Настройка dhcp сервера в cisco

Настройка DHCP сервера на маршрутизаторах Cisco ISR

Устранение неполадок

Используйте этот раздел для устранения неполадок своей конфигурации.

Средство интерпретации выходных данных (только для зарегистрированных заказчиков) поддерживает некоторые команды show.  Используйте Средство интерпретации выходных данных, чтобы просмотреть анализ выходных данных команды show.

Примечание.Перед использованием команд debug обратитесь к документу Важные сведения о командах отладки.

Введите команду debug dhcp message enable на WLC, чтобы просмотреть последовательность событий, которые происходят между сервером DHCP и клиентом. Например:

(Cisco Controller) >Thu Jun 28 17:07:53 2007: 00:0b:85:5b:fb:d0       dhcp option len,     including the magic cookie = 38Thu Jun 28 17:07:53 2007: 00:0b:85:5b:fb:d0 dhcp option: received DHCP DISCOVER msgThu Jun 28 17:07:53 2007: 00:0b:85:5b:fb:d0 dhcp option:       skipping option 57, len 2Thu Jun 28 17:07:53 2007: 00:0b:85:5b:fb:d0 dhcp option:       skipping option 55, len 6Thu Jun 28 17:07:53 2007: 00:0b:85:5b:fb:d0 dhcp option:     vendor class id = Airespace.AP1200 (len 16)Thu Jun 28 17:07:53 2007: 00:0b:85:5b:fb:d0 dhcpParseOptions: options end,     len 38, actual 64Thu Jun 28 17:07:53 2007: dhcpd: sending 300 bytes raw       0.0.0.0:68 -> 10.77.244.212:1067Thu Jun 28 17:07:53 2007: dhcpd: Received 300 byte dhcp packet     from 0xd4f44d0a 10.77.244.212:68Thu Jun 28 17:07:58 2007: 00:0b:85:5b:fb:d0 dhcp option len, including     the magic cookie = 50Thu Jun 28 17:07:58 2007: 00:0b:85:5b:fb:d0 dhcp option: received DHCP       REQUEST msgThu Jun 28 17:07:58 2007: 00:0b:85:5b:fb:d0 dhcp option: requested ip =       192.168.25.1Thu Jun 28 17:07:58 2007: 00:0b:85:5b:fb:d0 dhcp option: server id =       192.168.25.10Thu Jun 28 17:07:58 2007: 00:0b:85:5b:fb:d0 dhcp option: skipping option 57,       len 2Thu Jun 28 17:07:58 2007: 00:0b:85:5b:fb:d0 dhcp option: skipping option 55,       len 6

Ниже приведены выходные данные команды debug lwapp packet enable, полученные от контроллера WLAN, которые указывают, что параметр DHCP 43 используется в способе обнаружения для получения IP-адресов контроллеров WLAN:

Thu Jun 28 17:51:47 2007: Received LWAPP DISCOVERY REQUEST from AP       00:0b:85:5b:fb:d0     to 00:0b:85:33:84:a0 on port '1'Thu Jun 28 17:51:47 2007: Successful transmission of LWAPP Discovery-Response     to AP 00:0b:85:5b:fb:d0 on Port 1Thu Jun 28 19:22:39 2007: Start of PacketThu Jun 28 19:22:39 2007: Ethernet Source MAC (LRAD):      00:D0:58:AD:AE:CBThu Jun 28 19:22:39 2007: Msg Type       :Thu Jun 28 19:22:39 2007:    DISCOVERY_REQUESTThu Jun 28 19:22:39 2007: Msg Length     :   31Thu Jun 28 19:22:39 2007: Msg SeqNum     :   0Thu Jun 28 19:22:39 2007:     	IE            :   UNKNOWN IE 58Thu Jun 28 19:22:39 2007: 	IE Length     :   1Thu Jun 28 19:22:39 2007: 	Decode routine not available, Printing Hex DumpThu Jun 28 19:22:39 2007: 00000000: 03                                                .Thu Jun 28 19:22:39 2007: 

Значение параметра IE 58 указывает тип обнаружения. Для параметра DCHP 43 это 3.

При использовании сервера DHCP из Cisco IOS на маршрутизаторе можно ввести команду debug dhcp detail и команду debug ip dhcp server events, чтобы просмотреть действия клиента и сервера DHCP. Вот пример от команды debug ip dhcp server events:

