- はじめに
- コマンドライン インターフェイスの使用
- Web グラフィカル ユーザ インターフェイスの使用
-
- 不正アクセスの防止
- パスワードおよび権限レベルによるスイッチ アクセスの制御
- 「Configuring TACACS+」
- RADIUS の設定
- 「Configuring Kerberos」
- ローカル認証および許可の設定
- セキュア シェル(SSH)の設定
- Secure Socket Layer HTTP の設定
- IPv4 ACL の設定
- IPv6 ACL の設定
- DHCP の設定
- IP ソース ガードの設定
- ダイナミック ARP インスペクションの設定
- IEEE 802.1x ポートベースの認証の設定
- Web ベース認証の設定
- ポート単位のトラフィック制御の設定
- IPv6 ファースト ホップ セキュリティの設定
- Cisco TrustSec の設定
- ワイヤレス ゲスト アクセスの設定
- 不正なデバイスの管理
- 不正なアクセス ポイントの分類
- wIPS の設定
- 侵入検知システムの設定
-
- システムの管理
- スイッチのセットアップ設定の実行
- Right-To-Use ライセンスの設定
- 管理者のユーザ名とパスワードの設定
- 802.11 パラメータおよび帯域選択の設定
- アグレッシブ ロード バランシングの設定
- クライアント ローミングの設定
- Application Visibility and Control の設定
- 音声パラメータとビデオ パラメータの設定
- RFID タグ追跡の設定
- ロケーションの設定
- フロー制御のモニタリング
- SDM テンプレートの設定
- システム メッセージ ログの設定
- オンライン診断の設定
- コンフィギュレーション ファイルの管理
- コンフィギュレーションの置換とロールバック
- フラッシュ ファイル システムの操作
- Cisco IOS XE ソフトウェア バンドルの操作
- ソフトウェア設定のトラブルシューティング
- Index
統合プラットフォーム構成ガイド、Cisco IOS XE 3.6E(Catalyst 3850 スイッチ)
- Updated:
- 2017年12月27日
章のタイトル: DHCP for WLANs の設定
DHCP for WLANs の設定
機能情報の確認
ご使用のソフトウェア リリースでは、このモジュールで説明されるすべての機能がサポートされているとは限りません。最新の機能情報と注意事項については、ご使用のプラットフォームとソフトウェア リリースに対応したリリース ノートを参照してください。このモジュールに記載されている機能の詳細を検索し、各機能がサポートされているリリースのリストを確認する場合は、このマニュアルの最後にある機能情報の表を参照してください。
プラットフォームのサポートおよびシスコ ソフトウェア イメージのサポートに関する情報を検索するには、Cisco Feature Navigator を使用します。Cisco Feature Navigator には、http://www.cisco.com/go/cfn からアクセスします。Cisco.com のアカウントは必要ありません。
DHCP for WLANs を設定するための前提条件
-
DHCP オプション 82 を使用するには、Cisco IOS ソフトウェアで DHCP を設定します。デフォルトでは、DHCP オプション 82 は、すべてのクライアントに対してイネーブルにされます。WLAN サブオプションを使用して無線クライアントの動作を制御できます。
-
シスコのスマート サービス機能のプラットフォームでは、内部 DHCP サーバ機能をサポートしています。ただし、大規模なエンタープライズ クラスのネットワークを構築する一般的な導入ガイドラインとして、無線クライアントにダイナミック IP アドレスを提供するために、外部 DHCP サーバの使用をお勧めします。このような分散機能は、ネットワーク デバイスにかかる処理および設定の負荷を低減し、大規模環境で効率的に動作させることができます。
-
DHCP スヌーピング設定:DHCP スヌーピング設定は、クライアントの参加機能をすばやくスイッチ上で設定するために必要なベスト プラクティスです。DHCP スヌーピングは各クライアント VLAN 上で有効にする必要があります。WLAN でオーバーライドが適用される場合は、オーバライド VLAN も対象となります。
DHCP スヌーピング設定の例
-
グローバル DHCP スヌーピングの設定: -
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 100
-
Bootp-broadcast コマンドを有効にします。これは、ブロードキャスト アドレスを使用して DHCP メッセージを送信するクライアントに必要で、ブロードキャスト ビットが DHCP メッセージに設定されます。
Switch(config)#ip dhcp snooping wireless bootp-broadcast enable
-
DHCP オプション情報を付加しないためには、次のコマンドを入力します。
Switch(config)#no ip dhcp snooping information option
-
-
インターフェイス上で、次のように設定します。 
(注)
IP DHCP snooping trust は、ポート チャネル インターフェイスのメンバ リンクおよびポート チャネル インターフェイスで必要です。Switch(config)#interface range TenGigabitEthernet 1/0/1 – 2
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan 100
Switch(config-if)#ip dhcp snooping trust
