コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=network-DHCP

DHCP

Sophos Firewall を DHCP サーバーおよびリレーエージェントとして設定して、クライアントに IP アドレスおよびネットワークパラメータを提供することができます。

ネットワークパラメータには、デフォルトゲートウェイ、サブネットマスク、ドメイン名、DNS サーバー、WINS サーバーがあります。また、CLI で DHCP オプションを使用して、クライアントに追加のパラメータを送信することができます。

Web 管理コンソールで、クライアントにリースされている IP アドレスのレコードを確認することもできます。

VPN 経由の場合、DHCP リレーは IPsec サイト間接続でのみ使用できます。現在、ルートベース VPN 上に DHCP リレーを作成することはできません。

DHCP サーバーおよびリレーエージェントとして、物理インターフェースおよび仮想インターフェース (VLAN、ワイヤレスネットワーク、ブリッジインターフェースなど) を設定できますが、インターフェースのエイリアスを設定することはできません。

DHCP の利点:

  • エンドポイントデバイス (モバイルデバイス、サーバー、ルーターなど) の設定を簡単に行える。
  • モバイルデバイスがネットワーク間をシームレスに移動できる。
  • アドレス空間を効果的に使用し、使用されていない IP アドレスを再配布できる。
  • IP アドレス関連の問題を迅速に特定し、トラブルシューティングできる。

概要

DHCP サーバー: DHCP サーバーとして設定された Sophos Firewall は、DHCP クライアントへの IP アドレスおよびネットワークパラメータの割り当てを行います。クライアントがネットワークを離れると、サーバーは割り当てた IP アドレスを解放し、再利用します。

サーバーと同じネットワーク内のクライアントに直接 IP アドレスをリースする場合、DHCP インターフェースはクライアントネットワークに属している必要があります。

サーバーと異なるネットワーク内のクライアントに IP アドレスをリースするには、DHCP リレーエージェントを設定する必要があります。この場合、クライアントが属するネットワークごとに必要なネットワークパラメータ一式 (デフォルトゲートウェイなど) が異なるため、リース先のネットワークと同じ数だけ DHCP サーバーを設定する必要があります。これらのサーバーの設定で、DHCP クエリをリッスンする DHCP インターフェースは同じものを使用できます。サーバーは、リレーエージェントの送信元アドレスと同じサブネットに属する IP アドレスをリースします。

また、クライアントの MAC アドレスにスタティック IP アドレスを割り当てるようにサーバーを設定することもできます。

  • Sophos Firewall を DHCP サーバーとして設定するには、「サーバー」に移動して「追加」をクリックします。

DHCP リレーエージェント: Sophos Firewall を DHCP リレーエージェントとして設定できます。リレーエージェントとして設定された Sophos Firewall は、リレーエージェントのネットワーク内のクライアントと、別のネットワーク内の DHCP サーバー間の DHCP 通信を中継します。また、IPsec VPN トンネル経由で DHCP パケットをリレーするようにエージェントを設定することもできます。

警告

選択したリレーエージェントのインターフェースが、DHCP クライアントと同じサブネット内にあることを確認してください。DHCP サーバーのインターフェースを、リレーエージェントのインターフェースとして指定しないでください。この場合、エージェントはクライアントのリクエストを転送しません。

DHCP サーバーが配置されているサブネットにリレーエージェントを設定しないでください。サーバーのサブネット内にあるクライアントには、IP アドレスが直接リースされます。

Sophos Firewall を、DHCPv6 サーバーおよび DHCPv6 リレーエージェントとして同時に設定することはできません。

Sophos Firewall ではなく外部の DHCP サーバーを使用する場合は、DHCP パケットをリレーエージェントのインターフェースにルーティングするように外部サーバーを設定してください。

  • DHCP リレーを作成するには、「リレー」セクションに移動し、「追加」をクリックします。

DHCP クライアント: DHCP サーバーからダイナミック IP アドレスを受信するホスト (エンドポイント、サーバー、ルーターなど) です。これらのクライアントが DHCP を使用して IP アドレスを取得するように設定する必要があります。

DHCP クライアントは、送信元 IP アドレス 0.0.0.0 を使って DHCP リクエストを送信します。DHCP サーバーが設定されていない場合、このリクエストは破棄され、以下のログエントリが作成されます: Policy rule denied. (ポリシールールが拒否されました。)