*Jun 28 11:49:33.107: DHCPD: Sending notification of DISCOVER:*Jun 28 11:49:33.107:   DHCPD: htype 1 chaddr 000b.855b.fbd0*Jun 28 11:49:33.107:   DHCPD: remote id 020a0000c0a8190a01000000*Jun 28 11:49:33.107:   DHCPD: circuit id 00000000*Jun 28 11:49:33.107: DHCPD: Seeing if there is an internally specified       pool class:*Jun 28 11:49:33.107:   DHCPD: htype 1 chaddr 000b.855b.fbd0*Jun 28 11:49:33.107:   DHCPD: remote id 020a0000c0a8190a01000000*Jun 28 11:49:33.107:   DHCPD: circuit id 00000000*Jun 28 11:49:38.603: DHCPD: Sending notification of ASSIGNMENT:*Jun 28 11:49:38.603:  DHCPD: address 192.168.25.1 mask 255.255.255.0*Jun 28 11:49:38.603:   DHCPD: htype 1 chaddr 000b.855b.fbd0*Jun 28 11:49:38.603:   DHCPD: lease time remaining (secs) = 86400*Jun 28 11:49:38.607: DHCPD: Sending notification of ASSIGNMENT:*Jun 28 11:49:38.607:  DHCPD: address 192.168.25.1 mask 255.255.255.0*Jun 28 11:49:38.607:   DHCPD: htype 1 chaddr 000b.855b.fbd0*Jun 28 11:49:38.607:   DHCPD: lease time remaining (secs) = 86400

Введите команду show ip dhcp binding, чтобы просмотреть список адресов DHCP, назначенных клиентам DHCP.

2800-ISR-TSWEB#show ip dhcp bindingBindings from all pools not associated with VRF:IP address          Client-ID/              Lease expiration        Type                    Hardware address/                    User name192.168.25.1        000b.855b.fbd0          Jun 29 2007 11:49 AM    Automatic 

Устранение неполадок

Этот раздел обеспечивает информацию, которую вы можете использовать для того, чтобы устранить неисправность в вашей конфигурации.

Router#show ip dhcp server statistics
Memory usage        56637Address pools       1Database agents     0Automatic bindings  1Manual bindings     0Expired bindings    0Malformed messages  0Secure arp entries  0Message             ReceivedBOOTREQUEST         0DHCPDISCOVER        1DHCPREQUEST         1DHCPDECLINE         0DHCPRELEASE         0DHCPINFORM          0Message             SentBOOTREPLY           0DHCPOFFER           1DHCPACK             1DHCPNAK             0ASA# show dhcprelay stateContext Configured as DHCP RelayInterface inside, Configured for DHCP RELAY SERVERInterface outside, Configured for DHCP RELAY

Кроме того, можно использовать следующие команды отладки:

  • debug dhcprelay packet
  • debug dhcprelay event
  • Перехват
  • Системные журналы

Принцип работы DHCP

Как работает dhcp сервер, ответ на этот вопрос очень простой. Когда компьютер появляется в локальной сети, первым делом он отсылает в сеть широковещательный запрос, по всем кто в сети. Данный пакет называется DHCPDISCOVER, в котором он спрашивает ребята есть у вас тут DHCP, если да то дай как мне ip адрес. Если HDCP сервер в локальной сети есть, то он отвечает ему пакетом DHCPOFFER, в котором говорит вот я есть, вот тебе ip адрес, будешь брать? Компьютер получив пакет DHCPOFFER, отсылаем ему ответ в виде пакета DHCPREQUEST в котором говорит, отлично я беру это ip адрес запиши его за мной, на что DHCP получив этот пакет, отвечает пакетом DHCPACK в котором говорит что записал, что это ip адрес теперь твой. Вот весь принцип.

В своей практике я встречал еще вот такие пакеты от dhcp сервера:

  • DHCPDECLINE — это пакет в котором клиент определил, что ip адрес, от DHCP сервера в момент предложения, уже используется кем то, и тогда будет  сгенерирован новый запрос на другой ip адрес
  • DHCPRELEASE — данный пакет появляется когда клиент освобождает IP адрес
  • DHCPRENEW — Это пакет содержит в себе запрос на обновление и продление аренды ip адреса
  • DHCPINFORM — пакет, направленный клиентом к серверу DHCP, чтобы получить от него детальную информацию, пример, где находится запасной DHCP сервер в сети

Настройка DHCP для среднего офиса

С маленьким офисом мы разобрались, теперь рассмотрим схему среднего офиса. У нас тут уже есть сигментирование в  виде vlan (2,3,4). У нас в схеме есть роутер Cisco 2911, на котором будет маршрутизация локального трафика между vlan, коммутатор второго уровня Cisco 2960 на уровне доступа конечных устройств, сервер DHCP в vlan 4, с которого мы и будем получать ip адреса.

Настроим Cisco 2960

Первым делом на коммутаторе нужно создать vlan 2,3,4 и зададим им имена.

enable conf t vlan 2 name VLAN2 exit vlan 3 name VLAN3 exit vlan 4 name VLAN4 exit

Теперь настроим порты коммутатора и добавим их в нужный vlan.

