DHCP 自動ログアウトを使用した IP アドレスの節約
DHCP 自動ログアウトの概要
このトピックでは、DHCP自動ログアウト機能の概要を説明し、以下のセクションで構成されています。
自動ログアウトの概要
自動ログアウトは、DHCPローカルサーバーとDHCPリレーエージェントでサポートされています。DHCP クライアントがアドレスを使用しなくなったときに、IP アドレスをすぐに解放してアドレスプールに戻すことができるため、DHCP IP アドレス割り当ての効率が向上します。その後、DHCP はアドレスを他のクライアントに割り当てることができます。自動ログアウトを使用しないと、IPアドレスはリース期間全体にわたってブロックされ、DHCPはアドレスリース時間が終了するまで待ってからアドレスを再利用する必要があります。
自動ログアウトは、DHCPがIPアドレスの割り当てに長いリース時間を使用する場合や、単一のクライアントに重複するIPアドレスの割り当てを回避するために特に便利です。
例えば、頻繁にアップグレードまたは交換されるセットトップ ボックス(STB)を含む環境があるとします。STBが変更されるたびに、新しいSTBはDHCP検出プロセスを繰り返し、クライアント設定情報とIPアドレスを取得します。DHCPは新しいSTBをまったく新しいクライアントと見なし、新しいIPアドレスを割り当てます。クライアントに割り当てられた以前のIPアドレス(古いSTB)は、リースが期限切れになるまでブロックされたままで、利用できません。このような状況で自動ログアウトが設定されている場合、DHCP は新しい STB が実際には同じクライアントであることを認識し、すぐに元の IP アドレスを解放します。DHCPリレーエージェントは、自動ログアウトのプロキシクライアントとして機能し、DHCPリリースメッセージをDHCPサーバーに送信します。
DHCP がクライアントを識別してリリースする方法
自動ログアウト機能には、DHCPがクライアントを明示的に識別する必要があります。デフォルトでは、DHCPローカルサーバーとDHCPリレーエージェントは、MACアドレスまたはクライアント識別子、サブネットに基づいてクライアントを識別します。ただし、場合によっては、このタイプの識別では不十分な場合があります。例えば、前のSTBの例では、各STBのMACアドレスが異なるため、DHCPはアップグレードまたは交換のSTBが新しいクライアントであると誤って想定しています。
クライアントを明示的に識別するために、自動ログアウトは、プライマリ識別方法が失敗した場合、セカンダリ識別方法を使用します。プライマリ方法は、MACアドレスまたはクライアント識別子が既存のクライアントと一致しない場合、失敗したと見なされます。加入者管理では、設定可能な2つの二次識別方法がサポートされています。
着信インターフェイス方法—DHCPは、インターフェイス上の新しいクライアント接続を、同じクライアントから来たものであるかのように見ます。DHCPは、新しく接続されたデバイスのバインディングを作成する前に、既存のクライアントバインディングを削除します。この方法では、インターフェイス上に接続できるクライアントデバイスは1台だけです。
注:受信インターフェイスの方法は、既存のバインディングを保持し、新しく接続されたクライアントを拒否する
overrides interface-client-limit 1ステートメントとは異なります。オプション 60 およびオプション 82 メソッド - DHCP は、2 つのクライアントがオプション 60 とオプション 82 の情報は同じであるが、サブネットが異なる場合、異なるクライアントと見なします。
自動ログアウトが有効になっていて、セカンダリ識別方法で重複したクライアントが識別された場合(つまり、検出パケットが既存のクライアントからのものである場合)、DHCPローカルサーバーとDHCPリレーエージェントは、以下の操作を実行します。
DHCP ローカルサーバーは、既存のアドレスを直ちにリリースします。
DHCPリレーエージェントは、既存のクライアントを直ちにリリースし、次にDHCPリリースパケットをDHCPサーバーに送信します。リリースパケットを送信することで、DHCPリレーとDHCPサーバーが確実に同期されます。
DHCPリレーが既存のクライアントからディスカバリーメッセージを受信すると、DHCPリレーはディスカバリーメッセージをDHCPサーバーに転送します。DHCPリレーは、クライアントの既存のIPアドレスがDHCPサーバーから返された場合、バインディングを保持します。この動作は、プロキシモードのオーバーライドまたはクライアント検出マッチ機能が有効になっている場合には適用されません。
注:DHCPリレーエージェントがスヌープモードの場合、DHCPリレーはクライアントを解放しますが、ディスカバリーパケットがパッシブクライアント(スヌーピングされたパケットの結果として追加されたクライアント)用である場合、またはディスカバリーパケットがスヌーピングされたパケットである場合、DHCPサーバーにリリースパケットは送信しません。
オプション60およびオプション82の要件
DHCP ローカル サーバーは、受信した検出パケットに DHCP オプション 60 とオプション 82 の両方が含まれている必要があります。どちらかのオプションがない場合、DHCP ローカル サーバーはセカンダリ識別方法を実行できず、自動ログアウトは使用されません。
DHCP リレー エージェントは、受信したディスカバリー パケットに DHCP オプション 60 が含まれている必要があります。DHCPリレーは、 自動ログアウトのDHCPリレーエージェントオプション82の値に記載されているガイドラインに基づいて、オプション82の値を決定します。
DHCP クライアントの自動ログアウト
拡張DHCPローカルサーバーと拡張DHCPリレーを設定して、DHCPクライアントを自動的にログアウトすることができます。自動ログアウトは、IDが既存のクライアントと一致するクライアントからディスカバリーパケットをDHCPが受信すると、既存のクライアントを直ちにリリースします。その後、DHCP は通常のリースの有効期限を待たずに既存のクライアント IP アドレスを解放します。
