マニュアル 1:Cisco ASA シリーズ CLI コンフィギュレーション ガイド(一般的な操作)バージョン 9.1
DHCP の設定
DHCP の設定
発行日;2013/05/30 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 12MB) | フィードバック

目次

DHCP の設定

DHCP に関する情報

DHCP のライセンス要件

ガイドラインと制限事項

DHCP サーバの設定

DHCP サーバのイネーブル化

DHCP オプションの設定

IP アドレスを返すオプション

テキスト文字列を返すオプション

16 進数値を返すオプション

DHCP サーバを利用する Cisco IP Phone の使用

DHCP リレー サービスの設定

信頼できるインターフェイスの設定

その他の参考資料

RFC

DHCP のモニタリング コマンド

DHCP の機能履歴

DHCP に関する情報

DHCP リレー エージェントは、それぞれ異なる IP ネットワークにあるダイナミック ホスト コンフィギュレーション プロトコル(DHCP)クライアントとサーバとの間で DHCP メッセージを送信します。DHCP は、IP アドレスなどのネットワーク コンフィギュレーション パラメータを DHCP クライアントに提供します。ASA は、ASA のインターフェイスに接続されている DHCP クライアントに対して、DHCP サーバとなることや、DHCP リレー サービスを提供することができます。DHCP サーバは、ネットワーク コンフィギュレーション パラメータを DHCP クライアントに直接提供します。DHCP リレー サービスとは、あるインターフェイスで受信した DHCP 要求を、別のインターフェイス上に位置する外部 DHCP サーバに送信するサービスです。

クライアントは、DHCP サーバを見つけてコンフィギュレーション情報の割り当てを要求するときに、予約された、リンク スコープのマルチキャスト アドレスを使用します。つまり、クライアントとサーバが同じリンクに接続されている必要があります。ただし、管理のしやすさ、コスト、またはスケーラビリティが問題となる場合は、DHCP クライアントから、同じリンクに接続されていないサーバにメッセージを送信できるようにすることを推奨します。DHCP リレー エージェント(クライアント ネットワーク上に常駐できます)は、クライアントとサーバの間でメッセージを中継できます。リレー エージェントの動作は、クライアントに対して透過的です。

RFC 3315 で規定されている DHCP for IPv6(DHCPv6)を利用すると、IPv6 DHCP サーバがコンフィギュレーション パラメータ(ネットワーク アドレスまたはプレフィックスおよび DNS サーバ アドレスなど)を IPv6 ノード(つまり、DHCP クライアント)に送信できるようになります。DHCPv6 は次のマルチキャスト アドレスを使用します。

All_DHCP_Relay_Agents_and_Servers(FF02::1:2)は、リンク スコープのマルチキャスト アドレスです。クライアントと、ネイバーの(つまり、オンリンクの)リレー エージェントおよびサーバとの通信に使用されます。すべての DHCPv6 サーバとリレー エージェントは、このマルチキャスト グループのメンバです。

DHCPv6 リレー サービスとサーバは、UDP ポート 547 のメッセージをリッスンします。ASA DHCPv6 リレー エージェントは、UDP ポート 547 と All_DHCP_Relay_Agents_and_Servers マルチキャスト アドレスの両方をリッスンします。

DHCP のライセンス要件

表 15-1 に、DHCP のライセンス要件を示します。

表 15-1 ライセンス要件

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

ASA 5505 の場合、DHCP クライアント アドレスの最大数はライセンスによって異なります。

ホストが 10 台に制限されている場合、使用可能な DHCP の最大プールは 32 アドレスです。

ホストが 50 台に制限されている場合、使用可能な DHCP の最大プールは 128 アドレスです。

ホスト数に制限がない場合、使用可能な DHCP の最大プールは 256 アドレスです。


) ASA 5505 には 10 ユーザ ライセンスが付属しています。


ガイドラインと制限事項

次のガイドラインを使用して、DHCP サーバを設定します。

ASA のインターフェイスごとに 1 つの DHCP サーバだけを設定できます。各インターフェイスは、専用のアドレス プールのアドレスを使用できます。しかし、DNS サーバ、ドメイン名、オプション、ping のタイムアウト、WINS サーバなど他の DHCP 設定はグローバルに設定され、すべてのインターフェイス上の DHCP サーバによって使用されます。

