Categories: IT・テクノロジーネットワーク

【完全解説】L3スイッチ配下でも「DHCP未取得端末」を遮断する方法

〜Yamaha RTX × L3スイッチ構成での正しいアクセス制御〜

目次
  1. はじめに
  2. 想定しているネットワーク構成
  3. 問題点:なぜ L3スイッチ配下では通信できてしまうのか?
  4. 結論①:L3スイッチでも制御は必要?
  5. 結論②:「DHCPを受けた端末だけ許可」は可能?
  6. 最適解:DHCP Snooping + IP Source Guard
  7. 他の方法との比較
  8. おすすめ構成まとめ(今回の要件)
  9. 運用上の注意点(重要)
  10. まとめ

はじめに

社内ネットワークや小規模拠点ネットワークにおいて、
「許可した端末以外はネットワークに接続させたくない」
という要件は非常に多くあります。

特に以下のような構成では、思わぬ落とし穴があります。

ONU
 ↓
Yamaha RTX1300(DHCP + MAC制御)
 ↓
L3スイッチ
 ↓
各端末 / NAS

RTX側で

  • DHCPのMACバインド
  • 手動IPの遮断

まで設定したのに、
L3スイッチ配下の端末同士は通信できてしまう…

本記事では、

  • なぜこの現象が起きるのか
  • ルーターだけでは防げない理由
  • L3スイッチで取るべき正解の対策
  • 現実的で運用しやすい構成

実務目線で分かりやすく解説します。

想定しているネットワーク構成

ONU
 ↓
RTX1300
  ・DHCPサーバ
  ・MACアドレス固定割当
  ・DHCP未取得端末は遮断
 ↓
L3スイッチ
 ↓
PC / NAS / プリンタ

RTX1300 側では以下のような設定を実施している想定です。

dhcp service server
dhcp scope lease type 1 bind-only
dhcp scope 1 192.168.10.2-192.168.10.254/24

dhcp scope bind 1 192.168.10.2 ethernet XX:XX:XX:XX:XX:XX
dhcp scope bind 1 192.168.10.3 ethernet YY:YY:YY:YY:YY:YY
dhcp scope bind 1 192.168.10.4 ethernet ZZ:ZZ:ZZ:ZZ:ZZ:ZZ

ethernet filter 1 pass dhcp-bind 1
ethernet lan1 filter in 1

この設定により、

  • 登録済み MAC のみ IP 割当
  • 手動 IP 設定は RTX で遮断

という 一見完璧な制御ができているように見えます。

問題点:なぜ L3スイッチ配下では通信できてしまうのか?

結論から言うと

👉 L3スイッチは「ルーター」だからです。

重要なポイント

  • L3スイッチは
    • IPルーティング
    • ARP応答
    • VLAN間通信
      RTXを経由せず 処理できます。

つまり、

PC(手動IP)
 ↓
L3スイッチ
 ↓
NAS

という通信は
RTX1300を一切通過しません。

RTX の ethernet filter が効かない理由

RTXの ethernet filter dhcp-bind は、

  • RTXを通過するパケットのみ をチェック

するため、

  • L3スイッチ内で完結する通信
    検知も遮断もできない

というのが正体です。

結論①:L3スイッチでも制御は必要?

答え:YES(必須)

通信が発生する場所で制御しない限り、必ず抜け道ができます。

  • 端末同士
  • 端末 → NAS
  • 端末 → プリンタ

これらが L3スイッチ内で完結する以上、
L3スイッチ側にもアクセス制御は必須です。

結論②:「DHCPを受けた端末だけ許可」は可能?

👉 可能です(ただし機種依存)

最も現実的かつ安全な方法が次です。

最適解:DHCP Snooping + IP Source Guard

これは何か?

