Меню

Как настроить подсеть dhcp

Настроить DHCPD на раздачу двух подсетей адресов

Доброго времени суток!

Имеется большая сетка в которой больше 200 устройств.
В таких условиях стало неудобно держать сетку одноранговой.
Тем более, что есть две четко различающихся группы устройств.

Возникла идей разбить сетку на подсети 192.168.1.1/24 и 192.168.2.1/24.
IP адреса выдаются DHCP сервером. Мне известны mac-адреса всех устройств. Сейчас сервер выдаёт адреса из 192.168.1.1.
А при попытке прописать в dhcpd.conf выдачу адреса из 192.168.2.1 указанное устройство не получает адреса.

Пробовал назначить интерфейсу сервера адреса из обоих подсетей.
Пробовал поменять маску интерфейса на 255.255.0.0.
Не помогает.

В таких условиях стало неудобно держать сетку одноранговой.

Одноранговость == равноправие клиентов в сети по своим функциям. Наличие DHCP-сервера в этой сети свидетельствует о том, что сеть не одноранговая. Иначе говоря, адресация IP отношения и влияния на одноранговость (или нет) не имеет.

Возникла идей разбить сетку на подсети 192.168.1.1/24 и 192.168.2.1/24.

192.168.1.1/24 и 192.168.2.1/24 — неправильные записи адресов подсетей. Правильно 192.168.1.0/24 и 192.168.2.0/24. Из таких маленьких неточностей складывается безграмотность.

Просто маску /23 использовать нельзя? И логически распределить адреса поддиапазона 192.168.1.0/24 среди устройств первого типа, а адреса поддиапазона 192.168.2.0/24 среди устройств второго типа?

Пробовал поменять маску интерфейса на 255.255.0.0.

Научитесь считать маски. /23 это 255.255.254.0

Ну и наконец, телепаты ещё не вернулись из отпуска, конфиг в студию.

Как обычно, несколько вариантов решения задачи. Первый, простой — набить ручками/скриптом соответствие mac-ip в конфиг dhcpd.conf, назначить два айпишника (192.168.1.1/24 и 192.168.2.1/24) на интерфейс в сети, определить подсети в конфиге dhcpd.conf и перезапустить. Второй, сложный — включить radius сервер и всё хранить в базе.

Во-втором случае можно прилепить красивую веб-морду для управления, выбор базы данных за вами (зависит от поддерживаемых хранилищ выбранного radius-сервера).

ЗЫ. Выше уже отметили очевидные ошибки в вопросе.

Первый, простой — набить ручками/скриптом

Набито, перезапущено. В качестве красивой морды выступает Webmin.

ЗЫ. Выше уже отметили очевидные ошибки в вопросе.

Что есть, то есть. Я уже засыпал, когда набирал пост.

Насчёт логического распределения /24 адресов — сейчас так и сделано. Но адресов скоро будет не хватать. Да и удобно было бы логически отделить компьютеры в классах от компьютеров сотрудников.

Не вижу смысла постить конфиг целиком — это ж перечисление компов. Вот часть:

Из таких маленьких неточностей складывается безграмотность.

Выше я написал, что печатал уже засыпая. Но не стоит быть слишком резким. Посмотрим:

192.168.1.1/24 и 192.168.2.1/24 — неправильные записи адресов подсетей. Правильно 192.168.1.0/24 и 192.168.2.0/24.

Строго говоря, вы правы. Но предложите nmap просканировать сеть 192.168.1.1/24 и он спокойно вас поймёт. Можете попробовать даже 192.168.1.254/24. Это правильная, хотя и не каноническая нотация.

Научитесь считать маски. /23 это 255.255.254.0

Здесь нет ошибки. Мне не нужна маска /23.

Если Comp1 получает неверный ip — из какой сети он его получает 192.168.1.0 или 192.168.2.0?

Аналогично опишите ситуацию с Comp2.

Вынесите authoritative наверх, вне блока subnet 192.168.1.0 или добавьте ее во вторую подсеть.

Какие настройки у сетевых интерфейсов? Что показывают tcpdump и dhcpd -d?

фиксированные адреса следует выдавать за пределами range.

как-то это идеологически неправильно.. логичней было бы разделить сеть на две части (виланы) и в каждой из них выдавать адреса со своей сетевухи??

