DHCP管理のLANでtelnet等したい時はどうしてますか？

小規模事務所でパソコンとプリントサーバーで合計十数台のノードを運用しています。

でも、常時電源が同時に入るのは、５、６台なので、固定アドレスにしています。

ところで、去年こちらの掲示板で、今どきDHCPが常識だし、早くしないとそのうち収拾がつかなくなって大変ですよ、と御指導いただきました。

しばらく手付かずだったのですが、やっと実行したいと思っています。

そこで素朴な困りごとなのですが．．．

現在WINDOWS98-WIN2000-MAC-OS2WARP-各種プリントサーバの混在イーサネットになっています。

各パソコンどうしで、VNCやデスクトップオンコールのリモコンをしたり、FTPやTELNET、プリントサーバの設定変更などに固定アドレスをありがたく使っているのですが、これらをDHCPに全面移行したばあい、「自分が操作したい対象」を、どうやって見分けたら良いでしょうか？？？

No.6 ベストアンサー 回答者： betagamma 回答日時： 2005/02/26 06:27

No.3です。

そうですね、IP固定とDHCPは共存できます。わかりにくいですが。

プロキシサーバーとかWEBサーバーとかメールサーバーとか、サーバー系は固定にして、おのおののユーザーが使うクライアント系は、静的DHCPにしておけばよいのではないでしょうか？

＞（これらの端末にTELNETやVNC等で管理操作をしようという考えがあったらDHCPは
使えない、と考えて差し支えないわけですよね？）

ええ、端末に対してIPアドレス指定でtelnet,VNC等をするつもりであれば、DHCPで勝手にIPアドレスがコロコロかわられたら使えませんね。

ただ、その場合でも、結局IPアドレスと何らかの名前の対応表を動的に構築する仕組みがあれば、使えるんですよ。NetBIOS名もその一つで、個々のパソコンのNetBIOS名さえ設定しておけば、IPアドレスとNetBIOS名の対応表を勝手に構築してくれます。事実、うちでは、帰ってきてノートパソコンを家庭内LANに接続するたびにIPアドレスが変わっていますが、NetBIOS名でノートパソコンにアクセスしているので、ノートパソコンのIPアドレスを全く気にせずに、VNCもtelnetも使用することができています。
Windows,samba入れたLinuxでは、NetBIOS名も、DNS名と同じように勝手に調べてIPアドレスまで変換してくれるようですね。事実、
ping NetBIOS名
とやったら、pingできてしまいました。

＞（あまり知識が無いので今の所、ポートのフィルタリングしかしていない状態です。
メールのウイルス対策は全部OS2で送受信して、感染しても発病／中継しないような
消極的な対策しかしていないので早晩なんとか勉強しなければと思っています）

まず、ウイルスは圧倒的にWindowsでしか動かないものが多いです。OS2で送受信しているというのは、大正解です。OS2で動くウイルスというもの自体が、とても少ないですから。
従って、メールの送受信が全部OS2でできていれば、割と有効なウイルス対策では？という気がします。
ただ、心配なのは、それって、ユーザーがaltosaxさんに無断で他のWindows機でメール受信をしたり、はたまたノートパソコンを持ち込んで勝手に事務所LANに繋いでメール受信したりしたら、一発で崩れますよね（汗
ユーザーの側からしたら、OS2機でだけしか受信できないって割と不便な気がしますが、大丈夫でしょうか？ユーザーを不満なままにさせておくと、いくらいっても、そういうことをやる輩が出てくるような気がします。

で、この「勝手にノートパソコンを持ち込んで」が、おそらくNo.5さんのおっしゃっていることだと思います。つまり、DHCP割り当てができる環境では、何も規制しなければ、ルーター・ハブのLAN端子と自分のパソコンのLAN端子を接続さえすれば、DHCP割り当てが行われて、事務所内PCとして振る舞えてしまいます。もし、そのノートパソコンがウイルスに感染していた場合、インターネットと社内LANの間にいくら高級なファイアウォールで防衛しても、社内LANに直接ウイルスが入り込むことになり、インターネットからの防衛が崩れます。

