Cisco NAC アプライアンス Clean Access Server コンフィギュレーション ガイド リリース 4.9
DHCP の設定
DHCP の設定
発行日;2012/05/08 | 英語版ドキュメント(2012/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 10MB) | フィードバック

目次

DHCP の設定

概要

DHCP モジュールのイネーブル化

DHCP リレー モードまたは DHCP サーバ モードの設定

DHCP Status オプション

IP 範囲(IP アドレス プール)の設定

サブネットの自動生成と手動作成

サブネット化規則

IP プールの手動作成

IP プールおよびサブネットの自動生成

管理対象サブネットの追加

自動生成サブネットの作成

サブネットの処理

MAC アドレス/VLAN 別のユーザ表示

サブネット リストのサブネットの表示または削除

サブネットの編集

Real-IP CAS を L3 クライアントの DHCP サーバとして設定する

IP アドレスの予約

予約済み IP アドレスの追加

ユーザ指定の DHCP オプション

Global Action

DHCP の設定

通常の導入の際は、すでにネットワークに Dynamic Host Configuration Protocol(DHCP)サーバが存在し、Clean Access Server(CAS)を DHCP リレーまたは DHCP パススルー モードのいずれかで設定する必要があります。DHCP リレー モードは、CAS が Real-IP ゲートウェイのときに使用可能で、DHCP パススルー モードは、バーチャル ゲートウェイ モードで CAS に対して排他的に使用されます。研究またはテスト環境の場合、または DHCP サーバがまだ設定されていない場合は、Real-IP ゲートウェイ CAS がネットワークの DHCP サーバになるように設定できます。この章では、CAS の各 DHCP モードの設定方法について説明します。次の内容について説明します。

「概要」

「DHCP モジュールのイネーブル化」

「IP 範囲(IP アドレス プール)の設定」

「IP アドレスの予約」

「ユーザ指定の DHCP オプション」

「Global Action」

概要

DHCP は、ネットワーク上のコンピュータに IP アドレスを動的に割り当てるためのブロードキャスト プロトコルです。クライアント コンピュータが DHCP 対応ネットワークに加入しようとすると、このクライアントはアドレス要求メッセージをブロードキャストします。ネットワーク上の DHCP サーバがこの要求に応答し、交換処理を通して、IP アドレスをクライアントとネゴシエートし、クライアントに配信します。

DHCP 対応ネットワークでは、CAS は次のいずれかのモードで動作できます。

DHCP パススルー :このモードは、CAS がバーチャル ゲートウェイとして設定されているときに使用できる唯一のモードです。DHCP パススルー モードでは、バーチャル ゲートウェイ CAS はインターフェイスを介して、DHCP ブロードキャスト メッセージを変更しないで伝播します。

DHCP リレー :このモードの場合、Real-IP ゲートウェイ CAS はクライアントから他の DHCP サーバにメッセージを転送します。

DHCP サーバ :このモードでは、Real-IP ゲートウェイ CAS は DHCP サーバとして動作し、管理対象(信頼できない)ネットワークのクライアント IP アドレスを割り当てます。

Real-IP ゲートウェイ CAS が DHCP サーバ としてイネーブルになっている場合、その CAS によって完全機能 DHCP サーバのサービスが提供されます。単一の IP プールから、または多数のサブネットにまたがる複数のプールから、アドレスを割り当てることができます。特定のクライアント デバイスにスタティック IP アドレスを割り当てることができます。

DHCP サーバ コンフィグレーション インターフェイスには、同時に多くのプールを簡単に作成できる自動生成 IP プール用のツールが含まれ、コンフィギュレーション エラーの検出に役立つ確認メカニズムが提供されています。

激しさを増すウィルス アクティビティへの対応として自動生成 IP ツールを使用すると、ネットワークを保護できます。ネットワークを小さな複数のサブネット(/30 サブネットなど)に分割して、クライアントを相互に隔離することができます。クライアントはサブネット間で直接通信できないため、サブネット間のすべてのトラフィックは CAS を介してルーティングされます。したがって、ピアツーピア接続を介して伝播するワームの機能は制限されます。

サブネット化された IP アドレス プールを生成すると、CAS はそのサブネットのルータとして自動的に設定されます。サブネットの ARP エントリも自動生成されます。

スタティック アドレスの場合は、特定のデバイスの特定の IP アドレスを MAC(メディア アクセス コントロール)アドレス別に予約することができます。

 

表 5-1 推奨される DHCP 制限

パラメータ
制限

DHCP IP リースのプール サイズの推奨される制限

5000

Default/Min-Max のリース期間

0 ~ 2147483647 秒

推奨されるリース期間

1800 ~ 7200 秒


) プール サイズの場合、この制限を超えると警告メッセージが表示されます。


DHCP モジュールのイネーブル化

Real-IP ゲートウェイ モードになっている CAS では、DHCP リレー モードまたは DHCP サーバ モードをイネーブルにできます。CAS がバーチャル ゲートウェイの場合、常に DHCP パススルー モードとなります(図 5-4 を参照)。

DHCP リレー モードまたは DHCP サーバ モードの設定

1. [Device Management] > [CCA Servers] > [List of Servers] で、CAS の横にある [Manage] ボタンをクリックします。

2. [DHCP] リンクをクリックして、[Network] タブの [DHCP] フォームを開きます(図 5-1)。

図 5-1 DHCP タイプの選択(Real-IP ゲートウェイ モードの CAS)

 

