$Date: 2006/05/15 03:21:10 $
本文書は、ヤマハルータのDHCP機能と日立電線株式会社製スイッチングハブ ApresiaのDHCP-Snooping機能を併用する場合の設定例を示すものです。
本文書はApresia2124GT-SSで動作確認を行った一例であり、Apresiaとの相互接続を保証するものではありませんが、設定する際の参考情報としてお使いください。
Apresiaに関する質問等は、下記までお問合せください。
| <お問い合わせ先> | |
| 日立電線株式会社 情報システム事業本部 マーケティング部 | |
| 電話 | :03-5256-3194 (ダイヤルイン) |
| 製品HP | :http://www.apresia.jp |
| ニュースリリース | : http://www.hitachi-cable.co.jp/infosystem/news/20060515.html |
ApresiaのDHCP Snooping機能を併用することにより、認証ネットワーク環境をより強固なものにすることができます。またこのとき、基本的にRTではDHCP認証機能を設定するだけでよく、Ethernetフィルタリングを設定する手間を省くことができます。
この機能は、DHCPサーバとDHCPクライアント間のDHCPパケットをスヌーピング(Snooping)し、DHCPサーバからDHCPクライアントに配布されたIPアドレスが送信元アドレスであるパケットのみの通過を許可するフィルタリング動作を行います。
フィルタリングの対象となるのはIPパケット、及びARPフレームです。
具体的には、クライアントが接続されているポートに対して、Snoopingした送信元IPアドレスを許可するフィルタを作成することになります。
RT単体ではDHCP認証とEthernetフィルタリング機能により、認証されていない端末に対して外部セグメントへのアクセスを制限することはできますが、同一セグメント内のアクセスを制限することはできません。
そこでApresiaのDHCP Snooping機能を併用することにより、認証されていない端末の同一セグメント内へのアクセスも制限することができます。
<Apresia導入前>
*
|
正規端末A----------+
DHCPc ●←―― | DHCP認証/Ethernetフィルタリング
+-------RT----(外部ネットワーク)
正規端末B----------+ DHCPs
DHCPc ●←―― | ―――→×
|
不正端末-----------+
固定IP ●――→ |
*
上図のように、認証されていない端末が認証端末と同一セグメント上に固定IPアドレスをもって存在する場合、RTのDHCP認証とEtehrnetフィルタリングによって、不正端末が外部ネットワークと通信することは阻止することはできますが、同一セグメント内での通信は制限できません。
そこで、下図のようにセグメント内の中継スイッチとしてApresiaを配置し、DHCP Snooping機能を有効にすることで、DHCPサーバからリースされたアドレスを持たない端末の通信パケットは、スイッチのポート間を中継する時点でブロックされ、同一セグメント内の他の端末とも一切の通信を遮断することができます。
<Apresia導入後>
+---+
正規端末A----------+ |
DHCPc | A | DHCP認証
| p +-------RT----(外部ネットワーク)
正規端末B----------+ r | DHCPs
DHCPc | e |
| s |
不正端末-----------+ i |
固定IP ●――→×| a |
+---+
DHCP Snooping
以降では、いくつかの構築例および設定概要について述べます。各コマンドの詳細な仕様については、RTおよびApresiaのコマンドリファレンスを参照するようにしてください。
192.168.0.0/24
+---+
+-------+ 1| A |
| 端末A +-----------+ p |
+-------+ | r |
00:a0:de:01:02:03 | e |
192.168.0.2(DHCP) | s |
| i |
+-------+ 2| a | .1
| 端末B +-----------+ |13 +-------+ 外部ネットワークへ
+-------+ | 2 +-------+ RT +------->
00:a0:de:11:12:13 | 1 | +-------+
192.168.0.3(DHCP) | 2 | lan1
| 4 | DHCPs
+-------+ 3| G |
| 端末C +-----------+ T |
+-------+ | | |
非認証、固定IP | S |
| S |
+---+
※図中、Apresiaの側に付加した数字は接続ポート番号を表します
# ip lan1 address 192.168.0.1/24 # dhcp service server # dhcp server rfc2131 compliant except remain-silent # dhcp scope lease type 1 bind-only # dhcp scope 1 192.168.0.2-192.168.0.5/24 expire 1:00 maxexpire 1:00 # dhcp scope bind 1 192.168.0.2 ethernet 00:a0:de:01:02:03 # dhcp scope bind 1 192.168.0.3 ethernet 00:a0:de:11:12:13
> enable # configure terminal (config)# interface vlan 1 ...1 (config-if)# ip address 192.168.0.254/24 ...2 (config-if)# exit ...3 (config)# ip route 0.0.0.0/0 192.168.0.1 ...4 (config)# dhcp snooping port 1-12 ...5 (config)# dhcp snooping mode timer 1800 ...6 (config)# dhcp snooping vlan add 1 ...7 (config)# dhcp snooping enable ...8 (config)# exit #
また、ApresiaではENABLEモードにて以下のようなコマンドで設定/動作状態の確認をすることができます。
(primary) 192.168.0.0/24
(secondary) 172.16.0.0/24
+---+
+-------+ 1| A |