これを防ぐために、「外部者は自分のノートパソコンを社内LANに勝手に接続しない」というのがルールになっています。

ネットワーク上から、この事態を防ぐには、DHCPに、すべての端末のMACアドレスを登録しておいて、登録されていないMACアドレスを持つ端末には、IPを割り当てないことにすればいいわけです。

一つ一つのOSの異なるパソコンについて、MACアドレスを調べて回るのは、いかにも大変そうに見えますが、Windows機が一台あるのなら、次のようにしてできます。社内LANのネットワークアドレスが、192.168.1.0なら、Windowsで、
ping -t 192.168.1.255
とします。一分ぐらいしたら、止めて、その直後に、以下のコマンドを打ち込みます。
arp -a >list.txt
すると、list.txtに、社内LANに接続されているすべての機器のMACアドレスがリスティングできます。

どの端末でも、社内LAN上でIPアドレスで通信できている以上、通信先のパソコンのMACアドレスとIPアドレスの対応表（arpテーブルといいます）を動的に作って持っているわけです。自分のWindowsXPでは、一分ぐらいで頻繁に更新されていました。
これを逆手にとって、ブロードキャストで全部の端末に返答させた直後に、自分が持っているarpテーブルを表示させれば、社内LANに繋がっているすべての端末のMACアドレスが手に入るわけです。

UN*X機でも、root権限（たぶん必要）があれば、同様のことが可能です。原理的には、どのパソコンでも同じ情報が撮れるのですが、自分はWindowsとUN*Xしか知りません。

これをやれば、悪意・技術のない普通の外部者が、危険であることを知らずに、自分のノートパソコンを社内LANに接続することによって、ウイルス感染するのを防ぐことができます。

ただ、悪意と技術があって、社内LANに接続しようと思っている人には、万全ではありません。たとえば、社内で使っているネットワークアドレスが、192.168.1.0であることが見破られれば、DHCPサーバーなどに頼らなくても自分で勝手に固定アドレスを設定して入ってくるかもしれません。また、MACアドレスは、実は変更できます。使っているネットワークカードにもよりますが、Windowsでは、レジストリの一部をいじることで、自分のMACアドレスを偽装することができます。これで、あらかじめ登録してある端末のうち一つでもMACアドレスが分かれば、上記の対策を取ったとしても、社内LANに接続できてしまいます。

この回答へのお礼

>telnet,VNC等をするつもりであれば、DHCPで勝手にIPアドレスがコロコロか
>わられたら使えませんね。
>ただ、その場合でも（中略お許し下さい）
>ping NetBIOS名
>とやったら、pingできてしまいました。

これはすごい福音だと小躍りしながら試してみたのですが、IBM-LAN(PEER)のOS2との間では互換性が無いことがわかってちょっとがっかりでした（；；）
NETBIOS_OVERTCP/IPは相互にきちんと入れてあるのでオブジェクトアイコンとしては、LANMAN側にきっちりWINが（そして相互にWIN側にLANMANが）現れてくれるのですが、PINGとARPはNETBIOS名では無反応のままでした（固定IPだと問題無しです）。
MSネットワークとはてっきり同類のはずのNETBEUIの総本山,LANMANAGERとNETBIOS名のコマンドが通らないのはかなりショックな新発見？ですね．．．
（MS仕様のNETBEUIはIBM-LANMANから決別した拡張をしたんでしょうか）
時代遅れのOS2には色々問題ありですが、実はこれも事務所の蓄積としては永年運用してきてOS2拡張属性付きデータばかりなので足が洗えずにいます。
（個人的に使い慣れてしまい、抜群の操作性を手放したくない愛着も足枷です）
ところが意外なことに、WIN-MOUNTERをインストールしたマックとWIN群の間ではすんなりNETBIOS名でPINGOKでした！

>これをやれば、悪意・技術のない普通の外部者が、危険であることを知らず
>に、自分のノートパソコンを社内LANに接続することによって、ウイルス感染
>するのを防ぐことができます。

