Сделать p2p dhcp m9 plus и [Админ реферат] Как подружиться с DHCP и не бояться APIPA

Время на прочтение

Чтобы у прочитавших этот материал такие вопросы не возникали, мне хотелось бы собрать в кучу основную информацию про работу механизмов выдачи адресов IP, особенности и примеры настройки отказоустойчивых и защищенных конфигураций. Да и возможно матерым специалистам будет интересно освежить нейронные связи.

Немного теории и решения интересных и не очень практических задач — под катом.

В современной локальной сети выдачей адресов обычно занимаются специализированные сервисы с поддержкой протоколов. Самым популярным из них является DHCP (Dynamic Host Configuration Protocol).

Дорогие пользователи! У нас появился новый форум на платформе tp-link.community (Сообщество)

Форум доступен по ссылке https://community.tp-link.com/ru

Если при регистрации в Сообществе Вы укажете адрес электронный почты, который используете на данном форуме, то Ваши данные будут перенесены на форум Сообщества автоматически.
Также, если на форуме Сообщества Ваш никнейм будет занят, то Вам предложат сменить его или оставить, но с приставкой “_RU”.

Убедительная просьба не дублировать темы на старом/новом форуме.

Сообщения: 2Зарегистрирован: 29 янв 2014, 18:44Страна: Казахстан

Настроить DHCP Relay

Аппаратная версия устройства: v1 00000000
: 3.13.17 Build 120426 Rel.29216n
Доброго времени суток, господа!
В сети офиса установлен DHCP-сервер. Подскажите как сделать чтобы точки использовали DHCP с сервера?
Раньше на точках TP-LINK был такой параметр как DHCP Relay, а в этой модели я такого не нашёл. Подскажите как реализовать. Очень нужно. Просто точек много, и не только TP-LINK, и хотелось бы чтобы пользователь при переходе от одной точки к другой, не менял свой IP.
Кроме двух WRD-4300 ещё установлены 4 UnifiPRO, на них это работает, а вот когда пользователь переходит в зону покрытия TP-LINK, происходит отключение от сети.

почему-бы не запретить создавать топик без заголовка? я оказывается час ждал впустую, в тему зайти невозможно если нет заголовка, пару минут блуждал по своей анкете чтобы попасть в тему =)

Невыполнимых миссий не бывает.

08 мар 2014, 11:55

Никто не знает?

Сообщения: 16Зарегистрирован: 25 мар 2012, 12:13

16 мар 2014, 01:21

McLotos писал(а):Никто не знает?

перейти на альтернативную прошивку.

Сообщения: 4361Зарегистрирован: 25 май 2011, 10:56Страна: Россия

21 мар 2014, 11:19

wdr4300 -это роутер, а не точка доступа. Большая разница.
Я не понимаю, о каком DHCP Relay может идти речь в роутерах?
Чтобы использовать роутер как точку доступа, достаточно на самом 4300 отключить его собстенный DHCP, и подключить кабель аплинка не в WAN, а в LAN порт.
Вот и вся настройка.

Перед тем, как создать тему, посетите раздел ЧАСТО ЗАДАВАЕМЫЕ ВОПРОСЫ
TP-LINK Archer C7v2
Личные сообщения по техническим проблемам без сообщения на форуме не рассматриваются!

Сообщения: 19Зарегистрирован: 29 июл 2013, 22:51Страна: RUS

14 апр 2014, 01:31

Falconzz писал(а):
1. Hardware версия устройства – 1.8
2. Версия прошивки 3.13.11 Build 121102 Rel.51321n
3. Ваша страна – Россия
4. Название провайдера – Билайн
5. Тип подключения – L2TP
6. Скорость по тарифу – 85/100

Проблема в том, что если вы подключаете кабелем в роутер Tp-Link ещё один роутер или точку доступа, Юбикути или Длинк например, с разными именами сети, чтобы поставить например на другой стороне частного дома, куда недобивает Tp-Link, то не ноутбук на Win 7 ни андроиды не могут подключиться обратно к Tp-Link после того как перешли на другие устройства!! Даже если Ip прописать статически, Win пишет попытка получить IP и так и висит, андроид тоже пытается подключиться и получить зачемто IP, а не получив просто пишет на сеть сохранено и всё, хоть обнажимайся на кнопку подлючить.
Подозреваю проблемма в таблице маршрутизации и работе DHCP с ней, в общем глюкает страшно DNS, фаервол в роутере выключен, UPNP включено, в настройках DHCP в первичном DNS указан IP роутера во внутренней сети, по другому ещё хуже было.