3. [DHCP Type] ドロップダウン メニューから、次のいずれかのオプションを選択して [Select DHCP Type] ボタンをクリックします(DHCP サーバ モードの場合、このボタンの表示は [Select DHCP Type and Reboot Clean Access Server] に変わります)。

a. [None] このオプションは CAS のデフォルト モードで、CAS はインターフェイスを介して DHCP ブロードキャスト メッセージを変更しないで伝播します。信頼ネットワーク上に DHCP サーバがすでに存在する場合は、CAS をこのデフォルト モードのままにします。

b. [DHCP Relay] このモードの場合、CAS はクライアントと特定の外部 DHCP サーバ間で DHCP メッセージを転送します。DHCP リレーでは、CAS の信頼できない(eth1)アドレスがゲートウェイ IP アドレスとして管理対象クライアントに渡されるように、環境内の DHCP サーバを設定する必要があります。[DHCP Relay] モードを選択すると、追加の DHCP リレー コンフィギュレーション フォーム(図 5-2)が表示されます。[Relay to DHCP server] フィールドに外部 DHCP サーバの IP アドレスを入力し、[Update] ボタンをクリックします。

図 5-2 DHCP リレーの設定

 

c. [DHCP Server] 管理対象クライアントに DHCP サービスを実行するように CAS を設定します。CAS が [DHCP Server] としてイネーブルになると、[DHCP Status]、[Subnet List]、[Reserved IPs]、[Auto-Generate]、および [Global Options] の各サブタブが表示されます(図 5-3)。このタブから、IP プールを手動で追加したり、プールやサブネットを自動生成したり、予約された IP を指定することができます(「IP 範囲(IP アドレス プール)の設定」を参照)。

図 5-3 DHCP Server モードの場合

 


) [DHCP Server] を選択したあとで、CAS の別の DHCP タイプに切り替える場合は、CAS をリブートする必要があります。タイプを変更するには、ドロップダウン メニューで [None] または [DHCP Relay] を選択し、[Select DHCP Type and Reboot Clean Access Server] ボタンをクリックします。


DHCP Status オプション

CAS が DHCP サーバとしてイネーブルになると、[DHCP Status] タブに、図 5-3 に示すイネーブル化ボタンが表示されます。

Cisco NAC アプライアンスは、2 つの DHCP イネーブル化およびディセーブル化機能を提供し、CAS がネットワークの DHCP サーバとして設定されているときに、クライアント IP アドレスが正しく更新されるようにします。2 つの機能、DHCP Lease Expiration でのユーザ ログアウトと DHCP FORCERENEW については下記で説明しています。

[Logout on DHCP Lease Expiration] でのログアウトのイネーブル化/ディセーブル化

このトグル ボタンは、デフォルトでディセーブルになっています。[Enable] ボタンをクリックすると、クライアントの DHCP リースの有効期限が切れたとき、ユーザは Cisco NAC アプライアンスからログアウト(Agent ログアウトまたは Web セッション ログアウトのいずれか)します。

[DHCP FORCERENEW] のイネーブル化/ディセーブル化

このトグル ボタンは、デフォルトでディセーブルになっています。[Enable] ボタンをクリックすると、DHCP サーバに DHCP NAK コマンドを実行するように指示が出されます。このコマンドにより、他の DHCP サーバによりクライアントに割り当てられた IP アドレスが解放されます。NAK コマンドを実行後、DHCP クライアントには、CAS で設定された有効な IP アドレスが割り当てられます。

[Show/Hide DHCP Server Startup Message]

このボタンをクリックすると、直前の DHCP サーバ起動メッセージが表示されます。サーバが起動しない場合は、ここにエラーメッセージが表示されます。

[Show/Hide DHCP Configuration File]

このボタンをクリックすると、DHCP コンフィギュレーション ファイルが表示されます。場合によっては、起動メッセージに、特定の設定行にエラーがあると表示されます。このボタンをクリックすると、コンフィギュレーション ファイルを行単位で表示できます。

[DHCP Status] タブの詳細については、「サブネットの処理」を参照してください。

DHCP 設定の詳細については、「ユーザ指定の DHCP オプション」を参照してください。


) バーチャル ゲートウェイ CAS は、常に DHCP パススルー モードです(図 5-4 を参照)。

図 5-4 CAS VGW DHCP タイプ

 


 

IP 範囲(IP アドレス プール)の設定

DHCP サービスを提供するように CAS を設定するには、まずクライアントに割り当てる IP アドレス範囲(IP アドレス プール)を設定します。また、DNS アドレスなど、IP アドレスとともにクライアントに渡すネットワーク情報も指定できます。

CAS は複数のプールおよびサブネットのアドレスを割り当てることができます。ただし、割り当てられたアドレスは、CAS が管理するように指定した範囲に収まっている必要があります。次のいずれかが可能です。

信頼できないインターフェイスの管理対象ネットワークのアドレス スペース([Network]> [IP] ページで設定)

管理対象サブネット([Advanced] タブの [Managed Subnet] フォームで指定)

管理対象外のサブネットからアドレス プールを作成しようとすると、状況を示すエラー メッセージが管理コンソールに表示され、プールは作成されません。

サブネットの自動生成と手動作成

サブネットを自動的に生成して、一度に複数の IP アドレス プールを作成することができます。比較的小さなサイズの IP プールを多数作成すると(そのプールから割り当てることができるアドレス数が少数に限定されるため)、ネットワークを保護することができます。クライアントを小さなサブネットに隔離することにより、ピア間で直接通信する機能を制限し、ピア接続を介したワームの拡散などを防止できます。

また、ネットワークに必要な IP アドレス プール数がわずかである場合は、手動でサブネットを作成することもできます。

サブネット化規則

管理コンソールで IP プールを自動的に作成するのか、または手動で作成するのかに関係なく、作成するサブネットは標準サブネット設計規則に従う必要があります。サブネット アドレスは、適切に並んでいる場合に限って、2 の累乗の個数がサポートされます。たとえば、サブネット マスクが 255.255.255.192 の場合はサブネット範囲の起点をアドレス 10.1.1.57 にすることができません。ネットマスクの最終オクテットの 192 は、「サイズ 64」のサブネットに対応するためです。存在できる「サイズ 64」のサブネットは、サブネット開始アドレス境界が .0、.64、.128、および .192 である 4 つだけです。.57 は 2 の累乗でないため、サブネットの開始アドレスには使用できません。

