#0165（2025/06/06）DHCPとRAの違い

DHCPとRAの違い — IPv4/IPv6アドレス自動割当のアーキテクチャ比較

背景

• エンタープライズ／データセンターの運用自動化が進むなか、IPアドレス管理は依然としてネットワーク基盤の可用性と保守性を左右する。
• IPv4 時代には DHCP が実質的な標準だったが、IPv6 では Router Advertisement (RA) と Stateless Address Autoconfiguration (SLAAC) が加わり、選択肢が増えた。
• 中上級エンジニアは、両者の設計思想と運用インパクトを理解し、システム要件に応じた適切な採用判断を下す必要がある。

1. DHCP の概要

• 中央集権型モデル

  • アドレス空間を一元管理する DHCP サーバが存在。
  • クライアントは 4-way ハンドシェイク（Discover / Offer / Request / Ack）でリースを取得。

• 配布可能なパラメータ

  • デフォルトゲートウェイ、DNS、NTP、PXE Boot オプションなど、L3/L4 に跨る情報を統合的に配布可能。

• リース管理と監査

  • MAC アドレス単位でのリーストラッキング。
  • ログを集約すれば、端末と IP の紐付けが時系列で追跡できるため、セキュリティ監査に有用。

• IPv6 拡張 (DHCPv6)

  • RA と協調して動作する「Stateful」「Stateless」モードを実装。
  • RA のフラグ (M,O) によりクライアントの動作を制御する。

2. RA / SLAAC の概要

• 分散型モデル

  • ルータが ICMPv6 Router Advertisement をマルチキャスト (ff02::1)。
  • クライアントは受信したプレフィックス情報から EUI-64 もしくは RFC7217 に基づきアドレスを自己生成。

• 冗長性とゼロタッチ導入

  • 複数ルータが RA を送出してもプレフィックスが同一であれば衝突しにくい。
  • DHCP サーバレス環境でもプラグインプレイでアドレス付与が完了。

• セキュリティの課題

  • 悪意あるノードが不正 RA を送出すると、MITM や DDoS を誘発。
  • RA Guard, SEND などのレイヤ2 防御策が必須。

• DNS 配布のギャップ

  • SLAAC 単体では DNS サフィックス配布ができない。
  • RDNS オプションを目的に DHCPv6 を補助的に使うケースが多い。

3. 設計思想の比較

• Stateful vs. Stateless

  • DHCP は “誰にどのアドレスを貸与したか” をサーバが保持。
  • SLAAC はクライアントが自己完結し、ルータは状態を持たない。

• 制御と柔軟性

  • 大規模マルチテナント環境では DHCP による “意図したプール外割当防止” が機能する。
  • BYOD／IoT のように装置が多様でオフサイト展開される場合、RA のシンプルさがスケールしやすい。

• 障害ドメイン

  • DHCP サーバ障害はネットワーク全体に波及しやすい。冗長ペア構成が設計の定石。
  • RA はルータ障害時でも他ルータがフォールバックするため、L3 装置の冗長化レベルに依存。

4. 運用視点での選択指針

• オンプレ DC

  • セグメント超えた IP 監査、DHCP スヌーピング、802.1X 連携が要求される場合は DHCP が優勢。

• クラウドネイティブ / Kubernetes

  • Pod ネットワークはオーバーレイで隠蔽されるため、ホスト側は RA + SLAAC で十分。
  • DHCP は仮想 NIC のライフサイクル爆発によりリーステーブルが膨張しやすい。

• IoT / エッジ

  • 物理的にサーバを置けない環境では RA。バッテリ駆動デバイスは 4-way ハンドシェイクを嫌う。

• セキュア LAN

  • 証跡管理／ACL 最適化を重視する金融・政府系ネットワークは DHCPv4/v6 を主軸に、RA は無効化。

5. 実装 Tips と落とし穴

• DHCP Option 82 (Relay Agent Information)

  • トップ・オブ・ラックで挿入し、端末位置情報を NAC へ供給。
  • IPv6 では Equivalent が限定的、代替として RADIUS CoA を併用。

• DAD (Duplicate Address Detection) とブート時間

  • SLAAC ではリンクローカル + グローバルの 2 回 DAD が走るため、起動遅延が発生。
  • サーバ向け NIC では “ipv6 disable dadr” でスキップ可能だが、RFC 違反になるリスク。

• Prefix Delegation

  • DHCPv6-PD を使うと CPE が下流プレフィックスを取得し、LAN 側で RA を送出する “ハイブリッド” パターンが実現。

• RA Guard の実装差異

  • ASIC ベース L2 スイッチではハードウェアフィルタが有効でも、ソフトウェアフォールバックパスに逃げる攻撃が報告される。
  • “ND inspection + dynamic ACL” まで実装できる機種を選択し、CI ベースでポリシー自動生成を行うと攻撃面を最小化できる。

• 運用モニタリング

  • DHCP：リーステーブルとサーバヘルスを SNMP / Syslog で収集、Grafana で可視化。
  • RA：フロー収集では見えづらい。ND テーブルを定期スキャンし、アドレス使用率を推定するスクリプトが必要。

• ゼロトラスト時代の視点

  • エンドポイント識別を IP ではなく証明書に寄せ、アドレスは“消耗品”として設計するアプローチが増加。

6. まとめ

• 制御重視なら DHCP、拡張性とゼロタッチなら RA が基本線。
• 実際の設計は「監査要件」「運用負荷」「セキュリティモデル」の三軸でトレードオフを評価することが鍵。
• 近年は DHCPv6 + RA のハイブリッド が主流。RA でプレフィックスとゲートウェイ、DHCPv6 で DNS や NTP を配布し、バランスを取るアーキテクチャが現実解となりつつある。

Key Takeaway: どちらか一方を選ぶのではなく、機能分担と運用コストのバランスを定量的に評価し、“必要最小限の状態管理” を採用することが、モダンネットワーク設計のベストプラクティスである。