本連載は、ネットワーク構築に必須となるLANスイッチについて、動作や仕組みを解説しながら実際の設定例を示し、ネットワークを身近に感じていただける事を目的としています。

第三回までに、トラフィック制御やACL(Access Control Lists)等について解説しました。第四回の本稿では、IP(Internet Protocol)アドレス等を自動取得するDHCP(Dynamic Host Configuration Protocol)関連の機能について解説します。

1.DHCPの概要

パソコンでは、ネットワークを利用するためにIPアドレスの設定が必要ですが、自動取得もできます。この自動取得の仕組みをDHCPと言います。Windowsパソコンでは、DHCPによる自動取得がデフォルトです。自動取得が有効になっていると、パソコン起動時にブロードキャストを送信し、DHCPサーバを探します。DHCPサーバには、割り当て可能なIPアドレスの範囲が設定されています。ブロードキャストを受信したDHCPサーバは、その範囲から1つのIPアドレスを貸し出します。

DHCPサーバからの応答には貸し出すIPアドレスだけでなく、サブネットマスク等の通信する上で必要な情報が含まれています。このため、パソコンは貸し出されたIPアドレスを使って通信が可能になります。DHCPサーバは、貸し出したIPアドレスを憶えているため、IPアドレスが重複して貸し出される事はありません。

2.DHCPスヌーピング

DHCPはブロードキャストされるため、2台以上のDHCPサーバがあると、早く応答したDHCPサーバの情報がパソコンに反映されます。この時、2台のDHCPサーバで貸し出せるIPアドレスの範囲が重複していると、同じIPアドレスが割り当てられる可能性があります。

IPアドレスが重複すると、正常に通信ができません。また、不正なDHCPサーバから使えないIPアドレスを貸し出された場合は、通信ができません。このような、不正なDHCPサーバからの貸し出しを防ぐには、DHCPスヌーピングが有効です。DHCPスヌーピングでは、正当なDHCPサーバを接続しているポートをTrustedポートとして定義します。定義後はDHCPのやりとりを監視して、Trustedポート以外からDHCPの応答があると、フレームを破棄します。

デフォルトでDHCPサーバが有効になっているネットワーク機器もあります。このような機器を無暗に会社のネットワークに接続すると、正常にIPアドレスが取得できなくなる可能性があります。DHCPスヌーピングは、不正なDHCPサーバの応答を遮断するため、そのようなトラブルを防ぐ事ができます。

3.DHCPスヌーピングの設定例

ネットギア製品のスマートスイッチでは、ログイン後に「System」→「Services」→「DHCP Snooping」→「Global Configuration」を選択する事でDHCPスヌーピングを有効にできます。

赤枠部分でEnableを選択後、緑枠部分でDHCPスヌーピングを有効にするVLAN IDを入力し、Enableを選択します。デフォルトはDisableです。「APPLY」をクリックすると、入力したVLANでDHCPスヌーピングが有効になります。Trustedポートは「Interface Configuration」で設定できます。

赤枠部分でポートを選択し、緑枠部分をEnableにすると、選択したポートがTrustedポートになります。デフォルトはDisableです。「APPLY」をクリックすると設定が反映されます。

4.ダイナミックARPインスペクション

通信する際は、相手のMACアドレスを知る必要があります。MACアドレスを知る仕組みは、ARP(Address Resolution Protocol)と呼ばれます。ARPはブロードキャストされ、その応答でMACアドレスを教えて貰います。

悪意ある攻撃者は、ARPの仕組みを利用して通信先に成りすまし、自身を中継して通信させる事ができます。

偽のMACアドレスを教えられたパソコンは、偽のMACアドレス宛てにフレームを送信してしまい、通信を傍受されてしまいます。

この攻撃に対抗するためには、DHCPスヌーピングの情報を利用したダイナミックARPインスペクションが有効です。DHCPスヌーピングは、DHCPを利用したパソコンのMACアドレス等をデータベースに登録します。ダイナミックARPインスペクションは、このデータベースを利用してARPの透過、遮断を行います。例えば、データベースに登録されたMACアドレスのARPは透過するため、通信が可能です。

DHCPを利用せず、勝手にIPアドレスを割り当てた機器のMACアドレスはデータベースにないため、ARPが透過できせん。したがって、悪意ある攻撃者が偽のMACアドレスを教える事を防げます。

サーバ等、DHCPを利用せずにIPアドレスを手動で設定する機器もあります。このような機器が接続されたポートは、Trustedポートに設定すると、ARPを透過して通信が可能になります。例えば、上の図でWebサーバがDHCPを利用していない場合、接続されたLANスイッチのポートをTrustedポートに設定します。また、悪意ある攻撃を防ぐだけでなく、もう1つメリットがあります。例えば、ダイナミックARPインスペクションを利用しない場合、利用可能なIPアドレスを勝手に設定すればネットワークは使えてしまいます。

ダイナミックARPインスペクションを利用すると、勝手にIPアドレスを設定した機器はARPが遮断されるため、通信できません。つまり、不正利用のためや、間違ってIPアドレスを設定したパソコン等が、簡単にネットワークを利用できないようにする事が可能です。

5.ダイナミックARPインスペクションの設定例

ダイナミックARPインスペクションは、「Dynamic ARP Inspection」→「DAI VLAN Configuration」を選択する事で有効にできます。

赤枠部分でVLANを選択し、緑枠部分でEnableにすると、選択したVLANでダイナミックARPインスペクションが有効になります。デフォルトはDisableです。「APPLY」をクリックすると設定が反映されます。ダイナミックARPインスペクションでのTrustedポートは、「DAI Interface Configuration」で設定できます。

設定方法はDHCPスヌーピングのTrustedポートと同じです。

6.おわりに

本項では、DHCP関連の機能と設定について解説しました。ネットギア製品では、GS108TやGS110TP等DHCPフィルタ機能をサポートしているスマートスイッチもあります。DHCPフィルタ機能は、DHCPスヌーピングで説明したTrustedポートの設定が行えますが、ダイナミックARPインスペクションはサポートしていません。
次回は、IEEE802.1X認証についてご紹介します。

著者:のびきよ
2004年に「ネットワーク入門サイト」を立ち上げ、初心者にも分かりやすいようネットワーク全般の技術解説を掲載中。著書に「短期集中! CCNA Routing and Switching/CCENT教本」、「ネットワーク運用管理の教科書」(マイナビ出版)がある。

[PR]提供: