見出し画像

[入門ブログ] 基礎から分かる「DHCP / IPAM」 とは

Infoblox Japan公式



みなさんがインターネットやアプリケーションにアクセスするとき、どうやってアクセスをしているのかご存じでしょうか?

インターネットへのWebアクセスやアプリケーションアクセスをするためには、各デバイスにIPアドレスというものが必要となります。このIPアドレスを使用してサービスを提供しているサイトにアクセスをします。ではこのIPアドレスはどうやって入手するのでしょうか?

ご自宅や会社にはWi-Fiのアクセスポイントやルーターがあるかと思います。各デバイスに割り振られるIPアドレスはWi-Fiアクセスポイントやルーターなどから割り振られているのですが、このIPアドレスを自動的に割り振るためのプロトコルとして「DHCP」があります。

本ブログでは、今更聞けない「DHCP」を深掘りしていくとともに、払い出したIPアドレスを管理するための仕組み/ソリューションとしてIPAM(IPアドレス管理)も合わせてご案内します。



ズバリ、DHCPとは?


DHCPとは「Dynamic Host Configuration Protocol」の略称で、ネットワークデバイス(DHCPクライアント)へのIPアドレスとネットワークパラメータの割り当てを自動化するネットワーク アプリケーション プロトコルです。

DHCPはクライアントーサーバモデルに基づいて動作しており、DHCPクライアントはネットワークに接続するとDHCPサーバからIPアドレスと設定情報を取得する要求を送信します。DHCPサーバは、IPアドレスのプール、デフォルトゲートウェイ、ドメイン名、DNSサーバ、NTPサーバなどの設定情報を管理します。設定に応じて、DHCPサーバはクライアントの要求にIPアドレスを割り当てるか拒否します。また、ネットワーク設定パラメータをクライアントに送信します。

DHCPを利用することで、ネットワーク管理者やエンドユーザは全てのネットワークデバイスに手動でIPアドレスを割り当てる必要がなくなります


DHCPはホームネットワークだけでなく大規模ネットワークでも利用することができます。複数のリンクで構成されている大規模ネットワークの場合には、ルータなどでDHCPリレーを配置することでDHCPクライアントは異なるサブネットにあるDHCPサーバと通信を行うことができ、IPアドレスを取得することができます。

非常に便利なDHCPですが、実際にDHCPで割り当てられるIPアドレス(プール)は有限です。そのためDHCPにはリース(Lease)という考え方があり、一度DHCPサーバからIPアドレスを割り当てられると有効期限(Lease Time)が設定されます。DHCPクライアントは通常リース期間の1/2(L1)になると同じIPアドレスを利用し続けるためにRenew(再取得)を行います。T1でのRenewに失敗した場合にはリース期間の7/8(T2)で再取得を試みます。

この機能により、継続的に同じIPアドレスを使用することが可能になっています。

リース期間を短くすることでDHCPサーバがプールしているIPアドレスを効率よく運用することができますが、DHCPプロトコルが大量にネットワークに送信されたり、DHCPサーバの負荷が増大したりすることになります。

逆にリース期間を長くするとDHCPクライアントは長期間同じIPアドレスを使用することができますが、実際には使っていなくても長時間IPアドレスを保持することとなり、DHCP IPプールが枯渇してしまいIPアドレスを払い出せなくなることがあります。そのため業務用PCには長めのリース期間、訪問者用には短いリース期間と、使い分けをすることが必要となります。

またDHCPでは動的にIPアドレスを払い出しするだけでなく、MAC Addressの情報を元に固定IPアドレスを払い出しするということもできます。


DHCPを管理・運用する上での課題とは

このようにネットワークデバイスがサービスを利用するために必要なIPアドレスを取得するためにDHCPは非常に重要な役割をもっていますが、管理、運用、セキュリティの観点で考えるといくつかの課題があります。

こちらはInfobloxが第三者機関を利用し、日本国内の企業に対して行なったDHCP利用に関するアンケートの結果です。


この結果をみるとDHCP利用時の課題や問題点として、運用管理削減オンプレ廃止/クラウド・リフト統合管理や監視/可視化などといった、運用管理に対する課題やクラウド移行を検討されているユーザーが多いという結果が出ています。

運用管理削減

DHCPサーバーをOS付属のものやオープンソースを利用されている方も多いかと思います。

OS付属のDHCPではOS全体のアップデートやパッチを頻繁に適用する必要があり、一時的にサービス停止が発生することにつながります。それ以外にも先日発生したCrowdStrikeが原因でOS自体がダウンしてしまい、長時間ユーザーがネットワークサービスを利用できなくなるという問題が発生する危険性があります。
 
またオープンソースのDHCPサーバーでは設定・構成、運用管理がテキストベースやCUIで行う必要があり、運用をしていくにあたり専任のエンジニアが必要なってしまうという問題があります。バージョン管理もそれぞれのDHCPサーバーが独立しているため、アップデートを行うために現地に赴く必要があったり脆弱性のあるバージョンを使用したDHCPサーバーが残ってたりしてしまうということもあります。
 