Компания TP-Link подготовила несколько вариантов своих mesh -систем. Мы уже рассматривали набор из трёх точек доступа Deco M5. Теперь же рассмотрим набор из пары старших устройств этой линейки — Deco M9 Plus. Они предлагают увеличенную пропускную способность и большее количество одновременно подключенных клиентов.

Напомним, что mesh-система — это набор нескольких сетевых устройств для построения Wi-Fi-сети, которые поддерживают умную маршрутизацию между собой и клиентскими устройствами. В самом общем понимании, под «умной» подразумевается отслеживание мощности сигнала при связи с устройством и его переключение на другую точку доступа в случае необходимости. В случае TP-Link  эти устройства выгодно отличает и их простая настройка.

Позиционирование

TP-Link Deco M9 Plus это старшая модель в линейке, которая, тем не менее, стала лишь немного габаритнее. В нашем наборе есть два устройства, есть комплекты и с тремя. Заявлено, что набор из двух устройств покрывает площадь до 420 м², а из трех — 600 м². Но мы всегда добавляем, что стоит учитывать возможные особенности интерьера — «непробиваемые» перекрытия или большое количество промежуточных стен на пути беспроводного сигнала. Это, как и количество соседских сетей, сильно влияет на качество соединения.

TP-Link Deco M9 Plus могут работать в трёх диапазонах, создавая две подсети в диапазоне 5 ГГц и одну в 2,4 ГГц. Таким образом, удалось достичь теоретической максимальной пропускной способности в 2200 Мбит/с, достигая класса 2200AC. Конкретнее, это работа двух сетей 5 ГГц с пропускной способностью 867 Мбит/с каждая и одной, 2,4 ГГц, с 400 Мбит/с.

Внешний вид и работа

Корпус в виде шайбы белого цвета очень похож на упоминаемую модель Deco M5. Заметным визуальным новшеством стало появление порта USB возле Ethernet-интерфейсов. Минималистичное оформление разбавлено парой разъемов сзади и светодиодной точкой сверху.

Есть кнопка сброса настроек в основании. Разместить Deco M9 Plus на вертикальной поверхности не получится, ни крючков, ни петель здесь нет. Благодаря встроенной антенне точки доступа не занимают много места и их можно почти незаметно вписать в интерьер.

Упомянутая лампочка светится зелёным, когда всё работает корректно, синим, когда требуется настройка и красным, когда с сетью есть проблемы.

К устройству может подходить максимум два кабеля – Ethernet и питания. И это для основного, которое станет основным шлюзом. Второй девайс , выступающий точкой доступа, потребует лишь шнур питания. Блоки питания одинаковые у всех устройств и они немного габаритнее, чем те, что используются в младших моделях.

Пока функциональность USB-порта под открытым вопросом. Организовать из флешки или портативного жесткого диска сетевое хранилище он не позволяет. Как и подключить принтер. Эту функциональность оставили как задел на будущее.

Приложение

Настройка через мобильное приложение производится быстро и интуитивно. Веб-интерфейса к слову нет, да он особо и не нужен. Подключаете первый Deco M9 Plus, находите его при помощи Bluetooth в приложении. Задаёте все необходимые явки-пароли беспроводной сети. Затем добавляете второе и, возможно, третье устройство, которые, образовывают бесшовную Wi-Fi сеть.

Приложение имеет ряд и «продвинутых» настроек. С его помощью можно провести тестирование скорости соединения, создать черный список сайтов и устройств, выбрать приоритет трафика, обновить  прошивку и др.

В работе

Мы традиционно постарались максимально нагрузить беспроводную сеть передачей файлов и контентом из сети, задействовав три ноутбука и пару смартфонов. Да, пользователь не замечает на своем устройстве, каких-либо переключений. Практически удалось заполнить заявленный канал данных с применением обоих сетевых устройств. Буферизации при воспроизведении видео не происходит, а активный голосовой сеанс по мессенджеру не прерывается.