Источник



Сервер DHCP на роутере

В локальной сети каждое устройство имеет свой уникальный IP-адрес — набор цифр, который идентифицирует его и позволяет другим устройствам обмениваться с ним данными. IP-адреса могут прописываться вручную для каждого устройства, однако это неудобно, так как требует отдельной настройки каждого компьютера для работы с сетью. Чтобы автоматизировать этот процесс, используется протокол динамического конфигурирования хостов — DHCP.

Что такое DHCP

В больших сложно структурированных сетях за раздачу IP-адресов отвечает специальный компьютер — сервер. Для домашней сети или сети небольшого офиса в этом нет необходимости, достаточно обычного роутера.

Все современные роутеры в своём функционале имеют встроенную службу DHCP. Если она настроена и включена, вам не потребуется отдельно настраивать сетевое подключение на компьютере, ноутбуке, планшете или смартфоне. Для беспроводных устройств просто нужно включить Wi-Fi, найти в списке беспроводных сетей свою и ввести пароль для подключения к ней. Если же соединение с сетью осуществляется через кабель, достаточно чтобы он был подключён к сетевой карте вашего компьютера.

Когда в сети появляется новое устройство, служба DHCP проверяет список свободных IP-адресов и присваивает ему один из них. При этом дублирование адресов исключено.

Как настроить DHCP

По умолчанию служба DHCP на роутерах уже настроена. Достаточно подключить клиентское устройство через Wi-Fi или кабель и ему будет автоматически присвоен IP-адрес. Однако может возникнуть потребность изменить настройки DHCP, отключить или включить его. Рассмотрим настройку DHCP на примере роутера TP-link. Для других маршрутизаторов алгоритм будет точно такой же.

Читайте также:  Как настроить роутер tp link wds

Заходим в веб-интерфейс роутера и в меню справа видим пункт «DHCP» и подпункт «Настройка DHCP». На открывшейся вкладке можно изменить параметры, прописанные по умолчанию. Также здесь можно включить или выключить службу DHCP.

Для службы DHCP должен быть задан диапазон используемых IP-адресов, которые вписываются в соответствующие поля. Начальный IP-адрес это соответственно первый адрес диапазона, а конечный IP-адрес — последний. По умолчанию диапазон IP указан с 192.168.0.100 по 192.168.0.199. Но можно прописать, например, с 10.1.1.1 по 10.1.1.99. Можно вообще указать диапазон в пределах двух-трёх адресов, например, по количеству клиентских устройств.

Следующий обязательный пункт — срок действия адреса в минутах. Это время, на которое конкретный IP может присваиваться конкретному устройству. По его истечении IP может быть изменён или присвоен другому устройству.

Остальные пункты заполнять необязательно, DHCP сам укажет нужные параметры для клиентских устройств. Однако эти параметры при желании можно прописать вручную.

Основной шлюз это IP-адрес маршрутизатора — канал, по которому происходит обмен трафиком с интернетом. Обычно он указывается, если доступ в интернет осуществляется через точку доступа с другим адресом. Но если в вашей сети только один роутер и он подключён к интернету напрямую, прописывать здесь ничего не нужно.

Домен по умолчанию — это доменное имя вашей сети. В небольших сетях, где используется небольшое количество клиентских устройств, настраивать его не имеет смысла.

Предпочитаемый и альтернативный DNS-сервер обычно указываются провайдером. Но можно вписать сюда публичные DNS-сервера Google — 8.8.8.8 и 8.8.4.4. Это, например, помогает устранить неполадки с доступом к интернету — бывает, что DNS провайдера глючат, подключение есть, но страницы не открываются. Также это часто позволяет обойти блокировки доступа к определённым ресурсам, например, торрентам.

После внесения изменений нажмите кнопку «Сохранить», чтобы применить новые настройки.

Для того, чтобы ваша сеть начала работать с новыми параметрами, роутер необходимо перезагрузить.

Чтобы клиентские устройства могли подключиться к службе DHCP, в настройках сетевого подключения у них должен быть установлен параметр «Получить IP-адрес автоматически».

Как включить DHCP

Если служба DHCP на вашем роутере отключена, включить её можно здесь же, в меню DHCP — настройки DHCP. Для этого нужно поставить галочку в пункте «Включить» и нажать кнопку «Сохранить» внизу страницы. Служба будет запущена. Если этого не произошло, перезагрузите роутер.

