Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4
DHCP の設定
DHCP の設定
発行日;2012/05/09 | 英語版ドキュメント(2012/02/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

DHCP の設定

DHCP に関する情報

DHCP のライセンス要件

ガイドラインと制限事項

DHCP サーバの設定

DHCP サーバのイネーブル化

DHCP オプションの設定

IP アドレスを返すオプション

テキスト文字列を返すオプション

16 進数値を返すオプション

DHCP サーバを利用する Cisco IP Phone の使用

DHCP リレー サービスの設定

DHCP のモニタリング コマンド

DHCP の機能履歴

DHCP の設定

この章では、DHCP サーバを設定する方法について説明します。次の項目を取り上げます。

「DHCP に関する情報」

「DHCP のライセンス要件」

「ガイドラインと制限事項」

「DHCP サーバの設定」

「DHCP リレー サービスの設定」

「DHCP のモニタリング コマンド」

「DHCP の機能履歴」

DHCP に関する情報

DHCP は、IP アドレスなどのネットワーク コンフィギュレーション パラメータを DHCP クライアントに提供します。ASAは、DHCP サーバまたは DHCP リレー サービスをASAのインターフェイスに接続されている DHCP クライアントに提供することができます。DHCP サーバは、ネットワーク コンフィギュレーション パラメータを DHCP クライアントに直接提供します。DHCP リレーでは、1 つのインターフェイスで受信した DHCP 要求を、別のインターフェイスの背後に位置する外部 DHCP サーバに渡します。

DHCP のライセンス要件

表 11-1 に、DHCP のライセンス要件を示します。

表 11-1 ライセンス要件

 

モデル
ライセンス要件

すべてのモデル

基本ライセンス

Cisco ASA 5505 の場合、DHCP クライアント アドレスの最大数はライセンスによって異なります。

ホストが 10 台に制限されている場合、使用可能な DHCP の最大プールは 32 アドレスです。

ホストが 50 台に制限されている場合、使用可能な DHCP の最大プールは 128 アドレスです。

ホスト数に制限がない場合、使用可能な DHCP の最大プールは 256 アドレスです。


) デフォルトでは、Cisco ASA 5505 に 10 ユーザ ライセンスが付属しています。


ガイドラインと制限事項

次のガイドラインを使用して、DHCP サーバを設定します。

DHCP サーバは、ASAの各インターフェイスに設定することができます。各インターフェイスには、それ自体のアドレス プールがあり、利用できます。しかし、DNS サーバ、ドメイン名、オプション、ping のタイムアウト、WINS サーバなど他の DHCP 設定はグローバルに設定され、すべてのインターフェイス上の DHCP サーバによって使用されます。

DHCP クライアントまたは DHCP リレー サービスは、DHCP サーバがイネーブルになっているインターフェイス上では設定することはできません。また、DHCP クライアントは、サーバがイネーブルになっているインターフェイスに直接接続する必要があります。

ASAは、DHCP プロキシで使用する QIP DHCP サーバをサポートしません。

ASAで DHCP 要求を受信すると、DHCP サーバに検出メッセージが送信されます。このメッセージには、グループ ポリシー内の dhcp-network-scope コマンドで設定されている(サブネットワーク内の)IP アドレスが含まれます。そのサブネットワークに含まれるアドレス プールがサーバにある場合、サーバから、検出メッセージの送信元 IP アドレスではなく、その IP アドレスにプール情報を含む提供メッセージが送信されます。

たとえば、サーバに範囲が 209.165.200.225 ~ 209.165.200.254 でマスクが 255.255.255.0 のプールがあり、 dhcp-network-scope コマンドで指定されている IP アドレスが 209.165.200.1 である場合、サーバからASAにそのプールが提供メッセージで送信されます。

フェールオーバーのガイドライン

アクティブ/アクティブ フェールオーバーとアクティブ/スタンバイ フェールオーバーをサポートします。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

コンテキスト モードのガイドライン

シングル モードとマルチ コンテキスト モードでサポートされています。

DHCP サーバの設定

この項では、ASAによって提供される DHCP サーバの設定方法について説明します。次の項目を取り上げます。

「DHCP サーバのイネーブル化」

「DHCP オプションの設定」

「DHCP サーバを利用する Cisco IP Phone の使用」

「DHCP のモニタリング コマンド」

DHCP サーバのイネーブル化

ASAは DHCP サーバとして動作することができます。DHCP は、ホスト IP アドレス、デフォルト ゲートウェイ、DNS サーバなどのネットワーク設定をホストに供給するプロトコルです。


