Palo Alto NetworksファイアウォールにおけるDHCPリレーの設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。

How to Configure a DHCP Relay on Palo Alto Networks Firewall 

https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-a-DHCP-Relay-on-Palo-Al...

 

 

概要

この資料では、Palo Alto Networksファイアウォールにおける、DHCPリレーを設定する手順を記載しています。下記図のシナリオを例に、設定を手順を説明します。

Screen Shot 2014-06-23 at 4.39.30 PM.png

手順

  1. DHCPリレーをするインターフェイスを設定します (例:Trust E1/5) :
    1. Web UI画面から[ Network ] > [ DHCP ] > [ DHCP リレー ]を開きます。
    2. 追加をクリックし、DHCPサーバーのIPアドレスを設定します。
      dhcp.JPG
      注:DHCPサーバーのIPアドレスは、4つまで設定することができます。
  2. ゾーン間のDHCPトラフィックを許可するために、セキュリティ ルールを設定します:
    • Trust to Trust - クライアント用の、DHCPリレー インターフェイスへの/からの通信 (ブロードキャスト/ユニキャスト)
    • Trust to DMZ - DHCPリレー インターフェイス用の、DHCPサーバーへの/からの通信 (ユニキャスト)
      下記のダイアグラムは、典型的なDHCPセッションに基づいています。ダイアグラムは、DHCPリレー インターフェイスとDHCPサーバー間の通信はすべてユニキャストであることを表しています。
      Screen Shot 2014-06-12 at 4.55.10 PM.png
    • 下記のスクリーンショットは、DHCPサーバー側における、DHCP動作例のパケットキャプチャです:
      Screen Shot 2014-06-23 at 12.49.08 PM.png
    • 下記図は、設定されているセキュリティ ポリシーの例です:
      Screen Shot 2014-06-23 at 1.12.02 PM.png
  3. コミットをクリックして、設定を反映させます。

 

動作確認

クライアント上での動作確認を行います。例えば、Windowsクライアントにて以下を実行します:

  • ipconfig /release
  • ipconfig /renew
  • ipconfig /all

注:DHCPサーバーは、この設定が動作するように、DHCPトラフィックをPalo Alto Networksファイアウォールへルーティングする必要があります。 DHCPサーバーがPalo Alto Networksファイアウォールの代わりに他のデフォルト ゲートウェイを持っている(あるいは、DHCPサーバーが直接接続されておらず、どこかへ返信トラフィックをルーティングする)場合、問題が起きる可能性があります。その場合、DHCPトラフィックは非対照であると考えられます。DHCPサーバーのトラフィックが非対照である場合、セッションはファイアウォール上で正しく構築されず、完全なDHCP通信は完了することはありません。

 

著者:jlunario