手動作成サブネットまたは自動生成サブネットのどちらに対しても、範囲の開始アドレスを指定する必要があります。プールを手動で作成するには、範囲の末尾を指定します。プールを自動生成するには、生成するサブネット数を指定します。

IP 範囲のアドレスは次のように割り当てられます。

1. ネットワーク アドレス:範囲として入力した最初の有効数値は、サブネット(複数のサブネットを生成する場合は、最初のサブネット)のネットワーク アドレスとして使用されます。

2. ルータ アドレス:2 番めの数値はルータ アドレス(サブネットのバーチャル ゲートウェイ インターフェイスのアドレス)として使用されます

3. ホスト IP アドレス:3 番めの数値は、クライアントにリース可能な最初のアドレスです。

4. ブロードキャスト アドレス:範囲の最後のアドレスは、ブロードキャスト アドレスです。

4 つのアドレスだけで構成される IP 範囲を指定すると、単一ホストのサブネットを作成できます。

表 5-2 に、サブネット サイズごとにリース可能なアドレス数、および Classless InterDomain Routing(CIDR)プレフィクスごとに有効なサブネット数を示します。各 CIDR プレフィクスは、特定のサブネット マスクに対応します。CIDR 表記は、32 ビット IP アドレスのネットワーク部分にマスクされるビット数を識別して、ホスト アドレスを特定の数だけ作成します。たとえば、CIDR アドレスが 10.5.50.6/30 の場合は、アドレスの最初の 30 ビットはネットワーク部分に使用され、残りの 2 ビットはホスト部分に使用されます。2 ビットのアドレスによって、4 つのホスト アドレスが生成されます。サブネットに必要なネットワーク、ゲートウェイ、およびブロードキャスト アドレスに、3 つのアドレスが自動的に割り当てられます。残りのアドレスはリースすることができます。したがって、/30 ネットワークでは、1 台のホストを含むサブネットが作成されます。

 

表 5-2 サブネット サイズごとのアドレス

CIDR プレフィクス
有効なサブネット数(クラス C)
合計アドレス数
リース可能なホスト アドレス数
有効な範囲先頭アドレスの例

/30

64

4

1

10.1.65.0

10.1.65.4

10.1.65.8

...

/29

32

8

5

10.1.65.0

10.1.65.8

10.1.65.16

...

/28

16

16

13

10.1.65.0

10.1.65.16

10.1.65.32

...

/27

8

32

29

10.1.65.0

10.1.65.32

10.1.65.64

...

/26

4

64

61

10.1.65.0

10.1.65.64

10.1.65.128

10.1.65.192

/25

2

128

125

10.1.65.0

10.1.65.128

/24

1

256

253

10.1.65.0

表 5-3 に、アドレス 10.1.100.12 を起点とする、4 つの /30 サブネットで構成された自動生成 IP 範囲のアドレス指定を示します。

 

表 5-3 自動生成サブネット

IP 範囲エントリ
最初のサブネット
2 番めのサブネット
3 番めのサブネット
4 番めのサブネット

ネットワーク アドレス

10.1.100.12

10.1.100.16

10.1.100.20

10.1.100.24

ルータ アドレス

10.1.100.13

10.1.100.17

10.1.100.21

10.1.100.25

クライアント アドレス範囲

10.1.100.14 - 10.1.100.14

10.1.100.18 - 10.1.100.18

10.1.100.22 - 10.1.100.22

10.1.100.26 - 10.1.100.26

ブロードキャスト アドレス

10.1.100.15

10.1.100.19

10.1.100.23

10.1.100.27

一般に、管理コンソールは適切に設定されたサブネットに規則を適用します。ネットマスクに無効なネットワーク アドレスを使用しようとすると、「Subnet/Netmask pair do not match」というメッセージが表示されます。この場合は、アドレスに新しい値を選択します。

IP プールの手動作成

IP プールを手動で作成するには、プールが存在するサブネットも定義する必要があります。手動生成したプールのサブネット アドレスおよびネットマスク値に到達するには、次の 3 つの方法があります。

サブネット アドレスを IP アドレスおよびネットマスクとして直接入力します。

入力した IP 範囲に基づいて、管理コンソールで有効な最小のサブネットを生成します。

管理コンソールで、CAS が現在管理しているサブネット リストから値を計算します。

IP プール範囲を作成する手順は、次のとおりです。

1. [DHCP] フォームで、[Subnet List] タブをクリックし、[New] リンクをクリックします。

図 5-5 [Subnet List] の [New] サブタブ リンク

 

2. 新しい IP プール フォームが表示されます。

図 5-6 新しいサブネット フォーム

 

3. 次のフィールドに値を入力します。

[IP Range] クライアントに割り当てられる IP アドレス プール。使用環境に現在割り当てられていないアドレス範囲を指定します。

[Default Gateway] クライアントに渡されるデフォルト ゲートウェイの IP アドレス。CAS の信頼できないインターフェイス アドレスを設定する必要があります。

[Default/Max Lease Time (seconds)] クライアントが特定のリース期間を要求しない場合に、クライアントに IP アドレスが割り当てられる期間、およびリースを許可できる最大期間。クライアントがリース期間の延長を要求した場合は、最大リース期間が使用されます。

[DNS Suffix]:アドレスとともにクライアントに渡される DNS サフィックス情報。

[DNS Servers]:クライアント環境内の 1 つまたは複数の DNS サーバのアドレス。複数のアドレスを指定する場合は、カンマで区切る必要があります。

[WIN Servers]:クライアント環境内の 1 つまたは複数の WIN サーバのアドレス。複数のアドレスを指定する場合は、カンマで区切る必要があります。

[Restrict range to [VLAN ID | RELAY IP]]

[VLAN ID] を選択している場合、このテキスト フィールドに VLAN ID を入力します。指定された VLAN に関連付けられていないクライアントは、この IP プールからアドレスを取得できません。VLAN ID には 0 ~ 4095 の任意の数字を指定できます。