Так что можно сделать вывод, что Deco M9 Plus оптимально работает и распределяет ресурсы согласно заявленным возможностям. Оглашенная цифра в сотню одновременно подключенных устройств, вероятно, вполне реальна, но нужно понимать, что при интенсивной работе уже хотя бы десятка устройств, пропускная способность будет исчерпана. Тоже касается и стабильности подключения. Об аналогичном опыте эксплуатации таких моделей, вы также можете почитать в упомянутом нами вначале материале.

Новую модель дополнили возможностью управлять устройствами умного дома с помощью голосового ассистента, а сами поддерживаемые гаджеты подключать по протоколу ZigBee. Крутая и полезная возможность – создавать сценарии для подключенных устройств по типу – например, пришёл домой, сработал датчик движения, включился свет.

Выводы

TP-Link Deco M9 Plus – это продвинутое решение для бесшовной и умной беспроводной сети. При этом у него абсолютно простая и понятная настройка прямо через мобильное приложение Deco. Дополняет хорошие технические возможности, бонус в виде поддержки устройств умного дома и автоматизированные сценарии.

+ автоматическое переключение клиентских устройств

+ возросшая пропускная способность

+ интуитивная настройка

-временно незадействованный USB-порт

В этой статье описан один из способов настройки гостевых и корпоративных беспроводных сетей используя решения Enterprise Wi-Fi Ubiquiti UniFi и Cisco Integrated Services Routers

Рецепт

Создать корпоративную SSID сеть
Создать гостевую SSID сеть
Создать VLAN сети на одном физическом порте
Настроить проброс DHCP
Изолировать гостевой VLAN
Выпускать клиентов под разными статическими IP

Ингредиенты

Роутер: Router Cisco 2901
ОС для контроллера: Ubuntu server 12.04
ПО: Ubiquiti UniFi Controller 4.6.6
Свитч: Ubiquiti TOUGHSwitch PoE Pro
Точки: Ubiquiti UniFi AP LR

Топология

Готовим Cisco

Создадим базу VLANов
VLAN id вы можете использовать на свое усмотрение

cisco#vlan database
cisco(vlan)#vlan 1
VLAN 1 added:
Name: VLAN0001
cisco(vlan)#vlan 2
VLAN 2 added:
Name: VLAN0002
cisco(vlan)#vlan 3
VLAN 3 added:
Name: VLAN0003
cisco(vlan)#apply
APPLY completed.
cisco(vlan)#exit
cisco#wr

Настраиваем и создаем VLAN-ы
Здесь мы сразу прибиваем NAT для наших клиентов коммандой ip nat inside.

cisco#conf t
cisco(config)#interface vlan 1
cisco(config-if)#ip address 172.16.1.1 255.255.255.0
cisco(config-if)#ip nat inside
cisco(config-if)#ip virtual-reassembly in
cisco(config-if)#ip tcp adjust-mss 1452
cisco(config-if)#exit
cisco(config)#interface vlan 2
cisco(config-if)#ip address 172.15.1.1 255.255.255.0
cisco(config-if)#ip nat inside
cisco(config-if)#ip virtual-reassembly in
cisco(config-if)#ip tcp adjust-mss 1452
cisco(config-if)#exit
cisco(config)#interface vlan 3
cisco(config-if)#ip address 172.17.1.1 255.255.255.0
cisco(config-if)#ip nat inside
cisco(config-if)#ip virtual-reassembly in
cisco(config-if)#ip tcp adjust-mss 1452
cisco(config-if)#exit
cisco(config)#exit
cisco#wr

Настраиваем и создаем DHCP
172.16.1.1/24 Мы будем использовать для менеджмент сети, а именно — там наши точки будут получать IP и стучаться к контроллеру. 172.15.1.1/24 Мы будет раздавать гостям, а сеть 172.17.1.1/24 отдадим корпоративным устройствам. В примере используются DNS сервера Yandex: 77.88.8.8 Google: 8.8.4.4. Параметр lease указывает на сколько дней мы выдаем IP клиенту.