これはLANMANとMS系との疎遠の原因（直系尊属ですから多分私が何かの設定で引数を間違えている可能性の方が大な気がします＾＾；）を調べて、出来る限り早期にやっておきたいと思います。

>192.168.1.0であることが見破られれば、

これは後任管理者なら仕方ありませんが、短期アルバイト生などに見られたらえらいことになりそうですね！
現状でLANがわかる人、というと私一人しかいないので、各マシンごとに名札シールにして堂々と張り付けてしまっています（O。O；）

これは人が出入りする前に何とかしないといけませんね！！！
（去年、そのままではえらいことになりますよ、と言われた真の意味がやっとわかりました。猛省至極です。）
噛み砕いたわかりやすい御指導、本当にありがとうございます！！！

お礼日時：2005/02/26 08:56

No.7 回答者： betagamma 回答日時： 2005/02/26 06:43

たびたびすみません。

外部者がノートパソコンを持ち込んで・・・と書きましたが、別に、社外の人に限りません。
むしろ、社内の人間が、危険を知らずに無知で、自分のノートパソコンを持ってきて社内LANに繋げたりして、そこからウイルスが感染する・・・つまり、ノートパソコンがウイルスの媒介役になっているというのが、よくある話のようです。No.5さんの例も、この例です。

静的DHCPにすることは、この例に対する対策にもなっています。固定IPでは、社内の人間にちょっと知識があれば、自分の普段使っている端末の電源を消しておいて、代わりに自分が新しく持ってきたノートパソコンに、端末と同じIPアドレスをつければ、社内LANに勝手に接続できてしまいます。静的DHCPでは、最初からあった端末と、社員が勝手に持ってきたノートパソコンではMACアドレスが違うので、接続できません。

あ、あと、Windowsのコマンドは、98ではうまくいかないかも知れません。2000でAdministrator権限下でやれば、きっとうまくいくと思います。自分が試したのはXPなので。

・・・ってことで、長くなりましたが、結論としては、
まあ、まず端末に対しては静的DHCPを試して
サーバーに関しては固定IPを試してみたら、どうでしょう？
ということです。

この回答へのお礼

>まあ、まず端末に対しては静的DHCPを試して
>サーバーに関しては固定IPを試してみたら、どうでしょう？
>ということです。

そうですね！
おかげさまで意義と重要性と手順がとっても良くわかりました！
LANMANとMSネットワークの不仲の原因がわからないうちは暫く、ゲストも身内バイト等もLAN禁止のスニーカーネットで凌いで、OS2は社内資産を徐々に移し変えて完全に私個人の私用機に払い下げる方向で実施しようと思います。
良く働いてくれるOS2だったのでファイルサーバに格上げするつもりでいましたが、これは静的DHCPに参加できないとなると絶望ですもんね．．．

OS2は業務仕様がセールスポイントで導入したものですから私が使いこなしていないだけの可能性大で正直未練もたっぷりですので、外部の人が出入りしないうちに色々他の手段で静的DHCP参加の方法があるかも検討してみたいと思います。
でも、本当にお陰さまで、もやもやが綺麗に晴れました！
去年の抽象的な警告をくれた方には一時大変失礼な感情を持ってしまいましたが反省しました。
非常に分かりやすく具体的な御指導を本当にありがとうございました！！

お礼日時：2005/02/26 09:35

No.5 回答者： mii-japan 回答日時： 2005/02/26 00:02

>家庭用パソコンのウインドウズ９系やマックだと「固定にするかＤＨＣＰにするか」のどちらか二者択一でしか選べないようになっている様子ですが、これは高度な管理のできるＮＴ系列やマックのＯＳＸなどＵＮＩＸ系統で可能ということになるのでしょうか？

少し難しくお考えのようですな

ことは簡単です

DHCPサーバの割当範囲は、ルータによって異なりますが
少ないのは32とかです、多いものならば32とか64とかに制限します
そうしますと、DHCPでは使用されないアドレスが出来ます、ここを固定アドレスで使用します（実際は使用しやすい部分を固定アドレスで、残った適当なところをDHCPの割当範囲とします）