) VLAN 制限のある IP の場合、すべての IP は管理対象サブネット内にある必要があり、IP 範囲(DHCP プール)を作成する前に、まず管理対象サブネットを作成する必要があります。詳細については、「管理対象サブネットまたはスタティック ルートの設定」を参照してください。


[RELAY IP] を選択している場合、テキスト フィールドにリレー IP を入力します。指定されたリレー IP に関連付けられていないクライアントは、この IP プールからアドレスを取得できません。


) リレー制限のある IP の場合、すべての IP は、通常スタティック ルート内にありますが、CAS が Aironet デバイスまたは他の非 RFC 2131/2132 準拠デバイスと統合されている場合は、管理対象サブネット内に存在することも可能です。IP アドレス プールはスタティック ルートまたは管理対象サブネット内のいずれかに存在し、リレー制限のある IP は、非準拠デバイスの管理対象サブネットにだけ配置される必要があります。詳細については、「管理対象サブネットまたはスタティック ルートの設定」を参照してください。


4. [Subnet/Netmask] リストで、次の選択肢の中から、サブネット アドレスの指定方法を選択します。

[Calculate from existing managed subnets] 管理コンソールは、[Managed Subnet] フォーム([Advanced] タブ内)の設定に基づいて、サブネットおよびネットマスクに使用する値を決定します。管理コンソールは各管理対象サブネットのゲートウェイ アドレスにネットマスクを適用して、ネットワーク アドレスを計算します。

[Calculate smallest subnet for IP range entered] 管理コンソールは、入力された IP アドレス範囲に基づいて、サブネットおよびネットマスク値を決定します。

[Manually enter subnet and netmask] 目的のネットワーク アドレスおよびネットマスクを手動で指定します。これを選択した場合、[Subnet] フィールドおよび [NetMask] フィールドがフォーム下部に表示されます。

[Inherit Scoped Global Options] DHCP オプションがイネーブルの場合にだけこのフィールドが表示され、デフォルトでイネーブルになります。このフィールドがディセーブルになっている(チェックが付いていない)場合、[Global Options] タブで設定された有効範囲付きのグローバル オプションは継承されません。詳細については、「ユーザ指定の DHCP オプション」を参照してください。

5. 完了したら、[Update] をクリックします。設定にエラーがある場合は、警告メッセージが表示されます。指示に従って、設定を訂正してください。

IP プールおよびサブネットの自動生成

サブネットを自動生成すると、ネットワークを小さなセグメントにすばやく分割できます。ネットワークを小さなセグメントに分割することは、ワーム攻撃に対する効果的なセキュリティ対策です。多数の小さなサブネットで構成されるネットワーク(サブネットごとに 1 つのホストを推奨)では、クライアントのピアツーピアでのやり取りが制限されるためです。


注意 CAS ごとの最大サブネット数の推奨値は 1000 です。CAS マシンに 1G を超える十分なメモリがある場合は、最大 2500 のサブネットを設定できます。システム リソース(特にサーバ メモリ)に過度な負担がかかる場合は、この推奨制限を超えないようにしてください。

管理対象サブネットの追加

1. 最初に、追加する IP プールが管理対象サブネットの範囲内にあるか確認します。必要に応じて、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [Managed Subnet] で管理対象サブネットを追加します(詳細については、「L2 配置の管理対象サブネットの設定」を参照してください)。

図 5-7 管理対象サブネットの追加

 


) 管理対象サブネットを追加する場合は、[IP Address] フィールドにサブネットのゲートウェイ アドレス(サブネットをルーティングするために CAS で使用されるアドレス)を設定する必要があります。管理対象サブネットの IP アドレスは、ネットワーク アドレス(サブネット マスクをゲートウェイ アドレスに適用して CAM が算出)であってはなりません。


自動生成サブネットの作成

1. [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] > [DHCP] > [Auto-Generate] の順番に進みます。次のように、[Auto-Generate] ペインが表示されます。

図 5-8 DHCP:[Auto-Generate] サブネット フォーム

 

2. [Start Generating at IP] フィールドに、生成する範囲の最初の IP アドレスを入力します。

 

管理対象サブネット範囲の最初の使用可能有効アドレスは、最初のサブネットのネットワーク アドレスとして使用され、次の番号はルータ アドレスとして使用され、その後の次の番号は、クライアントにリース可能な最初のアドレスになります。

3. [Number of Subnets to Generate] フィールドに、生成するサブネット数を入力します。前述のとおり、最大推奨サイズは 1000 です。この値を超えると、サーバのシステム リソースに負担が生じます。

4. [Generate Subnets of Size] ドロップダウン リストで、各サブネットのサイズを選択します。サブネット サイズは、CIDR 形式(/30 など)で表示されます。ドロップダウン メニューには、サブネットごとに各 CIDR プレフィクスで使用可能な、対応するホスト アドレス数も表示されます。範囲ごとに 3 つのアドレスが自動的に予約されていて、これらをクライアントに割り当てることはできません。

サブネットのネットワーク アドレス

ルータ アドレス(CAS 用)

ブロードキャスト アドレス

したがって、/30 サイズのサブネットには 4 つの IP アドレスがありますが、ホストに使用できるのは 1 つだけです。

5. 残りのフィールドの値を指定します。

[Default Lease Time (seconds)]:クライアントが特定のリース期間を要求しない場合に、クライアントに IP アドレスが割り当てられる期間

[Max Lease Time (seconds)]:リースを予約できる最大期間。クライアントがリース期間の延長を要求した場合は、最大リース期間が使用されます。

[DNS Suffix]:アドレス リースとともにクライアントに渡される DNS サフィックス情報

[DNS Server(s)]:クライアント環境内の 1 つまたは複数の DNS サーバのアドレス。複数のアドレスを指定する場合は、カンマで区切る必要があります。

[WIN Server(s)]:クライアント環境内の 1 つまたは複数の WIN サーバのアドレス。複数のアドレスを指定する場合は、カンマで区切る必要があります。

