメータとして指定することができ、指定した情報は DHCP メッセージのオプション フィールドに格納されます。そのため、DHCP メッセージの送信により、ネットワーク上のクライアントに対してベンダー固有の設定情報およびサービス情報を提供することができます。各 DHCP オプションの説明は、DHCP オプション番号 の一覧表 (RFC で割り当てられたオプション番号順) にまとめてあります。
Dell SonicWALL DHCP サーバ オプション機能では、DHCP オプションを番号または名前で選択できるわかりやすいインターフェースが用意されているため、RFC で定義されている DHCP 標準に準拠した形で DHCP オプションを手早く簡単に設定することができます。
Dell SonicWALL DHCP サーバ オプション機能の仕組み
Dell SonicWALL DHCP サーバ オプション機能では、RFC 定義のオプション番号に基づくドロップダウン メニューを使用して DHCP オプションを指定できるため、管理者は DHCP オブジェクトや DHCP オブジェクト グループを簡単に作成できるだけでなく、動的および静的な DHCP リース範囲に関する DHCP 汎用オプションも容易に設定できます。指定した DHCP オプションは DHCP メッセージのオプション フィールドに格納されてネットワーク上の DHCP クライアントに渡され、クライアントはネットワークの設定や利用可能なサービスに関する情報を取得することができます。
Dell SonicWALL DHCP サーバ オプション機能では、次の標準がサポートされています。
• RFC 2131 - Dynamic Host Configuration Protocol
• RFC 2132 - DHCP Options and BOOTP Vendor Extensions
以下のセクションでは、インターフェースごとの複数 DHCP スコープ機能の概要を説明します。
通常、DHCP サーバとクライアントは同じ IP ネットワークまたはサブネット上に存在しますが、DHCPクライアントとそれに関連付けられている DHCP サーバが同じサブネットに存在しない場合もあります。インターフェースごとの複数 DHCP スコープの機能を使用すると、1 台の DHCP サーバで複数のサブネットに存在するクライアントに対する異なるスコープを管理できます。
効率的 - 1 台の DHCP サーバで、複数のサブネットに存在するクライアントに IP アドレスを提供できます。
VPN を越えた DHCP との互換性 - リレーされる DHCP メッセージの処理は、メッセージの送信元が VPN トンネルか DHCP リレー エージェントかに関係なく、同じように扱われます。
サイト間 VPN に対する複数のスコープ - 内部 DHCP サーバを使うときは、LAN/DMZ サブネットとは異なるスコープ範囲を使用して、リモート サブネットを設定できます。リモート サブネットのスコープ範囲は、リモート ゲートウェイで設定される「リレー IP アドレス」によって決まります。
グループ VPN に対する複数のスコープ - 内部 DHCP サーバを使うときは、LAN/DMZ サブネットとは異なるスコープ範囲を使用して、Dell SonicWALL GVC クライアントを設定できます。Dell SonicWALL GVC クライアントのスコープ範囲は、セントラル ゲートウェイで設定される「リレー IP アドレス (オプション)」によって決まります。
競合検出との互換性 - この機能が有効の場合、現在、Dell SonicWALL DHCP サーバは、サーバ側の競合検出を実施します。サーバが輪の競合検出の優位点は、DHCP クライアントがクライアント側の競合検出を実行しない場合でも競合を検出することにあります。しかしながら、ネットワーク上に多数の DHCP クライアントがある場合は、サーバ側の競合検出では、完全な IP アドレス割り当てを完了するために、より長い待ち時間を要することがあります。競合検出 (およびネットワーク事前検出) は、"リレーされる"サブネット スコープに属する IP アドレスに対しては実行されません。DHCP サーバはインターフェースに結びついているサブネット範囲に対してのみ、競合検出の ICMP 確認を実行します。
通常、DHCP クライアントは、ブロードキャスト DHCP 検出メッセージを送信することで、アドレスの割り当てを開始します。ほとんどのルートはブロードキャスト パケットを転送しないので、この方法では、DHCP クライアントとサーバが同じ IP ネットワークまたはサブネット上に存在している必要があります。
DHCP クライアントとそれに関連付けられた DHCP サーバが同じサブネット上に存在しない場合、クライアントとサーバの間で DHCP メッセージを転送するために、ある種のサードパーティ エージェント (BOOTP リレー エージェント、IP ヘルパーなど) が必要です。DHCP リレー エージェントは、その受信インターフェースの IP アドレスを giaddr フィールドに設定した後、設定されている DHCP サーバに転送します。DHCP サーバはメッセージを受信すると、giaddr フィールドを調べて、クライアントにIP アドレスのリースを提供するために使用できる DHCP スコープかどうかを判断します。
Figure 28:1 1 つの DHCP サーバを共有する複数のサブネット