Как выключить DHCP

Если служба DHCP вам не нужна, когда, например, вы решили вручную прописать IP для всех своих устройств, отключить её можно точно так же. Переходим на вкладку «Настройка DHCP» и ставим галочку в пункте «Отключить». Сохраняем настройки. Теперь клиентские устройства при подключении к вашей сети не смогут получать IP-адреса автоматически.

Список клиентов

Для того, чтобы посмотреть какие именно устройства в данный момент подключены к вашей службе DHCP, в пункте меню «DHCP» веб-интерфейса вашего роутера перейдите в подпункт «Список клиентов DHCP». Здесь вы увидите таблицу с информацией о текущих подключениях.

ID — означает порядковый номер.

Имя клиента — это имя устройства, если оно ему присвоено.

МАС-адрес — соответственно МАС-адрес данного устройства.

Назначенный IP — адрес, который был присвоен устройству сервером DHCP.

Срок действия — соответственно, оставшееся время, в течение которого данный адрес будет действителен.

Если у вас возникли опасения, что к вашей сети подключился кто-то посторонний, вы можете в любой момент проверить информацию о подключенных устройствах на этой вкладке. Для того чтобы обновить текущую информацию, нажмите кнопку «Обновить». Список подключённых устройств будет обновлён.

Резервирование адресов

Служба DHCP предоставляет IP-адреса клиентским устройствам на определённый промежуток времени. После этого адрес может быть изменён. Также, подключаясь к сети, каждый компьютер или смартфон каждый раз будет получать новый адрес. А тот адрес, который использовался им ранее, может быть предоставлен другому устройству. Обычно смена адресов происходит незаметно для пользователя и не влияет на работу сети. Однако может возникнуть необходимость сделать так, чтобы у конкретного компьютера IP-адрес не менялся. Это может быть актуально, если вы играете по локальной сети в игры или же данному компьютеру присвоены какие-то специфические функции, которые будут работать только при статичном IP.

Есть простой способ решить эту задачу с помощью DHCP — зарезервировать IP-адрес за конкретным компьютером.

Для этого переходим в подпункт «Резервирование адресов» пункта меню «DHCP». Если ранее вы уже резервировали адреса, здесь будет доступен список устройств, который можно редактировать по мере необходимости. Если же нет, жмём кнопку «Добавить».

Читайте также:  Как настроить дисплей чтобы не гас

В открывшемся окне нужно ввести МАС-адрес устройства и IP, который будет за ним зарезервирован.

Здесь же можно включить или выключить резервирование адреса для этого устройства, изменив соответствующий параметр в пункте «Состояние».

После ввода параметров нажмите кнопку «Сохранить». Теперь это устройство всегда будет получать при подключении к сети только этот IP-адрес.

После сохранения параметров вы вернётесь в предыдущее окно. В списке устройств теперь будет видно то, которое вы только что добавили. Нажав «Изменить», вы можете отредактировать параметры резервирования адреса. А с помощью пункта «Удалить» удалить устройство из списка и отменить резервирование.

С помощью кнопок «Включить всё», «Отключить всё» и «Удалить всё» вы можете управлять резервированием адресов для всех устройств из списка.

Для применения сделанных изменений вам понадобится перезагрузить роутер. Напоминание об этом появится в нижней части окна.

Источник

Разбиение вашей локальной сети на подсети с помощью DHCP

Зачем это нужно?

С понижением цен на аппаратное обеспечение размеры локальных сетей выросли. Теперь обычным явлением являются локальные сети размером от малого офиса (5-10 хостов) до больших корпоративных сетей, охватывающих целое здание (более 50 хостов).

При количестве хостов менее 10-ти управлять сетью, в общем, очень просто: все узлы принадлежат одному Ethernet-сегменту, а безопасность, если она необходима, реализована на уровне хоста: пароль и т.п. При количестве узлов более 50-ти вы уже должны получать финансирование, достаточное для установки управляемого коммутатора с поддержкой виртуальных сетей (VLAN’ов). Тогда бухгалтерия будет работать в одном «вилане», отдел сбыта — в другом и так далее. Каждый хост будет иметь доступ к хостам из своего вилана и серверам компании, но не к хостам из другого вилана. Кроме безопасности на уровне хоста появляется еще и сетевой уровень безопасности.