[Restrict this Subnet to a specific VLAN ID]:指定された VLAN に対応付けられていないクライアントは、この IP プールからアドレスを取得できません。VLAN ID には 0 ~ 4095 の任意の数字を指定できます。

[Inherit Scoped Global Options]:DHCP オプションがイネーブルの場合にだけこのフィールドが表示され、デフォルトでオンになります。このフィールドがディセーブルの場合、[Global Options] タブで設定された有効範囲付きのグローバル オプションは継承されません。詳細については、「ユーザ指定の DHCP オプション」を参照してください。

6. 終了したら、[Generate Subnet List] をクリックして、暫定的なサブネット リストを生成します。指定した値にエラーがある場合は、この時点でエラー メッセージが表示されます。アドレスに基づくサブネットが適切に並んでいない場合、インターフェイスは範囲の開始 IP アドレスとして最も近い有効なアドレスを提示します。

成功した場合は、暫定的な IP 範囲リストが表示され、結果を確認できます。

図 5-9 Commit Subnet List

 

7. [Commit Subnet List] をクリックして、IP 範囲を保存します。

8. 自動生成されたサブネットが、[Subnet List] > [List] に単の一サブネット範囲として表示されます。[# of Subnets] および [# of IPs] カラムでは、自動生成された範囲の大きさを、作成されたサブネット数および範囲内の IP アドレス数で表示できます。

図 5-10 Subnet List - List

 

9. 新規に生成されたリストは、[DHCP Status] タブのサマリー フォームにも表示されます(VLAN ID、ダイナミック IP アドレス数、使用可能な IP アドレス数、およびスタティック IP アドレス数を表示)。

図 5-11 DHCP Status

 


) 生成されたサブネットの CAS コンフィギュレーションに、ARP エントリが自動的に作成されます([Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [ARP])。図 5-12 を参照してください。生成されたサブネットを削除すると、対応する ARP エントリも削除されます。


図 5-12 DHCP 用に生成された ARP エントリ

 

サブネットの処理

MAC アドレス/VLAN 別のユーザ表示

1. 自動生成リストをコミットすると、[Network] > [DHCP] > [DHCP Status] ページが表示され、新規に生成されたサブネットが表示されます。自動生成されたサブネットが特定の VLAN ID に限定されている場合、このサブネットは VLAN ID を基準として表示されます。それ以外の場合、VLAN が指定されていなければ、[VLAN] カラムはブランクです。

図 5-13 [DHCP Status] > [VLAN]

 

2. VLAN の [View MACs] アイコンをクリックすると、MAC アドレス、クライアントの IP およびタイプを表示できます(図 5-14 を参照)。

図 5-14 MAC アドレスの表示

 

DHCP クライアントの場合、[Type] カラムには [Dynamic] が表示され、リース割り当てと有効期限が表示されます。

予約された IP クライアントの場合、[Type] カラムには [Static] が表示され、リース期間カラムには [N/A] と表示されます。

サブネット リストのサブネットの表示または削除

1. 作成されたサブネット リストを表示したり、サブネットを個別に変更するには、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] > [DHCP] > [Subnet List] > [List] を使用します。

図 5-15 Subnet List - List

 

2. 特定の VLAN のサブネットだけを表示するには、[View] ボタンの横にあるスクロール メニューで VLAN を選択し、[View] をクリックします。

3. サブネットを個別に削除するには、横にある [Delete] アイコンをクリックします。

4. 自動生成されたサブネットをすべて削除するには、[Delete all Generated Subnets] ボタンをクリックします。この処理では、自動生成されたサブネットだけが削除され、手動入力されたサブネットはすべて残ります。

サブネットの編集

1. サブネットを編集するには、[Subnet List] 内の目的のサブネットの横にある [Edit] ボタンをクリックして、[Edit Subnet List] フォームを起動します。図 5-16 に、自動生成されたサブネットの [Edit] フォームを示します(手動生成されたサブネットの [Edit] フォームは、図 5-6 と同じです)。

図 5-16 サブネット リストの編集

 

2. リース期間、DNS/WIN サーバ情報、および VLAN ID 制限を変更できます。[Update] をクリックして変更を保存します。IP 範囲、デフォルト ゲートウェイ、またはサブネット マスクを変更するには、[Subnet List] > [List] フォームからサブネットを削除し、変更されたパラメータを使用して再び追加する必要があります。

3. 自動生成されたサブネットの場合は、特定のサブネットの横にある [Disabled] チェックボックスをオンにして、そのサブネットをディセーブルにすることができます。これにより、特定の生成済みサブネットに対応する IP をディセーブルにして、この IP がリースされないようにすることができます。これは、サブネット範囲の中に 1 台または 2 台のサーバが配置されている場合に、特に役立ちます。

Real-IP CAS を L3 クライアントの DHCP サーバとして設定する

一般に、CAS が DHCP サーバとして設定されている場合、CAS はレイヤ 2 モードです。CAS は、CAS にトランキングされているレイヤ 2 VLAN の DHCP サーバとして動作します。レイヤ 2 モードでは、CAS 上でその VLAN の DHCP 範囲を設定してから、CAS がその VLAN 内のクライアントと通信できるように、その VLAN の管理対象サブネットを設定します。

しかし、レイヤ 3 クライアントは CAS から 1 ホップ以上離れているため、動作が異なります。L3 クライアントは CAS に隣接していないため、これらのクライアントからの DHCP 検出ブロードキャストは CAS(DHCP サーバ)に到達しません。そのため、これらのクライアントの DHCP 範囲を VLAN に基づいて作成することはできません。

図 5-17 にシナリオ例を示します。

図 5-17 L3 シナリオの例

 