VLAN2 у меня порты fa0/1 и fa0/2

int range fa0/1-2 switchport mode access switchport access vlan 2 exit

VLAN3 у меня порты fa0/3 и fa0/4

int range fa0/3-4 witchport mode access switchport access vlan 3 exit

VLAN4 у меня порт fa0/5

int fa 0/5 switchport mode access switchport access vlan 4 exit

Теперь настроим порт gi0/1 который подключается к роутеру Cisco 2911, и режим работы у него будет trunk. разрешим через trunk все 4 vlan.

int gi0/1 switchport mode trunk switchport trunk allowed vlan 2,3,4 exit

Сохраним настройки

do wr mem

Настроим Cisco 2911

Теперь приступим к настройке Cisco 2911, на нем будет маршрутизация трафика между vlan, значит для этого мы должны создать их на нем, задать им ip адреса, которые будут выступать в роли шлюзов.Вот общая схема.

первым делом мы поднимаем порт, так как на всех роутерах Cisco они в выключенном состоянии.

enable conf t int gi0/0 no shutdown

Создаем sub интерфейс vlan2 int gi0/0.2 encapsulation dot1Q 2 ip address 192.168.2.251 255.255.255.0 exit Создаем sub интерфейс vlan3 int gi0/0.3 encapsulation dot1Q 3 ip address 192.168.3.251 255.255.255.0 exit Создаем sub интерфейс vlan4 int gi0/0.4 encapsulation dot1Q 4 ip address 192.168.4.251 255.255.255.0 exit Включаем маршрутизацию ip routing do wr mem

Проверим теперь с компьютера где ip адрес 192.168.2.1 пропинговать шлюз и соседей по vlan 3,4. Видим, что все отлично работает, связь проверена. Осталось теперь настроить DHCP сервер.

DHCP настройка

Напомню, что службой DHCP, может быть компьютер с роль на Windows Server (тут это компьютер или виртуальная машина, где есть много сетевых интерфейсов, каждый из которых подключен к нужному vlan, в который DHCP и отдает свои ip адреса), само устройство cisco, либо сторонний продукт на базе linux, вариантов много, в своей тестовой среде у меня это будет сервер в cisco packet tracer, у него есть статический ip адрес 192.168.4.1. Я создаю новый пул для VLAN2, раздавать я буду с 192.168.2.50 до 192.168.2.250, задаю шлюз по умолчанию и dns сервер.

жмем Add и добавляем наш пул. Так же создаем пул для 3 VLAN.

Теперь вспомним, что у нас DHCP сервер в другом vlan, а это значит что широковещательные запросы DHCPDISCOVER из других vlan он не видит, решить эту проблему нам поможет dhcp relay.

[править] Задача

Протокол динамического конфигурирования DHCP очень удобен — настройка стека TCP/IP клиентских
машин не требует никакого внимания со стороны администратора, всё происходит само собой.
С другой стороны, в общем случае адреса назначаются случайным образом, и заранее неизвестно какой хост
получит какой адрес. Если нужно сохранить удобство использования DHCP, но при этом сделать так, чтобы адреса были
чётко закреплены за каждым компьютером, используется так называемая привязка к MAC-адресу: DHCP-сервер имеет таблицу соответствия MAC-адресов IP-адресам, и назначает IP-адреса в соответствии с этой таблицей.
Минус этого решения — необходимость отслеживания MAC-адресов и сопровождения таблицы соответствия.

В некоторых случаях может помочь компромиссное решение — поставить IP-адреса в соответствие не MAC-адресам,
а портам коммутатора, к которым подключен клиентский компьютер.
Другой вариант — выдавать IP-адреса в зависимости от того, с какого DHCP-ретранслятора пришел запрос.
В этом случае выдаются адреса из одной подсети, но с привязкой конкретных диапазонов адресов к различным коммутаторам,
работающим как DHCP-ретрансляторы. Это может помочь облегчить администрирование сети в том смысле, что по IP-адресу клиентского компьютера, будет понятно к какому коммутатору он подключен.

Решить эти задачи позволяет опция 82 протокола DHCP.

Ниже описывается, каким образом настроить DHCP-сервер, чтобы он выдавал IP-адрес в зависимости от того, к какому порту коммутатора подключен клиент, сделавший запрос. Рассматривается случай, когда коммутатор,
через который поступает запрос, используется в роли DHCP-ретранслятора
(решение задачи для случая, когда это не так, описано на странице DHCP snooping).

[править] Инсталляция и настройка DHCP сервера ISC-DHCP

Будем использовать dhcp-сервер ISC-DHCP (v3)

ISC DHCP Server — наиболее распространнённый DHCP-сервер, из использующихся в UNIX/Linux-системах.
Для нас сейчас важно и то, что это один из серверов, умеющих распознавать опцию 82

Будем предполагать, что инсталляция и настройка сервера
выполняется в Debian GNU/Linux. Пользователи других систем
должны учесть, что процедура инсталляции
и местоположение конфигурационных файлов могут несколько отличаться.

Установка DHCP-сервера с поддержкой опции 82

В обычном случае установить откомпилированный DHCP-сервер из репозитория пакетов
можно было бы с помощью команды:

%# apt-get install dhcp3-server

и можно было бы считать, что на этом инсталляция сервера закончена,
и можно переходить к его настройке. Однако, в том случае, если предполагается использование
DHCP-ретранслятора (что обязательно, если будет использоваться опция 82),
может потребоваться сборка пакета с включённой директивой USE_SOCKETS.
Подробнее эта процедура описана ниже.