В сетях среднего размера мы часто вынуждены объединять все узлы в один сегмент. Современные дешевые коммутаторы легко справляются с обработкой трафика 50-ти узлов, но они не поддерживают функции виртуальных сетей. Коммутаторы же с такой функцией на порядок дороже. Хорошо известные брэнды продают их начиная от $1200 за 24-портовый коммутатор. Возможно, он и стоит этих денег, однако он совершенно не вписывается во многие сметы. Например, в мою.

DHCP и подсети

Одна из локальных сетей, которую я администрировал, была сетью школы, где я работал. Она представляла собой длинную цепочку неуправляемых Ethernet-коммутаторов. Такая архитектура была обусловлена планировкой здания. Мне приходилось управлять трафиком нескольких типов. Для упрощения будем говорить о «преподавательском» (группа А) и «студенческом» (группа Б) трафиках. Они не должны смешиваться. Я не хочу, что бы люди из разных групп имели доступ к принтерам и файлам другой группы (пароли были гораздо проще, чем мне бы хотелось).

Простейшим путем разделение на группы является выделение каждой группе своей сети. Например, группа А получит адреса из сети 192.168.10.0 (т.е. 192.168.10.12), тогда как группа Б — из сети 192.168.20.0 (т.е. 192.168.20.34). Сервера, доступ к которым должен быть открыт для обеих групп, должны иметь адрес в каждой из сетей.
Здесь картинка с архитектурой сети. Можно посмотреть здесь: http://gazette.l inux.ru.net/lg83/ward/misc/ward/map.jpg

Хорошим решением проблемы является сервер DHCP. Это сервис, которым вы пользуетесь при dial-up соединении с Internet: вы соединяетесь с провайдером, который назначает вам временный ( а возможно и постоянный. — Прим.пер. ) реальный IP адрес. Большинство дистрибутивов Linux, включают в себя сервер DHCP, который можно использовать и в локальной сети.

В простейшем случае, вы задаете DHCP-серверу диапазон адресов: например от 192.168.1.100 до 192.168.1.199. Любой хост, который загружается и запрашивает адрес, получит его из указанного диапазона. После отключения хоста адрес освобождается и может быть использован повторно, уже для другого хоста.

Все Ethernet-карты, содержат идентификационный номер, который называется MAC-адресом. Это 12-цифровой номер, определяемый производителем, уникальный для всех Ethernet-устройств в мире. Сервер DHCP может быть настроен на использование этого адреса, что бы всегда присваивать одному и тому же хосту один и тот же IP адрес.

Пользуясь этим, мы можем создать список MAC-адресов хостов группы А, и настроить DHCP на раздачу им постоянных IP-адресов из подсети 192.168.10.0. А хостам с MAC-адресами группы Б, будут отдаваться адреса из сети 192.168.20.0, хосты не принадлежащие ни одной из групп (лаптопы визитеров, например) получат адрес в подсети 192.168.1.0 .

В этом смысле у DHCP есть преимущество над VLAN’ами: «виланы» определяются для физических портов, тогда как DHCP использует адрес карты. При использовании виланов, если вы физически меняете сетевое подключение — например при переезде из одной комнаты в другую — вы можете изменить и свой вилан. При использовании DHCP, привязка к подсети останется прежней.

Читайте также:  Как самому настроить каналы телекарта

Это очень неполное суждение. Вы можете привязать к порту коммутатора MAC-адрес, тогда несанкционированного попадания в другой вилан не будет. Строго говоря, разбиение на подсети (и использование разных адресов сетей) не имеет никакого отношения к безопасности, тогда как одной из функций виланов может быть обеспечение безопасности на сетевом уровне. — Прим.пер.

Настройка DHCP

В большинстве дистрибутивов сервер DHCP называется dhcpd и запускается стандартными скриптами (теми же что и сервисы httpd, postfix, …). Он может быть и в виде пакета RPM, например dhcp-3.0-3mdk.i386.rpm. Если он уже установлен в вашей системе, то просмотрите страницы руководства dhcpd и dhcpd.conf.