既存のクライアントがリリースされると、新しいクライアントは通常の認証プロセスを実行します。新しいクライアントは、元のクライアントと同じIPアドレスを受信できない可能性があります。
DHCPクライアントの自動ログアウトを設定するには:
自動ログアウト設定を変更した場合、既存のクライアントはログイン時に設定された自動ログアウト設定を引き続き使用します。新しいクライアントは新しい設定を使用します。
DHCP リレー エージェントが自動ログアウトにオプション 82 を使用する方法
表1は 、DHCPリレーエージェントがクライアントの自動ログアウト機能に使用されるオプション82の値をどのように決定するかを示しています。構成設定に応じて、DHCP リレー エージェントは [実行されたアクション] 列に示されているアクションを実行します。
DHCPリレーエージェントの構成設定 |
|||||
|---|---|---|---|---|---|
オプション82で設定されたDHCPリレー |
オプション 82 を含むパケットの検出 |
「trust-option- 82」を上書きする |
"always-write- option-82" を上書きする |
スヌーピングされていないパケットのgiaddr |
実行されたアクション |
いいえ |
いいえ |
– |
– |
– |
二次検索は実行されません |
いいえ |
はい |
はい |
– |
– |
パケットからオプション82を使用します |
いいえ |
はい |
いいえ |
– |
ゼロ |
パケットのドロップ |
いいえ |
はい |
いいえ |
– |
ゼロ以外 |
パケットからオプション82を使用します |
はい |
いいえ |
– |
– |
– |
設定されたオプション 82 を使用します |
はい |
はい |
いいえ |
– |
ゼロ |
パケットのドロップ |
はい |
はい |
いいえ |
いいえ |
ゼロ以外 |
パケットからオプション82を使用します |
はい |
はい |
いいえ |
はい |
ゼロ以外 |
設定されたオプション 82 を上書きする |
はい |
はい |
はい |
いいえ |
– |
パケットからオプション82を使用します |
はい |
はい |
はい |
はい |
– |
設定されたオプション 82 を上書きする |
DHCPv6加入者を特定するためのDHCPv6一致基準
デフォルトでは、DHCPv6ローカルサーバーとDHCPv6リレーエージェントは、クライアント識別子に基づいてクライアントを識別します。DHCPv6ローカルサーバーとDHCPv6リレーエージェントも、着信インターフェイスによってDHCPv6クライアントを識別できます。client-negotiation-matchステートメントとともにincoming-interfaceオプションを使用すると、インターフェイス上に1台のクライアントデバイスのみが接続するようにすることができます。クライアントデバイスが変更された場合、ルーターは既存のクライアントバインディングを削除し、新しく接続されたデバイスのバインディングを作成します。
例えば、DHCPv6サーバーから設定情報を取得するように設定された、セットトップボックス(STB)やその他の顧客宅内機器(CPE)デバイスを含む環境があるとします。ネットワーク設定では、1 つの CPE デバイスがインターフェイス上でサポートされます。DHCPv6サーバーは、CPEデバイスに長いリースタイマーを提供するように設定されています。CPEデバイスが修理またはアップグレードのために切断された場合、新しいCPEデバイスはDHCPv6 Solicitプロセスを経て、DHCPv6サーバーから設定情報を受信します。クライアント識別子が以前のデバイスと異なるため、DHCPv6ローカルサーバーまたはDHCPv6リレーエージェントは、DHCPv6 SOLICITメッセージを新しいクライアントとして扱い、新しいバインディングを追加します。古いデバイスは正常にログアウトできない可能性があるため、リースが期限切れになるまで古いIPアドレスは解放されません。
client-negotiation-match incoming-interfaceステートメントが設定されている場合、DHCPv6 SOLICITメッセージを受信すると、DHCPv6クライアントはクライアント識別子と受信インターフェイスオプションに基づいて検索されます。一致基準に基づいて既存のDHCPv6クライアントバインディングが見つかった場合、バインディングが削除され、新しいクライアントが処理されます。古いCPEデバイスが切断され、新しいCPEデバイス用のDHCPv6 Solicitメッセージを受信した場合、この機能は着信インターフェイスを使用してクライアントを識別し、古いCPEデバイスのバインディングを解除することで、古いIPアドレスを解放することができます。新しいCPEデバイスのバインディングが古いバインディングに置き換わります。
DHCPv6クライアントの自動ログアウト
拡張DHCPv6ローカルサーバーと拡張DHCPv6リレーエージェントを設定して、DHCPv6加入者一致基準に基づいてDHCPv6クライアントを自動的にログアウトすることができます。自動ログアウト機能は、着信インターフェイスが既存のクライアントと一致するクライアントから送信請求パケットをDHCPv6が受信すると、すぐに既存のクライアントを解放します。DHCPv6は、通常のリースの有効期限を待たずに、既存のクライアントIPアドレスを解放します。
既存のクライアントがリリースされると、新しいクライアントは通常の認証プロセスを実行します。新しいクライアントは、元のクライアントと同じIPアドレスを受信できない可能性があります。
DHCPv6クライアントの自動ログアウトを設定するには:
自動ログアウト設定を変更した場合、既存のクライアントはログイン時に設定された自動ログアウト設定を引き続き使用します。新しいクライアントは新しい設定を使用します。