【完全解説】L3スイッチ配下でも「DHCP未取得端末」を遮断する方法

〜Yamaha RTX × L3スイッチ構成での正しいアクセス制御〜

目次
  1. はじめに
  2. 想定しているネットワーク構成
  3. 問題点:なぜ L3スイッチ配下では通信できてしまうのか?
  4. 結論①:L3スイッチでも制御は必要?
  5. 結論②:「DHCPを受けた端末だけ許可」は可能?
  6. 最適解:DHCP Snooping + IP Source Guard
  7. 他の方法との比較
  8. おすすめ構成まとめ(今回の要件)
  9. 運用上の注意点(重要)
  10. まとめ

はじめに

社内ネットワークや小規模拠点ネットワークにおいて、
「許可した端末以外はネットワークに接続させたくない」
という要件は非常に多くあります。

特に以下のような構成では、思わぬ落とし穴があります。

ONU
 ↓
Yamaha RTX1300(DHCP + MAC制御)
 ↓
L3スイッチ
 ↓
各端末 / NAS

RTX側で

  • DHCPのMACバインド
  • 手動IPの遮断

まで設定したのに、
L3スイッチ配下の端末同士は通信できてしまう…

本記事では、

  • なぜこの現象が起きるのか
  • ルーターだけでは防げない理由
  • L3スイッチで取るべき正解の対策
  • 現実的で運用しやすい構成

実務目線で分かりやすく解説します。

想定しているネットワーク構成

ONU
 ↓
RTX1300
  ・DHCPサーバ
  ・MACアドレス固定割当
  ・DHCP未取得端末は遮断
 ↓
L3スイッチ
 ↓
PC / NAS / プリンタ

RTX1300 側では以下のような設定を実施している想定です。

dhcp service server
dhcp scope lease type 1 bind-only
dhcp scope 1 192.168.10.2-192.168.10.254/24

dhcp scope bind 1 192.168.10.2 ethernet XX:XX:XX:XX:XX:XX
dhcp scope bind 1 192.168.10.3 ethernet YY:YY:YY:YY:YY:YY
dhcp scope bind 1 192.168.10.4 ethernet ZZ:ZZ:ZZ:ZZ:ZZ:ZZ

ethernet filter 1 pass dhcp-bind 1
ethernet lan1 filter in 1

この設定により、

  • 登録済み MAC のみ IP 割当
  • 手動 IP 設定は RTX で遮断

という 一見完璧な制御ができているように見えます。

問題点:なぜ L3スイッチ配下では通信できてしまうのか?

結論から言うと

👉 L3スイッチは「ルーター」だからです。

重要なポイント

  • L3スイッチは
    • IPルーティング
    • ARP応答
    • VLAN間通信
      RTXを経由せず 処理できます。

つまり、

PC(手動IP)
 ↓
L3スイッチ
 ↓
NAS

という通信は
RTX1300を一切通過しません。

RTX の ethernet filter が効かない理由

RTXの ethernet filter dhcp-bind は、

  • RTXを通過するパケットのみ をチェック

するため、

  • L3スイッチ内で完結する通信
    検知も遮断もできない

というのが正体です。

結論①:L3スイッチでも制御は必要?

答え:YES(必須)

通信が発生する場所で制御しない限り、必ず抜け道ができます。

  • 端末同士
  • 端末 → NAS
  • 端末 → プリンタ

これらが L3スイッチ内で完結する以上、
L3スイッチ側にもアクセス制御は必須です。

結論②:「DHCPを受けた端末だけ許可」は可能?

👉 可能です(ただし機種依存)

最も現実的かつ安全な方法が次です。

最適解:DHCP Snooping + IP Source Guard

これは何か?

L3スイッチ側で、

  • DHCPで正しく割り当てられた
    • IPアドレス
    • MACアドレス
    • VLAN
    • 接続ポート

の組み合わせだけを 正規端末として許可する仕組みです。

仕組みの流れ

  1. L3スイッチで DHCP Snooping を有効化
  2. RTX1300 接続ポートを trusted
  3. 端末ポートを untrusted
  4. DHCPで学習した端末情報のみ通信許可
  5. 手動IP・不正MACは即遮断

結果

端末状態通信
DHCP取得済み・登録MAC✅ 通信可
手動IP設定❌ 遮断
未登録MAC❌ 遮断
L3スイッチ内通信❌ 遮断

👉 RTX配下・L3スイッチ配下を問わず完全制御できます。

他の方法との比較

① ポートセキュリティ(MAC固定)

メリット

  • 設定が単純

デメリット

  • 台数が増えると管理不能
  • MAC偽装に弱い

👉 小規模・固定構成向け

② VLAN分離

メリット

  • 論理的に分離できる

デメリット

  • 手動IPは防げない
  • DHCP連動不可

👉 セキュリティ用途には不十分

③ 802.1X(認証)

メリット

  • セキュリティ最強

デメリット

  • RADIUS必須
  • 運用が重い

👉 大規模・企業向け

おすすめ構成まとめ(今回の要件)

条件

  • 配線変更なし
  • DHCP+MAC制御
  • 手動IP禁止
  • NASへの直接アクセスも遮断

ベストプラクティス

RTX1300
 ・DHCP bind-only(現状のままでOK)

L3スイッチ
 ・DHCP Snooping 有効
 ・IP Source Guard 有効
 ・RTX接続ポート:trusted
 ・端末ポート:untrusted

運用上の注意点(重要)

  • NAS・プリンタなど
    DHCPを使わない機器
    → DHCP Snooping の static binding が必要
  • L3スイッチによっては
    • DHCP Snoopingのみ対応
    • IP Source Guard非対応
      の場合あり

まとめ

  • ❌ RTX1300 だけでは L3スイッチ配下は守れない
  • 制御は必ず通信発生点で行う
  • ⭐ 最適解は
    DHCP Snooping + IP Source Guard
  • 「DHCPを受けた端末だけ通信可」は 実現可能

コメント

タイトルとURLをコピーしました