DHCP オプション: CLI および UI を使用して DHCPオプションを設定し、特定のクライアントまたはすべてのクライアントに追加パラメータを送信することができます。たとえば、アクセスポイント登録のために接続する LAN インターフェースを変更したり、プライマリ DNS サーバーを変更したり、別の NTP サーバーを設定したり、PXE クライアントをブートオプションファイルのホストサーバーに誘導したりできます。デフォルトのオプションを使用できるほか、カスタムのオプションを作成することもできます。DHCP オプションの全リストについては、DHCP オプションを参照してください。

ユースケース: Sophos Firewall を、DHCP サーバー (本社) およびリレーエージェント (支社) として使用する

この例では、DHCP 通信に IPsec 接続を使用します。

本社のファイアウォールで、以下の手順に従います。

  1. DHCP サーバーを設定します。
  2. サイト間 IPsec 接続を追加します。
  3. CLI で、IPsec 経由での DHCP リースを有効にします。

支社のファイアウォールで、以下の手順に従います。

  1. DHCP リレーエージェントを設定します。設定画面で「IPsec 経由のリレー」を選択します。
  2. サイト間 IPsec 接続を追加します。
  3. CLI で、IPsec ルーティングを追加します。
  4. また、SNAT コマンドを追加して、LAN ポート (DHCP リレーインターフェース) の IP アドレスを DHCP サーバーの IP アドレスに変換します。

ユースケース: サードパーティの DHCP サーバー (本社) と、Sophos Firewall のリレーエージェント (支社) を使用する

Windows サーバーなど、サードパーティの DHCP サーバーを使用できます。この例では、DHCP 通信に IPsec 接続を使用します。

DHCP パケットをリレーエージェントのインターフェースにルーティングするように、サードパーティのサーバーを設定します。

本社のファイアウォールで、以下の手順に従います。

  1. サイト間 IPsec 接続を追加します。
  2. 送信方向のファイアウォールルールを追加して、サーバーからクライアントネットワークへの DHCP トラフィックを許可します。
  3. これに対応する受信方向のファイアウォールルールを追加します。

支社のファイアウォールで、以下の手順に従います。

  1. DHCP リレーエージェントを設定します。設定画面で「IPsec 経由のリレー」を選択します。
  2. サイト間 IPsec 接続を追加します。
  3. CLI で、IPsec ルーティングを追加します。
  4. また、SNAT コマンドを追加して、LAN ポート (DHCP リレーインターフェース) の IP アドレスを DHCP サーバーの IP アドレスに変換します。

ユースケース: Sophos Firewall を DHCP サーバー兼リレーエージェントとして使用する

IPv6 アドレスの場合、Sophos Firewall は DHCP サーバーまたはリレーエージェントのいずれかとしてのみ設定できます。

Sophos Firewall を DHCPv4 サーバーとして設定するには、以下の手順に従います。

  1. DHCP クエリをリッスンするインターフェースを指定します。
  2. リレー経由でクライアントリクエストを受け付けるためのチェックボックスを選択します。
  3. クライアントネットワークへの IP アドレスリース範囲を指定します。
  4. クライアントネットワークのサブネットマスクおよびゲートウェイを指定します。
  5. DNS サーバーを指定します。

上記の Sophos Firewall を DHCPv4 リレーエージェントとして設定するには、各クライアントネットワークで以下の手順を実行します。

  1. クライアント側のインターフェースを指定します。
  2. DHCP サーバーの IP アドレスを指定します。

ユースケース: Sophos Firewall を DHCP サーバーおよび同じサブネット内の DHCP クライアントとして使用する

DHCP サーバーのサブネット内のクライアントに IP アドレスをリースする場合は、リレーエージェントを設定しないでください。これらのクライアントには、IP アドレスが直接リースされます。

Sophos Firewall を DHCP サーバーとして設定するには、以下の手順に従います。

  1. DHCP クエリをリッスンするインターフェースを指定します。
  2. IP リース範囲を入力します。指定したインターフェースと同じサブネットに含まれる範囲を指定してください。
  3. クライアントのネットワークパラメータ (サブネットマスクやゲートウェイなど) を指定します。
  4. DNS サーバーを指定します。

RED DHCP サーバー: RED インターフェースの更新

既存の RED インターフェースの IP アドレスを RED DHCP サーバーのダイナミックリース範囲外のアドレスに変更すると、RED DHCP サーバーはオフになります。

RED DHCP が再び機能するようにするには、次のいずれかを実行します。

  • DHCP サーバーの設定を更新します (「ダイナミック IP リース」、「スタティック IP MAC マッピング」、「DNS」など)。
  • 新しい IP アドレス範囲の DHCP サーバーをあらためて作成します。

その他のリソース