DHCP クライアントや DHCP リレー サービスは、サーバがイネーブルになっているインターフェイス上では設定できません。また、DHCP クライアントは、サーバがイネーブルになっているインターフェイスに直接接続する必要があります。

ASA は、QIP DHCP サーバを DHCP プロキシ サービスとともに使用することはサポートしません。

DHCP サーバもイネーブルになっている場合、リレー エージェントをイネーブルにできません。

ASA DHCP サーバは、BOOTP 要求をサポートしていません。マルチコンテキスト モードでは、複数のコンテキストで使用されるインターフェイスで DHCP サーバまたは DHCP リレー サービスをイネーブルにすることはできません。

ASAで DHCP 要求を受信すると、DHCP サーバに検出メッセージが送信されます。このメッセージには、グループ ポリシー内の dhcp-network-scope コマンドで設定された IP アドレス(サブネットワーク内の)が含まれます。そのサブネットワークに含まれるアドレス プールがサーバにある場合、サーバから、検出メッセージの送信元 IP アドレスではなく、その IP アドレスにプール情報を含む提供メッセージが送信されます。

たとえば、サーバに範囲が 209.165.200.225 ~ 209.165.200.254 でマスクが 255.255.255.0 のプールがあり、 dhcp-network-scope コマンドで指定されている IP アドレスが 209.165.200.1 である場合、サーバからASAにそのプールが提供メッセージで送信されます。

次のガイドラインを使用して、DHCP リレー サービスを設定します。

DHCP クライアントは直接ASAに接続する必要があり、他のリレー エージェントやルータを介して要求を送信できません。

マルチ コンテキスト モードでは、複数のコンテキストで使用されるインターフェイス上で DHCP リレー サービスをイネーブルにすることはできません。

DHCP リレー サービスは、トランスペアレント ファイアウォール モードでは使用できません。トランスペアレント ファイアウォール モードの場合、ASA は ARP トラフィックだけ通過を許可します。他のトラフィックはすべてアクセス リストが必要です。トランスペアレント ファイアウォール モードで DHCP 要求と応答が ASA を通過できるようにするには、2 つのアクセス リストを設定する必要があります。1 つは内部インターフェイスから外部への DCHP 要求を許可するもので、もう 1 つはサーバからの逆方向の応答を許可するためのものです。

DHCP リレー サービスがイネーブルになっていて、複数の DHCP リレー サーバが定義されているときは、ASA によって、定義された各 DHCP リレー サーバにクライアントの要求が転送されます。また、クライアントの DHCP リレー バインディングが削除されるまで、サーバからの応答もクライアントに転送されます。ASAで ACK、NACK、または拒否のいずれかの DHCP メッセージを受け取ると、バインディングが削除されます。

DHCP プロキシ サービスとして動作しているインターフェイス上で DHCP リレー サービスをイネーブルにすることはできません。最初に VPN DHCP コンフィギュレーションを削除する必要があります。このようにしない場合は、エラー メッセージが表示されます。このエラーは、DHCP リレーと DHCP プロキシの両方のサービスのがイネーブルになっている場合に発生します。DHCP リレーと DHCP プロキシの両方ではなく一方のサービスだけがイネーブルになっていることを確認してください。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードでサポートされています。

トランスペアレント ファイアウォール モードではサポートされません。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

