DHCP サービスと DDNS サービス

この章では、ダイナミック DNS(DDNS)のアップデート方式のほか、DHCP サーバーまたは DHCP リレーを設定する方法について説明します。

DHCP サービスと DDNS サービスについて

次の項では、DHCP サーバ、DHCP リレー エージェント、および DDNS 更新について説明します。

DHCPv4 サーバについて

DHCP は、IP アドレスなどのネットワーク構成パラメータを DHCP クライアントに提供します。ASA は、ASA インターフェイスに接続されている DHCP クライアントに、DHCP サーバーを提供します。DHCP サーバは、ネットワーク構成パラメータを DHCP クライアントに直接提供します。

IPv4 DHCP クライアントは、サーバに到達するために、マルチキャスト アドレスよりもブロードキャストを使用します。DHCP クライアントは UDP ポート 68 でメッセージを待ちます。DHCP サーバは UDP ポート 67 でメッセージを待ちます。

DHCP オプション

DHCP は、TCP/IP ネットワーク上のホストに設定情報を渡すフレームワークを提供します。設定パラメータは DHCP メッセージの Options フィールドにストアされているタグ付けされたアイテムにより送信され、このデータはオプションとも呼ばれます。ベンダー情報も Options に保存され、ベンダー拡張情報はすべて DHCP オプションとして使用できます。

たとえば、Cisco IP Phone が TFTP サーバから設定をダウンロードする場合を考えます。Cisco IP Phone の起動時に、IP アドレスと TFTP サーバの IP アドレスの両方が事前に設定されていない場合、Cisco IP Phone ではオプション 150 または 66 を伴う要求を DHCP サーバに送信して、この情報を取得します。

  • DHCP オプション 150 では、TFTP サーバのリストの IP アドレスが提供されます。

  • DHCP オプション 66 では、1 つの TFTP サーバの IP アドレスまたはホスト名が与えられます。

  • DHCP オプション 3 では、デフォルト ルートが設定されます。

1 つの要求にオプション 150 と 66 の両方が含まれている場合があります。この場合、両者が ASA ですでに設定されていると、ASA の DHCP サーバは、その応答で両方のオプションに対する値を提供します。

高度な DHCP オプションにより、DNS、WINS、ドメイン名のパラメータを DHCP クライアントに提供できます。DNS ドメイン サフィックスには DHCP オプション 15 が使用されます。これらの値は DHCP 自動構成設定を使用して取得するか、または手動で定義できます。この情報の定義に 2 つ以上の方法を使用すると、次の優先順位で情報が DHCP クライアントに渡されます。

  1. 手動で行われた設定

  2. 高度な DHCP オプションの設定

  3. DHCP 自動構成設定

たとえば、DHCP クライアントが受け取るドメイン名を手動で定義し、次に DHCP 自動構成を有効にできます。DHCP 自動構成によって、DNS サーバーおよび WINS サーバーとともにドメインが検出されても、手動で定義したドメイン名が、検出された DNS サーバー名および WINS サーバー名とともに DHCP クライアントに渡されます。これは、DHCP 自動構成プロセスで検出されたドメイン名よりも、手動で定義されたドメイン名の方が優先されるためです。

DHCPv6 ステートレス サーバーについて

ステートレスアドレス自動設定(SLAAC)をプレフィックス委任機能と併せて使用するクライアント(IPv6 プレフィックス委任クライアントの有効化)については、これらのクライアントが情報要求(IR)パケットを ASA に送信する際に(DNS サーバー、ドメイン名などの)情報を提供するように ASA を設定できます。ASA は IR パケットのみを受け付け、アドレスをクライアントに割り当てません。クライアントが独自の IPv6 アドレスを生成するように設定するには、クライアントで IPv6 自動設定を有効にします。クライアントでステートレスな自動設定を有効にすると、ルータ アドバタイズメント メッセージで受信したプレフィックス(ASA がプレフィックス委任を使用して受信したプレフィックス)に基づいて IPv6 アドレスが設定されます。

DHCP リレー エージェントについて

インターフェイスで受信した DHCP 要求を 1 つまたは複数の DHCP サーバに転送するように DHCP リレー エージェントを設定できます。DHCP クライアントは、最初の DHCPDISCOVER メッセージを送信するために UDP ブロードキャストを使用します。接続されたネットワークについての情報がクライアントにはないためです。サーバを含まないネットワーク セグメントにクライアントがある場合、ASA はブロードキャスト トラフィックを転送しないため、UDP ブロードキャストは通常転送されません。DHCP リレー エージェントを使用して、ブロードキャストを受信している ASA のインターフェイスが DHCP 要求を別のインターフェイスの DHCP サーバに転送するように設定できます。

VTI での DHCP リレーサーバーのサポート

DHCP クライアントと DHCP サーバーの間で DHCP メッセージを受信して転送するように、ASA インターフェイスで DHCP リレーエージェントを設定できます。ただし、論理インターフェイスを介してメッセージを転送する DHCP リレーサーバーはサポートされていませんでした。

次の図は、VTI VPN 経由の DHCP リレーを使用した DHCP クライアントと DHCP サーバーの DISCOVER プロセスを示しています。ASA サイト 1 の VTI インターフェイスに設定された DHCP リレーエージェントは、DHCP クライアントから DHCPDISCOVER パケットを受信し、VTI トンネルを介してパケットを送信します。ASA サイト 2 は DHCPDISCOVER パケットを DHCP サーバーに転送します。DHCP サーバーは ASA サイト 2 に DHCPOFFER で応答します。この応答が ASA サイト 2 から DHCP リレー(ASA サイト 1)に転送され、そこから DHCP クライアントに転送されます。
図 1. VTI を介した DHCP リレーサーバー

DHCPREQUEST および DHCPACK/NACK の要件についても同じ手順に従います。

DHCP サービスと DDNS サービスのガイドライン

この項では、DHCP および DDNS サービスを設定する前に確認する必要のあるガイドラインおよび制限事項について説明します。

コンテキスト モード

  • DHCPv6 ステートレス サーバは、マルチ コンテキスト モードではサポートされません。

ファイアウォール モード

  • DHCP リレーは、トランスペアレント ファイアウォール モード、BVI 上のルーテッド モードまたはブリッジ グループ メンバー インターフェイスではサポートされません

  • DHCP サーバーは、ブリッジ グループ メンバー インターフェイス上のトランスペアレント ファイアウォール モードでサポートされます。 ルーテッド モードでは、DHCP サーバーは BVI インターフェイスでサポートされますが、ブリッジ グループ メンバー インターフェイスではサポートされません。DHCP サーバーを動作させるために、BVI には名前が必要です。

  • DDNS は、トランスペアレント ファイアウォール モード、BVI 上のルーテッド モードまたはブリッジ グループ メンバー インターフェイスではサポートされません

  • DHCPv6 ステートレス サーバーは、トランスペアレント ファイアウォール モード、BVI 上のルーテッド モードまたはブリッジ グループ メンバー インターフェイスではサポートされません

クラスタリング

  • DHCPv6 ステートレス サーバは、クラスタリングではサポートされません。

IPv6

DHCP ステートレス サーバーの IPv6 と DHCP リレーをサポートします。

DHCPv4 サーバ

  • 使用可能な DHCP の最大プールは 256 アドレスです。

  • インターフェイスごとに 1 つの DHCP サーバのみを設定できます。各インターフェイスは、専用のアドレス プールのアドレスを使用できます。しかし、DNS サーバー、ドメイン名、オプション、ping のタイムアウト、WINS サーバーなど他の DHCP 設定はグローバルに設定され、すべてのインターフェイス上の DHCP サーバーによって使用されます。

  • インターフェイスで DHCP サーバーも有効になっている場合、そのインターフェイスを DHCP クライアントとして設定することはできません。スタティック IP アドレスを使用する必要があります。

  • 別々のインターフェイスで有効にする場合でも、同じデバイスで DHCP サーバーと DHCP リレーの両方を設定することはできません。いずれかのサービスタイプのみを設定できます。

  • インターフェイスの DHCP アドレスを予約できます。ASA で、クライアントの MAC アドレスに基づいて、アドレスプールから DHCP クライアントに特定のアドレスが割り当てられます。

  • ASA は、QIP DHCP サーバと DHCP プロキシ サービスとの併用をサポートしません。

  • DHCP サーバーは、BOOTP 要求をサポートしていません。

DHCPv6 サーバ

DHCPv6 ステートレス サーバは、DHCPv6 アドレス、プレフィックス委任クライアントまたは DHCPv6 リレーが設定されているインターフェイス上で設定できません。

DHCP リレー

  • シングル モードとコンテキストごとに、グローバルおよびインターフェイス固有のサーバを合わせて 10 台までの DHCPv4 リレー サーバを設定できます。インターフェイスごとには、4 台まで設定できます。

  • シングル モードとコンテキストごとに、10 台までの DHCPv6 リレー サーバを設定できます。IPv6 のインターフェイス固有のサーバーはサポートされません。

  • 別々のインターフェイスで有効にする場合でも、同じデバイスで DHCP サーバーと DHCP リレーの両方を設定することはできません。いずれかのサービスタイプのみを設定できます。

  • DHCP リレー サービスは、トランスペアレント ファイアウォール モード、BVI 上のルーテッド モードまたはブリッジ グループ メンバー インターフェイスでは利用できません。ただし、アクセス ルールを使用して DHCP トラフィックを通過させることはできます。DHCP 要求と応答が ASA を通過できるようにするには、2 つのアクセス ルールを設定する必要があります。1 つは内部インターフェイスから外部(UDP 宛先ポート 67)への DCHP 要求を許可するもので、もう 1 つは逆方向(UDP 宛先ポート 68)に向かうサーバーからの応答を許可するためのものです。

  • IPv4 の場合、クライアントは直接 ASA に接続する必要があり、他のリレー エージェントやルータを介して要求を送信できません。IPv6 の場合、ASA は別のリレー サーバーからのパケットをサポートします。

  • DHCP クライアントは、ASA が要求をリレーする DHCP サーバーとは別のインターフェイスに存在する必要があります。

  • トラフィック ゾーン内のインターフェイスで DHCP リレーを有効にできません。

DHCP サーバーの設定

ここでは、ASA の DHCP サーバーを設定する方法について説明します。

手順

ステップ 1

DHCPv4 サーバーの有効化

ステップ 2

高度な DHCPv4 オプションの設定

ステップ 3

DHCPv6 ステートレス サーバーの設定

DHCPv4 サーバーの有効化

ASA のインターフェイスで DHCP サーバーをイネーブルにするには、次の手順を実行します。

手順

ステップ 1

[Configuration] > [Device Management] > [DHCP] > [DHCP Server] の順に選択します。

ステップ 2

インターフェイスを選択し、[Edit] をクリックします。

トランスペアレント モードでは、ブリッジ グループ メンバー インターフェイスを選択します。 ルーテッド モードでは、ルーテッド インターフェイスまたは BVI を選択します。ブリッジ グループ メンバー インターフェイスは選択しないでください。

  1. 選択したインターフェイス上で DHCP サーバーをイネーブルにするには、[Enable DHCP Server] チェックボックスをオンにします。

  2. [DHCP Address Pool] フィールドに、DHCP サーバーが使用する最下位から最上位の IP アドレスの範囲を入力します。IP アドレスの範囲は、選択したインターフェイスと同じサブネット上に存在する必要があり、インターフェイス自身の IP アドレスを含めることはできません。

  3. [Optional Parameters] 領域で、次の項目を設定します。

    • インターフェイスに設定された DNS サーバー(1 および 2)。

    • インターフェイスに設定された WINS サーバー(プライマリおよびセカンダリ)。

    • インターフェイスのドメイン名。

    • インターフェイス上で ASA が ICMP ping の応答を待つ時間(ミリ秒単位)。

    • インターフェイス上に設定された DHCP サーバーが、割り当てた IP アドレスの使用を DHCP クライアントに許可する時間。

    • 指定のインターフェイス(通常は外側)上で ASA が DHCP クライアントとして動作している場合に、自動コンフィギュレーションのための DNS、WINS、ドメイン名情報を提供する DHCP クライアントのインターフェイス。