この例では、次のようになります。

CAM は VLAN 900 上にあります。

CAS の信頼できるインターフェイスは VLAN 10 上にあり、信頼できないインターフェイスは VLAN 100 上にあります。

VLAN 700 内のクライアント マシンは、CAS から複数ホップ離れています。

CAS はこれらのクライアントの DHCP サーバとして動作する必要があります。

前述のように、これらの L3 クライアントからの DHCP 検出ブロードキャストは VLAN 700 の境界を越えることができません。そのため、次の例のように、VLAN 700 のゲートウェイとして動作するルータ インターフェイスの下に「IP ヘルパー アドレス」を設定する必要があります。

Interface vlan 700
Ip address 10.60.60.1 255.255.255.0
ip helper-address x.x.x.x
 

ここで x.x.x.x は CAS の信頼できない側(eth1)の IP アドレスです(たとえば 10.20.20.1)。

CAS 上では次の設定を行う必要があります。

VLAN 700 内のクライアントの DHCP 範囲で「IP RELAY」を 10.60.60.1 に設定

信頼できない側に向かう 10.60.60.0/24(VLAN 700)用のルート

図 5-18 に、Real-IP ゲートウェイとして設定されている CAS の IP 情報を示します。

信頼できる(eth0)インターフェイスの IP アドレスは 10.2.2.1

信頼できるデフォルト ゲートウェイは 10.2.2.2

信頼できない(eth1)インターフェイスの IP アドレスは 10.20.20.1

信頼できないデフォルト ゲートウェイは 10.20.20.3

図 5-18 CAS IP 設定

 

CAS はすでに DHCP サーバ としてイネーブルになっています(「DHCP モジュールのイネーブル化」を参照)。図 5-19 は、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] > [DHCP] > [Subnet List] > [New] で設定される [Subnet List] の [New] フォームを示します。次の内容が設定されています。

クライアント IP 範囲は 10.60.60.100 ~ 10.60.60.200

デフォルト ゲートウェイは 10.60.60.1

[Restrict range to RELAY IP] を選択し、IP リレーとして 10.60.60.1 を入力

サブネット 10.60.60.0 とサブネット マスク 255.255.255.0 を手動で入力

[Update] をクリックして新しい DHCP 範囲を作成

図 5-19 サブネット リストをリレー IP に制限

 

図 5-20 は、[Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [Static Routes] で設定される [Static Routes] フォームを示します。次の内容が設定されています。

宛先サブネット アドレスは 10.60.60.0 、サブネット マスクは 255.255.255.0(図 5-19 で設定したサブネットとネットマスク)

[Link] として [Untrusted[eth1]] を選択

ゲートウェイは 10.20.20.3図 5-18 に示す CAS の eth1 のデフォルト ゲートウェイ)

[Add Route] をクリックしてこのスタティック ルートを CAS に追加します。

図 5-20 スタティック ルートの作成

 

IP アドレスの予約

IP アドレスを予約すると、特定の IP アドレスとデバイス間の関係を永久的に保持できます。予約されたデバイスは、MAC アドレスで識別されます。したがって、開始前に IP アドレスを予約するデバイスの MAC アドレスを把握しておく必要があります。予約された IP の設定には、最大リース期間やデフォルト リース期間は含まれません。予約された IP アドレスは対応するデバイスで常に使用でき、実質的にリース期間は無制限になります。 表 5-4 に、予約された IP アドレスに適用される規則をいくつか示します。

 

表 5-4 予約済み IP アドレスの規則

予約済みアドレスの禁止事項
予約済みアドレスの要件

IP プールのアドレス範囲のアドレスは指定できない。

ネットワークまたはブロードキャスト アドレスは指定できない。

既存の IP アドレス範囲のデフォルト ゲートウェイとしては設定できない。

CAS の管理対象ネットワークのアドレス範囲内([Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] > [IP] で設定)、または

CAS の管理対象サブネットのアドレス範囲内([Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Advanced] > [Managed Subnet] で設定)

予約済み IP アドレスの追加

1. [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] > [DHCP] > [Reserved IPs] > [New] の順番に進みます。

図 5-21 Reserved IPs - New

 

2. [MAC Address] フィールドに、IP アドレスを予約するデバイスの MAC アドレスを、16 進の MAC アドレス形式(00:16:21:11:4D:67 など)で入力します。

3. [IP Address to allocate] フィールドに、予約する IP アドレスを入力します。

4. (任意)[Description] に説明を入力します。

5. 残りのフィールドの値を指定します。

[DNS Suffix]:アドレス リースとともにクライアントに渡される DNS サフィックス情報

[DNS Servers]:クライアントのネットワーク内の 1 つまたは複数の DNS サーバのアドレス。複数のアドレスを指定する場合は、カンマで区切る必要があります。

[WIN Servers]:クライアントのネットワーク内の 1 つまたは複数の WIN サーバのアドレス。複数のアドレスを指定する場合は、カンマで区切る必要があります。

[Restrict this IP to VLAN ID]:クライアントが特定の VLAN に対応付けられている場合は、このチェックボックスをオンにして、[VLAN ID] フィールドで VLAN ID を指定します。

6. 完了したら、[Update] をクリックします。

これで、[Subnet List] > [List] の下に予約済み IP が表示されます。このリストの予約済み IP は、[Edit] ボタンをクリックして変更したり、[Delete] ボタンをクリックして削除したりできます。

ユーザ指定の DHCP オプション

上級ユーザは [Global Options] タブ(図 5-22)を使用して、DHCP 設定を直接変更できます。DHCP オプションは次のように指定できます。

ルート グローバル オプションは、DHCP コンフィギュレーション ファイルのルート レベルまたは先頭にあり、すべての DHCP サブネット宣言に適用されます。ルート グローバル オプションは、ファイル内のすべての項目で継承されます。

有効範囲付きグローバル オプションは、各サブネット定義に追加されますが、サブネットがこのオプションを継承するかどうかを指定できます。DHCP オプションがイネーブルの場合、手動作成または自動生成されたサブネットを追加または編集するためのフォームに、イネーブルになっている [Inherit Scoped Global Option] が表示されます。[Inherit Scoped Global Option] チェックボックスは、カスタマイズされた DHCP オプションがイネーブルにされている場合だけ、およびオプションのイネーブル化後に作成されたサブネットに限って表示されます。

