【Fortigate】 DHCPサーバ設定&シーケンスと動作確認 FortiOS6.0.9

2021.03.21

FortigateはDHCPサーバとして動作させることができます。

今回の記事では、FortigateのDHCP基本設定、およびパケットキャプチャによるDHCP通信シーケンスを確認します。また、高度な設定として、オプション指定やMACアドレスベースでの予約アドレス設定も確認します。

スポンサーリンク

基本設定

今回はInternalインタフェースに接続された端末にDHCP192.168.100.100〜200の範囲のアドレスを割り当てるものとします。

DHCPサーバはインタフェース単位で設定します。

ネットワーク >> インタフェース でinternalをクリックします。

予めIPアドレスは、192.168.100.254/24を設定しているものとします。

このインタフェースでDHCPサーバを有効にします

以下のような設定画面が表示されます。

  • アドレス範囲:端末に割り当てるIPアドレスの範囲(最初のIPアドレス、終了IP)を設定します。新規作成 をクリックすることで、設定を追加できます。今回は、192.168.100.100から192.168.100.200を割り当てるものとします。
  • ネットマスク:端末に割り当てるサブネットマスクです。Fortigateに割り当てているサブネットと同一で、255.255.255.0とします。
  • デフォルトゲートウェイ:端末に割り当てるデフォルトゲートウェイ。インタフェースIPと同じを選択すると、Fortigateのインタフェースのアドレスがデフォルトゲートウェイとして配信されます。別のアドレスを指定することもできますが、今回は、FortigateのIPアドレス(192.168.100.254)を配信します。
  • DNSサーバ:端末に割り当てるDNSサーバ。システムDNSと同じとすると、Fortigateに設定されているDNSサーバが配信されます。Fortigateでは、デフォルトで、208.91.112.53(プライマリ)と208.91.112.52(セカンダリ)が設定されています。 DNSフィルタなどを使用するため、Fortigate自身をDNSサーバに設定する場合は、インタフェースIPと同じを設定してください。別にアドレスを指定することもできます。今回は、システムDNSと同じとします

端末のIPアドレスを自動取得にし接続すると、ネットワーク接続情報が取得されていることが確認できます。(以下、MAC端末での出力です)

スポンサーリンク

DHCP通信のシーケンス

DHCPは、Discover / Offer / Request / ACK の4種類のパケットを用いて、アドレスの配信をします。基本設定の環境におけるDHCP通信のキャプチャをもとに、シーケンスを確認します。

Discover

端末がブロードキャストを使用して、DHCPサーバを探索します。まだ、IPアドレスは付与されていませんので、送信元IPアドレスは0.0.0.0です。

Offer

DHCPサーバから端末へ割り当てするIPアドレスが提案されます。

Request

端末は提案されたIPアドレスに対して、割り当てを要求します。

ACK

DHCPサーバが割り当てを許可します。

スポンサーリンク

確認コマンド

Fortigate上で、配信(リース)されているアドレスは execute dhcp lease-list で確認することができます。

Fortigate-1 # execute dhcp lease-list
internal
  IP                MAC-Address             Hostname      VCI             Expiry
  192.168.100.100   04:ab:18:7f:b5:d9       hirotanopc                    Fri Mar 19 20:51:33 2021

このリース情報をクリアするには、execute dhcp lease-clear にオプションをつけて実行します。オプションにallを選択すると、すべてのリース情報がクリアされます。特定IPアドレスのみ選択しクリアも可能です。

Fortigate-1 # execute dhcp lease-clear
xxx.xxx.xxx.xxx    Clear lease(s) on this IP address.
all         Clear all leases.
Fortigate-1 # execute dhcp lease-clear all
Fortigate-1 # execute dhcp lease-list
Fortigate-1 #
スポンサーリンク

高度な設定

DHCPサーバ設定の高度な設定を展開すると、さらに細かいDHCPサーバの設定ができます。

この中で、比較的、実務で使われる部分を確認していきます。

モード

基本設定では、Fortigate自身をDHCPサーバとして設定しましたが、他のDHCPサーバへ要求を転送するリレーエージェントとしても設定できます。その場合は、リレーを選択します。以下のように画面になり、DHCPサーバIPにリレー先のDHCPサーバのIPアドレスを設定します。

その他DHCPオプション

DHCPでは、端末に付与されるIPアドレス以外の情報もオプションとして配信することができます。

基本設定で確認したDHCP ACKのパケットからも確認できるように、よく使われるパラメータはオプション番号が規定されています。

  • オプション1:サブネットマスク  
  • オプション3:デフォルトゲートウェイ  
  • オプション6:DNSサーバ

例えば、CiscoのIP電話では、オプション150TFTPサーバのアドレスを配信し、設定情報をダウンロードさせます。このようなIP電話を接続する場合は、オプション150をカスタム追加します

設定方法を確認します。新規作成をクリックすると新しい行が追加され、以下のとおりオプションコードが設定できます。

今回は、オプション150を選択し、TFTPサーバとして10.10.10.10を設定します。

再度、DHCP ACKを確認すると、オプション150が配信されていることを確認できます。

また、デフォルトでオプション51として割り当てIPアドレスのリース時間が設定されており、端末に配信されています。デフォルトでは、604800秒(7日)です。この値も変更することができます。

MACアドレスによるIPアドレス予約

MACアドレスに応じて、固定されたIPアドレスを割り当てることができます。

今まで、端末(MACアドレス 04:ab:18:7f:b5:d9)は、192.168.100.100が割り当てられていましたが、192.168.100.150にアドレスを固定して割り当てたいとします。

以下の画面より新規作成をクリックし、IPを予約 として、MACアドレス(04:ab:18:7f:b5:d9)とIPアドレス(192.168.100.150)を設定します。

再度、DHCPでアドレス取得すると、192.168.100.150 が割り当てられていることが確認できます。

コメント