フェールオーバーのガイドライン

アクティブ/アクティブ フェールオーバーとアクティブ/スタンバイ フェールオーバーをサポートします。

IPv6 のガイドライン

IPv6 をサポートします。

DHCP サーバの設定

この項では、ASA によって提供される DHCP サーバの設定方法について説明します。次の項目を取り上げます。

「DHCP サーバのイネーブル化」

「DHCP オプションの設定」

「DHCP サーバを利用する Cisco IP Phone の使用」

DHCP サーバのイネーブル化

ASA のインターフェイスで DHCP サーバをイネーブルにするには、次の手順を実行します。

 

コマンド
目的

ステップ 1

dhcpd address ip_address - ip_address interface_name
 

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside

DHCP アドレス プールを作成します。ASA は、クライアントにこのプールのアドレスを 1 つ割り当てます。このアドレスは、一定時間だけ使用できます。これらのアドレスは、直接接続されているネットワークのための、変換されていないローカル アドレスです。

アドレス プールは、ASA インターフェイスと同じサブネット内にある必要があります。

ステップ 2

dhcpd dns dns1 [ dns2 ]
 

hostname(config)# dhcpd dns 209.165.201.2 209.165.202.129

(任意)DNS サーバの IP アドレスを指定します。

ステップ 3

dhcpd wins wins1 [ wins2 ]
 

hostname(config)# dhcpd wins 209.165.201.5

(任意)WINS サーバの IP アドレスを指定します。WINS サーバは最大 2 つまで指定できます。

ステップ 4

dhcpd lease lease_length
 

hostname(config)# dhcpd lease 3000

(任意)クライアントに許可するリース期間を変更します。リース期間とは、割り当てられた IP アドレスをクライアントが使用できる時間の長さ(秒)であり、この時間が経過するとリースは失効します。0 ~ 1,048,575 の範囲の数を入力してください。デフォルト値は 3600 秒です。

ステップ 5

dhcpd domain domain_name
 

hostname(config)# dhcpd domain example.com

(任意)ドメイン名を設定します。

ステップ 6

dhcpd ping_timeout milliseconds
 

hostname(config)# dhcpd ping timeout 20

(任意)ICMP パケットの DHCP ping タイムアウト値を設定します。アドレスの衝突を避けるために、ASAは、1 つのアドレスに ICMP ping パケットを 2 回送信してから、そのアドレスを DHCP クライアントに割り当てます。

ステップ 7

dhcpd option 3 ip gateway_ip
 

hostname(config)# dhcpd option 3 ip 10.10.1.1

DHCP クライアントに送信するデフォルトのゲートウェイを定義します。デフォルト ゲートウェイを定義するための dhcpd option 3 コマンドを実行しなかった場合は、管理インターフェイスの IP アドレスが DHCP クライアントに使用されます。その結果、DHCP ACK にはこのオプションが含まれなくなります。管理インターフェイスは、トラフィックをルーティングしません。

ステップ 8

dhcpd enable interface_name
 

hostname(config)# dhcpd enable outside

ASA内の DHCP デーモンをイネーブルにし、イネーブルになったインターフェイス上で DHCP クライアント要求を受信します。

DHCP オプションの設定

ASA では、情報を送信するための RFC 2132 に記載されている DHCP オプションをサポートします。

この項では、次のトピックについて取り上げます。

「IP アドレスを返すオプション」

「テキスト文字列を返すオプション」

「16 進数値を返すオプション」

DHCP オプションを設定するには、次のいずれかのコマンドを入力します。

IP アドレスを返すオプション

 

コマンド
目的
dhcpd option code ip addr_1 [ addr_2 ]
 

hostname(config)# dhcpd option 2 ip 10.10.1.1 10.10.1.2

1 つまたは 2 つの IP アドレスを返す DHCP オプションを設定します。

テキスト文字列を返すオプション

 

コマンド
目的
dhcpd option code ascii text
 

hostname(config)# dhcpd option 2 ascii examplestring

テキスト文字列を返す DHCP オプションを設定します。

16 進数値を返すオプション

 

コマンド
目的
dhcpd option code hex value
 

hostname(config)# dhcpd option 2 hex 22.0011.01.FF1111.00FF.0000.AAAA.1111.1111.1111.11

16 進数値を返す DHCP オプションを設定します。


) ASAは、指定されたオプションのタイプおよび値が、RFC 2132 に定義されているオプション コードに対して期待されているタイプおよび値と一致するかどうかは確認しません。たとえば、dhcpd option 46 ascii hello というコマンドを入力することは可能であり、ASA はこのコンフィギュレーションを受け入れますが、RFC 2132 の定義では、オプション 46 には 1 桁の 16 進数値を指定することになっています。オプション コードと、コードに関連付けられたタイプおよび期待値の詳細については、RFC 2132 を参照してください。


表 15-2 に、 dhcpd option コマンドでサポートされていない DHCP オプションを示します。

 

表 15-2 サポートされていない DHCP オプション

オプション コード
説明

0

DHCPOPT_PAD

1

HCPOPT_SUBNET_MASK

12

DHCPOPT_HOST_NAME

50

DHCPOPT_REQUESTED_ADDRESS

51

DHCPOPT_LEASE_TIME

52

DHCPOPT_OPTION_OVERLOAD

53

DHCPOPT_MESSAGE_TYPE

54

DHCPOPT_SERVER_IDENTIFIER

58

DHCPOPT_RENEWAL_TIME

59

DHCPOPT_REBINDING_TIME

61

DHCPOPT_CLIENT_IDENTIFIER

67

DHCPOPT_BOOT_FILE_NAME

82

DHCPOPT_RELAY_INFORMATION

255

DHCPOPT_END

DHCP オプション 3、66、および 150 は、Cisco IP フォンを設定するために使用します。オプションの設定の詳細については、「DHCP サーバを利用する Cisco IP Phone の使用」を参照してください。

DHCP サーバを利用する Cisco IP Phone の使用

Cisco IP フォンは、コンフィギュレーションを TFTP サーバからダウンロードします。Cisco IP フォンの起動時に、IP アドレスと TFTP サーバの IP アドレスの両方が事前に設定されていない場合は、この情報を取得するために、オプション 150 または 66 を指定した要求が Cisco IP フォンから DHCP サーバに送信されます。

DHCP オプション 150 では、TFTP サーバのリストの IP アドレスが提供されます。

DHCP オプション 66 では、1 つの TFTP サーバの IP アドレスまたはホスト名が与えられます。


) Cisco IP フォンからの要求には、DHCP オプション 3 を含めることもできます。これは、デフォルト ルートを設定するためのものです。


1 つの要求にオプション 150 と 66 の両方が含まれている場合があります。この場合、両者がASAですでに設定されていると、ASAの DHCP サーバは、その応答で両方のオプションに対する値を提供します。

特定のオプション番号に対して使用される情報を送信するには、次のコマンドを入力します。

 

コマンド
目的
dhcpd option number value
 

hostname(config)# dhcpd option 2

RFC-2132 で指定されているオプション番号が含まれている DHCP 要求に対して情報を提供します。

オプション 66 に対して使用される情報を送信するには、次のコマンドを入力します。

 

コマンド
目的
dhcpd option 66 ascii server_name
 

hostname(config)# dhcpd option 66 ascii exampleserver

オプション 66 の TFTP サーバの IP アドレスと名前を提供します。

オプション 150 に対して使用される情報を送信するには、次のコマンドを入力します。

 

コマンド
目的
dhcpd option 150 ip server_ip1 [ server_ip2 ]
 

hostname(config)# dhcpd option 150 ip 10.10.1.1

オプション 150 の 1 台または 2 台の TFTP サーバの IP アドレスまたは名前を提供します。 server_ip1 には、プライマリ TFTP サーバの IP アドレスまたは名前を、 server_ip2 には、セカンダリ TFTP サーバの IP アドレスまたは名前を指定します。 オプション 150 を使用すると、最大 2 つの TFTP サーバが指定できます。

