DHCPサーバーのMACアドレスによる制限と冗長化(負荷分散型)

サーバー関係

初めのほうの記事で作成したDHCPサーバー( DHCPよ、セグメントの壁をこえよ! )はセキュリティ対策が何もなく、PCもってきてLANケーブルさしたら社内LANへようこそ!のかなりやばめの状態です
しかも、DHCPサーバーは1台しかないので壊れたら全員ネットが使えなくなります(笑)
「再起動も容易に行えやしねぇ・・・」なんてことからは解放されましょう!

そこで今回は利用者のPCに紐ついているMACアドレスにて利用制限をかけ、DHCPサーバーを冗長化することを目的とします

※そもそもですが、MACアドレスって簡単に変更できちゃうのでMACアドレス制御だけで完璧なセキュリティになっているわけではないのでその点ご注意を

環境

DHCPサーバー: WindowsServer2012R2 64bit ×2
クライアントPC:Windows 10, 8, 7 64bit/32bit
 クライアントPCにはLANとWifi有

MACアドレスによる制限

クライアント側の設定とサーバー(DHCP)側の設定があります
・クライアントはMACアドレスを確認し、IPアドレスを自動取得にする
・サーバーはMACアドレスを登録する

クライアント側の確認

1.MACアドレスの確認
①「Windowsキー」+「R」を押してファイル名を指定して実行
②「cmd」と入力し、コマンドプロンプトを起動
③「ipconfig /all」と入力
④「物理アドレス」がMACアドレスになります
    ※12桁の「00-A0-B0-C0-D0-E0」みたいなのをメモります

2.IPアドレスを自動取得に変更
DHCPサーバーの設定がしてあればすでに自動取得になっていると思いますが・・・

①「スタート」⇒「Windows システムツール」⇒「コントロールパネル」
②「ネットワークと共有センター」⇒「アダプターの設定の変更」
③ 該当のネットワークで「右クリック」⇒「プロパティ」
④「インターネットプロトコルバージョン4」を選択し「プロパティ」を実行
⑤「IPアドレスを自動的に取得する」と「DNSサーバーのアドレスを自動的に取得する」を選択

サーバー(DHCP)側の設定

1.DHCPを実行します

2.フィルターの有効化
「フィルター」を右クリックし「有効にする」を選択
その後、「新規のフィルター」を選択

※フィルターの許可を有効化すると許可していないPCはDHCPが使えなくなります

3.MACアドレスの入力
先ほど確認した利用するクライアントのMACアドレスを入力します
「-」はあってもなくても自動的に変換してくれます

一覧に入力されたMACアドレスが載ります
これにて入力されたMACアドレスのPCだけにDHCPを割り振ることができるようになりました

DHCP 冗長構成(負荷分散)

DHCPサーバーを2台立てることにより、DHCP割振りの負荷を分散し、さらには冗長化も行うというものです

1.DHCP機能をもつサーバーを1台追加します
  機能の追加は DHCPよ、セグメントの壁をこえよ! を参照ください
  私の環境ではADサーバーのセカンダリに設定しました

2.2台めのサーバーにDHCP機能の追加をするとこんな感じになります

3.1台めのDHCPサーバーに戻り、冗長構成をとりたいスコープを右クリック
  フェールオーバーの構成をクリックします

4.次へ!

5.2台めのサーバーのIPアドレスを入力し、次へ!

6.関係名が2台目のサーバーであることを確認し、次へ!
ここで負荷分散の割合を決めることができますが、50%:50%で問題ないと思います

7.次へ!

8.完了

L3SWの設定

L3SWがあってセグメント越えを行っている場合はもちろん2台目のサーバーアドレスも追加するようにしてください

1.L3スイッチ設定(x510)

「ip dhcp-relay server-address 192.168.10.20」
※2台目DHCPサーバーのIPアドレス

2.L3スイッチ設定(CentreCom)

「enable bootp relay」
「add bootp relay=192.168.10.20」
※2台目DHCPサーバーのIPアドレス

作業を終えて

冗長構成が生きているか確認する為に、1台目のサーバーをシャットダウンした状態でDHCPの取得ができるか確認しましたが、普通に2台目のサーバーからIPが割り振られました

クライアント側ですが、「ipconfig /all」にて自分が使用しているDHCPサーバーがいまどちらなのかわかります
また、一度IPを消して再度取得したい場合は「ipconfig /release」で一度破棄し、「ipconfig /renew」でDHCPより再取得できます

MACアドレス制御以外でうまくセキュリティを保てる方法があれば是非教えてください!

コメント

タイトルとURLをコピーしました