FortigateはDHCPサーバとして動作させることができます。
今回の記事では、FortigateのDHCP基本設定、およびパケットキャプチャによるDHCP通信シーケンスを確認します。また、高度な設定として、オプション指定やMACアドレスベースでの予約アドレス設定も確認します。
基本設定
今回はInternalインタフェースに接続された端末にDHCPで192.168.100.100〜200の範囲のアドレスを割り当てるものとします。
DHCPサーバはインタフェース単位で設定します。
ネットワーク >> インタフェース でinternalをクリックします。
予めIPアドレスは、192.168.100.254/24を設定しているものとします。
このインタフェースでDHCPサーバを有効にします。
以下のような設定画面が表示されます。
- アドレス範囲:端末に割り当てるIPアドレスの範囲(最初のIPアドレス、終了IP)を設定します。新規作成 をクリックすることで、設定を追加できます。今回は、192.168.100.100から192.168.100.200を割り当てるものとします。
- ネットマスク:端末に割り当てるサブネットマスクです。Fortigateに割り当てているサブネットと同一で、255.255.255.0とします。
- デフォルトゲートウェイ:端末に割り当てるデフォルトゲートウェイ。インタフェースIPと同じを選択すると、Fortigateのインタフェースのアドレスがデフォルトゲートウェイとして配信されます。別のアドレスを指定することもできますが、今回は、FortigateのIPアドレス(192.168.100.254)を配信します。
- DNSサーバ:端末に割り当てるDNSサーバ。システムDNSと同じとすると、Fortigateに設定されているDNSサーバが配信されます。Fortigateでは、デフォルトで、208.91.112.53(プライマリ)と208.91.112.52(セカンダリ)が設定されています。 DNSフィルタなどを使用するため、Fortigate自身をDNSサーバに設定する場合は、インタフェースIPと同じを設定してください。別にアドレスを指定することもできます。今回は、システムDNSと同じとします。
端末のIPアドレスを自動取得にし接続すると、ネットワーク接続情報が取得されていることが確認できます。(以下、MAC端末での出力です)
DHCP通信のシーケンス
DHCPは、Discover / Offer / Request / ACK の4種類のパケットを用いて、アドレスの配信をします。基本設定の環境におけるDHCP通信のキャプチャをもとに、シーケンスを確認します。
Discover
端末がブロードキャストを使用して、DHCPサーバを探索します。まだ、IPアドレスは付与されていませんので、送信元IPアドレスは0.0.0.0です。
Offer
DHCPサーバから端末へ割り当てするIPアドレスが提案されます。
Request
端末は提案されたIPアドレスに対して、割り当てを要求します。
ACK
DHCPサーバが割り当てを許可します。
確認コマンド
Fortigate上で、配信(リース)されているアドレスは execute dhcp lease-list で確認することができます。
Fortigate-1 # execute dhcp lease-list internal IP MAC-Address Hostname VCI Expiry 192.168.100.100 04:ab:18:7f:b5:d9 hirotanopc Fri Mar 19 20:51:33 2021
このリース情報をクリアするには、execute dhcp lease-clear にオプションをつけて実行します。オプションにallを選択すると、すべてのリース情報がクリアされます。特定IPアドレスのみ選択しクリアも可能です。
Fortigate-1 # execute dhcp lease-clear xxx.xxx.xxx.xxx Clear lease(s) on this IP address. all Clear all leases. Fortigate-1 # execute dhcp lease-clear all Fortigate-1 # execute dhcp lease-list Fortigate-1 #
高度な設定
DHCPサーバ設定の高度な設定を展開すると、さらに細かいDHCPサーバの設定ができます。
この中で、比較的、実務で使われる部分を確認していきます。
モード
基本設定では、Fortigate自身をDHCPサーバとして設定しましたが、他のDHCPサーバへ要求を転送するリレーエージェントとしても設定できます。その場合は、リレーを選択します。以下のように画面になり、DHCPサーバIPにリレー先のDHCPサーバのIPアドレスを設定します。
その他DHCPオプション
DHCPでは、端末に付与されるIPアドレス以外の情報もオプションとして配信することができます。
基本設定で確認したDHCP ACKのパケットからも確認できるように、よく使われるパラメータはオプション番号が規定されています。
- オプション1:サブネットマスク
- オプション3:デフォルトゲートウェイ
- オプション6:DNSサーバ
例えば、CiscoのIP電話では、オプション150でTFTPサーバのアドレスを配信し、設定情報をダウンロードさせます。このようなIP電話を接続する場合は、オプション150をカスタム追加します。
設定方法を確認します。新規作成をクリックすると新しい行が追加され、以下のとおりオプションコードが設定できます。
今回は、オプション150を選択し、TFTPサーバとして10.10.10.10を設定します。
再度、DHCP ACKを確認すると、オプション150が配信されていることを確認できます。
また、デフォルトでオプション51として割り当てIPアドレスのリース時間が設定されており、端末に配信されています。デフォルトでは、604800秒(7日)です。この値も変更することができます。
MACアドレスによるIPアドレス予約
MACアドレスに応じて、固定されたIPアドレスを割り当てることができます。
今まで、端末(MACアドレス 04:ab:18:7f:b5:d9)は、192.168.100.100が割り当てられていましたが、192.168.100.150にアドレスを固定して割り当てたいとします。
以下の画面より新規作成をクリックし、IPを予約 として、MACアドレス(04:ab:18:7f:b5:d9)とIPアドレス(192.168.100.150)を設定します。
再度、DHCPでアドレス取得すると、192.168.100.150 が割り当てられていることが確認できます。
コメント