オプション 3 に対して使用される情報を送信するには、次のコマンドを入力します。

 

コマンド
目的
dhcpd option 3 ip router_ip1
 

hostname(config)# dhcpd option 3 ip 10.10.1.1

デフォルト ルートを設定します。

DHCP リレー サービスの設定

DHCP リレー サービスを設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

dhcprelay server ip_address if_name
 

hostname(config)# dhcprelay server 201.168.200.4 outside

DHCP クライアントとは異なるインターフェイス上の DHCP サーバの IP アドレスを指定します。

このコマンドを使用して最大 10 台のサーバを 10 回まで設定できます。

DHCP リレー サーバ アドレス(ヘルパー アドレスとも呼ばれる)は、インターフェイスごとに設定できます。これは、インターフェイスで DHCP 要求を受信し、ヘルパー アドレスが設定されている場合、その要求はそれらのサーバにのみ転送されることを意味します。

ステップ 2

dhcprelay enable interface
 

hostname(config)# dhcprelay enable inside

クライアントが接続されているインターフェイス上で DHCP リレー サービスをイネーブルにします。

ステップ 3

dhcprelay timeout seconds
 

hostname(config)# dhcprelay timeout 25

(任意)リレー アドレス処理のために許容する時間を秒数で設定します。

ステップ 4

dhcprelay setroute interface_name
 

hostname(config)# dhcprelay setroute inside

(任意)DHCP サーバから送信されたパケットの最初のデフォルト ルータ アドレスを、ASA インターフェイスのアドレスに変更します。

このアクションを行うと、クライアントは、自分のデフォルト ルートを設定して、DHCP サーバで異なるルータが指定されている場合でも、ASAをポイントすることができます。

パケット内にデフォルトのルータ オプションがなければ、ASAは、そのインターフェイスのアドレスを含んでいるデフォルト ルータを追加します。

DHCPv6 リレー サービスを設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

ipv6 dhcprelay server ipv6_address [interface]
 

hostname(config)# ipv6 dhcprelay server 3FFB:C00:C18:6:A8BB:CCFF:FE03:2701

クライアント メッセージの転送先となる IPv6 DHCP サーバの宛先アドレスを指定します。

ipv6-address 引数には、リンク スコープのユニキャスト、マルチキャスト、サイト スコープのユニキャスト、またはグローバル IPv6 アドレスを指定できます。リレー宛先の指定は必須です。ループバックやノードローカルのマルチキャスト アドレスは指定できません。任意の interface 引数では、宛先への出力インターフェイスを指定します。クライアントのメッセージは、この出力インターフェイスが接続されたリンクを経由して宛先アドレスに転送されます。指定したアドレスがリンク スコープのアドレスである場合は、インターフェイスを指定する必要があります。

コンテキストごとに最大 10 個のサーバを設定できます。

ステップ 2

ipv6 dhcprelay enable interface
 

hostname(config)# ipv6 dhcprelay enable inside

インターフェイス上で DHCPv6 リレー サービスをイネーブルにします。このサービスがイネーブルになっているときは、このインターフェイス上のクライアントからの DHCPv6 メッセージが別のリレー エージェントによって中継された可能性がある場合に、そのメッセージは、すべての設定済み発信リンクを経由してすべての設定済みリレー宛先に転送されます。マルチ コンテキスト モードの場合は、複数のコンテキストで使用されているインターフェイス(つまり、共有インターフェイス)で DHCP リレーをイネーブルにすることはできません。

ステップ 3

ipv6 dhcprelay timeout seconds
 

hostname(config)# ipv6 dhcprelay timeout 25

(任意)DHCPv6 サーバからの応答をリレー アドレス処理のためにリレー バインディングを通して DHCPv6 クライアントに渡すときに許容する時間の長さを秒単位で指定します。

seconds 引数の有効な値の範囲は 1 ~ 3600 です。デフォルトは 60 秒です。

信頼できるインターフェイスの設定

すべてのインターフェイスの DHCP リレー エージェントを、グローバル コンフィギュレーション モードで信頼できるとして設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

interface vlan501
 

hostname(config-if)# interface vlan501

VLAN インターフェイスを指定します。

ステップ 2

nameif inside
 
hostname(config-if)# nameif inside

内部インターフェイスを指定します。

ステップ 3

dhcprelay information trust-all
 
hostname(config)# dhcprelay information trust-all

すべてのインターフェイスを信頼できるとして設定します。

ステップ 4

icmp permit any inside
 
hostname(config)# icmp permit any inside

内部インターフェイスのトラフィックを許可します。

ステップ 5

show running-config dhcprelay
 

hostname(config)# show running-config dhcprelay

dhcprelay information trust-all

すべてのインターフェイスの DHCP リレー エージェント コンフィギュレーションを表示します。

指定したインターフェイスの DHCP リレー エージェントを、インターフェイス コンフィギュレーション モードで信頼できるとして設定するには、次の手順を実行します。

 

コマンド
目的

ステップ 1

interface vlan501
 

hostname(config-if)# interface vlan501

VLAN インターフェイスを指定します。

ステップ 2

nameif inside
 
hostname(config-if)# nameif inside

内部インターフェイスを指定します。

ステップ 3

dhcprelay information trusted
 
hostname(config)# dhcprelay information trust-all

指定したインターフェイスを信頼できるとして設定します。

ステップ 4

icmp permit any inside
 
hostname(config)# icmp permit any inside

内部インターフェイスのトラフィックを許可します。

ステップ 5

show running-config dhcprelay
 

hostname(config)# show running-config dhcprelay

dhcprelay information trusted

指定したインターフェイスの DHCP リレー エージェント コンフィギュレーションを表示します。

その他の参考資料

DHCPv6 の実装に関する詳細情報については、次の項を参照してください。

「RFC」

RFC

 

RFC
タイトル

2132

『DHCP Options and BOOTP Vendor Extensions』

2462

『IPv6 Stateless Address Autoconfiguration』

5510

『DHCP for IPv6』

DHCP のモニタリング コマンド

DHCP をモニタするには、次のコマンドを 1 つ以上入力します。

 

コマンド
目的

show running-config dhcpd

 

現在の DHCP コンフィギュレーションを表示します。

show running-config dhcprelay

 

現在の DHCP リレー サービスのステータスを表示します。

show ipv6 dhcprelay binding

 

リレー エージェントによって作成されたリレー バインディング エントリを表示します。

show ipv6 dhcprelay statistics

 

IPv6 の DHCP リレー エージェント統計情報を表示します。

clear config ipv6 dhcprelay

 

IPv6 DHCP リレー コンフィギュレーションをクリアします。

DHCP の機能履歴

表 15-3 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 15-3 DHCP の機能履歴

機能名
リリース
説明

DHCP

7.0(1)

ASAは、DHCP サーバまたは DHCP リレー サービスをASAのインターフェイスに接続されている DHCP クライアントに提供することができます。

dhcp client update dns dhcpd address dhcpd domain dhcpd enable dhcpd lease dhcpd option dhcpd ping timeout dhcpd update dns dhcpd wins dhcp-network-scope dhcprelay enable dhcprelay server dhcprelay setroute dhcprelay trusted dhcp-server show running-config dhcpd 、および show running-config dhcprelay の各コマンドが導入されました。

DHCP for IPv6(DHCPv6)

9.0(1)

IPv6 のサポートが追加されました。

ipv6 dhcprelay server ipv6 dhcprelay enable ipv6 dhcprelay timeout clear config ipv6 dhcprelay ipv6 nd managed-config-flag ipv6 nd other-config-flag debug ipv6 dhcp debug ipv6 dhcprelay show ipv6 dhcprelay binding clear ipv6 dhcprelay binding show ipv6 dhcprelay statistics clear ipv6 dhcprelay statistics の各コマンドが導入されました。