Tweet

最終回 DHCPベストプラクティスと新たな役割の模索

　不正PCの排除にDHCPを利用する

　最後に、もう少しDHCPを有効に使う1つの方法を説明します。DHCPはIPアドレスなどの情報をクライアントに配布するために利用されるというのは、すでに理解できていると思います。ここでは、そのIPアドレスを払い出すクライアントを制限することにより、不正につながれたPCの排除について、いくつかの方法を説明します。

　といっても、あくまでDHCPでできる方法ですので、DHCPを使わない方法でIPアドレスを設定されるとお手上げではありますが。

●Fixed（Static）でのIPアドレスの払い出し

　FixedやStaticと呼ばれるIPアドレスの払い出し方法です。いままで説明してきたDHCPの払い出しは、あらかじめ用意したIPアドレス群の中から使われていないものをクライアントに払い出すという方法でした。この方法では、どのクライアントがどのIPアドレスを利用するかということが保証されていませんので、毎回別のIPアドレスになる可能性があります（実際には、同じIPアドレスが振り続けられることがほとんどですが）。

　設定としては、クライアントのMACアドレスと払い出すIPアドレスを1対1で結び付けてしまうというものです。この方法のメリットは、接続を許可したクライアントが、必ず同じIPアドレスを使うということです。そして、登録されていないクライアントには、IPアドレスが払い出されません。

　細かくクライアントを制限できる半面、MACアドレスとIPアドレスを常に管理し続けないといけませんので、クライアントの入れ替え時にはそれなりの作業が発生します。また、一番初めにMACアドレスを収集するのも大変な作業です。

●MACアドレスフィルタの利用

　この方法は、あらかじめ接続を許可するMACアドレスを登録しておいて、登録されているクライアントにのみIPアドレスを払い出すという方法です。MACアドレスを登録するという意味ではFixedと同じですが、こちらは特定のIPアドレスの範囲から払い出します。

　また、Fixedのように1対1での情報を管理する必要はありませんので、少しは手間がかからないと思います。ですが、MACアドレスの情報は常時最新に保つ必要がありますので、やはりそれなりの手間が必要です。

●Optionフィルタの利用

　この方法は、いままでのものとは少し違った使い方をするためのものです。先の2つの方法は、接続するクライアントを制限するためのものでした。このOptionフィルタは、Optionによって払い出すレンジや設定情報を分けるためのものです。

　まず、Optionについて少し説明します。

　一般的にDHCPのOptionは、DNSサーバやゲートウェイなどといったIPアドレス以外の情報をクライアントに設定するために利用されます。

　ここで利用するOptionは、「Option 60」というものです。このOptionはクライアントからDHCPサーバに送られるメッセージに入っているものです。IP電話やシンクライアントなどでは、製品の型番などが送られてきます。

　すなわち、製品の型番などによって払い出すIPアドレスのレンジを分けたり、オプションの設定を変えたりすることができます。例えば、IP電話の場合は、IPアドレスやゲートウェイだけではなく、IP電話のサーバやtftpサーバのアドレスもDHCPのオプションで設定されます。そのため、同じネットワーク内にPCとIP電話がある場合は、レンジやオプションを分ける必要があります。そういった場合にこのオプションが利用できます。この機能を利用すれば、わざわざIP電話用のネットワークを作らなくてもいい場合もあります。

　これまで、4回にわたってDNSとDHCPの重要性について説明してきました。DNSやDHCPは皆さんが当たり前のように利用しているサービスであり、水や電気のように止まってしまうと影響が大きいということも分かってもらえたかと思います。

　この連載が、運用上は日陰の存在であった、DNSとDHCPについて見直すきっかけになってくれれば幸いです。

3/3

Index
DHCPベストプラクティスと新たな役割の模索
	Page1 DHCPサービスを止めないために 方法その1：2台のサーバでDHCPのサービスを行う 引く手あまた――でも手を握るのは1つだけ
	Page2 方法その2：HA構成による冗長化 方法その3：DHCP Failoverを使う
	Page3 不正PCの排除にDHCPを利用する

もう一度見直したいDNS／DHCP 連載インデックス

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）

RSSフィード