    • より多くの DHCP オプションを設定するには、[Advanced] をクリックしして [Advanced DHCP Options] ダイアログボックスを表示します。詳細については、「高度な DHCPv4 オプションの設定」を参照してください。

  4. [Dynamic Settings for DHCP Server] 領域の [Update DNS Clients] チェックボックスをオンにして、クライアントの PTR リソース レコードを更新するデフォルトのアクションに加えて、選択した DHCP サーバーでの次の更新アクションの実行を指定します。

    • [Update Both Records] チェックボックスをオンにして、DHCP サーバーが A レコードと PTR RR の両方を更新するように指定します。

    • [Override Client Settings] チェックボックスをオンにして、DHCP サーバーのアクションが、DHCP クライアントによって要求された更新アクションを上書きするように指定します。

  5. [OK] をクリックして、[Edit DHCP Server] ダイアログボックスを閉じます。

ステップ 3

(任意) (ルーテッド モード)指定したインターフェイス(通常は外側)で ASA が DHCP クライアントとして動作している場合に限り、DHCP 自動コンフィギュレーションをイネーブルにするには、DHCP サーバー テーブルの下にある [Global DHCP Options] 領域の [Enable Auto-configuration from interface] チェックボックスをオンにします。

DHCP 自動コンフィギュレーションでは、指定したインターフェイスで動作している DHCP クライアントから取得した DNS サーバー、ドメイン名、および WINS サーバーの情報が、DHCP サーバーから DHCP クライアントに提供されます。自動コンフィギュレーションを介して取得された情報が、[Global DHCP Options] 領域でも手動で指定されている場合、検出された情報よりも手動で指定した情報の方が優先されます。

ステップ 4

ドロップダウン リストから [auto-configuration interface] を選択します。

ステップ 5

インターフェイスの DHCP または PPPoE クライアントの WINS パラメータを VPN クライアントのパラメータで上書きするには、[Allow VPN override] チェックボックスをオンにします。

ステップ 6

[DNS Server 1] フィールドに、DHCP クライアント用のプライマリ DNS サーバーの IP アドレスを入力します。

ステップ 7

[DNS Server 2] フィールドに、DHCP クライアント用の代替 DNS サーバーの IP アドレスを入力します。

ステップ 8

[Domain Name] フィールドに、DHCP クライアント用の DNS ドメイン名(たとえば、example.com)を入力します。

ステップ 9

[Lease Length] フィールドに、リースが期限切れになるまでにクライアントが割り当てられた IP アドレスを使用可能な時間を秒数で入力します。有効な値の範囲は、300 ~ 1048575 秒です。デフォルト値は 3600 秒(1 時間)です。

ステップ 10

[Primary WINS Server] フィールドに、DHCP クライアント用のプライマリ WINS サーバーの IP アドレスを入力します。

ステップ 11

[Secondary WINS Server] フィールドに、DHCP クライアント用の代替 WINS サーバーの IP アドレスを入力します。

ステップ 12

アドレスの衝突を避けるために、ASA は 1 つのアドレスに 2 つの ICMP ping パケットを送信してから、そのアドレスを DHCP クライアントに割り当てます。[Ping Timeout] フィールドに、ASA が DHCP ping の試行のタイムアウトを待つ時間をミリ秒単位で入力します。有効値の範囲は 10 ~ 10000 ミリ秒です。デフォルト値は、50 ミリ秒です。

ステップ 13

追加の DHCP オプションとパラメータを指定するには、[Advanced] をクリックしして [Configuring Advanced DHCP Options] ダイアログボックスを表示します。詳細については、高度な DHCPv4 オプションの設定を参照してください。

ステップ 14

[Dynamic DNS Settings for DHCP Server] 領域で、DHCP サーバー用の DDNS 更新設定を設定します。[Update DNS Clients] チェックボックスをオンにして、クライアントの PTR リソース レコードを更新するデフォルトのアクションに加えて、選択した DHCP サーバーが次の更新アクションも実行するように指定します。

  • [Update Both Records] チェックボックスをオンにして、DHCP サーバーが A レコードと PTR RR の両方を更新するように指定します。

  • [Override Client Settings] チェックボックスをオンにして、DHCP サーバーのアクションが、DHCP クライアントによって要求された更新アクションを上書きするように指定します。

ステップ 15

[Apply] をクリックして変更内容を保存します。

高度な DHCPv4 オプションの設定

ASA は、RFC 2132、RFC 2562、および RFC 5510 に記載されている情報を送信する DHCP オプションをサポートしています。オプション 1、12、50 ~ 54、58 ~ 59、61、67、82 を除き、すべての DHCP オプション(1 ~ 255)がサポートされています。

手順

ステップ 1

[Configuration] > [Device Management] > [DHCP] > [DHCP Server] の順に選択し、[Advanced] をクリックします。

ステップ 2

ドロップダウン リストからオプション コードを選択します。

ステップ 3

設定するオプションを選択します。一部のオプションは標準です。標準オプションの場合、オプション名がオプション番号の後のカッコ内に表示され、オプション番号およびオプション パラメータは、オプションでサポートされるものに制限されます。他のすべてのオプションにはオプション番号だけが表示され、オプションに指定する適切なパラメータを選択する必要があります。たとえば、DHCP オプション 2(タイム オフセット)を選択した場合、このオプションに入力できるのは 16 進数値だけです。他のすべての DHCP オプションでは、すべてのオプション値タイプを使用できますが、適切なものを選択する必要があります。

ステップ 4

[Option Data] 領域に、このオプションによって DHCP クライアントに返す情報のタイプを指定します。標準 DHCP オプションの場合、サポートされるオプションの値タイプだけが使用可能です。他のすべての DHCP オプションでは、すべてのオプション値タイプを使用できます。[Add] をクリックして、オプションを DHCP オプション リストに追加します。[Delete] をクリックして、オプションを DHCP オプション リストから削除します。