Сборка с включённой директивой USE_SOCKETS

По умолчанию DHCP-сервер ожидает услышать запросы клиентов на широковещательном адрес 255.255.255.255. Однако, когда запрос перенаправляет DHCP-ретранслятор, запрос приходит непосредственно на адрес DHCP-сервера.
Для того чтобы DHCP-сервер корректно обрабатывал информацию от DHCP-ретранслятора,
его необходимо скомпилировать с использованием директивы

   #define USE_SOCKETS 

и указать в конфигурационном файле local-address.

Скачиваем исходники DHCP-сервера:

%# apt-get source dhcp3-server

Перед началом сборки исходников необходимо установить все пакеты,
необходимые для успешной сборки пакета, для чего выполнить:

%# apt-get build-dep dhcp3-server

Теперь необходимо в файле site.h раскомментировать директиву #define USE_SOCKETS:

%# vi dhcp3-3.0.6.dfsg/includes/site.h

Перейти в каталог dhcp3-3.0.6.dfsg:

%# cd dhcp3-3.0.6.dfsg/

Для того чтобы собрать пакет необходимо выполнить:

%$ dpkg-buildpackage -rfakeroot -b

или, если сборка производится root’ом:

%# dpkg-buildpackage -b

После сборки пакеты должны быть установлены в системе
(инсталлируем только common и server, так как нам не нужен DHCP-ретранслятор и DHCP-клиент):

%# dpkg -i dhcp3-common_3.0.6.dfsg-1_i386.deb dhcp3-server_3.0.6.dfsg-1_i386.deb 

Настройка DHCP-сервера

Сразу же после инсталляции пакета,
сервер не заработает — сначала необходимо
отредактировать его конфигурационный файл /etc/dhcp3/dhcpd.conf.

# Укажите адрес, на который DHCP-сервер ожидает получать запросы (адрес DHCP-сервера)

local-address 192.168.2.9;

# Укажите подсеть интерфейса, на котором запущен DHCP-сервер

subnet 192.168.2.0 netmask 255.255.255.0 {
}

# Если сервер получит запрос, содержащий опцию 82, он сгенерирует сообщение в системный журнал
# 

if exists agent.circuit-id
{
 log ( info, concat( " Lease for ", 
                     binary-to-ascii (10, 8, ".", leased-address),
                     " Switch port: ", 
                     binary-to-ascii (10, 8, ".", option agent.circuit-id), 
                     " Switch MAC: ",
                     binary-to-ascii(16, 8, ".", option agent.remote-id)));
}

# Запросы, пришедшие с 5го порта коммутатора: 
class "port-5"
{
 match if binary-to-ascii (10, 8, "", suffix( option agent.circuit-id, 1)) = "5";
}

# Адрес для 5го порта: 
pool {
  range 192.168.1.55;
  allow members of "port-5";
}

Интерфейс, на котором будет работать DHCP-сервер,
передается ему в качестве аргумента при вызове.

В Debian GNU/Linux аргументы и ключи вызова программ
принято указывать в соответствующих файлах в каталоге /etc/default,
в частности, конфигурационный файл, в котором находятся опции для нашего сервера,
называется /etc/default/dhcp3-server.

При условии, что сервер будет слушать запросы на интерфейсе eth0,
файл будет выглядеть так:

# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
# Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACES="eth0"

Можно указать несколько интерфейсов,
запросы с которых будет обрабатывать сервер.
Они должны быть разделены пробелом.

Теперь можно запускать сервер:

%# /etc/init.d/dhcp3-server start

После сборки сервера с #define USE_SOCKETS:

udp     0   0 192.168.2.9:67    0.0.0.0:*   863/dhcpd3
udp     0   0 192.168.2.9:67    0.0.0.0:*   863/dhcpd3

Настройка ISC DHCP Server

Редактируем файл конфигурации:

ee /usr/local/etc/dhcpd.conf

В минимальной конфигурации необходимо задать параметры, выделенные жирным шрифтом, примеры удалить или закомментировать.

# DNS серверы
option domain-name-servers 192.168.0.1, 192.168.0.2;

# Время в секундах, по истечению которого клиент должен запросить продление аренды
default-lease-time 600;

# Время аренды IP адреса в секундах
# Клиент должен освободить IP-адрес, если в течение заданного времени аренду продлить не удалось
# Если аренда не продлена, сервер может выдать этот адрес другому клиенту
max-lease-time 7200;

# Выдавать клиенту новый адрес, если запрошенный клиентом адрес не входит в пул сервера

authoritative;

# Источник, который будет указан при отправке сообщений в Syslog
log-facility local7;

# Декларация подсети

subnet 192.168.0.0 netmask 255.255.255.0 {

  # Пул динамических адресов

range 192.168.0.129 192.168.0.189;