| 端末A +-------+ p |
+-------+ | r |
00:a0:de:01:02:03 | e |
192.168.0.2 | s |
(DHCP:primary) | i |
| a |
+-------+ 2| |
| 端末B +-------+ 2 |
+-------+ | 1 |
00:a0:de:11:12:13 | 2 |
172.16.0.x | 4 | 192.168.100.0/24
(DHCP:secondary) | G | |
| T | |
+-------+ 3| | | |
| 端末C +-------+ S | | lan3
+-------+ | S | | 192.168.100.1/24
00:a0:de:21:22:23 | |13 +--+------+
192.168.0.200 | +--------+ RT +-----------> 外部ネットワークへ
(固定IP) +---+ lan1 +---------+ lan2
(primary) 192.168.0.1/24
(secondary) 172.16.0.1/24
# ip lan1 address 192.168.0.1/24 # ip lan1 secondary address 172.16.0.1/24 # ip lan3 address 192.168.100.1/24 # dhcp service server # dhcp server rfc2131 compliant except remain-silent # dhcp scope lease type 1 bind-only fallback=2 # dhcp scope 1 192.168.0.2-192.168.0.5/24 expire 1:00 maxexpire 1:00 # dhcp scope bind 1 192.168.0.2 ethernet 00:a0:de:01:02:03 # dhcp scope 2 172.16.0.2-172.16.0.5/24 expire 1:00 maxexpire 1:00 # ip lan2 secure filter out 1 # ip filter 1 pass 192.168.0.0/24 * # ip filter 2 pass 172.16.0.0/24 192.168.100.0/24 * # ip filter 3 pass 0.0.0.0 * # ip filter 4 pass 172.16.0.0/24 172.16.0.1 * # ip lan1 secure filter in 1 2 3 4
> enable # configure terminal (config)# interface vlan 1 (config-if)# ip address 192.168.0.254/24 ...1 (config-if)# ip address 172.16.0.254/24 secondary ...2 (config-if)# exit (config)# ip route 0.0.0.0/0 192.168.0.1 (config)# dhcp snooping port 1-12 (config)# dhcp snooping mode timer 1800 (config)# dhcp snooping vlan add 1 (config)# dhcp snooping enable (config)# exit #
192.168.0.0/24 192.168.1.0/24
* +---+
+-------+ | | A |
| 端末A +-------+ | p |
+-------+ | lan1 lan2 | r | lan2
00:a0:de:01:02:03 | .1 .1 | e | .2
192.168.0.2(DHCP) | +-------+ 1| s |13 +-------+
+-------+ RT1 +---+ i +----+ RT2 +-----
+-------+ | +-------+ | a | +-------+(外部ネットワークへ)
| 端末B +-------+ DHCPr | | DHCPs
+-------+ | | 2 |
00:a0:de:11:12:13 | | 1 |
非認証端末 | | 2 |
| | 4 |
+-------+ | | G |
| 端末C +-------+ | T |
+-------+ | | | |
00:a0:de:21:22:23 * | S |
固定アドレス | S |
+---+
# ip route default gateway 192.168.1.2 # ip lan1 address 192.168.0.1/24 # ip lan2 address 192.168.1.1/24 # dhcp service relay # dhcp relay server 192.168.1.2
# ip route 192.168.0.0/24 gateway 192.168.1.1 # ip lan2 address 192.168.1.2/24 # dhcp service server # dhcp server rfc2131 compliant except remain-silent # dhcp scope lease type 1 bind-only # dhcp scope 1 192.168.0.2-192.168.0.5/24 gateway 192.168.0.1 expire 1:00 maxexpire 1:00 # dhcp scope bind 1 192.168.0.2 ethernet 00:a0:de:01:02:03
> enable # configure terminal (config)# interface vlan 1 (config-if)# ip address 192.168.1.254/24 (config-if)# exit (config)# ip route 0.0.0.0/0 192.168.1.2 (config)# ip route 192.168.0.0/24 192.168.1.1 (config)# dhcp snooping port 1-12 (config)# dhcp snooping mode timer 1800 (config)# dhcp snooping vlan add 1 (config)# dhcp snooping static-entry port 1 192.168.1.1 ...1 (config)# dhcp snooping enable (config)# exit #