  • [IP Address] をクリックして、IP アドレスが DHCP クライアントに返されることを示します。IP アドレスは最大 2 つまで指定できます。IP アドレス 1 および IP アドレス 2 は、ドット付き 10 進数表記の IP アドレスを示します。

    (注)  

     

    関連付けられた [IP Address] フィールドの名前は、選択した DHCP オプションに基づいて変わります。たとえば、DHCP オプション 3(ルーター)を選択した場合、フィールド名は [Router 1] および [Router 2] に変わります。

  • [ASCII] をクリックして、ASCII 値が DHCP クライアントに返されることを指定します。[Data] フィールドに ASCII 文字列を入力します。文字列にスペースを含めることはできません。

    (注)  

     

    関連付けられた [Data] フィールドの名前は、選択した DHCP オプションに基づいて変わります。たとえば、DHCP オプション 14(ダンプ ファイル名)を選択した場合、関連付けられた [Data] フィールドの名前は [File Name] に変わります。

  • [Hex] をクリックして、16 進数値が DHCP クライアントに返されることを指定します。[Data] フィールドに、偶数個の数字(スペースを含まない)から成る 16 進数文字列を入力します。0x プレフィックスを使用する必要はありません。

    (注)  

     

    関連付けられた [Data] フィールドの名前は、選択した DHCP オプションに基づいて変わります。たとえば、DHCP オプション 2(タイム オフセット)を選択した場合、関連付けられた [Data] フィールドは [Offset] フィールドになります。

ステップ 5

[OK] をクリックして、[Advanced DHCP Options] ダイアログボックスを閉じます。

ステップ 6

[Apply] をクリックして変更内容を保存します。

DHCPv6 ステートレス サーバーの設定

ステートレス アドレス自動設定(SLAAC)をプレフィックス委任機能と併せて使用するクライアント(IPv6 プレフィックス委任クライアントの有効化)については、これらのクライアントが情報要求(IR)パケットを ASA に送信する際に情報(DNS サーバー、ドメイン名など)を提供するように ASA を設定できます。ASA は、IR パケットを受け取るだけでクライアントにアドレスを割り当てません。クライアントが独自の IPv6 アドレスを生成するように設定するには、クライアントで IPv6 自動設定を有効にします。クライアントでステートレスな自動設定を有効にすると、ルータ アドバタイズメント メッセージで受信したプレフィックス(ASA がプレフィックス委任を使用して受信したプレフィックス)に基づいて IPv6 アドレスが設定されます。

始める前に

この機能は、シングル ルーテッド モードでのみサポートされます。この機能は、クラスタリングではサポートされていません。

手順

ステップ 1

DHCPv6 サーバーに提供させる情報が含まれる IPv6 DHCP プールを設定します。

  1. [Configuration] > [Device Management] > [DHCP] > [DHCP Pool] の順に選択し、[Add] をクリックします。

  2. [TCP Map Name] フィールドに TCP マップ名を入力します。

  3. 各タブのパラメータごとに、[Import] チェックボックスをオンにするか、フィールドに手動で値を入力して [Add] をクリックします。

    [Import] オプションを指定すると、プレフィックス委任クライアント インターフェイスで ASA が DHCPv6 サーバーから取得した 1 つ以上のパラメータが使用されます。手動で設定されたパラメータとインポートされたパラメータを組み合わせて使用できますが、同じパラメータを手動で設定し、かつ [Import] を指定してインポートすることはできません。

  4. [OK]、続いて [Apply] をクリックします。

ステップ 2

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] の順に選択します。

ステップ 3

インターフェイスを選択して、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが、[General] タブが選択された状態で表示されます。

ステップ 4

[IPv6] タブをクリックします。

ステップ 5

[Interface IPv6 DHCP] 領域で、[Server DHCP Pool Name] オプション ボタンをクリックし、IPv6 DHCP プール名を入力します。

ステップ 6

[Hosts should use DHCP for non-address config] チェックボックスをオンにして、IPv6 ルータ アドバタイズメント パケットの Other Address Config フラグを設定します。

このフラグは、DHCPv6 から DNS サーバー アドレスなどの追加情報の取得に DHCPv6 を使用する必要があることを IPv6 自動設定クライアントに通知します。

ステップ 7

[OK] をクリックします。

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] ペインに戻ります。

ステップ 8

[適用(Apply)] をクリックします。

DHCP リレー エージェントの設定

インターフェイスに DHCP 要求が届くと、ユーザーの設定に基づいて、ASA からその要求がリレーされる DHCP サーバーが決定されます。設定できるサーバーのタイプは次のとおりです。

  • インターフェイス固有の DHCP サーバー:特定のインターフェイスに DHCP 要求が届くと、ASA はその要求をインターフェイス固有のサーバーにだけリレーします。

  • グローバル DHCP サーバー:インターフェイス固有のサーバーが設定されていないインターフェイスに DHCP 要求が届くと、ASA はその要求をすべてのグローバル サーバーにリレーします。インターフェイスにインターフェイス固有のサーバーが設定されている場合、グローバル サーバーは使用されません。

手順

ステップ 1

[Configuration] > [Device Management] > [DHCP] > [DHCP Relay] の順に選択します。

ステップ 2

[DHCP Relay Agent] 領域で、各インターフェイスに必要なサービスのチェックボックスをオンにします。

  • [IPv4] > [DHCP Relay Enabled]。

  • [IPv4] > [Set Route]:サーバーからの DHCP メッセージのデフォルト ゲートウェイ アドレスを、元の DHCP 要求をリレーした DHCP クライアントに最も近い ASA インターフェイスのアドレスに変更します。このアクションを行うと、クライアントは、自分のデフォルト ルートを設定して、DHCP サーバーで異なるルータが指定されている場合でも、ASA をポイントすることができます。パケット内にデフォルトのルータ オプションがなければ、ASA は、そのインターフェイスのアドレスを含んでいるデフォルト ルータを追加します。