  # Шлюз

option routers 192.168.0.1

;
}

# Задать фиксированный IP-адрес для хоста
#host Name {
#  hardware ethernet 00:26:5e:66:6c:08;
#  fixed-address 192.168.0.190;
#}

Предварительные условия

Агент ретрансляции DHCP позволяет устройству безопасности переадресовывать запросы DHCP с клиентов на маршрутизатор или на другой сервер DHCP, подключенный к другому интерфейсу.Эти ограничения применимы только при использовании агента ретрансляции DHCP:

  • Если уже включена функция DHCP-сервера, нельзя включить агент ретрансляции.
  • Необходимо подключиться напрямую к устройству безопасности. При этом нельзя отправлять запросы через другой агент ретрансляции или маршрутизатор.
  • В многоконтекстном режиме нельзя включить ретрансляцию DHCP или настроить сервер ретрансляции DHCP в интерфейсе, если он используется несколькими контекстами.

Сервисы ретрансляции DHCP недоступны в прозрачном режиме межсетевого экрана. Устройство безопасности в прозрачном режиме межсетевого экрана разрешает прохождение только трафика ARP. Для всего остального трафика требуется список контроля доступа. Чтобы разрешить отправку запросов и отклика DHCP через устройство безопасности в прозрачном режиме, необходимо настроить два списка контроля доступа:

  • Один список контроля доступа, который разрешает отправку запросов DHCP из внутреннего интерфейса во внешний
  • Второй список контроля доступа разрешает отправку отклика с сервера в другом направлении

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • ASA 5500-x Series Security Appliance 9.x или более поздней версии
  • Маршрутизаторы Cisco серии 1800

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Запуск ISC DHCP Server

Редактируем rc.conf:

ee /etc/rc.conf

Включаем запуск ISC DHCP Server, и задаем сетевые интерфейсы, обслуживаемые нашим сервером:

dhcpd_enable="YES"
dhcpd_ifaces="fxp0"

Запускаем dhcpd:

service isc-dhcpd start

В случае успешного запуска видим следующий текст:

Internet Systems Consortium DHCP Server 4.1-ESV-R3
Copyright 2004-2011 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Wrote 1 leases to leases file.
Listening on BPF/fxp0/08:00:27:a9:a8:7d/192.168.0.0/24
Sending on   BPF/fxp0/08:00:27:a9:a8:7d/192.168.0.0/24
Sending on   Socket/fallback/fallback-net

Если ошибок при запуске не возникло, проверяем, раздаются ли IP-адреса.

Для принудительного обновления IP-адреса в Windows, в командной строке используем команды:

ipconfig /release
ipconfig /renew

Проверяем лог-файл:

cat /var/log/dhcpd.log

В случае проблем, анализируем DHCP трафик:

tcpdump -vni

fxp0

 udp port 67

Проверка

Воспользуйтесь данным разделом для проверки правильности функционирования вашей конфигурации.

Чтобы просмотреть статистическую информацию о службах ретрансляции DHCP, выполните команду show dhcprelay statistics в CLI ASA:

ASA# show dhcprelay statistics
DHCP UDP Unreachable Errors: 1DHCP Other UDP Errors: 0Packets RelayedBOOTREQUEST         0DHCPDISCOVER        1DHCPREQUEST         1DHCPDECLINE         0DHCPRELEASE         0DHCPINFORM          0BOOTREPLY           0DHCPOFFER           1DHCPACK             1DHCPNAK             0

Эти выходные данные содержат информацию о нескольких типах сообщений DHCP, таких как DHCPDISCOVER, DHCP REQUEST, DHCP OFER, DHCP RELEASE и DHCP ACK.

  • команда show dhcprelay state в CLI ASA
  • команда show ip dhcp server statistics в CLI маршрутизатора

четверг, марта 17, 2016

Егор

DHCP. Разные пулы для разных vlan на одном интерфейсе маршрутизатора.

Всем привет. После написания статьи “Конфигурация DHCP сервера на маршрутизаторах фирмы Cisco” уже двое людей поинтересовались о том, а как же быть если у нас на одном физическом интерфейсе маршрутизатора создано несколько субинтерфейсов, смотрящих в разные vlanы,  и нам требуется раздавать по DHCPразные пулы в разные vlanы. Сегодня мы разберем вместе с Вами именно этот вопрос.

Как всегда все очень и очень просто. Для начала соберем в Packet Tracer схему приведенную  в статье “Маршрутизациямежду vlan – маршрутизатор на привязи”. Первоначальные настройки коммутатора и маршрутизатора, такие же как в этой статье. Единственное отличие будет заключаться  в конфигурации хостов, в их настройках мы ставим получать конфигурацию по DHCP.