) ASA DHCP サーバは、BOOTP 要求をサポートしていません。マルチ コンテキスト モードでは、DHCP サーバまたは DHCP リレーは、複数のコンテキストで使用されるインターフェイス上ではイネーブルにはできません。


ASAのインターフェイスで DHCP サーバをイネーブルにするには、次の手順を実行します。

 

コマンド
目的

ステップ 1

dhcpd address ip_address - ip_address interface_name
 

hostname(config)# dhcpd address 10.0.1.101-10.0.1.110 inside

DHCP アドレス プールを作成します。 ASAは、1 つのクライアントに対して一定時間だけ使用可能なアドレスを 1 つ、このプールから割り当てます。これらのアドレスは、直接接続されているネットワークのための、変換されていないローカル アドレスです。

アドレス プールは、ASA インターフェイスと同じサブネット内にある必要があります。

ステップ 2

dhcpd dns dns1 [ dns2 ]
 

hostname(config)# dhcpd dns 209.165.201.2 209.165.202.129

(オプション)DNS サーバの IP アドレスを指定します。

ステップ 3

dhcpd wins wins1 [ wins2 ]
 

hostname(config)# dhcpd wins 209.165.201.5

(オプション)WINS サーバの IP アドレスを指定します。WINS サーバは最大 2 つまで指定できます。

ステップ 4

dhcpd lease lease_length
 

hostname(config)# dhcpd lease 3000

(オプション)クライアントに許可するリース期間を変更します。リース期間は、その期間が終了するまでクライアントがその割り当て IP アドレスを使用できる時間(秒)のことです。0 ~ 1,048,575 の間の値を入力します。デフォルト値は 3600 秒です。

ステップ 5

dhcpd domain domain_name
 

hostname(config)# dhcpd domain example.com

(オプション)ドメイン名を設定します。

ステップ 6

dhcpd ping_timeout milliseconds
 

hostname(config)# dhcpd ping timeout 20

(オプション)DHCP に ping のタイムアウト値を設定します。アドレスの衝突を避けるために、ASAは、1 つのアドレスに ICMP ping パケットを 2 回送信してから、そのアドレスを DHCP クライアントに割り当てます。このコマンドは、これらのパケットのタイムアウト値を指定します。

ステップ 7

dhcpd option 3 ip gateway_ip
 

hostname(config)# dhcpd option 3 ip 10.10.1.1

(トランスペアレント ファイアウォール モード)DHCP クライアントに送信するデフォルトのゲートウェイを定義します。DHCP のオプション 3 を使用せずにデフォルトのゲートウェイを定義する場合、DHCP クライアントは管理インターフェイスの IP アドレスを使用します。管理インターフェイスは、トラフィックをルーティングしません。

ステップ 8

dhcpd enable interface_name
 

hostname(config)# dhcpd enable outside

ASA内の DHCP デーモンをイネーブルにし、イネーブルになったインターフェイス上で DHCP クライアント要求を受信します。

DHCP オプションの設定

ASAは、RFC 2132 に記載されている DHCP オプションの情報を送信するように設定できます。DHCP オプションには、次の 3 つのカテゴリがあります。

「IP アドレスを返すオプション」

「テキスト文字列を返すオプション」

「16 進数値を返すオプション」

ASAでは、3 つのカテゴリをすべてサポートしています。DHCP オプションを設定するには、次のいずれかのコマンドを選択します。

IP アドレスを返すオプション

 

コマンド
目的
dhcpd option code ip addr_1 [ addr_2 ]
 

hostname(config)# dhcpd option 2 ip 10.10.1.1 10.10.1.2

1 つまたは 2 つの IP アドレスを返す DHCP オプションを設定します。

テキスト文字列を返すオプション

 

コマンド
目的
dhcpd option code ascii text
 

hostname(config)# dhcpd option 2 ascii examplestring

テキスト文字列を返す DHCP オプションを設定します。

16 進数値を返すオプション

 

コマンド
目的
dhcpd option code hex value
 

hostname(config)# dhcpd option 2 hex 22.0011.01.FF1111.00FF.0000.AAAA.1111.1111.1111.11

