最終回 DHCPベストプラクティスと新たな役割の模索
澁谷 寿夫
Infoblox株式会社
Systems Engineer
2008/3/12
動いていて当たり前のDHCP、それを実現するためにはどのような方式があるのでしょうか。ネットワークの基礎、DNSとDHCPをもう一度考える連載の最終回は、DHCPを止めないための手法を解説します(編集部)
運用のうえでは動いていることが当たり前ととらえられがちなDHCP。それはとても重要なサービスであるということは第3回「いつかは起きる『DHCPが止まる日』のため」で説明したとおりです。
今回は、DNSとDHCPについて解説してきた本連載の総まとめとして、DHCPサービスを止めないためのいくつかの方法と、不正PCの排除にDHCPサービスを応用することについて説明していきます。
DHCPサービスを止めないために
DHCPサービスが止まると、実は相当に影響が大きいということを前回説明しました。では、そのDHCPサーバを停止させないためにはどうすればいいでしょうか。止めないためにはそれなりの構成を作る必要がありますが、いくつかの方法があります。その方法について、それぞれのメリット/デメリットを説明していきます。
方法その1:2台のサーバでDHCPのサービスを行う
この方法は、特別なソフトウェアを利用することなく構築することができます。ですので、Windows ServerではルータをDHCPサーバの1つとして利用することも可能です。
 |
| 図1 2台のDHCPサーバを利用した構成 |
構成は、図1のように2台のDHCPサーバを1つのネットワーク上に設置します。そして、その2台ともアクティブ(DHCPサービスを有効)にします。そうすることで、1台が止まった場合でも、もう1台からIPアドレスを払い出すことができます。
ここで、2台からIPアドレスが払い出されるということは、どちらのDHCPサーバからIPアドレスが払い出されるか疑問に思われるかと思います。
以下に払い出しの手順を解説します。この手順は一般的なDHCPによるIPアドレスの払い出し手順となります。
| 1. | DISCOVER: | クライアント→DHCPサーバ |
| 2. | OFFER: | DHCPサーバ→クライアント |
| 3. | REQUEST: | クライアント→DHCPサーバ |
| 4. | ACK: | DHCPサーバ→クライアント |
これは、IPアドレスを持っていないクライアントからのIPアドレス要求の手順です。すでにIPアドレスを持っている場合は、3、4の手順のみとなります。
引く手あまた――でも手を握るのは1つだけ
もう少し細かく手順を説明しましょう。
- クライアントからDISCOVERとしてIPアドレスの要求が送られる
- DISCOVERを受け取ったDHCPサーバは、プールの空きIPアドレスから払い出す候補のIPアドレスをOFFERとしてクライアントに送る
- OFFERを受け取ったクライアントは、DHCPサーバにそのIPアドレスをREQUESTとして送る
- 自分あてのREQUESTを受け取ったDHCPサーバは、IPアドレスを利用する許可をACKとしてクライアントに送る
ここで、同じネットワーク上にDHCPサーバが2台あった場合の動作について考えます。
DHCPサーバが2台あった場合に動作が変わってくるのは、2番目からの動きになります。2台のDHCPサーバは、おのおのDISCOVERを受け取り、OFFERを送ります。すなわち、クライアントには2台からのOFFERが届きます。ここで、3番目の手順としてクライアントはREQUESTを送るわけですが、2台からOFFERをもらったからといって両方に送るわけではありません。クライアントは、先に受け取ったOFFERに対して、REQUESTを送ります。ですので、一般的にはネットワークに近い方からのOFFERが先に届くようになると思います。
REQUESTは2台のDHCPサーバに届きますが、REQUESTの中には、どのDHCPサーバから送られたOFFERに対するものなのかが書かれています。そのため、DHCPサーバは、自分のIPアドレスが書かれていないREQUESTについては、何も行いません。
そして、自分向けのREQUESTを受け取ったDHCPサーバは、ACKをクライアントに送りますので、どちらか一方からIPアドレスが払い出されるということになります。
ただ、この方法は構築が簡単な半面、IPアドレスの容量に制限が発生します。図1のように、DHCPに割り振れるIPアドレスが200個だとすると、故障時には最大100個までしかIPアドレスを払い出すことができません。1つのネットワーク内のクライアント数が少ない場合や新規にネットワークを構築する場合では手軽で有効な手段ですが、すべての環境において推奨される方法とはいえません。
1/3 |
 |
| Index | |
| DHCPベストプラクティスと新たな役割の模索 | |
 |
Page1 DHCPサービスを止めないために 方法その1:2台のサーバでDHCPのサービスを行う 引く手あまた――でも手を握るのは1つだけ |
| Page2 方法その2:HA構成による冗長化 方法その3:DHCP Failoverを使う |
|
| Page3 不正PCの排除にDHCPを利用する |
|
 |
もう一度見直したいDNS/DHCP 連載インデックス |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