Выставляем в настройках хоста получение конфигурации по DHCP
Выставляем в настройках хоста получение конфигурации по DHCP (Продолжение)

Естественно сразу после того как мы это сделали никаких IPадресов они не получат, так как мы еще не настраивали DHCPсервер на маршрутизаторе. Давайте этим и займемся. Для этого выполним на маршрутизаторе следующие команды:

  Router(config)#ip dhcp pool Pool_for_vlan_2

  Router(dhcp-config)#network 192.168.1.0 255.255.255.0

  Router(dhcp-config)#default-router 192.168.1.1

  Router(dhcp-config)#dns-server 8.8.8.8

  Router(dhcp-config)#exit

  Router(config)#ip dhcp pool Pool_for_vlan_3

  Router(dhcp-config)#network 10.0.0.0 255.0.0.0

  Router(dhcp-config)#default-router 10.10.10.1

  Router(dhcp-config)#dns-server 8.8.8.8

  Router(dhcp-config)#exit

Я думаю читавшим предыдущие статьи по настройки DHCPвсе уже стало понятно. Первыми пятью командами мы создаем первый DHCPпул для vlan 2. Вторыми пятью DHCPпул для vlan 3. Маршрутизатор, основываясь на данных указанных в командах network и default-router, будет определять принадлежность конкретного пула к конкретному субинтерфейсу, и, как следствие,  каждый из пулов будет раздаваться только в конкретный vlan. Давайте проверим данную конфигурацию. Перейдем на компьютер PC0 и выполним на нем команду ipconfig/renew, которая запросит у маршрутизатора новые настройки DHCP. Если все сделано верно он должен получить IP адрес 192.168.1.2.

Выполнение ipconfig /renew на PC0

Далее выполняем аналогичные действия на PC1, если все сделано верно он должен получить IPадрес 10.0.0.1.Теперь проверим работу маршрутизации. Как мы это делали видно из скриншотов.

Проверка работы муршрутизации с PC0
Проверка работы маршрутизации с PC1

Ну и на последок чтобы окончательно удостовериться в нашей правоте добавим в схему еще один хост PC2 и подключим его к интерфейсу fastEthernet 0/3 коммутатору. Выставим в его настройках чтобы он также как и остальные хосты получал настройки по DHCP. По умолчанию данный хост находится в vlan 1 и естественно не получает никаких настроек даже если мы на нем выполним ipconfigrenew. Чтобы это исправить, давайте для начала, закинем его в vlan 2. Для этого выполним команды:

  Switch(config)#interface fastEthernet 0/3

  Switch(config-if)#switchport mode access

  Switch(config-if)#switchport access vlan 2

После чего перейдем на хост  PC2 и выполним команду ipconfig/renew.

Компьютер PC2 получил IP адрес из пула для vlan 2

Как можно заметить компьютер получил следующий по порядку IPадрес из пула для vlan 2. Теперь давайте перекинем данный хост в vlan 3 и посмотрим что с ним станет, для этого выполним команды:

  Switch(config)#interface fastEthernet 0/3

  Switch(config-if)#switchport access vlan 3

После чего опять выполним на хосте PC2 ipconfig/renew.

Компьютер PC2 получил IP адрес из пула для vlan 3

Как можно заметить хост получил IPадрес из пула для vlan 3. Что нам и требовалось.

Надеюсь я ответил на Ваш вопрос =)

Хотелось бы выразить огромную благодарность мои друзьям, замечательной семье Гостюниных, которые заставили меня вновь писать статьи  в блог!

Опубликовано в: Маршрутизаторы, Cisco, DHCP, Packet Tracer

[править] Примеры конфигураций

Пример конфигурации маршрутизатора Cisco

!
version 12.4
!
hostname Router
!
!
ip dhcp excluded-address 192.168.20.1
ip dhcp excluded-address 192.168.30.1
ip dhcp excluded-address 192.168.40.1
ip dhcp excluded-address 192.168.50.1
ip dhcp excluded-address 192.168.90.1
!
ip dhcp pool guest
   network 192.168.20.0 255.255.255.0
   default-router 192.168.20.1 
!
ip dhcp pool marketing
   network 192.168.30.0 255.255.255.0
   default-router 192.168.30.1 
!
ip dhcp pool sales
   network 192.168.40.0 255.255.255.0
   default-router 192.168.40.1 
!
ip dhcp pool restricted
   network 192.168.50.0 255.255.255.0
   default-router 192.168.50.1 
!
ip dhcp pool unauthenticated
   network 192.168.90.0 255.255.255.0
   default-router 192.168.90.1 
!
!
!
interface FastEthernet0/0
 ip address 192.168.1.1 255.255.255.0
!
interface FastEthernet0/0.20
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.0
!
interface FastEthernet0/0.30
 encapsulation dot1Q 30
 ip address 192.168.30.1 255.255.255.0
!
interface FastEthernet0/0.40
 encapsulation dot1Q 40
 ip address 192.168.40.1 255.255.255.0
!
interface FastEthernet0/0.50
 encapsulation dot1Q 50
 ip address 192.168.50.1 255.255.255.0
!
interface FastEthernet0/0.90
 encapsulation dot1Q 90
 ip address 192.168.90.1 255.255.255.0
!