個々のクライアントは固定アドレスか自動割当のどちらかです、ワンタッチで切替　と言うわけには行きません
（この点を過大に受け取っているのでは）

要は、アドレスがダブルことの無いようにすれば良いのです

なお、余談ですが、自動割当にしておくと、無断でネットワークに接続しようとする輩が出てくるようです、そして、それが、ウィルス対策やセキュリティ対策が不十分でネットワーク障害を引き起こす例が多いようです

つい先日の書き込みでも、ネットワーク障害の原因を究明していったら、無断接続（個人のPCの）でそのPCがウィルスに汚染されていた　　　というのがありました

この回答への補足

＞で、クライアント側は固定にしたければ固定IPを名乗ればそれでオッケー、
＞DHCPにぶらさがりたければ、「自動割り振りオン」にすればそれでオッケー、

この件の自己レス（？）ですが、そうすると「いわゆる超小型のプリントサーバー商品」では特別にDHCPクライアント設定機能がなければDHCPにぶらさがることはありえないですよね。

（マニュアルのない中古品で貰いうけた古いプリントサーバーが多数あります。テストプリントの表示IPやスニッファでIPアドレスを検知して手動固定IPで使って来ました）

補足日時：2005/02/26 03:40

この回答へのお礼

>DHCPサーバの割当範囲は、ルータによって異なりますが
>少ないのは32とかです、多いものならば32とか64とかに制限します
>そうしますと、DHCPでは使用されないアドレスが出来ます、

はあん！
DHCPサーバーの「開始アドレス」「終了アドレス」で区切るだけで良いのですね！

で、クライアント側は固定にしたければ固定IPを名乗ればそれでオッケー、
DHCPにぶらさがりたければ、「自動割り振りオン」にすればそれでオッケー、
という訳だったんですね。
小規模LANなのでBBルータ－がそのままDHCPサーバーなのですが、
てっきり今まで、ルータ－配下の１ホップがすべて、DHCP支配になるか全部固定
になるかの二者択一しかあり得ないのだとばかり思い込んでいました（＾＾；）

大企業の何百台もあるLANは皆DHCPだと聞きましたが、それはあくまで端末機的に
にクライアントとしか考えない大前提だからこそですよね！？

（これらの端末にTELNETやVNC等で管理操作をしようという考えがあったらDHCPは
使えない、と考えて差し支えないわけですよね？）


>余談ですが、自動割当にしておくと、無断でネットワークに接続しようとする輩が出てくるようです

これはスパイウエアという意味でしょうか？
それともPOPチェッカーなども、もっと注意してルータ－等で制御しなければなら
ない、ということでしょうか？

（あまり知識が無いので今の所、ポートのフィルタリングしかしていない状態です。
メールのウイルス対策は全部OS2で送受信して、感染しても発病／中継しないような
消極的な対策しかしていないので早晩なんとか勉強しなければと思っています）

どうぞ引き続き宜しくお願い申し上げます。

お礼日時：2005/02/26 02:54

No.4 回答者： mii-japan 回答日時： 2005/02/25 12:30

No.1です　補足します

サーバ等がある場合は、全てをDHCP割当ではなく

他からアクセスさせる機器（サーバ、プリントサーバ等）は固定アドレスとするのが一般的です

アドレス192.168.x.yの場合
ｙは　ルータを　1、DHCP割当範囲を　129～

サーバは　17～
固定アドレスのクライアントは　33～
ルータが複数の場合　2～

のように決めておくと便利です

クライアントもA部門は33～　B部門は　49～
(あるいは　10進で判りやすく　10～　20～　30～　）のようにしておけば、IPアドレスからだけで　おおよその見当はつきます

この回答への補足

「パソコンLANならやったことあります」程度の知識レベルの人しか期待できない
小規模事務所で、将来誰かにLAN管理業務を引継ぐことも考えると、どうやら
DHCPにすると弊害のほうが大きそうな感じですね．．．？