16 進数値を返す DHCP オプションを設定します。


) ASAは、指定されたオプションのタイプおよび値が、RFC 2132 に定義されているオプション コードに対して期待されているタイプおよび値と一致するかどうかは確認しません。たとえば、dhcpd option 46 ascii hello コマンドを入力することは可能であり、ASAでこのコンフィギュレーションは受け入れられますが、RFC 2132 では、オプション 46 には 1 桁の 16 進数値が期待値として定義されています。オプション コードとその関連タイプおよび期待値の詳細については、RFC 2132 を参照してください。


表 11-2 に、 dhcpd option コマンドでサポートされていない DHCP オプションを示します。

 

表 11-2 サポートされていない DHCP オプション

オプション コード
説明

0

DHCPOPT_PAD

1

HCPOPT_SUBNET_MASK

12

DHCPOPT_HOST_NAME

50

DHCPOPT_REQUESTED_ADDRESS

51

DHCPOPT_LEASE_TIME

52

DHCPOPT_OPTION_OVERLOAD

53

DHCPOPT_MESSAGE_TYPE

54

DHCPOPT_SERVER_IDENTIFIER

58

DHCPOPT_RENEWAL_TIME

59

DHCPOPT_REBINDING_TIME

61

DHCPOPT_CLIENT_IDENTIFIER

67

DHCPOPT_BOOT_FILE_NAME

82

DHCPOPT_RELAY_INFORMATION

255

DHCPOPT_END

DHCP オプション 3、66、および 150 は、Cisco IP Phone を設定するために使用します。オプションの設定の詳細については、「DHCP サーバを利用する Cisco IP Phone の使用」を参照してください。

DHCP サーバを利用する Cisco IP Phone の使用

Cisco IP テレフォニー VoIP ソリューションを実装する小規模な支社を持つ企業では、一般に本社で Cisco CallManager を実装し、支社の Cisco IP Phone を制御します。この実装により中央集中型のコール プロセッシングが可能となり、必要な装置を少なく抑え、支店側で Cisco CallManager およびその他のサーバを管理する必要がなくなります。

Cisco IP Phone では、コンフィギュレーションを TFTP サーバからダウンロードします。Cisco IP Phone の起動時に、IP アドレスと TFTP サーバの IP アドレスの両方が事前に設定されていない場合、Cisco IP Phone ではオプション 150 または 66 を伴う要求を DHCP サーバに送信して、この情報を取得します。

DHCP オプション 150 では、TFTP サーバのリストの IP アドレスが提供されます。

DHCP オプション 66 では、1 つの TFTP サーバの IP アドレスまたはホスト名が与えられます。


) Cisco IP Phone では、デフォルト ルートを設定する DHCP オプション 3 を要求に含めることもできます。


1 つの要求にオプション 150 と 66 の両方が含まれている場合があります。この場合、両者がASAですでに設定されていると、ASAの DHCP サーバは、その応答で両方のオプションに対する値を提供します。

RFC 2132 に記載されているオプションの大部分の情報を送信するようにASAを設定できます。次の例では、任意のオプション番号の構文と、オプション 3、66、および 150 の構文を示します。

 

コマンド
目的
dhcpd option number value
 

hostname(config)# dhcpd option 2

RFC-2132 で指定されているオプション番号を含む DHCP 要求の情報を提供します。

 

コマンド
目的
dhcpd option 66 ascii server_name
 

hostname(config)# dhcpd option 66 ascii exampleserver

オプション 66 の TFTP サーバの IP アドレスと名前を提供します。

 

コマンド
目的
dhcpd option 150 ip server_ip1 [ server_ip2 ]
 

hostname(config)# dhcpd option 150 ip 10.10.1.1

オプション 150 の 1 台または 2 台の TFTP サーバの IP アドレスまたは名前を提供します。 server_ip1 には、プライマリ TFTP サーバの IP アドレスまたは名前を、 server_ip2 には、セカンダリ TFTP サーバの IP アドレスまたは名前を指定します。 オプション 150 を使用すると、最大 2 つの TFTP サーバが指定できます。

 