インターフェースごとの複数 DHCP スコープの機能は、DHCP サーバへのアクセスを広く許可するとどうしても発生する可能性のある脆弱性を保護するための、セキュリティの拡張を提供します。「DHCP の詳細設定」ページでは、セキュリティに関する設定用に信頼できるエージェントについての新しいタブがあり、このタブでは信頼できる DHCP リレー エージェントを指定できます。DHCP サーバは、リストにないエージェントによってリレーされたメッセージをすべて破棄します。
Figure 28:2 信頼できる DHCP リレー エージェント
Dell SonicWALL セキュリティ装置の DHCP サーバを使いたい場合は、「ネットワーク > DHCP サーバ」ページで「DHCP サーバを有効にする」を選択します。
以下の DHCP サーバオプションが設定できます。
• 各ゾーンで自動 DHCP スコープ競合検出を有効にするには、「競合の検出を有効にする」を選択します。
競合検出との互換性 - この機能が有効の場合、現在、Dell SonicWALL DHCP サーバは、サーバ側の競合検出を実施します。サーバが輪の競合検出の優位点は、DHCP クライアントがクライアント側の競合検出を実行しない場合でも競合を検出することにあります。しかしながら、ネットワーク上に多数の DHCP クライアントがある場合は、サーバ側の競合検出では、完全な IP アドレス割り当てを完了するために、より長い待ち時間を要することがあります。
• DHCP サーバが他の DHCP サーバ ネットワークをスキャンするようにするには、「DHCP サーバのネットワーク事前発見を有効にする」を選択します。DHCP サーバのネットワーク事前発見のパフォーマンスをカスタマイズするために、以下のオプションを編集できます。
– DHCP サーバ競合の検出周期 - DHCP サーバが他のネットワークをスキャンする頻度を設定します。既定値は 300 秒です。
– 検出する DHCP リソースの数 - スキャンする DHCP ネットワークの数を設定します。既定値は10 です。
– 競合したリソースの再確認タイムアウト - 競合したリソースを再確認した後の持続時間を設定します。既定値は 1800 秒です。
– 利用可能なリソースの再確認タイムアウト - 利用可能なリソースを再確認した後の持続時間を設定します。既定値は 600 秒です。
Note 競合検出とネットワーク事前発見は、"リレーされた" サブネット スコープに属する IP アドレスに対しては実行されません。DHCP サーバはインターフェースに結びついているサブネット範囲に対してのみ、競合検出の ICMP 確認を実行します。
オプション オブジェクト、オプション グループ、および信頼されたエージェントを設定するには、「詳細」ボタンを選択します。これらの機能を設定するための詳細な情報については、DHCP サーバ オプションの詳細設定を参照してください。
DHCP サーバ恒久性の設定
DHCP サーバの恒久性は、DHCP リースの情報をファイアウォールに保存することにより、クライアントが再起動された場合でも、ネットワーク上の他の用途と競合するおそれのない予測可能な IP アドレスをクライアントに提供できるようにする機能です。
DHCP サーバの恒久性は、DHCP リースの情報を定期的にフラッシュ メモリに保存することによって実現されます。これにより、予測可能な IP アドレスを各ユーザに確実に割り当てることが可能となり、再起動後に IP アドレスが競合する危険を最小限に抑えられます。
DHCP サーバの恒久性は、ユーザがワークステーションを再起動しても変化しない安定した使用環境を実現します。DHCP リースの情報が保存されているため、ワークステーションの再起動後も同じ IPアドレスが保持されます。DHCP サーバの恒久性は、保守やアップグレードの作業に伴ってファイアウォールが再起動される場合にも、次の点で有益です。
• IP アドレスの一意性: リース情報はフラッシュ メモリに保存されているので、複数のユーザに同じIP アドレスが割り当てられる危険はまったくありません。
• 使いやすさ: ユーザの接続は、フラッシュ メモリに保存されているリース情報を使用して、自動的に復元されます。
DHCP サーバ恒久性を設定するには、「DHCP サーバ恒久割り当てを有効にする」チェックボックスを選択します。オプションで、「DHCP サーバ持続監視間隔」フィールドを変更して、DHCP サーバが DHCP リース情報を保存する頻度を変更できます。既定値は 5 分です。
「DHCP サーバ リース範囲」テーブルには、現在設定されている DHCP の IP 範囲が表示されます。テーブルには以下が表示されます。
• 「種別」 - 「動的」または「静的」。
• 「リース範囲」 - IP アドレスの範囲 (例えば、172.16.31.2 - 172.16.31.254)。
• 「インターフェース」 - そのアドレス範囲が割り当てられるインターフェース。
• 「詳細」 - 詳細アイコンの上にマウス ポインタを置くと、リースに関する詳細情報がツール ヒントとして表示されます。
「有効」 - DHCP 範囲を有効にするには、「有効」列のチェックボックスをオンにします。範囲を無効にする場合は、チェックボックスをオフにします。
• 「設定」 - DHCP 範囲を設定するには、設定アイコンを選択します。
「現在の DHCP リース」テーブルには、現在の DHCP リース情報が表示されます。各バインド エントリには、バインドの「IP アドレス」、「MAC アドレス」、および「タイプ」(動的、動的 BootP、または静的 BootP) が表示されます。
バインドを削除すると、DHCP サーバで IP アドレスが解放されます。バインドを削除するには、登録の横の削除アイコンを選択します。例えば、ネットワークからホストが削除されていて、その IP アドレスを再利用する必要がある場合は、削除アイコンを使用します。