CatoクラウドにおけるDHCPの仕様について、アップデートが行われたため解説いたします。
はじめに:DHCPとCatoクラウド
DHCPは、ネットワークに接続する機器に対してIPアドレスなどの必要な情報を自動で配布する、非常に多くの環境で利用される機能です。ADサーバやルータ等の機器に搭載されていることが多いものですが、Catoクラウドにおいてルータに相当する役割となるCato Socketにも当然DHCP機能が存在します。
このCatoのDHCP機能、従来はかゆいところに手の届かない仕様だったのですが、近日のアップデートによって使い勝手が向上しました。この記事では、その内容について紹介していきます。
DHCPの機能強化:Site編
まず、Catoと接続された拠点(Site)におけるDHCP機能の強化を解説いたします。
複数のDHCPレンジ指定に対応!
DHCPの設定を行う上では、DHCPレンジ、すなわち「どのIPアドレスを配布して良いか」の指定が必須となります。
CatoのSite配下におけるDHCP設定には「1つのサブネットにつき、連続した1つのDHCPレンジしか設定できない」という制約があったのですが、アップデートにより複数レンジの設定が可能となりました。
これが何を意味するのか、具体的な例を挙げて確認します。
Cato Socketを配置した拠点の内部ネットワークが、以下のような使われ方をしていたとします。
A拠点:192.168.1.0/24
Cato Socket:192.168.1.1
固定IPの機器(プリンタ、一部PC等)用レンジ:192.168.1.101 – 192.168.1.150
スイッチ類:192.168.1.251 – 253
この場合、「連続した1レンジしか設定できない」という従来の仕様では、DHCPレンジは広く取っても以下のいずれかということになります。
・192.168.1.2 – 192.168.1.100
・192.168.1.151 – 192.168.1.250
仮にDHCPでつなぐ機器が100を超えたら、従来の仕様では対応できなくなるわけです。
(※厳密には固定IP用レンジのIPすべてに「Static Host Reservation」を設定すれば対処可能ではあるのですが、少々厳しい対処方法です。)
アップデートにより、上記のようなケースでも「2つのレンジを指定する」であっさり対応できるようになりました。IPアドレスの利用範囲が1か所に固まっていないケースは決して珍しくないため、うれしい仕様変更です。
DHCPに高度なセキュリティを!「Microsegmentation」機能
Site内のDHCPには、新たなオプション機能として「Microsegmentation」機能が追加されました。
デフォルトでは無効となっているこの機能を有効にすると、DHCPによってIPアドレスを配布するときに「/32」のセグメントとして配布を行うようになります。
ローカルネットワークにおいて、「同じサブネットであれば、通信はスムーズに通る」場合が大半です。これ自体は別に悪いことではないのですが、悪意のある利用者が存在する場合、同セグメント内の偵察や攻撃は比較的簡単にできてしまう、という構造上の弱点にもなりえてしまいます。
Microsegmentationを有効にすると、DHCPにより配布されたIPを使用する機器は、内部的には/32のセグメントに分割されているため、別の機器と通信する場合には必ずCato Socket、つまりLAN FirewallまたはWAN Firewallを経由することになります。これによって、確実にセキュリティチェックを行うことが可能となるのです。
注意点として、この機能の対象とするIPレンジは、全てCatoによるDHCPの対象レンジとなっている必要があります。上の図であれば、サーバである「192.168.x.a」も含めたDHCPレンジを設定したうえで、サーバには「Static Host Reservation」によってCatoから固定IPの払い出しをする必要があります。
また、LAN FirewallやWAN Firewallによる制御が必ず入る以上、許可設定が適切に行わなれなければ必要な通信もブロックされる恐れがあります。本機能の利用を検討する場合、少しずつテストを行いながら導入範囲を広げることが推奨されます。
決して必須の機能ではありませんが、セキュリティを更に高めたい場合には注目の機能です!
DHCPの機能強化:モバイル編
Cato Clientを用いてモバイル接続によってCatoを利用する場合、CMA上で事前に定義されたIPレンジからIPアドレスが割り振られます。DHCPと銘打たれている機能ではありませんが、類似した性質を持つので本記事でまとめて紹介いたします。
Dynamic IP RangeとStatic IPレンジが複数定義可能に!
Cato Client向けに配布されるIPレンジは原則として単一のCIDRとなりますが、
これとは別に「Dynamic IP Range」「Static IP Range」という設定が存在します。
Dynamic IP Rangeは特定のユーザグループに、Static IP Rangeは特定のSDPユーザに、
それぞれ通常のIP配布レンジとは別のIPレンジからIPアドレスを配布することが可能です。
IPアドレスでアクセスを制限するような機器・サービスが存在する環境において、「特定のユーザ(管理者)やグループ(IT部門など)にだけアクセス可能なIPアドレスを配布したい」といった需要に応えられる機能となっています。
従来はDynamic IP Range、Static IP Rangeそれぞれ一つずつしか作成できませんでしたが、
アップデートにより複数のレンジを定義可能になりました。
これにより、「複数のグループ会社について、モバイル接続時に会社によって別々のIPレンジを割り振る」といった運用が可能となりました。大きな組織でIPアドレスによる管理を行いたい場合には、ぜひチェックしておきたいアップデートです。
参考:DHCPの設定箇所
2026年1月現在の、DHCP設定を行うためのCMA上の設定箇所を提示します。
Site向けDHCP設定
CMAにログインし、[Network] > [Site]から設定を行いたいSiteを選択します。
Site画面の[Site Configuration] > [Networks]に移動し、
対象のNativeレンジもしくはVLANをクリックします。
開いた設定ウィンドウの「DHCP Type」を「DHCP Range」とすることで、任意の範囲を指定可能です。複数のレンジを指定したい場合は、「Additional DHCP Ranges」から追加していきます。
設定完了後、画面右上の「Save」の実行を忘れないようにしましょう。
モバイル向けIP Allocation設定
モバイルユーザ向けのIPレンジは、[Access] > [IP Allocation Policy]から設定します。
IPレンジの定義は、[Settings]タブで実施します。
Dynamic IP RangeやStatic IP Rangeを定義した場合、それぞれ[Dynamic IP Allocation] [Static IP Allocation]にて適用条件を指定しなければ割り振られることはありません。
複数のルールを設定することが可能ですが、上からチェックして最初に合致したルールだけが適用されるので注意しましょう。
おわりに
Catoの他の機能と同じく、DHCP機能も繰り返しアップデートが行われています。
本記事で紹介したアップデートにより、Catoネイティブの機能でのDHCP実装のハードルは大きく下がったように思います。DHCP機能を兼ねたルータをCato Socketに置き換えたい場合など、ぜひ参考にしてみてください。