コマンド
目的
dhcpd option 3 ip router_ip1
 

hostname(config)# dhcpd option 3 ip 10.10.1.1

デフォルト ルートを設定します。

DHCP リレー サービスの設定

DHCP リレー エージェントを使用すると、ASAを介して DHCP 要求をクライアントから別のインターフェイスに接続されているルータに転送することができます。

DHCP リレー エージェントを使用する場合、次の制限が適用されます。

DHCP サーバもイネーブルになっている場合、リレー エージェントをイネーブルにできません。

DHCP クライアントは直接ASAに接続する必要があり、他のリレー エージェントやルータを介して要求を送信できません。

マルチ コンテキスト モードでは、複数のコンテキストによって使用されるインターフェイス上で DHCP リレーをイネーブルにできません。

DHCP リレー サービスはトランスペアレント ファイアウォール モードでは使用できません。トランスペアレント ファイアウォール モードの場合、ASA は ARP トラフィックだけ通過を許可します。他のトラフィックはすべてアクセス リストが必要です。トランスペアレント モードで DHCP 要求と応答がASAを通過できるようにするには、2 つのアクセス リストを設定する必要があります。1 つは内部インターフェイスから外部への DCHP 要求を許可するもので、もう 1 つは逆方向に向かうサーバからの応答を許可するためのものです。

DHCP リレーがイネーブルになっていて、複数の DHCP リレー サーバが定義されている場合、ASAにより、定義された各 DHCP リレー サーバにクライアントの要求が転送されます。また、クライアントの DHCP リレー バインディングが削除されるまで、サーバからの応答もクライアントに転送されます。ASAで ACK、NACK、または拒否のいずれかの DHCP メッセージを受け取ると、バインディングが削除されます。


) DHCP プロキシを実行するインターフェイスで DHCP リレーをイネーブルにできません。最初に VPN DHCP の設定を削除する必要があります。そうしないと、エラー メッセージが表示されます。このエラーは、DHCP リレーと DHCP プロキシの両方がイネーブルになっている場合に発生します。DHCP リレーまたは DHCP プロキシのどちらか一方だけがイネーブルであり、両方ともイネーブルになっていないことを確認してください。


DHCP リレーをイネーブルにするには、次の手順を実行します。

 

コマンド
目的

ステップ 1

dhcprelay server ip_address if_name
 

hostname(config)# dhcprelay server 201.168.200.4

DHCP クライアントとは異なるインターフェイス上の DHCP サーバの IP アドレスを設定します。

このコマンドを使用して最大 4 台のサーバを 4 回まで設定できます。

ステップ 2

dhcprelay enable interface
 

hostname(config)# dhcprelay enable inside

クライアントが接続されているインターフェイス上で DHCP リレーをイネーブルにします。

ステップ 3

dhcprelay timeout seconds
 

hostname(config)# dhcprelay timeout 25

(オプション)リレー アドレス ネゴシエーションに許可する時間を秒数で設定します。

ステップ 4

dhcprelay setroute interface_name
 

hostname(config)# dhcprelay setroute inside

(オプション)DHCP サーバから送信されたパケットの最初のデフォルト ルータ アドレスを、ASA インターフェイスのアドレスに変更します。

このアクションを行うと、クライアントは、自分のデフォルト ルートを設定して、DHCP サーバで異なるルータが指定されている場合でも、ASAをポイントすることができます。

パケット内にデフォルトのルータ オプションがなければ、ASAは、そのインターフェイスのアドレスを含んでいるデフォルト ルータを追加します。

DHCP のモニタリング コマンド

DHCP をモニタするには、次のいずれかのコマンドを入力します。

 

コマンド
目的

show running-config dhcpd

 

現在の DHCP コンフィギュレーションを表示します。

show running-config dhcprelay

 

現在の DHCP リレー サービスのステータスを表示します。

DHCP の機能履歴

表 11-3 に、この機能のリリース履歴の一覧を示します。

 

表 11-3 DHCP の機能履歴

機能名
リリース
説明

DHCP

7.0(1)

ASAは、DHCP サーバまたは DHCP リレー サービスをASAのインターフェイスに接続されている DHCP クライアントに提供することができます。

dhcp client update dns dhcpd address dhcpd domain dhcpd enable dhcpd lease dhcpd option dhcpd ping timeout dhcpd update dns dhcpd wins dhcp-network-scope dhcprelay enable dhcprelay server dhcprelay setroute dhcprelay trusted dhcp-server show running-config dhcpd 、および show running-config dhcprelay の各コマンドが導入されました。