DHCPベストプラクティスと新たな役割の模索もう一度見直したいDNS/DHCP(終)(3/3 ページ)

» 2008年03月12日 05時00分 公開
[澁谷寿夫Infoblox株式会社]
前のページへ 1|2|3       

不正PCの排除にDHCPを利用する

 最後に、もう少しDHCPを有効に使う1つの方法を説明します。DHCPはIPアドレスなどの情報をクライアントに配布するために利用されるというのは、すでに理解できていると思います。ここでは、そのIPアドレスを払い出すクライアントを制限することにより、不正につながれたPCの排除について、いくつかの方法を説明します。

 といっても、あくまでDHCPでできる方法ですので、DHCPを使わない方法でIPアドレスを設定されるとお手上げではありますが。

Fixed(Static)でのIPアドレスの払い出し

 FixedやStaticと呼ばれるIPアドレスの払い出し方法です。いままで説明してきたDHCPの払い出しは、あらかじめ用意したIPアドレス群の中から使われていないものをクライアントに払い出すという方法でした。この方法では、どのクライアントがどのIPアドレスを利用するかということが保証されていませんので、毎回別のIPアドレスになる可能性があります(実際には、同じIPアドレスが振り続けられることがほとんどですが)。

 設定としては、クライアントのMACアドレスと払い出すIPアドレスを1対1で結び付けてしまうというものです。この方法のメリットは、接続を許可したクライアントが、必ず同じIPアドレスを使うということです。そして、登録されていないクライアントには、IPアドレスが払い出されません。

 細かくクライアントを制限できる半面、MACアドレスとIPアドレスを常に管理し続けないといけませんので、クライアントの入れ替え時にはそれなりの作業が発生します。また、一番初めにMACアドレスを収集するのも大変な作業です。

MACアドレスフィルタの利用

 この方法は、あらかじめ接続を許可するMACアドレスを登録しておいて、登録されているクライアントにのみIPアドレスを払い出すという方法です。MACアドレスを登録するという意味ではFixedと同じですが、こちらは特定のIPアドレスの範囲から払い出します。

 また、Fixedのように1対1での情報を管理する必要はありませんので、少しは手間がかからないと思います。ですが、MACアドレスの情報は常時最新に保つ必要がありますので、やはりそれなりの手間が必要です。

Optionフィルタの利用

 この方法は、いままでのものとは少し違った使い方をするためのものです。先の2つの方法は、接続するクライアントを制限するためのものでした。このOptionフィルタは、Optionによって払い出すレンジや設定情報を分けるためのものです。

 まず、Optionについて少し説明します。

 一般的にDHCPのOptionは、DNSサーバやゲートウェイなどといったIPアドレス以外の情報をクライアントに設定するために利用されます。

 ここで利用するOptionは、「Option 60」というものです。このOptionはクライアントからDHCPサーバに送られるメッセージに入っているものです。IP電話やシンクライアントなどでは、製品の型番などが送られてきます。

 すなわち、製品の型番などによって払い出すIPアドレスのレンジを分けたり、オプションの設定を変えたりすることができます。例えば、IP電話の場合は、IPアドレスやゲートウェイだけではなく、IP電話のサーバやtftpサーバのアドレスもDHCPのオプションで設定されます。そのため、同じネットワーク内にPCとIP電話がある場合は、レンジやオプションを分ける必要があります。そういった場合にこのオプションが利用できます。この機能を利用すれば、わざわざIP電話用のネットワークを作らなくてもいい場合もあります。



 これまで、4回にわたってDNSとDHCPの重要性について説明してきました。DNSやDHCPは皆さんが当たり前のように利用しているサービスであり、水や電気のように止まってしまうと影響が大きいということも分かってもらえたかと思います。

 この連載が、運用上は日陰の存在であった、DNSとDHCPについて見直すきっかけになってくれれば幸いです。

筆者紹介

澁谷寿夫(しぶやひさお)

Infoblox株式会社 Systems Engineer

学生時代にLinuxと出会い、趣味と仕事で利用するようになる。

ISP勤務時代に出会ったCobaltに一目惚れしてしまい、ついにはCobaltに入社してしまう。それ以後アプライアンスをこよなく愛し、現在はコアネットワークサービスのアプライアンスメーカーであるInfobloxに勤務。

プライベートでは、オープンソースになったCobaltのGUIを開発するProject BlueQuartzの主開発者の1人として活動中。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。