  • [IPv6] > [DHCP Relay Enabled]。

  • [Trusted Interface]:信頼する DHCP クライアント インターフェイスを指定します。DHCP Option 82 を維持するために、インターフェイスを信頼できるインターフェイスとして設定できます。DHCP Option 82 は、DHCP スヌーピングおよび IP ソース ガードのために、ダウンストリームのスイッチおよびルータによって使用されます。通常、ASA DHCP リレー エージェントが Option 82 をすでに設定した DHCP パケットを受信しても、giaddr フィールド(サーバーにパケットを転送する前に、リレー エージェントによって設定された DHCP リレー エージェント アドレスを指定するフィールド)が 0 に設定されている場合は、ASA はそのパケットをデフォルトで削除します。インターフェイスを信頼できるインターフェイスとして指定することで、Option 82 を維持したままパケットを転送できます。[Set dhcp relay information as trusted on all interfaces] チェックボックスをオンにして、すべてのインターフェイスを信頼することもできます。

ステップ 3

[Global DHCP Relay Servers] 領域に、DHCP 要求をリレーする 1 つまたは複数の DHCP サーバーを追加します。

  1. [Add] をクリックします。[Add Global DHCP Relay Server] ダイアログボックスが表示されます。

  2. [DHCP Server] フィールドに、DHCP サーバーの IPv4 アドレスまたは IPv6 アドレスを入力します。

  3. [Interface] ドロップダウン リストから、指定した DHCP サーバーが接続されているインターフェイスを選択します。

  4. [OK] をクリックします。

    新たに追加されたグローバル DHCP リレー サーバーが、[Global DHCP Relay Servers] リストに表示されます。

ステップ 4

(オプション)[IPv4 Timeout] フィールドに、DHCPv4 アドレス処理のために許容する時間を秒数で入力します。有効な値の範囲は、1 ~ 3600 秒です。デフォルト値は 60 秒です。

ステップ 5

(オプション)[IPv6 Timeout] フィールドに、DHCPv6 アドレス処理のために許容する時間を秒数で入力します。有効な値の範囲は、1 ~ 3600 秒です。デフォルト値は 60 秒です。

ステップ 6

[DHCP Relay Interface Servers] 領域で、特定のインターフェイスの DHCP 要求がリレーされるインターフェイス固有の DHCP サーバーを 1 台以上追加します。

  1. [Add] をクリックします。[Add DHCP Relay Server] ダイアログボックスが表示されます。

  2. [Interface] ドロップダウン リストから、DHCP クライアントが接続されているインターフェイスを選択します。グローバル DHCP サーバーの場合とは異なり、要求の出力インターフェイスを指定しないことに注意してください。代わりに、ASA はルーティング テーブルを使用して出力インターフェイスを決定します。

  3. [Server to] フィールドに DHCP サーバーの IPv4 アドレスを入力し、[Add] をクリックします。サーバーが右側のリストに追加されます。全体の最大数に余裕があれば、4 台までサーバーを追加します。インターフェイス固有のサーバーでは、IPv6 はサポートされていません。

  4. [OK] をクリックします。

    新しく追加したインターフェイスの DHCP リレー サーバーが、[DHCP Relay Interface Server] リストに表示されます。

ステップ 7

すべてのインターフェイスを信頼するインターフェイスとして設定するには、[Set dhcp relay information as trusted on all interfaces] チェックボックスをオンにします。あるいは、個々のインターフェイスを信頼することもできます。

ステップ 8

[Apply] をクリックして設定値を保存します。

ダイナミック DNS の設定

インターフェイスで DHCP IP アドレッシングを使用している場合、DHCP リースが更新されると、割り当てられた IP アドレスが変更されることがあります。完全修飾ドメイン名(FQDN)を使用してインターフェイスに到達できる必要がある場合、この IP アドレスの変更が原因で DNS サーバーのリソースレコード(RR)が古くなる可能性があります。ダイナミック DNS(DDNS)は、IP アドレスまたはホスト名が変更されるたびに DNS の RR を更新するメカニズムです。DDNS はスタティックまたは PPPoE IP アドレッシングにも使用できます。

DDNS では DNS サーバーの A RR と PTR RR を更新します。A RR には名前から IP アドレスへのマッピングが含まれ、PTR RR でアドレスが名前にマッピングされます。

ASA では、次の DDNS 更新方式をサポートしています。

  • 標準の DDNS:標準の DDNS 更新方式は RFC 2136 で定義されています。

    この方式では、ASA と DHCP サーバーで DNS 要求を使用して DNS の RR を更新します。ASA または DHCP サーバーは、ローカル DNS サーバーにホスト名に関する情報を求める DNS 要求を送信し、その応答に基づいて RR を所有するメイン DNS サーバーを特定します。その後、ASA または DHCP サーバーからメイン DNS サーバーに更新要求が直接送信されます。一般的なシナリオを次に示します。

    • ASA で A RR を更新し、DHCP サーバーで PTR RR を更新する。

      通常、ASA が A RR を「所有」し、DHCP サーバーが PTR RR を「所有」するため、両方のエンティティで個別に更新を要求する必要があります。IP アドレスまたはホスト名が変更されると、ASA から DHCP サーバーに DHCP 要求(FQDN オプションを含む)が送信され、PTR RR の更新を要求する必要があることが通知されます。

    • DHCP サーバーで A RR と PTR RR の両方を更新する。

      このシナリオは、ASA に A RR を更新する権限がない場合に使用します。IP アドレスまたはホスト名が変更されると、ASA から DHCP サーバーに DHCP 要求(FQDN オプションを含む)が送信され、A RR と PTR RR の更新を要求する必要があることが通知されます。

    セキュリティのニーズやメイン DNS サーバーの要件に応じて、異なる所有権を設定できます。たとえば、スタティックアドレスの場合、ASA で両方のレコードの更新を所有します。

  • Web:Web 更新方式では、DynDNS リモート API 仕様(https://help.dyn.com/remote-access-api/)を使用します。

    この方式では、IP アドレスまたはホスト名が変更されると、ASA からアカウントを持っている DNS プロバイダーに HTTP 要求が直接送信されます。


(注)  