このような課題を解決するために企業が導入したDHCPサーバーを一元的に管理しアップデートも管理コンソールから一元的に行える機能をもつ製品の導入が重要となります。また複数拠点にわたる企業がもつアセットやIPアドレス管理も一元的に行うことも重要です。

DHCPサーバーはネットワークサービスで非常に重要な機能を提供しているため、堅牢かつ統合的に管理できるプラットフォームが必須となります。

クラウド移行

オンプレミスのデータセンターを廃止・縮小化し、クラウドに移行を計画・実行している企業が非常に増えてきています。これは昨今の企業買収などにより既存の仮想基盤の運用コストが上昇してしまうことが原因で他の仮想基盤やクラウドに移行することも要因としてあげられます。

こうした状況に対して、さまざまな仮想基盤やクラウドプラットフォームに対応した製品、クラウドサービスを提供しているソリューションなど、企業の計画に柔軟に対応できる製品が求められています。

DHCPサーバの死活監視・冗長構成

DHCPサーバがサービス停止してしまうと、ネットワークデバイスはIPアドレスを取得できなくなってしまい業務に支障をきたしてしまいます。

そのためDHCPサーバの死活監視を行うことが重要です。さらにDHCPサーバ自体の生存性を高めるためにDHCPサーバをHA構成やフェイルオーバー構成を行い、拠点内冗長、および拠点間での冗長構成を取ることでDHCPサービスを継続的に運用できるように構成することが重要となります。

DHCP IPプールの利用状況

企業は複数のIPアドレスプールを定義してDHCPの払い出しを行なっていますが、そのIPアドレスプール使用率はどの程度か、空きIPアドレスがどれくらいあるかという点は管理・運用面から非常に重要になってきます。

払い出し可能なIPアドレスがなくなってしまうと、新たなネットワークデバイスにIPアドレスを払い出しすることが出来なくなり、ネットワークに接続することができなくなってしまいます。そのため、管理者はIPアドレスプールの利用状況を可視化し、必要に応じてアラート設定を行うことが重要です。

DHCP リースの履歴情報

DHCPは動的にIPアドレスをネットワークデバイスに払い出しをすることができますが、非常に便利である一方でセキュリティ上のリスクもあります。万が一不正アクセスやマルウェアC2C攻撃等が発生した場合、SIEM等でどのIPアドレスがその通信を行なったかということは確認できるかもしれませんが、どのデバイスが行なったかについて調査することは非常に大変です。

そのためDHCPサーバの運用では、DHCPサーバから払い出されたIPがいつ、どのデバイスに払い出されたかリース履歴を出力できる機能が必要となります。これにより感染したネットワークデバイスをネットワークから分断させるなどインシデントレスポンスの対応時間を縮めることが可能となります。

DHCPを利用する上での課題点としては以上のようなものがありますが、それだけではありません。IPアドレス管理も非常に重要です。

DHCPサーバーではダイナミックに払い出すIPアドレスだけでなく、サーバーやIoTデバイスなどに固定で払い出すIPアドレスも管理できます。一方でサーバーやネットワークデバイスを企業ネットワークに接続する際にIPアドレスの構成ミスやIPアドレスの競合により、重要なサービスが利用不能になってしまうこともあります。企業全体のネットワークやIPアドレスの一元的な管理・可視化が重要になってきます。


IPアドレス管理(IPAM)とは?


これらの課題を解決するソリューションとして、IPAM(IP Address Management)というものがあります。

IPAMとはその名の通りIPアドレス管理ですが、IT部門は組織が管理しているネットワークおよびIPアドレスが利用可能なのか、またデバイスに割り当てられたIPがいつからいつまで利用されたのか、手動で割り当てられたIPの追跡などを可視化する必要があります。

IPAMを利用することでIPアドレス管理を行うことができますが、みなさんはどのようにIPアドレスを管理されていますでしょうか?以下のようなスプレッドシートを用いてマニュアル管理をしているケースが多いのではと思います。


スプレッドシートなどマニュアルでのIPアドレス管理をしている場合、シートに登録されている情報が現在のネットワーク構成に正確に適合していないことが原因で、IPアドレスが競合してしまいサービスが利用できなくなったという不具合が発生したということをよく伺います。

スプレッドシートが更新されていない、複数のバージョンがある、ユーザーが勝手にデバイスにIPアドレスを割り当てて使用しているなど、原因はさまざまですが、これから払い出す予定のIPアドレスは本当に利用可能なのか、重複したIPアドレスを利用しているデバイスはどこにあって、誰が使用しているのかを正確に把握する必要があります。

またIPアドレス管理が自動化されていないために手動での設定には複雑な承認プロセスや作業が発生するため、実際にIPアドレスを払出しするのに時間がかかることが多いかと思います。これはIT部門が管理しているネットワークが多ければ多いほど、このような課題が多く発生します。