cisco#conf t
cisco(config)#ip dhcp pool Vlan1
cisco(dhcp-config)#import all
cisco(dhcp-config)#network 172.16.1.0 255.255.255.0
cisco(dhcp-config)#default-router 172.16.1.1
cisco(dhcp-config)#dns-server 77.88.8.8 8.8.4.4
cisco(dhcp-config)#lease 8
cisco(dhcp-config)#exit
cisco(config)#ip dhcp pool Vlan2
cisco(dhcp-config)#import all
cisco(dhcp-config)#network 172.15.1.0 255.255.255.0
cisco(dhcp-config)#default-router 172.15.1.1
cisco(dhcp-config)#dns-server 77.88.8.8 8.8.4.4
cisco(dhcp-config)#lease 1
cisco(dhcp-config)#exit
cisco(config)#ip dhcp pool Vlan3
cisco(dhcp-config)#import all
cisco(dhcp-config)#network 172.17.1.0 255.255.255.0
cisco(dhcp-config)#default-router 172.17.1.1
cisco(dhcp-config)#dns-server 77.88.8.8 8.8.4.4
cisco(dhcp-config)#lease 1
cisco(dhcp-config)#exit
cisco(config)#exit
cisco#wr

Помогаем DHCP серверу
Для корректной раздачи IP адресов желательно явно указать ip helper-address — DHCP сервер на всех VLANах.

cisco#conf t
cisco(config)#interface vlan 1
cisco(config-if)#ip helper-address 172.16.1.1
cisco(config-if)#exit
cisco(config)#interface vlan 2
cisco(config-if)#ip helper-address 172.15.1.1
cisco(config-if)#exit
cisco(config)#interface vlan 3
cisco(config-if)#ip helper-address 172.17.1.1
cisco(config-if)#exit
cisco(config)#exit
cisco#wr

Исключим выдачу служебных IP адресов

cisco#conf t
cisco(config)#ip dhcp excluded-address 172.15.1.1 172.15.1.3
cisco(config)#ip dhcp excluded-address 172.16.1.1 172.16.1.3
cisco(config)#ip dhcp excluded-address 172.17.1.1 172.17.1.3
cisco(config)#exit
cisco#wr

Настраиваем интерфейсы
После создания VLAN и настройки DHCP, нам необходимо настроить порт на маршрутизаторе который будет раздавать эти сети особым образом. В нашем примере мы зададим порту GigabitEthernet 0/0 основной VLAN 1 и разрешим дергать VLAN 2 и VLAN 3.

В примере используется интерфейс GigabitEthernet 0/0, предполагается что у вас имеется еще как минимум 2 порта — один для доступа в интернет GigabitEthernet 0/1 и один порт для вашей корпоративной проводной сети, например GigabitEthernet 0/2.

cisco#conf t
cisco(config)#GigabitEthernet 0/0
cisco(config-if)#switchport trunk encapsulation dot1q
cisco(config-if)#switchport mode trunk
cisco(config-if)#switchport trunk allowed vlan 1,2,3
cisco(config-if)#switchport trunk native vlan 1
cisco(config-if)#no shutdown
cisco(config-if)#exit
cisco(config)#exit
cisco#wr

Теперь, при подключении порту GigabitEthernet 0/0 наш контроллер и точки будут получать сеть 172.16.1.0/24, а VLAN2 и VLAN3 будут использоваться по требованию.

Закручиваем гайки
Теперь, когда мы настроили основной порт для всех сетей, пора бы запретить доступ гостевой сети (VLAN2) ходить в наши в соседние сети.

В данном примере на GigabitEthernet 0/2 висит проводная корпоративная сеть 192.168.0.0 255.255.255.0

cisco#conf t
cisco(config)#access-list 110 deny ip 172.15.1.0 0.0.0.255 192.168.0.0 0.0.0.255
cisco(config)#access-list 110 deny ip 172.15.1.0 0.0.0.255 172.16.1.0 0.0.0.255
cisco(config)#access-list 110 deny ip 172.15.1.0 0.0.0.255 172.17.1.0 0.0.0.255
cisco(config)#access-list 110 permit ip any any
cisco(config)#exit
cisco#wr

Прибиваем этот access-list 110 к нашему VLAN2

cisco#conf t
cisco(config)#interface vlan 2
cisco(config-if)#ip access-group 110 in
cisco(config-if)#exit
cisco(config)#
cisco#wr