ローカル オプションは、それが入力されているサブネットにだけ適用されます。ローカル DHCP オプションをサブネットに個別に追加するには、[Subnet List] > [Edit] フォームを使用します(「ローカルな有効範囲付き DHCP オプションの追加」を参照)。

クラス制限を基に DHCP オプション規則を作成し、DHCP サブネットへのアクセスを制限できます。次の項目の規則を作成できます。

特定 VLAN のすべてのクライアント

特定のリレー IP からのクライアント

オプション タイプを選択するか、カスタム オプションを作成して新しいオプションを作成し、リスト内にないオプションまたは異なるタイプのオプションを作成できます。


注意 通常は、DHCP コンフィギュレーション ファイルを変更しないでください。

サーバ ディレクティブは、DHCP サーバが異なる動作を行うように指示しますが、DHCP オプションは、DHCP サーバが返す特定のデータを参照します。たとえば、「allow-bootp」サーバ ディレクティブ(デフォルトではディセーブル)は、DHCP サーバに古い BOOTP クライアントの接続を許可します。詳細については、 表 5-5 「DHCP サーバ ディレクティブ」 を参照してください。


) ほとんどのサーバ ディレクティブは、ルート グローバル オプションとしてだけ追加できます。これは、処理によってサーバ全体に動作が指示され、サブネットごとに範囲または影響を制限できないためです。


ユーザ指定の DHCP オプションのイネーブル化

1. [Network] > [DHCP] > [Global Options] タブの順番に進み、[Enable] ボタンをクリックします(図 5-22)。

図 5-22 DHCP グローバル オプション:イネーブル化

 

2. CAS で グローバル オプション をイネーブルにした場合は(図 5-23)、設定するオプション タイプを次の中から選択します。

Root Global Option

Scoped Global Option

Class Option

オプションが追加されると、このメイン ページの対応するリスト名の下に表示されます。

図 5-23 DHCP グローバル オプション

 


) DHCP グローバル オプション(ルート、有効範囲付き、またはクラス)を指定するとき、[New/Edit] フォームの [Option #] 入力ボックスに数値を入力して、特定の DHCP オプションを選択できます。

目的のオプション番号がわからない場合、またはサーバ動作を変更するものの DHCP オプション番号がないサーバ ディレクティブを指定する場合は、[Set Option Type] ボタンの横にあるドロップダウン メニューからオプションまたはディレクティブの名前を選択します。いずれの場合も、目的の DHCP オプション タイプを選択した後、[Set Option Type] ボタンをクリックします。

DHCP オプション番号は、RFC 2132 で指定されています。


 

ルート グローバル DHCP オプションの追加

1. [Root Global Option List] の右上にある [New Option] リンクをクリックして、[Root Global DHCP Options] フォーム(図 5-24)を開きます。このフォームでは、DHCP コンフィギュレーション ファイルにルート レベルでテキストを直接入力できます。

図 5-24 DHCP グローバル オプション:新規ルート グローバル(カスタム オプション)

 

2. [Option #] を入力するか、(一般に使用されるオプションのリストがアルファベット順に表示される)ドロップダウン リストからオプション タイプを選択し、[Set Option Type] をクリックします。

3. 代わりに [Custom Option] を設定する場合、[ID] フィールドにオプション番号を入力し、ドロップダウン メニューからデータのタイプを選択してから、[Create Custom Option] をクリックします。

有効範囲付きグローバル DHCP オプションの追加

1. [Global Options] メイン ページ(図 5-23)で、[Scoped Global Option List] の右上端にある [New Option] リンクをクリックして、[Scoped Global DHCP Options] フォーム(図 5-24)を開きます。このフォームでは、DHCP コンフィギュレーション ファイルにサブネット範囲レベルでテキストを直接入力できます。

図 5-25 DHCP グローバル オプション:新規有効範囲付きグローバル

 

2. [Option #] を入力するか、(一般に使用されるオプションのリストがアルファベット順に表示される)ドロップダウン リストからオプション タイプを選択し、[Set Option Type] をクリックします。

3. カスタム オプションを設定する場合、オプションの ID を入力し、ドロップダウン メニューからデータ タイプを選択してから、[Create Custom Option] をクリックします。

新規クラス オプションの追加

1. [Global Options] メイン ページ(図 5-23)で、[Class Options] リストの右にあるドロップダウン メニューから次の クラス タイプ のいずれかを選択します。

[All VLAN-Restricted Subnets] VLAN ID に制限された [Subnet List] 自動生成または手動作成)にあるすべてのサブネットにオプションを適用します。

[All Relay IP-Restricted Subnets] リレー IP に制限された [Subnet List] 手動作成)にあるすべてのサブネットにオプションを適用します。

[No VLAN tagged] VLAN が指定されていない [Subnet List] にあるすべてのサブネットにオプションを適用します。

[VLAN ID <n>] [Subnet List] にある VLAN ID(<n>)の特定サブネットにオプションを適用します。

2. [Class Options List] の右上端にある [New Class Option] ボタンをクリックして、[New Class Option] フォーム(図 5-25)を開きます。

図 5-26 DHCP グローバル オプション:すべての VLAN ID の新規クラス オプション(VLAN 制限付きサブネット)

 

3. [Option #] を入力するか、(一般に使用されるオプションのリストがアルファベット順に表示される)ドロップダウン リストからオプション タイプを選択し、[Set Option Type] をクリックします。

4. カスタム オプションを設定する場合、オプションの ID を入力し、ドロップダウン メニューからタイプを選択してから、[Create Custom Option] をクリックします。

オプションのデフォルトへの復元

1. 出荷時の設定に戻すには、[Global Options] > [List] ページ右上端にある [Restore Options To Default] ボタンをクリックします(図 5-27)。

図 5-27 グローバル オプションのデフォルトへの復元

 