各ノードへの固定IP割り振りの簡単な絵を見せて、「このIPアドレスにログインして
VNCやTELNETやFTPなどやってね」と後任者にも説明してあげる方が実務的にも間違いが
発生しにくいような素直な感想なのですが、いかがでしょうか？
（やはり業務、というとDHCPが主流で、ちょっとした個人中小企業でも
DHCPサーバーに静的IPアドレス割り振りをするのが当たり前になっているのでしょうか？）

※事務所として、将来的に担当者が引き継ぎしていくことを大前提に、
「誰でも容易に納得してもらえる常識的な運用」を第一に心掛けたいと思っています。

補足日時：2005/02/25 16:53

この回答へのお礼

お世話になります、続いての詳しいご補足本当に助かります！

>サーバ等がある場合は、全てをDHCP割当ではなく
>他からアクセスさせる機器（サーバ、プリントサーバ等）は固定
>アドレスとするのが一般的です

固定とＤＨＣＰの混在ということも出来るんですね！
家庭用パソコンのウインドウズ９系やマックだと「固定にするかＤＨＣＰにするか」のどちらか二者択一でしか選べないようになっている様子ですが、これは高度な管理のできるＮＴ系列やマックのＯＳＸなどＵＮＩＸ系統で可能ということになるのでしょうか？

お礼日時：2005/02/25 15:53

No.3 回答者： betagamma 回答日時： 2005/02/25 06:51

＞現在WINDOWS98-WIN2000-MAC-OS2WARP

ここが一番やっかいですね。十数台レベルで、ここまで混在したLAN環境の管理をしないといけないこと自体が珍しいと思います。

DHCPでも、アドレスを固定にすることはできます。MACアドレスとIPアドレスの対応を、あらかじめDHCPサーバーに登録しておいて、「静的割り当て」にしておくことができます。MACアドレスは、必ずすべてのPCで違うように製造されていますので、DHCPサーバーの設定だけで集中管理することができます。これが、いちばんよくやられている手法です。
平たく言えば、MACアドレスとIPの対応表を、DHCPサーバー一カ所にまとめておくわけです。純粋な静的IPとの違いは、純粋な静的IPは、各PCがどのIPアドレスを名乗るべきかの設定を個別に持っているのに対して、「IPのMACアドレスによる静的割り当て」では、MACアドレスとIPの対応表をDHCPサーバーが集中的に持っているところでしょう。

後は、クライアントがWindowsだけで十数台なら、NetBIOS名という識別方法があります。NetBIOS名は、Windowsのいわゆる「コンピューター名」です。
これは、すべてのパソコンが一つのLANにつながっている場合、ブロードキャストを通して、各PCがNetBIOS名と自分のIPアドレスを放送して、お互いに知らせあうことで、サーバーなしでも管理できるものです。うちは、家庭内LANでこれを使っています。
NetBIOS名は、Windowsのファイル共有・ネットワークプリンタの管理プロトコルである、sambaプロトコルにおいて名前解決をするためのもので、Linuxなど他のOSが混在していてもsambaサーバー・NetBIOS名解決サーバーであるsmbd,nmbdを立ち上げれば、解決できます。現に、これを書いているうちの自宅のシステムでは、Linux機には全部sambaを入れることで、WindowsとLinuxが混在した状況において、NetBIOS名で各PCを特定しています。

後は、DNSサーバー（ほとんどの場合、bindですが）を立ち上げるっていう方法があるみたいですが、全クライアントがグローバルIPならいざしらず、ローカルIPが混ざっている場合の設定をするのが難しそうなので使っていません。

で、結論を言うと、DHCPに移行した場合、
「MACアドレスとIPの静的対応」
をDHCPサーバーに登録しておくのが最も効率的な手法だと思います。こうすれば、今の固定IPとIPアドレス自体はかわらないので、いままでと同じように使用することができる上に、設定の詩間違いでIPがかち合ってしまう（IPアドレスの競合）ような自体もおこりません。
MACアドレスによるIPとの静的対応機能は、今では市販のルーターでも普通に備えている非常に標準的な機能です。