万が一、情報漏洩などのインシデントが発生した場合に、SIEMなどで該当するIPアドレスは確認できても、1ヶ月前にそのIPアドレスが誰のどのデバイスに払い出されていたのかといったリース履歴が残っていないと、調査が行えなかったり非常に時間が掛かってたりしてしまうなどの問題が発生するケースも考えられます。

Infoblox が提供するDDIソリューション

こういったIPアドレス管理の課題に対して、Infobloxが提供するDNS、DHCP、IPAMソリューション(DDI)を利用することで解決することができます。

InfobloxのDDIソリューションはDNS, DHCP, IP管理の全機能を統合ソリューションとして提供しており、企業全体のネットワーク、IPアドレス管理を一元的なデータベースとして管理・運用・監視・可視化することが可能です。DHCPレンジの使用率や未使用IPの可視化、競合状況などをリアルタイムで確認することができます。

Infoblox DDIソリューションはクラウド環境にも対応しており、オンプレミスだけではなく、仮想基盤、クラウドなど企業全体のネットワークにわたるIPアドレスを一元的に管理できます。またSaaS版もご用意しており、お客様の監理運用工数を大幅に削減することができます。

InfobloxはDDIソリューションを業界で唯一統合DDIソリューションをSaaSで提供しています。ソフトウェアのアップデートの手間を廃止し、安心して最新の環境を常に利用することが可能です。

ハイブリッド・マルチクラウド環境においても可視化やコントロールの向上や自動化の強化を行うことが可能です。InfobloxのサービスはWorldwideで展開しており、分散クラウドサービスを提供していますので、災害によりサイト・ロケーションがダウンした場合でもサービスの継続を行うことが可能です。SaaSサービスですので初期導入費用などはかからず、お客様のニーズに応じて適切なサイズでの導入が可能となります。

他社製品ですと、Updateやセキュリティパッチが出るたびに、全てのサーバに対して手動でアップデートを適用する必要があります。万が一アップデートに失敗した場合には個別に切り戻し作業が必要となります。

InfobloxのDDI製品は年に数回Updateが提供されますが、複数拠点に分散配置されたアプライアンスに対してのバージョンアップも、管理UIから自動でアップデートを行うことが可能です。

複数台にわたる場合でもサービスを停止することなくローリングアップデートを行うことができます。万が一アップデートに不具合が発生した場合でもワンクリックで即座に切り戻しをすることができます。

万が一、情報漏洩などのインシデントが発生した場合、該当するIPアドレスのリース履歴を利用することで、インシデント発生時に利用していたデバイスMACアドレス、ユーザー情報をレポート機能で確認することができ、端末やユーザの特定をすることが可能です。これにより問題のデイバスを特定することができ、迅速に該当デバイスをネットワークから遮断することが可能となります。


まとめ

最後にまとめです。

DHCPは業務に必要なコアネットワークサービスです。このサービスが停止してしまうとネットワークサービスに利用することができなくなってします。そのため、DHCPサーバには優れた堅牢系、柔軟な管理機能が必要となってきます。

企業でのクラウド利用、データセンターの廃止やクラウドリフトを計画・実行している企業が増えてきており、Public/Hybrid/Multiクラウドへの対応が必須となってきています。クラウドリフトを計画している場合には、クラウド環境にもデプロイ可能なソリューションが必要となります。

またセキュリティやコンプライアンスの観点から、DHCPのリース履歴をとるためのログや可視化が必要となります。

最後に企業全体でのリアルタイムでのネットワーク健全性のために、IPAMが必要となります。IPAMを選定する場合にはDHCP, DNSも含めた一元的なDDIデータベースを持つIPAMが必要となります。


11/20開催 Infoblox Exchange 2024 Tokyo

日本では4年ぶりに「Infoblox Exchange 2024 Tokyo」と題した弊社の年次カンファレンスを11月20日に開催します。

■Infoblox Exchange 2024 Tokyo

2024年11月20日(水) 12:00 – 17:30


「Exchange」は、世界14都市で開催されるInfoblox 主催の年次カンファレンス(ワールドツアー)です。

Exchangeでは、多彩なセッション、デモブース、ハンズオンワークショップを通じてマルチクラウド時代に適応した「次世代型の DDI モデル」や「プロテクティブDNS」のテクノロジーやベストプラクティスをご案内します。

基調講演では9月26日に発表した業界初の次世代 DDI モデルを中心に弊社の革新的なイノベーションを『DNS & BIND』の著者であるCricket Liuからご案内します。

さらにユーザー事例や国内外の業界オピニオンリーダーからDDIに関する最新のアップデートをご紹介します。

今なら早期申込キャンペーン実施中です!


セミナー概要やアジェンダなどの詳細などは以下のリンクから確認可能です。

<イベント概要>

  • イベント名: Infoblox Exchange 2024 Tokyo

  • 開催日時: 2024年11月20日(水)12:00 – 17:30

  • 開催場所:大手町プレイス ホール&カンファレンス

  • 対象:ITインフラ(ネットワーク/セキュリティ/クラウド)の部門長/担当者

  • 参加費:無料(事前登録制)

  • 主催: Infoblox 株式会社


この記事が気に入ったらサポートをしてみませんか?