Настройка логов ISC DHCP Server

Редактируем syslog.conf:

ee /etc/syslog.conf

Сохраняем сообщения о присвоении адресов в dhcpd.log, предупреждения и ошибки дублируем в messages.

Добавляем следующие строки:

!dhcpd
*.info                                          -/var/log/dhcpd.log
!*

Задаем параметры ротации.

Проверяем, поддерживается ли вашей системой newsyslog.conf.d

ls /etc/newsyslog.conf.d && echo ok

Если в вашей системе отсутствует папка newsyslog.conf.d, редактируем newsyslog.conf:

ee /etc/newsyslog.conf

Если папка newsyslog.conf.d имеется, создаем папку с тем же именем в /usr/local/etc:

mkdir /usr/local/etc/newsyslog.conf.d

Создаем файл c правилами ротации логов:

ee /usr/local/etc/newsyslog.conf.d/isc-dhcp-server

Ежедневная ротация в полночь с сохранением логов за неделю:

/var/log/dhcpd.log                      600  7     *    @T00  JC

Создаем лог-файл:

touch /var/log/dhcpd.log

Перезагружаем конфигурацию syslogd:

service syslogd reload

dhcp relay настройка

cisco dhcp relay в двух словах это ретранслятор, который отлавливает пакеты DHCPDISCOVER и перенаправляет их DHCP серверу, за счет этого можно уменьшить количество DHCP серверов. Приступим и настроим наш dhcp relay.

int gi0/0.2 ip helper-address 192.168.4.1 exit Router(config)#int gi0/0.3 ip helper-address 192.168.4.1 exit do wr mem

Теперь у нас в каждом vlan появился ретранслятор на наш dhcp сервер.  Так же в целях безопасности вы можете настроить, чтобы у вас доверенным был только определенный dhcp сервер с определенного порта, а все остальные будут игнорироваться. Возьмем за тест компьютер со статическим ip 192.168.2.1, посмотрим текущие настройки сети командой ipconfig, ставим автоматическое получение, и видим что получили 192.168.2.50. DHCP в vlan2 работает.

Configure VLANs

Perform these steps to configure VLANs on your router, beginning in global configuration mode:

 

Command

Purpose

Step 1 

vlan ?

Example:

Router# config t
Router(config)#vlan ?
WORD        ISL VLAN IDs 1-4094
accounting  VLAN accounting configuration
ifdescr     VLAN subinterface ifDescr
Router(config)#

Enters VLAN configuration mode.

Step 2 

ISL VLAN ID

Example:

Router(config)#2
Router(config-

Adds VLANs, with identifiers ranging from 1- 4094.

For details about this command and additional parameters that can be set, see the Cisco IOS Switching Services Command Reference.

Step 3 

exit

Example:

Router(config-exit
Router(config)#

Updates the VLAN database, propagates it throughout the administrative domain, and returns to global configuration mode.

Assign a Switch Port to a VLAN

Perform these steps to assign a switch port to a VLAN, beginning in global configuration mode:

 

Command

Purpose

Step 1 

interface switch port id

Example:

Router(config)# interface FastEthernet 2
Router(config-if)# 

Specifies the switch port that you want to assign to the VLAN.

Step 2 

switchportaccess vlan vlan-id

Example:

Router(config-if)# switchport access vlan 2
Router(config-if)#

Assigns a port to the VLAN.

Step 3 

end

Example:

Router(config-if)# end
Router# 

Exits interface mode and returns to privileged EXEC mode.

Verify Your VLAN Configuration

Use the following commands to view your VLAN configuration.

show—Entered from VLAN database mode. Displays summary configuration information for all configured VLANs.

•show vlan-switch—Entered from privileged EXEC mode. Displays detailed configuration information for all configured VLANs.