Маршрутизируем наших клиентов разными внешними IP
Для того что бы указать каким клиентам ходить через какой внешний IP я использую пулы
Представим что у нас есть 3 внешних IP адреса выданные нашим ISP: 100.100.100.101, 100.100.100.102, 100.100.100.103 с одним шлюзом 100.100.100.1

interface GigabitEthernet0/0
switchport trunk native vlan 2
switchport mode trunk
no ip address
!
interface GigabitEthernet0/1
ip address 100.100.100.101 255.255.255.0
ip nbar protocol-discovery
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
interface GigabitEthernet0/2
ip address 192.168.0.0 255.255.255.0
ip access-group 109 in
ip nat inside
ip virtual-reassembly in
ip tcp adjust-mss 1452
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 100.100.100.1
!
access-list 109 permit ip 192.168.0.0 0.0.0.255 any
access-list 110 deny ip 172.15.1.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 110 deny ip 172.15.1.0 0.0.0.255 172.16.1.0 0.0.0.255
access-list 110 deny ip 172.15.1.0 0.0.0.255 172.17.1.0 0.0.0.25
access-list 110 permit ip any any

Итак, мы хотим что бы клиенты из сети 192.168.0.0 ходили в мир через IP 100.100.100.101, клиенты из гостевой беспроводной сети 172.15.1.0 ходили в мир через IP 100.100.100.102, а клиенты из корпоративной беспроводной сети через IP 100.100.100.103

Давайте создадим дополнительный access-list 108 для клиентов из корпоративной беспроводной сети

cisco#conf t
cisco(config)#access-list 108 permit ip 172.17.1.0 0.0.0.255 any
cisco(config)#exit
cisco#wr

Прикрутим access-list 108 к VLAN3

cisco#conf t
cisco(config)#interface vlan 3
cisco(config-if)#ip access-group 108 in
cisco(config-if)#exit
cisco(config)#
cisco#wr

Предполагается, что вы уже самостоятельно создали access-list 109 когда настраивали проводную сеть
Итак, у нас есть 3 access-list, поехали.

Создаем пулы (netmask должна строго соответствовать той — которую выдал ISP)

cisco#conf t
ip nat pool OFFICELAN 100.100.100.101 100.100.100.101 netmask 255.255.255.0
ip nat pool WIFIGUEST 100.100.100.102 100.100.100.102 netmask 255.255.255.0
ip nat pool WIFICORP 100.100.100.103 100.100.100.103 netmask 255.255.255.0

Прибиваем access-list к pool

cisco#conf t
cisco(config)#ip nat inside source list 109 pool OFFICELAN overload
cisco(config)#ip nat inside source list 110 pool WIFIGUEST overload
cisco(config)#ip nat inside source list 108 pool WIFICORP overload
cisco(config)#ip nat inside source route-map nonat interface GigabitEthernet0/1 overload
cisco(config)#exit
cisco#wr

На этом этапе настройка роутера Cisco окончена.

Готовим контроллер

Итак, теперь мы берем сервер под контроллер, устанавливаем туда ПО Ubiquiti UniFi Controller 4.6.6, процесс установки я описывать не буду, ОС по вашему выбору, я установил Ubuntu server 12.04 и присвоил контроллеру IP 172.16.1.3

Базовая настройка
Открываем веб-интерфейс контроллера 172.16.1.3:8443

, а остальное по вкусу:

Enable DHCP Guarding

и указываем наш DHCP сервер

Прикручиваем VLANы к SSID
Мы подошли к финальному моменту хитрости — теперь мы прикрутим наши VLAN2, VLAN3 к гостевой и корпоративной сети

P.S Если вы найдете орфографические ошибки — пожалуйста напишите мне в ЛС

PrefaceThe procedures described here are for peers discovery over Wi-Fi Direct network. Although they may be used for auxiliary purposes, it’s almost impractical to apply them to real apps. Finding a peer is only demonstrates its ability to communicate, but without knowing the capabilities of the peer, such a communication will be like the conversation without a subject. To discover the services advertised by peers and to talk to them on particular subject, use Service Discovery (mDNS and DNS-SD).