DDNS は BVI またはブリッジ グループのメンバー インターフェイスではサポートされません。

始める前に

  • [Configuration] > [Device Management] > [DNS] > [DNS Client] で DNS サーバーを設定します。「DNS サーバーの設定」を参照してください。

  • [Configuration] > [Device Setup] > [ Device Name/Password] でデバイスのホスト名とドメイン名を設定します。「ホスト名、ドメイン名、およびイネーブル パスワードと Telnet パスワードの設定」を参照してください。インターフェイスごとにホスト名を指定しない場合は、デバイスのホスト名が使用されます。FQDN を指定しない場合、スタティックまたは PPPoE IP アドレッシングにおいては、システムのドメイン名または DNS サーバーのドメイン名がホスト名に追加されます。

手順

ステップ 1

[Configuration] > [Device Management] > [DNS] > [Dynamic DNS] の順に選択します。

ステップ 2

標準の DDNS 方式:ASA からの DNS 要求を有効にするように DDNS 更新方式を設定します。

すべての要求を DHCP サーバーで実行する場合は、DDNS 更新方式を設定する必要はありません。

  1. [Update Methods] 領域で、[Add] をクリックします。

  2. [Name] で、このメソッドの名前を指定します。

  3. (任意) [Update Interval] で、DNS 要求の更新間隔を設定します。デフォルトでは、すべての値が 0 に設定され、IP アドレスまたはホスト名が変更されるたびに更新要求が送信されます。要求を定期的に送信するには、[Days](0 ~ 364)、[Hours]、[Minutes]、[Seconds] で間隔を設定します。

  4. [DDNS Record Type] > [Standard DDNS] の順に選択します。

  5. [Records to Update] で、ASA で更新する標準の DDNS レコードを指定します。

    この設定は、ASA から直接更新するレコードにのみ影響します。 DHCP サーバーで更新するレコードを指定するには、インターフェイスごとまたはグローバルに DHCP クライアント設定を行います。ステップ 4を参照してください。

    • [Both (PTR and A records)]:ASA で A RR と PTR RR の両方を更新するように設定します。スタティックまたは PPPoE IP アドレッシングには、このオプションを使用します。

    • [A records only]:ASA で A RR のみを更新するように設定します。DHCP サーバーで PTR RR を更新する場合は、このオプションを使用します。

  6. [OK] をクリックします。

  7. この方式をステップ 4でインターフェイスに割り当てます。

ステップ 3

Web 方式:ASA からの HTTP 更新要求を有効にするように DDNS 更新方式を設定します。

  1. [Update Methods] 領域で、[Add] をクリックします。

  2. [Name] で、このメソッドの名前を指定します。

  3. (任意) [Update Interval] で、DNS 要求の更新間隔を設定します。デフォルトでは、すべての値が 0 に設定され、IP アドレスまたはホスト名が変更されるたびに更新要求が送信されます。要求を定期的に送信するには、[Days](0 ~ 364)、[Hours]、[Minutes]、[Seconds] で間隔を設定します。

  4. [DDNS Record Type] > [Web] の順に選択します。

  5. [Web] フィールドで、更新 URL を指定します。必要な URL については、DNS プロバイダーに問い合わせてください。

    次の構文を使用します。

    https://username:password@provider-domain/path?hostname=<h>&myip=<a>

    例:

    https://jcrichton:pa$$w0rd17@domains.example.com/nic/update?hostname=<h>&myip=<a>

  6. [Web Update Type] で、更新するアドレスタイプ(IPv4 または IPv6)を指定します。

    • [Both All] :(デフォルト)すべての IPv4 アドレスと IPv6 アドレスを更新します。

    • [Both]:IPv4 アドレスと最新の IPv6 アドレスを更新します。

    • [IPv4]:IPv4 アドレスのみを更新します。

    • [IPv6]:最新の IPv6 アドレスのみを更新します。

    • [IPv6 All]:すべての IPv6 アドレスを更新します。

  7. [参照ID名(Reference Identity Name)] に、サーバー証明書の ID を検証するように設定されている参照 ID 名を入力します。

  8. [OK] をクリックします。

  9. この方式をステップ 4でインターフェイスに割り当てます。

  10. Web タイプ方式の DDNS の場合は、HTTPS 接続用の DDNS サーバ証明書の検証のために DDNS サーバのルート CA も識別する必要があります。ステップ 6を参照してください。

ステップ 4

DDNS のインターフェイス設定として、このインターフェイスの更新方式、DHCP クライアント設定、ホスト名などを設定します。

  1. [Dynamic DNS Interface Settings] 領域で、[Add] をクリックします。

  2. ドロップダウンリストから [Interface] を選択します。

  3. [Method Name] で、[Update Methods] 領域で作成した方式の名前を選択します。

    (標準の DDNS 方式)すべての更新を DHCP サーバで実行する場合は、方式を割り当てる必要はありません。

  4. [Hostname] で、このインターフェイスのホスト名を設定します。

    ホスト名を設定しない場合は、デバイスのホスト名が使用されます。FQDN を指定しない場合、システムのドメイン名または DNS サーバーグループのデフォルトのドメイン(スタティックまたは PPPoE IP アドレッシングの場合)、または DHCP サーバーのドメイン名(DHCP IP アドレッシングの場合)が追加されます。

  5. 標準の DDNS 方式:[DHCP Server Record Updates] で、DHCP サーバで更新するレコードを指定します。

    ASA から DHCP サーバーに DHCP クライアント要求が送信されます。DHCP サーバーも DDNS をサポートするように設定する必要があることに注意してください。サーバーはクライアント要求を受け入れるように設定できるほか、クライアントをオーバーライドすることもできます(この場合、サーバーで実行している更新をクライアントで実行しないようにクライアントに応答します)。クライアントで DDNS 更新を要求しなくても、DHCP サーバーから更新を送信するように設定できます。

    スタティックまたは PPPoE IP アドレッシングの場合、これらの設定は無視されます。

    (注)  

     