Router# vlan database
Router(vlan)# show
  VLAN ISL Id: 1
    Name: default
    Media Type: Ethernet
    VLAN 802.10 Id: 100001
    State: Operational
    MTU: 1500
    Translational Bridged VLAN: 1002
    Translational Bridged VLAN: 1003
  VLAN ISL Id: 2 
    Name: VLAN0002 
    Media Type: Ethernet 
    VLAN 802.10 Id: 100002 
    State: Operational 
    MTU: 1500
  VLAN ISL Id: 3 
    Name: red-vlan 
    Media Type: Ethernet 
    VLAN 802.10 Id: 100003 
    State: Operational 
    MTU: 1500
  VLAN ISL Id: 1002
    Name: fddi-default
    Media Type: FDDI
    VLAN 802.10 Id: 101002
    State: Operational
    MTU: 1500
    Bridge Type: SRB
    Translational Bridged VLAN: 1
    Translational Bridged VLAN: 1003
  VLAN ISL Id: 1003
    Name: token-ring-default
    Media Type: Token Ring
    VLAN 802.10 Id: 101003
    State: Operational
    MTU: 1500
    Bridge Type: SRB
    Ring Number: 0
    Bridge Number: 1
    Parent VLAN: 1005
    Maximum ARE Hop Count: 7
    Maximum STE Hop Count: 7
    Backup CRF Mode: Disabled
    Translational Bridged VLAN: 1
    Translational Bridged VLAN: 1002
  VLAN ISL Id: 1004
    Name: fddinet-default
    Media Type: FDDI Net
    VLAN 802.10 Id: 101004
    State: Operational
    MTU: 1500
    Bridge Type: SRB
    Bridge Number: 1
    STP Type: IBM
  VLAN ISL Id: 1005
    Name: trnet-default
    Media Type: Token Ring Net
    VLAN 802.10 Id: 101005
    State: Operational
    MTU: 1500
    Bridge Type: SRB
    Bridge Number: 1
    STP Type: IBM
Router# show vlan-switch
VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Fa0, Fa1, Fa3
2    VLAN0002                         active    Fa2
1002 fddi-default                     active
1003 token-ring-default               active
1004 fddinet-default                  active
1005 trnet-default                    active
VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        1002   1003
2    enet  100002     1500  -      -      -        -    -        0      0
1002 fddi  101002     1500  -      -      -        -    -        1      1003
1003 tr    101003     1500  1005   0      -        -    srb      1      1002
1004 fdnet 101004     1500  -      -      1        ibm  -        0      0
1005 trnet 101005     1500  -      -      1        ibm  -        0      0

[править] Конфигурационные файлы

DHCP-сервер

Конфигурационный файл DHCP-сервера:

ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
log-facility local7;

subnet 192.168.25.0 netmask 255.255.255.0 {
  range 192.168.25.200 192.168.25.220;
  option routers 192.168.25.254;
}

subnet 192.168.10.0 netmask 255.255.255.0 {
  range 192.168.10.10 192.168.10.15;
  option routers 192.168.10.1;
}

subnet 192.168.30.0 netmask 255.255.255.0 {
  range 192.168.30.10 192.168.30.15;
  option routers 192.168.30.1;
}

Коммутаторы ProCurve

Конфигурация sw1:

; J4906A Configuration Editor; Created on release #M.10.41

hostname "sw1"
vlan 1 
   name "DEFAULT_VLAN" 
   untagged 2-6,8-48 
   ip address dhcp-bootp 
   no untagged 1,7 
   exit 
vlan 10 
   name "VLAN10" 
   untagged 1 
   tagged 24 
   exit 
vlan 30 
   name "VLAN30" 
   untagged 7 
   tagged 24 
   exit 

# Включение DHCP snooping
dhcp-snooping

# Включение DHCP snooping в VLAN'ах 1, 10, 30
dhcp-snooping vlan 1 10 30 

# Настройка 24 порта доверенным
interface 24
   dhcp-snooping trust
   exit

Конфигурация sw2:

; J8697A Configuration Editor; Created on release #K.13.23

hostname "sw2"
module 1 type J8705A
interface A10
   disable   
exit
ip routing   
snmp-server community "public" Unrestricted
vlan 1
   name "DEFAULT_VLAN"
   untagged A2-A24
   ip address dhcp-bootp
   no untagged A1
   exit
vlan 10
   name "VLAN10"

# По умолчанию на коммутаторе включен DHCP-ретранслятор.
# ip helper-address указывает куда перенаправлять DHCP-запросы. 
# 192.168.25.254 — адрес DHCP-сервера.
# Теперь все DHCP-запросы полученные в этом VLAN будут перенаправлены на адрес 192.168.25.254.
   ip helper-address 192.168.25.254 
   ip address 192.168.10.1 255.255.255.0 
   tagged A5 
   exit 
vlan 30 
   name "VLAN30" 

# ip helper-address указывает куда перенаправлять DHCP-запросы. 
   ip helper-address 192.168.25.254 
   ip address 192.168.30.1 255.255.255.0 
   tagged A5 
   exit 
vlan 25 
   name "VLAN25" 
   untagged A1 
   ip address 192.168.25.1 255.255.255.0 
   exit 

# Включение DHCP snooping
dhcp-snooping

# Задание адреса авторизованного DHCP-сервера
dhcp-snooping authorized-server 192.168.25.254

# Настройка политики обработки опции 82. 
# Так как на коммутаторе sw1 включен DHCP snooping, 
# то на коммутатор sw2 DHCP-запросы приходят с опцией 82. 
# По умолчанию коммутатор такие пакеты отбрасывает. 
# Эта политика указывает, что опцию 82 в пришедших пакетах надо заменить.
dhcp-snooping option 82 untrusted-policy replace

# Включение DHCP snooping в VLAN'ах 1, 10, 25, 30
dhcp-snooping vlan 1 10 25 30 

# Настройка порта a1 доверенным
interface A1
   dhcp-snooping trust
   exit

Рейтинг
( Пока оценок нет )
Понравилась статья? Поделитесь с друзьями:
Технарь
Добавить комментарий

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и принимаю политику конфиденциальности.