BackgroundWi-Fi Direct became very popular recently becausea) it has a minimal and relatively low-cost hardware requirements, namely only use of 802.11g andb) it may be implemented entirely in software over traditional Wi-Fi radio waves.In contrast with traditional Wi-Fi networks, where clients discovered and associated with pre-defined AP (Access Point), a major novelty of Wi-Fi Direct is that these roles are specified dynamically, and hence a Wi-Fi Direct device has to implement both the role of a client and the role of an AP (Soft-AP).

Wi-Fi addressing basics.

Any Wi-Fi adapter, or more precisely, its antenna receives radio-waves in pre-defined ICM band (usually 2.4 HGz). Since the antenna can not reject the packages targeted to specific device, it’s a task of the wireless nic to capture  only the packages which destination is its device. Actually, nic (Linux-driver) supports 6 operation modes.In Wi-Fi Direct realm, group is equivalent to traditional Wi-Fi network. The device implementing AP-like functionality is referred to as group owner (GO).  When two devices discover each other they negotiate their roles to establish the group, however, one can claim its intents to be group owner via WiFiP2pConfig.groupOwnerIntent in the range 0-15.Like traditional AP, a P2P GO announces itself through beacons and required to run a DHCP (Dynamic Host Configuration Protocol) server to provide P2P clients with IP addresses.Although Android announced its support for WiFi P2P starting from ver. 4.0 (ICS), there are devices that only include the WiFi P2P API as a part of the operating system, but lack a appropriate package manager.

1. BasicsThe foundation infrastructure for all Android Wi-Fi (include Wi-Fi Direct) is a bit tailored part of Linux Wireless.In particular, Android uses a modified wpa_supplicant to perform AP authentication and association. Through this service it also communicates with underlying driver.

An alternative procedure for discovery where the mentioned process is enriched by additional negotiation is called “service discovery”. When service discovery is used instead of wider devices, the whole picture of utilizing wpa_supplicant remains unchanged, just instead of discoverPeers() the process is initiated by WiFiP2pManager.discoverServices(). To this extent, Android application can advertise its services via supported Bonjour (or Upnp – ?) protocol.

Let’s go deeper on Bonjour:

. Delete existing persistent groups1. StartRegistrationAndDiscovery  1a). Prepare DNS-SD service info

record.put(Globals., );

    // Service information. Pass it an instance name, service type
   // _protocol._transportlayer , and the map containing
   // information other devices will want once they connect to this one.
   WifiP2pDnsSdServiceInfo service = WifiP2pDnsSdServiceInfo.(
     Globals.,
    Globals., record);

1b).  call addLocalService in order to publish (start advertise) this service

2). Discover Services  2a). Prepare DNS-SD listeners

3). Prepare DNS-SD request

.addServiceRequest(, ,
TaggedActionListener(“add service discovery request”));

4). Start service discovery

TaggedActionListener(“service discovery init”));

After a while

5). Receive onPeersAvailable(), analyze status of the peer and send invitation to connect

6). Receive onConnectionInfoAvailable() with the params of the group
 Start ServerSocker and wait to accept

4. Using SocketsImmediately after the group owner’s address becomes known to the client (usually in onConnectionInfoAvailable() ), nothing can stop it to open socket on this address. The server side does the opposite procedure.Obviously both needes additional thread to deal with sockets

// Delete any persistent group

Must reading:0. Absolutely must: Zero Configuration Networking: The Definitive Guide. By Cheshire S. and Steinberg D.H.1. Device to device communications with WiFi Direct: overview and experimentations.2. Why Wi-Fi Direct can not replace Ad-hoc mode3. Usng WiFi P2P for Service Discovery (Google official documentaiton)4. Wi-Fi Direct. White Paper.5. P2Feed site.

Добавим сети надежности и безопасности

Это функция коммутатора, которая позволяет «привязать» DHCP-сервер к определенному порту. Ответы DHCP на других портах будут заблокированы. В некоторых коммутаторах можно настроить и работу с Option 82 при ее обнаружении в пакете (что говорит о присутствии релея): отбросить, заменить, оставить без изменения.

В коммутаторах MikroTik включение DHCP Snooping производится в настройках бриджа:

Настройка в других коммутаторах происходит аналогичным образом.

Стоит отметить, что не все модели MikroTik имеют полную аппаратную поддержку DHCP Snooping — она есть только у CRS3xx.