    これらの値は、メインの [Dynamic DNS] ページで、すべてのインターフェイスに対してグローバルに設定することもできます。インターフェイスごとの設定は、グローバル設定よりも優先されます。

    • [Default (PTR Records)]:DHCP サーバで PTR RR の更新を実行するように要求します。この設定は、[A Records] を有効にした DDNS 更新方式と連携して機能します。

    • [Both (PTR Records and A Records)]:DHCP サーバーで A RR と PTR RR の両方の更新を実行するように要求します。この設定では、DDNS 更新方式をインターフェイスに関連付ける必要はありません。

    • [None]:DHCP サーバで更新を実行しないように要求します。この設定は、[Both A and PTR Records] を有効にした DDNS 更新方式と連携して機能します。

  6. [OK] をクリックします。

ステップ 5

変更を保存するには [Apply] をクリックし、変更を破棄して新しく入力するには [Reset] をクリックします。

ステップ 6

Web 方式の DDNS の場合は、HTTPS 接続用の DDNS サーバ証明書の検証のために DDNS サーバのルート CA も識別する必要があります。

次に、DDNS サーバの CA をトラストポイントとして追加する例を示します。

  1. DDNS サーバーの CA 証明書を取得します。この手順ではファイルをインポートしていますが、PEM 形式で貼り付けることもできます。

  2. [Configuration] > [Device Management] > [Certficate Management] > [CA Certificates] の順に選択し、[Add] をクリックします。

  3. [Trustpoint Name] に名前を入力します。

  4. [Install from a file] をクリックし、証明書ファイルを参照します。

  5. [Install Certificate] をクリックします。

DHCP および DDNS サービスのモニタリング

この項では、DHCP および DDNS の両方のサービスをモニターする手順について説明します。

DHCP サービスのモニタリング

  • [Monitoring] > [Interfaces] > [DHCP] > [DHCP Client Lease Information]

    このペインには、設定されている DHCP クライアントの IP アドレスが表示されます。

  • [Monitoring] > [Interfaces] > [DHCP] > [DHCP Server Table]

    このペインには、設定されている動的な DHCP クライアントの IP アドレスが表示されます。

  • [Monitoring] > [Interfaces] > [DHCP] > [DHCP Statistics]

    このペインには、DHCPv4 メッセージのタイプ、カウンタ、値、方向、受信メッセージ数、および送信メッセージ数が表示されます。

  • [Monitoring] > [Interfaces] > [DHCP] > [IPV6 DHCP Relay Statistics]

    このペインには、DHCPv6 Relay メッセージのタイプ、カウンタ、値、方向、受信メッセージ数、および送信メッセージ数が表示されます。

  • [Monitoring] > [Interfaces] > [DHCP] > [IPV6 DHCP Relay Binding]

    このペインには、DHCPv6 Relay バインディングが表示されます。

  • [Monitoring] > [Interfaces] > [DHCP] > [IPV6 DHCP Interface Statistics]

    この画面は、すべてのインターフェイスの DHCPv6 情報を表示します。インターフェイスが DHCPv6 ステートレス サーバー構成用に設定されている場合(DHCPv6 ステートレス サーバーの設定 を参照)、この画面はサーバーによって使用されている DHCPv6 プールをリストします。インターフェイスに DHCPv6 アドレス クライアントまたはプレフィックス委任クライアントの設定がある場合、この画面は各クライアントの状態とサーバーから受信した値を表示します。この画面は、DHCP サーバーまたはクライアントのメッセージの統計情報も表示します。

  • [Monitoring] > [Interfaces] > [DHCP] > [IPV6 DHCP HA Statistics]

    この画面は、DUID 情報がフェールオーバー ユニット間で同期された回数を含め、フェールオーバー ユニット間のトランザクションの統計情報を表示します。

  • [Monitoring] > [Interfaces] > [DHCP] > [IPV6 DHCP Server Statistics]

    この画面は、DHCPv6 ステートレス サーバーの統計情報を表示します。

DDNS ステータスのモニタリング

DDNS ステータスのモニタリングについては、次のコマンドを参照してください。[Tools] > [Command Line Interface] でコマンドを入力します。

  • show ddns update { interface if_name | method [name]}

    このコマンドは、DDNS 更新ステータスを表示します。

    次の例は、DDNS 更新方式の詳細を示しています。

    
ciscoasa# show ddns update method ddns1

Dynamic DNS Update Method: ddns1
  IETF standardized Dynamic DNS 'A' record update

    次の例は、Web 更新方式の詳細を示しています。

    
ciscoasa# show ddns update method web1

Dynamic DNS Update Method: web1
 Dynamic DNS updated via HTTP(s) protocols
  URL used to update record: https://cdarwin:*****@ddns.cisco.com/update?hostname=<h>&myip=<a>

    次の例は、DDNS インターフェイスに関する情報を示しています。

    
ciscoasa# show ddns update interface outside

Dynamic DNS Update on outside:
  Update Method Name            Update Destination
  test                          not available

    次の例は、Web タイプの更新が成功したことを示しています。

    
ciscoasa# show ddns update interface outside
 
Dynamic DNS Update on outside:
  Update Method Name            Update Destination
  test                          not available
 
Last Update attempted on 09:01:52.729 UTC Mon Mar 23 2020
Status : Success
FQDN : asa1.example.com
IP addresses(s): 10.10.32.45,2001:DB8::1

    次の例は、Web タイプの更新が失敗したことを示しています。

    
ciscoasa# show ddns update interface outside
 
Dynamic DNS Update on outside:
  Update Method Name            Update Destination
  test                          not available
 
Last Update attempted on 09:01:52.729 UTC Mon Mar 23 2020
Status : Failed
Reason : Could not establish a connection to the server

    次の例は、DNS サーバーから Web タイプの更新のエラーが返されたことを示しています。

    
ciscoasa# show ddns update interface outside
 
Dynamic DNS Update on outside:
  Update Method Name            Update Destination
  test                          not available
 
Last Update attempted on 09:01:52.729 UTC Mon Mar 23 2020
Status : Failed
Reason : Server error (Error response from server)