Switch(config)#interface port-channel 1
Switch(config-if)#switchport mode trunk
Switch(config-if)#switchport trunk allowed vlan 100
Switch(config-if)#ip dhcp snooping trust
(注)
DHCP スヌーピングは、上記の設定と同様に、ゲスト アクセス用のゲスト アンカー スイッチで設定する必要があります。 -
DHCP for WLANs の設定に関する制約事項
Dynamic Host Configuration Protocol について
WLAN では、同じ Dynamic Host Configuration Protocol(DHCP)サーバまたは異なる DHCP サーバを使用するか、または DHCP サーバを使用しないように設定できます。 DHCP サーバには、内部 DHCP サーバと外部 DHCP サーバの 2 つのタイプがあります。
内部 DHCP サーバ
スイッチは、内部 DHCP サーバを持っています。 このサーバは、一般的に、DHCP サーバを持たないブランチ オフィスで使用されます。 無線ネットワークには、通常、スイッチと同じ IP サブネット上にある最大 10 台のアクセス ポイントが含まれます。 内部サーバは、ワイヤレス クライアント、ダイレクトコネクト アクセス ポイント、およびアクセス ポイントからリレーされた DHCP 要求に対して DHCP アドレスを提供します。 Lightweight アクセス ポイントのみサポートされています。 内部 DHCP サーバを使用する場合は、スイッチの管理インターフェイスの IP アドレスを DHCP サーバの IP アドレスとして設定する必要があります。
内部サーバでは、DHCP オプション 43 はサポートされていません。 したがって、アクセス ポイントは、ローカル サブネット ブロードキャスト、ドメイン ネーム システム(DNS)、またはプライミングなどの別の方法を使用してスイッチの管理インターフェイスの IP アドレスを見つける必要があります。
内部 DHCP サーバ プールは、そのスイッチの無線クライアントだけをサポートし、他のスイッチのクライアントはサポートしません。 また、内部 DHCP サーバは、無線クライアントだけをサポートし、有線クライアントをサポートしません。
クライアントがスイッチの内部 DHCP サーバを使用する場合、IP アドレスは、再起動後には保持されません。 その結果、複数のクライアントに同じ IP アドレスが割り当てられることがあります。 IP アドレスの競合を解決するには、クライアントは既存の IP アドレスを解放し、新しいアドレスを要求する必要があります。 有線ゲスト クライアントは常に、ローカルまたは外部スイッチに接続されたレイヤ 2 にあります。
(注) | DHCPv6 は内部 DHCP サーバではサポートされません。 |
外部 DHCP サーバ
オペレーティング システムは、DHCP リレーをサポートする業界標準の外部 DHCP サーバを使用することにより、ネットワークに対しては DHCP リレーとして機能し、クライアントに対しては DHCP サーバとして機能するように設計されています。これは、各スイッチは、DHCP サーバに対しては DHCP リレー エージェントとして機能し、無線クライアントに対しては仮想 IP アドレスでの DHCP サーバとして機能することを意味します。
スイッチは DHCP サーバから取得したクライアント IP アドレスをキャプチャするため、スイッチ内、スイッチ間、およびサブネット間でのクライアント ローミング時に、各クライアントに対して同じ IP アドレスが保持されます。
(注) |
DHCP 割り当て
DHCP はインターフェイスごとに、または WLAN ごとに設定できます。 特定のインターフェイスに割り当てられたプライマリ DHCP サーバのアドレスを使用することをお勧めします。
個々のインターフェイスに DHCP サーバを割り当てることができます。 プライマリおよびセカンダリ DHCP サーバの管理インターフェイス、AP マネージャ インターフェイス、動的インターフェイスの設定、DHCP サーバをイネーブルまたはディセーブルするためのサービス ポート インターフェイスの設定を行うことができます。 WLAN で DHCP サーバを定義することもできます。 この場合、サーバは、WLAN に割り当てられたインターフェイスの DHCP サーバ アドレスを上書きします。
セキュリティに関する注意事項
高度なセキュリティが必要な場合は、すべてのクライアントが DHCP サーバから IP アドレスを取得するように設定してください。 この要件を適用するために、DHCP アドレスですべての WLAN を設定できます。 Assignment Required 設定で設定して、クライアントの固定 IP アドレスが禁止されるようにします。 DHCP Addr. Assignment Required が選択されている場合、クライアントは DHCP を使って IP アドレスを取得する必要があります。 固定 IP アドレスを持つクライアントはすべて、ネットワーク上で許可されなくなります。 クライアントの DHCP プロキシとして動作するスイッチが、DHCP トラフィックを監視します。
(注) | 無線による管理をサポートする WLAN では、管理(デバイスサービシング)クライアントが DHCP サーバから IP アドレスを取得できるようにする必要があります。 |
セキュリティが多少劣ってもかまわない場合は、DHCP Addr. Assignment Required を無効に設定して WLAN を作成できます。 その後クライアントは、固定 IP アドレスを使用するか、指定された DHCP サーバの IP アドレスを取得するかを選択できます。
