DHCP サービスと DDNS サービスについて
次の項では、DHCP サーバ、DHCP リレー エージェント、および DDNS 更新について説明します。
DHCPv4 サーバについて
DHCP は、IP アドレスなどのネットワーク構成パラメータを DHCP クライアントに提供します。Firepower Threat Defense デバイス は、Firepower Threat Defense デバイス インターフェイスに接続されている DHCP クライアントに、DHCP サーバを提供します。DHCP サーバは、ネットワーク構成パラメータを DHCP クライアントに直接提供します。
IPv4 DHCP クライアントは、サーバに到達するために、マルチキャスト アドレスよりもブロードキャストを使用します。DHCP クライアントは UDP ポート 68 でメッセージを待ちます。DHCP サーバは UDP ポート 67 でメッセージを待ちます。
IPv6 の DHCP サーバはサポートされていません。ただし、IPv6 トラフィックの DHCP リレーを有効にできます。
DHCP オプション
DHCP は、TCP/IP ネットワーク上のホストに設定情報を渡すフレームワークを提供します。設定パラメータは DHCP メッセージの Options フィールドにストアされているタグ付けされたアイテムにより送信され、このデータはオプションとも呼ばれます。ベンダー情報も Options に保存され、ベンダー拡張情報はすべて DHCP オプションとして使用できます。
たとえば、Cisco IP Phone が TFTP サーバから設定をダウンロードする場合を考えます。Cisco IP Phone の起動時に、IP アドレスと TFTP サーバの IP アドレスの両方が事前に設定されていない場合、Cisco IP Phone ではオプション 150 または 66 を伴う要求を DHCP サーバに送信して、この情報を取得します。
-
DHCP オプション 150 では、TFTP サーバのリストの IP アドレスが提供されます。
-
DHCP オプション 66 では、1 つの TFTP サーバの IP アドレスまたはホスト名が与えられます。
-
DHCP オプション 3 では、デフォルト ルートが設定されます。
1 つの要求にオプション 150 と 66 の両方が含まれている場合があります。この場合、両者が ASA ですでに設定されていると、ASA の DHCP サーバは、その応答で両方のオプションに対する値を提供します。
高度な DHCP オプションにより、DNS、WINS、ドメイン名のパラメータを DHCP クライアントに提供できます。DNS ドメイン サフィックスには DHCP オプション 15 が使用されます。これらの値は DHCP 自動構成設定を使用して取得するか、または手動で定義できます。この情報の定義に 2 つ以上の方法を使用すると、次の優先順位で情報が DHCP クライアントに渡されます。
-
手動で行われた設定
-
高度な DHCP オプションの設定
-
DHCP 自動構成設定
たとえば、DHCP クライアントが受け取るドメイン名を手動で定義し、次に DHCP 自動構成を有効にできます。DHCP 自動構成によって、DNS サーバおよび WINS サーバとともにドメインが検出されても、手動で定義したドメイン名が、検出された DNS サーバ名および WINS サーバ名とともに DHCP クライアントに渡されます。これは、DHCP 自動構成プロセスで検出されたドメイン名よりも、手動で定義されたドメイン名の方が優先されるためです。
DHCP リレー エージェントについて
インターフェイスで受信した DHCP 要求を 1 つまたは複数の DHCP サーバに転送するように DHCP リレー エージェントを設定できます。DHCP クライアントは、最初の DHCPDISCOVER メッセージを送信するために UDP ブロードキャストを使用します。接続されたネットワークについての情報がクライアントにはないためです。サーバを含まないネットワーク セグメントにクライアントがある場合、Firepower Threat Defense デバイス はブロードキャスト トラフィックを転送しないため、UDP ブロードキャストは通常転送されません。DHCP リレー エージェントを使用して、ブロードキャストを受信している Firepower Threat Defense デバイス のインターフェイスが DHCP 要求を別のインターフェイスの DHCP サーバに転送するように設定できます。
DDNS について
DDNS 更新では、DNS を DHCP に組み込みます。これら 2 つのプロトコルは相互補完します。DHCP は、IP アドレス割り当てを集中化および自動化します。DDNS アップデートは、割り当てられたアドレスとホスト名の間のアソシエーションを事前定義された間隔で自動的に記録します。DDNS は、頻繁に更新されるアドレスとホスト名の関連付けを頻繁に更新できるようにします。これにより、たとえばモバイル ホストは、ユーザまたは管理者が操作することなく、ネットワーク内を自由に移動できます。DDNS は、DNS サーバ上で、名前からアドレスへのマッピングと、アドレスから名前へのマッピングを動的に更新して、同期します。
DDNS の名前とアドレスのマッピングは、DHCP サーバ上で 2 つのリソース レコード(RR)で行われます。RR では、名前から IP アドレスへのマッピングが保持され、PTR RR では、アドレスから名前へのマッピングが行われます。DDNS 更新を実行するための 2 つの方式(RFC 2136 で規定されている IETF 標準規格、および一般的な HTTP 方式)のうち、Firepower Threat Defense デバイス では、IETF 方式をサポートしています。
(注) |
DDNS は BVI またはブリッジグループ メンバー インターフェイスではサポートされません。 |
DDNS 更新設定
2 つの最も一般的な DDNS 更新設定は次のとおりです。
-
DHCP クライアントは A RR を更新し、DHCP サーバは PTR RR を更新します。
-
DHCP サーバは、A RR と PTR RR の両方を更新します。
通常、DHCP サーバはクライアントの代わりに DNS PTR RR を保持します。クライアントは、必要なすべての DNS 更新を実行するように設定できます。サーバは、これらの更新を実行するかどうかを設定できます。DHCP サーバは、PTR RR を更新するクライアントの完全修飾ドメイン名(FQDN)を認識している必要があります。クライアントは Client FQDN と呼ばれる DHCP オプションを使用して、サーバに FQDN を提供します。
UDP パケット サイズ
DDNS は、DNS 要求者が UDP パケットのサイズをアドバタイズできるようにし、512 オクテットより大きいパケットの転送を容易にします。DNS サーバは UDP 上で要求を受信すると、OPT RR から UDP パケット サイズを識別し、要求者により指定された最大 UDP パケット サイズにできるだけ多くのリソース レコードを含めることができるよう、応答のサイズを調整します。DNS パケットのサイズは、BIND の場合は最大 4096 バイト、Windows 2003 DNS サーバの場合は 1280 バイトです。