    次の例は、IP アドレスが設定されていないか DHCP 要求が失敗したために、Web 更新がまだ試行されていないことを示しています。

    
ciscoasa# show ddns update interface outside
 
Dynamic DNS Update on outside:
  Update Method Name            Update Destination
  test                          not available
 
Last Update Not attempted

DHCP および DDNS サービスの履歴

機能名

プラットフォームリリース

説明

DDNS の Web 更新方式のサポート

9.15(1)

DDNS の Web 更新方式を使用するようにインターフェイスを設定できるようになりました。

新規/変更された画面:[Configuration] > [Device Management] > [DNS] > [Dynamic DNS]

VTI での DHCP リレーサーバーのサポート

9.14(1)

ASA でインターフェイスを接続する DHCP リレーサーバーとして VTI インターフェイスがサポートされます。

DHCP リレーに VTI インターフェイスを選択できるように次の画面が変更されました。

[Configuration] > [Device Management] > [DHCP] > [DHCP Relay] > [DHCP Relay Interface Servers]

DHCP の予約

9.13(1)

ASA で DHCP の予約がサポートされます。DHCP サーバーで、クライアントの MAC アドレスに基づいて、定義されたアドレスプールから DHCP クライアントにスタティック IP アドレスが割り当てられます。

変更された ASDM 画面はありません。

IPv6 DHCP

9.6(2)

ASA で IPv6 アドレッシングの次の機能がサポートされました。

  • DHCPv6 アドレス クライアント:ASA は DHCPv6 サーバーから IPv6 グローバル アドレスとオプションのデフォルト ルートを取得します。

  • DHCPv6 プレフィックス委任クライアント:ASA は DHCPv6 サーバーから委任プレフィックスを取得します。ASA は、これらのプレフィックスを使用して他の ASA インターフェイスのアドレスを設定し、ステートレス アドレス自動設定(SLAAC)クライアントが同じネットワーク上で IPv6 アドレスを自動設定できるようにします。

  • 委任プレフィックスの BGP ルータ アドバタイズメント

  • DHCPv6 ステートレス サーバー:SLAAC クライアントが ASA に情報要求(IR)パケットを送信すると、ASA はドメインインネームなどの他の情報を SLAAC クライアントに提供します。ASA は、IR パケットを受け取るだけで、クライアントにアドレスを割り当てません。

次の画面が追加または変更されました。

[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add Interface] > [IPv6]

[Configuration] > [Device Management] > [DHCP] > [DHCP Pool]

[Configuration] > [Device Setup] > [Routing] > [BGP] > [IPv6 Family] > [Networks]

[Monitoring] > [interfaces] > [DHCP]

DHCPv6 モニタリング

9.4(1)

IPv6 の DHCP 統計情報および IPv6 の DHCP バインディングをモニターできます。

次の画面が導入されました。[DHCPv6 monitoring]

[Monitoring] > [Interfaces] > [DHCP] > [IPV6 DHCP Statistics, Monitoring] > [Interfaces] > [DHCP] > [IPV6 DHCP Binding]。

DHCP リレー サーバーは、応答用の DHCP サーバー識別子を確認します。

9.2(4)/ 9.3(3)

ASA DHCP リレー サーバーが不適切な DHCP サーバーから応答を受信すると、応答を処理する前に、その応答が適切なサーバーからのものであることを確認するようになりました。導入または変更されたコマンドはありません。変更された ASDM 画面はありません。

変更された ASDM 画面はありません。

DHCP 再バインド機能

9.1(4)

DHCP 再バインド フェーズに、クライアントはトンネル グループ リスト内の他の DHCP サーバーへの再バインドを試みるようになりました。このリリース以前には、DHCP リースの更新に失敗した場合、クライアントは代替サーバーへ再バインドしませんでした。

変更された ASDM 画面はありません。

DHCP の信頼できるインターフェイス

9.1(2)

DHCP Option 82 を維持するために、インターフェイスを信頼できるインターフェイスとして設定できるようになりました。DHCP Option 82 は、DHCP スヌーピングおよび IP ソース ガードのために、ダウンストリームのスイッチおよびルータによって使用されます。通常、ASA DHCP リレー エージェントが Option 82 をすでに設定した DHCP パケットを受信しても、giaddr フィールド(サーバーにパケットを転送する前に、リレー エージェントによって設定された DHCP リレー エージェント アドレスを指定するフィールド)が 0 に設定されている場合は、ASA はそのパケットをデフォルトで削除します。インターフェイスを信頼できるインターフェイスとして指定することで、Option 82 を維持したままパケットを転送できます。

次の画面が変更されました。[Configuration] > [Device Management] > [DHCP] > [DHCP Relay]。

インターフェイスごとの DHCP リレー サーバー(IPv4 のみ)

9.1(2)

DHCP リレー サーバーをインターフェイスごとに設定できるようになりました。特定のインターフェイスに届いた要求は、そのインターフェイス用に指定されたサーバーに対してのみリレーされます。インターフェイス単位の DHCP リレーでは、IPv6 はサポートされません。

次の画面が変更されました。[Configuration] > [Device Management] > [DHCP] > [DHCP Relay]。

DHCP relay for IPv6 (DHCPv6)

9.0(1)

DHCP リレーに IPv6 サポートが追加されました。

次の画面が変更されました。[Configuration] > [Device Management] > [DHCP] > [DHCP Relay]。

DDNS

7.0(1)

この機能が導入されました。

次の画面が導入されました。

[Configuration] > [Device Management] > [DNS] > [DNS Client] 
[設定(Configuration)] > [デバイス管理(Device Management)] > [DNS] > [ダイナミックDNS(Dynamic DNS)]

DHCP

7.0(1)

ASA は、DHCP サーバーまたは DHCP リレー サービスを ASA のインターフェイスに接続されている DHCP クライアントに提供することができます。

次の画面が導入されました。

[Configuration] > [Device Management] > [DHCP] > [DHCP Relay]。[Configuration] > [Device Management] > [DHCP] > [DHCP Server]