Сначала, чтобы настроить сервис DHCP для основной сети, я использовал утилиту webmin. Обратите внимание, что сервис должен работать в сети 192.168.0.0 с маской 255.255.0.0 . Это связано с тем, что он должен быть доступен из всех подсетей.
Скриншот настройки подсетей через Webmin. Глядите здесь: http://gazette. linux.ru.net/lg83/ward/misc/ward/main.jpg

Далее, я внес в конфигурацию каждый хост, указывая его имя, аппаратный MAC-адрес и IP-адрес, который я хотел ему выдать. IP-адреса принадлежали подсети 192.168.10.0 ( Для группы А, естественно — Прим.пер. ).
Скриншот редактирования настроек хостов. Можно взять здесь: http://gazett e.linux.ru.net/lg83/ward/misc/ward/client.jpg

Если вас интересует, где можно узнать MAC-адрес сетевой карты, то посмотрите на нее внимательно. На большинстве из них есть наклейка, где он указан. Если же на ваших картах наклейки нет, то пока пропустите этот шаг. Заканчивайте настройку DHCP-сервиса, и запускайте хосты один за другим. Поскольку каждый хост получает IP-адрес (в сети 192.168.1.0 пока что), вы увидите его в файле /var/lib/dhcp/dhcpd.leases. Например:

Учтите, что в файле будут указаны только адреса, полученные динамически, а не те, что вы жестко привязали к хостам.

Закончите настройку фиксированных адресов в конфигурации DHCP-сервера.

Запустите или перезапустите сервер DHCP. Узлы должны будут получить назначенные им адреса ( при запросе от них. Например при загрузке — Прим.пер.) На Linux в этом можно убедится при помощи команды ifconfig. На Windows-машине используйте winipcfg для Win95/98/ME, а ipconfig (в окне команд) для WinNT/2k.

Кстати, эти же команды выведут вам и MAC-адрес сетевой карты компьютера. Для команды ipconfig нужно еще задать параметр /all: ipconfig /all — Прим.пер.

Маска сети по умолчанию, однако, устанавливается равной 255.255.0.0. Это нехорошо, т.к. хосты подсетей 192.168.10.0 и 192.168.20.0 будут видеть друг друга (попробуйте пинг). Идем в конфигурацию каждого узла и нажимаем «edit client options». Устанавливаем маску подсети 255.255.255.0 и маршрутизатор по умолчанию 192.168.X.1 для подсети 192.168.X.0 . Например, в сети 192.168.10.0.
И еще один скриншот: http://gazet te.linux.ru.net/lg83/ward/misc/ward/client1.jpg

Не забудьте также установить маску 255.255.255.0 в общей настройке клиентов сети 192.168.0.0.

Можно и вручную править файл /etc/dhcpd.conf. Это может быть даже более понятно, чем интерфейс webmin. Вот что вы могли бы указать:

Организация доступа к серверу

В предыдущем примере, для каждой подсети вида 192.168.X.0 мы указали маршрутизатор 192.168.X.1 . Но при этом наш сервер имеет IP-адрес 192.168.1.1 — и это значит, что:

  • узлы в сети 192.168.10.0 будут пытаться получить IP-адрес
  • они будут получать адрес от сервера 192.168.1.1
  • адрес будет из сети 192.168.10.0 с маской 255.255.255.0
  • и в результате узлы не смогут работать с сервером 192.168.1.1, поскольку он принадлежит другой сети.

Поэтому наш сервер должен иметь дополнительные адреса для каждой из подсетей: 192.168.10.1, 192.168.20.1, и т.д. Это можно сделать очень просто, создавая виртуальные сетевые карты ( точнее — указывая дополнительные адреса сетевой карты — Прим.пер. ) eth0:1, eth0:2, и т.д. При помощи webmin (последний скриншот): http://gazet te.linux.ru.net/lg83/ward/misc/ward/virtual.jpg

Все можно настроить и руками. Если у вас дистрибутив Mandrake или Red Hat, нужные файлы расположены в каталоге /etc/sysconfig/network-scripts. У вас уже должен быть файл ifcfg-eth0. Скопируйте его с именем ifcfg-eth0:1, ifcfg-eth0:2, … и измените в них соответственно адреса и сетевые маски ( а так же переменные DEVICE, BROADCAST и NETWORK — Прим.пер. ). Например, для eth0:1 :

Это, в основном, все, что вам нужно. Возможно, вам нужно будет разрешить маршрутизацию на сервере, например для доступа к Internet. Но будьте аккуратны, при этом нужно будет запретить маршрутизацию между локальными подсетями; 192.168.X.0 не должна видеть 192.168.Y.0 . Чтобы избежать этого, используйте брандмауэр, такой как iptables. Его же можно использовать для блокировки доступа в Internet для тех или иных подсетей или хостов.

Источник