(注) | DHCP アドレス 有線ゲスト LAN に対する Assignment Required は、サポートされていません。 |
個別の WLAN は、 [DHCP アドレス割り当て必須(DHCP Address Assignment Required)] を無効にして作成できます。 これは、スイッチの DHCP プロキシがイネーブルの場合だけです。 DHCP プロキシをディセーブルにする必要があるプライマリ/セカンダリ コンフィギュレーションの DHCP サーバを定義しないでください。 このような WLAN では、すべての DHCP 要求がドロップするため、クライアントは固定 IP アドレスを使用しなければなりません。 これらの WLAN は、無線接続による管理をサポートしていません。
DHCP オプション 82 について
DHCP オプション 82 では、DHCP を使用してネットワーク アドレスを割り当てる場合のセキュリティが強化されます。 スイッチが DHCP リレー エージェントとして動作して、信頼できないソースからの DHCP クライアント要求を阻止できるようにします。 DHCP サーバに転送するようにクライアントからの DHCP 要求にオプション 82 情報を追加するようにスイッチを設定できます。
アクセス ポイントは、クライアントからのすべての DHCP 要求をスイッチに転送します。 スイッチは、DHCP オプション 82 ペイロードを追加してから要求を DHCP サーバに転送します。 このオプションの設定方法によって、ペイロードには MAC アドレス、または MAC アドレスとアクセス ポイントの SSID が含まれます。
(注) | すでにリレー エージェント オプションが含まれている DHCP パケットは、スイッチでドロップされます。 |
DHCP オプション 82 が正しく動作するには、DHCP プロキシが有効でなければなりません。
DHCP スコープの設定
DHCP スコープについて
スイッチには組み込みの DHCP リレー エージェントがあります。 ただし、別個の DHCP サーバを持たないネットワーク セグメントが必要な場合、スイッチに IP アドレスとサブネット マスクを無線クライアントに割り当てる組み込みの DHCP スコープを設定できます。 一般に、1 つのスイッチには、それぞれが各種 IP アドレスを指定する 1 つまたは複数の DHCP スコープを設定できます。
DHCP スコープは内部 DHCP が機能するために必要となります。 スイッチで DHCP が定義されると、管理インターフェイス、AP マネージャ インターフェイス、動的インターフェイスのプライマリ DHCP サーバの IP アドレスをスイッチの管理インターフェイスにポイントすることができます。
DHCP for WLANs の設定方法
WLAN 用の DHCP 設定(CLI)
WLAN で次の DHCP パラメータを設定するには、次の手順に従います。
1.
configure terminal
2.
shutdown
3.
wlan profile-name
4.
ip dhcp opt82 {ascii | format {add-ssid | ap-ethmac} | rid}
5.
ip dhcp required
6.
ip dhcp server ip-address
7.
no shutdown
8.
end
9.
show wlan wlan-name
手順の詳細
DHCP スコープの設定(CLI)
1.
configure terminal
2.
ip dhcp pool pool-name
3.
network network-name mask-address
4.
dns-server hostname
5.
end
手順の詳細
その他の参考資料
関連資料
| 関連項目 | マニュアル タイトル |
|---|---|
| システム管理 | System Management Configuration Guide (Catalyst 3850 Switches)System Management Configuration Guide (Cisco WLC 5700 Series) |
エラー メッセージ デコーダ
| 説明 | Link |
|---|---|
|
このリリースのシステム エラー メッセージを調査し解決するために、エラー メッセージ デコーダ ツールを使用します。 |
https://www.cisco.com/cgi-bin/Support/Errordecoder/index.cgi |
MIB
| MIB | MIB のリンク |
|---|---|
| 本リリースでサポートするすべての MIB |
選択したプラットフォーム、Cisco IOS リリース、およびフィーチャ セットに関する MIB を探してダウンロードするには、次の URL にある Cisco MIB Locator を使用します。 |
シスコのテクニカル サポート
| 説明 | Link |
|---|---|
|
シスコのサポート Web サイトでは、シスコの製品やテクノロジーに関するトラブルシューティングにお役立ていただけるように、マニュアルやツールをはじめとする豊富なオンライン リソースを提供しています。 お使いの製品のセキュリティ情報や技術情報を入手するために、Cisco Notification Service(Field Notice からアクセス)、Cisco Technical Services Newsletter、Really Simple Syndication(RSS)フィードなどの各種サービスに加入できます。 シスコのサポート Web サイトのツールにアクセスする際は、Cisco.com のユーザ ID およびパスワードが必要です。 |
DHCP for WLANs の機能情報
| 機能名 | リリース | 機能情報 |
|---|---|---|
| WLAN の DHCP 機能 | Cisco IOS XE 3.2SE | この機能が導入されました。 |
フィードバック