この回答への補足

大変詳しくわかりやすご回答で本当に助かりました！

＞純粋な静的IPは、各PCがどのIPアドレスを名乗るべきかの設定を個別に持っているのに対して、「IPのMACアドレスによる静的割り当て」では、MACアドレスとIPの対応表をDHCPサーバーが集中的に持っているところでしょう。

なるほど、非常によく判りました！
これは裏を返すと、DHCPサーバーが故障したら皆こけた、になってしまうリスクがあるといえそうですね。

知識としては知っておきたいけれど、安定した運用管理を考えると避けたい方法になりそうですね。

勉強として実験してみて使い心地をためしてみようと思います。
ありがとうございました！

補足日時：2005/02/25 20:22

この回答へのお礼

>ここまで混在したLAN環境の管理をしないといけないこと自体が珍しいと思います。

どうもすみません・・・
お客様相手の商売ですので、どうしても相手に合わせてあげないといけないんです。
最近はLinuxも流行って普及著しいので、早晩これも加えないといけなくなってきています。
（そうするとsambaでマック入りの環境でもNetBIOSに解決出来そうですね。）

>MACアドレスとIPアドレスの対応を、あらかじめDHCPサーバーに登録しておいて、「静的割り当て」にしておくことができます。

なるほど、去年ご指導いただいた方がいわんとしていたのはそういう方法なんですね。
でも、テーブルを作って登録する労力的には固定アドレスでやるのと同じになってしまいますね（＾＾；）
DHCPだから、とうっかり油断して新たなノードのが増えた時に登録を忘れたりしたら
元も子もないですので要注意ですね。

でも、勉強として「MACアドレスとIPの静的対応」に一度挑戦してみたいと思います！
ありがとうございました。

お礼日時：2005/02/25 15:45

No.2 回答者： noname#21592 回答日時： 2005/02/25 06:38

自分もイントラ側のＤＨＣＰを、使ってみたのですが、１０数台で、混在となると、固定ＩＰの方が、結局、楽です。

まず、プリンターは、共用することが、多いので、ＤＨＣＰは、ＯＦＦにしました。また、プロトコルが、混在なので、ＰＣもＤＨＣＰを使わず、ＯＳ毎に、スコープを割り付けた方が、管理しやすいと思いました。

クラスＣで、セグメントの値をグループ分けして覚えておくのが、ＰＩＮＧを打つのに、楽だと思いました。

エクセルで、固定ＩＰとＭＡＣアドレスの表を作りました。

ＴＥＬＮＥＴは、勉強中ですので、回答不能です。

この回答へのお礼

aozorax さん、いつもお世話になります。

>クラスＣで、セグメントの値をグループ分けして覚えておくのが、ＰＩＮＧを打つのに、楽だと思いました

そうですね、私もそうしています。
ＬＡＮの使い方がわかるのが私一人しかいないのですが、もし誰かに
引き継ぐ場合もなるべく分かりやすくしようと思って、ｗｉｎ群、
ｍａｃ群、
サーバー群、と１０進桁数単位で分類した固定アドレスにしています。

お礼日時：2005/02/25 15:36

No.1 回答者： mii-japan 回答日時： 2005/02/25 05:38

>今どきDHCPが常識だし、早くしないとそのうち収拾がつかなくなって大変ですよ、と御指導いただきました。

指導なさった方は、管理されていませんね

管理しないのならばDHCPは楽でよいのですが

管理が大変です（ネットワーク管理、ウィルス汚染時・障害対応・・）

十数台で、IPアドレス管理ができるのならば、今まで通り固定アドレスで行くことをお勧めします
（当然IPアドレス管理票のようなものは整備しておきます）

この回答へのお礼

なあるほど！！すんなり納得です。
去年の「ご回答」のとき、言ってることがどうも変だとは思っていました。

安心して今までどおりで行こうと思います（＾＾）

ところで、去年の回答者が事実うさんくさかったとしても、（実際私がやることはないと思いませんが）オールDHCP環境下でTELNETやFTPなど相手を特定したい場合には、どんな方法がとられているものでしょうか？

お礼日時：2005/02/25 05:45