DHCP オプションのディセーブル化

管理者指定の DHCP オプションをディセーブルにするには、[Global Options] > [List] ページ左上端にある [Disable] ボタンをクリックします(図 5-23)。

ローカルな有効範囲付き DHCP オプションの追加

1. 「ユーザ指定の DHCP オプションのイネーブル化」で説明したように、DHCP オプションがイネーブルになっていることを確認します。

2. [Network] > [Subnet List] > [List] の順番に進み、オプションを追加するサブネットの横にある [Edit] ボタンをクリックします。

3. [Edit] フォームが表示されます。

図 5-28 [Edit Subnet List] フォーム(ローカルの有効範囲付き DHCP オプション)

 

4. フォーム下部にある [Add New Option] リンクをクリックします。[New Local Option] フォームが表示されます。

図 5-29 新規ローカル オプションの追加

 

5. [Option #] を入力するか、(一般に使用されるオプションのリストがアルファベット順に表示される)ドロップダウン リストからオプション タイプを選択し、[Set Option Type] をクリックします。

6. カスタム オプションを設定する場合、[ID] フィールドにオプション番号を入力し、ドロップダウン メニューからデータ タイプを選択してから、[Create Custom Option] をクリックします。

 

表 5-5 DHCP サーバ ディレクティブ

サーバ ディレクティブ
説明

allow bootp

BOOTP デバイスによるブートを許可します。デフォルトでは、ディセーブルです。まだ使用されている一部の古いプリンタには BOOTP が必要です。BOOTP プロトコルでは、他のサーバ ディレクティブが BOOTP リースを無効にした場合でも、リース割り当ての時間制限が指定されません。

always-broadcast

通常の DHCP 操作は、DHCP クライアントが DHCP サーバの位置を把握できない場合、DHCP DISCOVER パケットと OFFER パケットがブロードキャストされます。通常の操作では、DHCP REQUEST と ACK、および既知のクライアントと既知の DHCP サーバ間のすべての後続の REQUESTS と ACK がユニキャストされます。「always-broadcast」サーバ ディレクティブは、すべての DHCP パケットに常にブロードキャスト パケットで応答するように DHCP サーバに指示します。

always-reply-rfc1048

一部の DHCP クライアントは、DHCP パケットを送信するとき、RFC 1048 に違反します。デフォルトでは、DHCP サーバは RFC 1048 に違反するパケットでクライアントに応答します。ごく少数のクライアントは、RFC 1048 に違反する DHCP パケットを送信しますが、RFC 1048 に違反する戻りパケットを有効として受け入れることはありません。このサーバ ディレクティブは、受信内容にかかわらず、常に RFC 1048 準拠のパケットで応答するようにサーバに指示します。

deny bootp

これは、サーバのデフォルト動作です。このサーバ ディレクティブは、BOOTP 要求を拒否するようにサーバに指示します。

dynamic-bootp-lease-length

BOOTP クライアントに割り当てられた IP リースを無効化し再割り当てできるようにするようサーバに指示します。BOOTP クライアントが IP アドレスの使用を停止することを保証するものではありません。このサーバ ディレクティブは、範囲付きグローバル オプションまたはローカル オプションとして指定できます。

filename

DHCP サーバが、DHCP パケットのファイル名部分を設定するように指示します。これは、DHCP オプション リストに表示されないため、オプションではありません。このサーバ ディレクティブは、範囲付きグローバル オプションまたはローカル オプションとして指定できます。

get-lease-hostname

サーバが、リース プールにある各アドレスの IP アドレスに対応するドメイン名をルックアップし、DHCP ホスト名のそのアドレスを使用するように指示します。

next-server

すべての DHCP 応答の next-server フィールドを設定するようにサーバに指示します。これは通常、IP 電話など追加のコンフィギュレーション情報を必要とするデバイスによって使用されます。このサーバ ディレクティブは、範囲付きグローバル オプションまたはローカル オプションとして指定できます。

one-lease-per-client

複数回要求を行った DHCP クライアントに割り当てられた最初のリースを無効にするようにサーバに指示します。一部のネットワーク デバイスには、2 つまたは 3 つのアドレスが必要になるため、デフォルトではディセーブルです。

ping-check

サーバが、割り当てる前に IP アドレスの ping を実行するように指示します。これはデフォルトではディセーブルで、DHCP サーバのパフォーマンスには、多大な影響を与えます。

server-identifier

自身の ID を変更するようサーバに指示します。デフォルトでは、非信頼ネットワーク インターフェイスの IP アドレスが使用されます。

server-name

自身の名前を変更するようサーバに指示します。デフォルトでは、CAS のホスト名が使用されます。このサーバ ディレクティブは、範囲付きグローバル オプションまたはローカル オプションとして指定できます。

use-lease-addr-for-default-route

割り当てられた IP に等しいデフォルト ルート(ゲートウェイ)をすべての応答で送信するようサーバに指示します。

Global Action

[Global Action] タブでは、特定 CAS のすべての DHCP 要素のフィールドを変更できます。たとえば、管理対象サブネットと IP プールが 300 あり、そのすべての DNS サーバを変更する必要がある場合、[Global Action] フォームを使用すると変更できます。

1. [Network] > [DHCP] > [Global Action] の順に進みます(図 5-30)。

図 5-30 Global Action

 

2. [Action will target:] ドロップダウンで、次のオプションのいずれかを選択します。

Everything (以下のオプションすべてを組み合わせたもの)

All Manual Subnets

All IP Reservations

All Auto-Generated Subnets

All by VLAN ID

3. 該当する各パラメータのチェックボックスをオンにし、関連するテキストボックスに値を入力します。

VLAN ID ([All by VLAN ID] が選択されている場合)

Default Lease Time (seconds)

Maximum Lease Time (seconds)

DNS Suffix

DNS Servers (カンマで複数アドレスを分割)

WIN Servers (カンマで複数アドレスを分割)

4. [Update] をクリックします。

5. 表示される確認ページの [Perform Action] をクリックします(図 5-31)。

図 5-31 グローバル処理の例