L3スイッチ側で、

  • DHCPで正しく割り当てられた
    • IPアドレス
    • MACアドレス
    • VLAN
    • 接続ポート

の組み合わせだけを 正規端末として許可する仕組みです。

仕組みの流れ

  1. L3スイッチで DHCP Snooping を有効化
  2. RTX1300 接続ポートを trusted
  3. 端末ポートを untrusted
  4. DHCPで学習した端末情報のみ通信許可
  5. 手動IP・不正MACは即遮断

結果

端末状態通信
DHCP取得済み・登録MAC✅ 通信可
手動IP設定❌ 遮断
未登録MAC❌ 遮断
L3スイッチ内通信❌ 遮断

👉 RTX配下・L3スイッチ配下を問わず完全制御できます。

他の方法との比較

① ポートセキュリティ(MAC固定)

メリット

  • 設定が単純

デメリット

  • 台数が増えると管理不能
  • MAC偽装に弱い

👉 小規模・固定構成向け

② VLAN分離

メリット

  • 論理的に分離できる

デメリット

  • 手動IPは防げない
  • DHCP連動不可

👉 セキュリティ用途には不十分

③ 802.1X(認証)

メリット

  • セキュリティ最強

デメリット

  • RADIUS必須
  • 運用が重い

👉 大規模・企業向け

おすすめ構成まとめ(今回の要件)

条件

  • 配線変更なし
  • DHCP+MAC制御
  • 手動IP禁止
  • NASへの直接アクセスも遮断

ベストプラクティス

RTX1300
 ・DHCP bind-only(現状のままでOK)

L3スイッチ
 ・DHCP Snooping 有効
 ・IP Source Guard 有効
 ・RTX接続ポート:trusted
 ・端末ポート:untrusted

運用上の注意点(重要)

  • NAS・プリンタなど
    DHCPを使わない機器
    → DHCP Snooping の static binding が必要
  • L3スイッチによっては
    • DHCP Snoopingのみ対応
    • IP Source Guard非対応
      の場合あり

まとめ

  • ❌ RTX1300 だけでは L3スイッチ配下は守れない
  • 制御は必ず通信発生点で行う
  • ⭐ 最適解は
    DHCP Snooping + IP Source Guard
  • 「DHCPを受けた端末だけ通信可」は 実現可能

あざらし

はじめまして、あざらしです。 フリーターからエンジニア会社へ就職し、 現在はフリーランスのシステムエンジニアとして働いています。 本業のエンジニア業のかたわら、 ✍️ ブログ運営 と「収入の柱を増やす挑戦」を少しずつ続けています。 フリーター時代から比べると、 段階的に収入が増えていくのを実感できるのが素直にうれしい今日この頃。 このブログでは、日々の気づき・体験談 IT・ガジェット・ゲーム系の話 「調べて分かったこと」を噛み砕いた解説 などを中心に、ジャンルに縛られない雑記ブログとして発信しています。 「自分と同じように悩んでいる人のヒントになればいいな」 そんな気持ちで更新中です。 👉 プロフィール詳細は、名前「あざらし」をクリックしてください

Leave a Comment
Share
Published by
あざらし
2か月 ago

Recent Posts

🚃📦 JR貨物の「中古鉄道コンテナ」を買って“最強の物置”にする方法(価格・購入手順・注意点まで)

「庭に置ける頑丈な物置がほしい…

3時間 ago

WordPressのスパムコメント対策🔒 放置すると危険!今日からできる鉄壁ガード術✨

ブログ運営を始めると、ある日突…

17時間 ago

【悪用厳禁】ブログで使える心理学5選🧠✨読者が自然に行動する文章術

ブログで「ちゃんと書いてるのに…

2日 ago

画像1枚で3D化できる!Tripo Studio(studio.tripo3d.ai)で“推し風キャラ”キュアアルカナ シャドーを立体化する方法✨🧙‍♀️

イラスト1枚から、テクスチャ付…

3日 ago

【未来予想】これから稼げるブログジャンル3選💡✨案件アイデア28個つきで迷わない📈

「ブログで収益化したいけど、ど…

5日 ago

Googleサーチコンソール「ここだけ見ればOK」完全ガイド📈✨(初心者向け)

ブログで検索流入を増やしたいな…

5日 ago