Помимо защиты от злых хакеров эта функция избавит от головной боли, когда в сети появляется другой DHCP-сервер — например, когда SOHO-роутер, используемый как свич с точкой доступа, сбрасывает свои настройки. К сожалению, в сетях, где встречается SOHO-оборудование, не всегда бывает грамотная структура кабельной сети с управляемыми маршрутизаторами. Но это уже другой вопрос.

Красивая коммутационная — залог здоровья.

К другим методам защиты можно отнести Port Security («привязка» определенного MAC-адреса к порту маршрутизатора, при обнаружении трафика с других адресов порт будет блокироваться), Анализ трафика на количество DHCP-запросов и ответов или ограничение их количества, ну и, конечно, различные системы IPSIDS.

Казалось бы, можно поделить область выдачи между двумя серверами, и пусть один выдает одну половину адресов, а второй — другую. Вот только парализованная половина инфраструктуры немногим лучше, чем целая.

Разберем более практичные варианты.

В системах Windows Server начиная с 2012 система резервирования DHCP работает «из коробки», в режиме балансировки нагрузки (active-active) или в режиме отказоустойчивости (active-passive). С подробным описанием технологии и настройками можно ознакомиться в официальной документации. Отмечу, что отказоустойчивость настраивается на уровне зоны, поэтому разные зоны могут работать в разном режиме.

Настройка отказоустойчивости DHCP-сервера в Windows.

Если же делать отказоустойчивое решение на базе MikroTik, то без хитростей не обойтись. Один из вариантов решения задачи был озвучен на MUM RU 18, а затем и опубликован в блоге автора. Если вкратце: настраиваются два сервера, но с разным параметром Delay Threshold (задержка ответа). Тогда выдавать адрес будет сервер с меньшей задержкой, а с большей задержкой — только при выходе из строя первого. Синхронизацию информации опять же приходится делать скриптами.

Лично я в свое время изрядно потрепал себе нервов, когда в сети «случайно» появился роутер, подключенный в локальную сеть и WAN, и LAN интерфейсами.

Расскажите, а вам приходилось сталкиваться с проказами DHCP?

Удивительные опции DHCP

В этом разделе я рассмотрю практическое применение опций DHCP на оборудовании MikroTik. Сразу обращу внимание на то, что не все опции задаются очевидно, формат параметров описан в wiki. Следует отметить также то, что опции клиент применяет, только когда сам их попросит. В некоторых серверах можно принудительно отправить настройки: например, в ISC DHCP Server за это отвечает директива dhcp-parameter-request-list, а в Dnsmasq —* *–dhcp-option-force. MikroTik и Windows такого не умеют.

Option 6 и Option 15. Начнем с простого. Настройка под номером 6 — это серверы DNS, назначаемые клиентам, 15 — суффикс DNS. Назначение суффикса DNS может быть полезным при работе с доменными ресурсами в недоменной сети, как я описывал в статье «Как мы сокращали персонал через Wi-Fi». Настройка MikroTik под спойлером.

Настройка MikroTik, option 15

Знание, что сервер DNS — это тоже опция, недавно пригодилось мне, когда разным клиентам нужно было выдать разные серверы DNS. Решение вида «выдать один сервер и сделать разные правила dst-nat на 53 порт» не подходило по ряду причин. Часть конфигурации снова под спойлером.

Option 66 и Option 67. Эти настройки пришли еще с BOOTP и позволяют указать TFTP-сервер и образ для сетевой загрузки. Для небольшого филиала довольно удобно установить туда микротик и бездисковые рабочие станции и закинуть на маршрутизатор подготовленный образ какого-нибудь ThinStation. Пример настройки DHCP:

/ip dhcp-server option

add name=”option66″ code=66 value=”s’192.168.88.1′”

add name=”option67″ code=67 value=”‘pxelinux.0′”

/ip dhcp-server option sets

add name=”set-pxe” options=option66,option67

Option 121 и Option 249. Используются для передачи клиенту дополнительных маршрутов, что может быть в ряде случаев удобнее, чем прописывать маршруты на шлюзе по умолчанию. Настройки практически идентичные, разве что клиенты Windows предпочитают вторую. Для настройки параметра маршруты надо перевести в шестнадцатеричный вид, собрав в одну строку маску сети назначения, адрес сети и шлюз. Также, по RFC, необходимо добавить и маршрут по умолчанию. Вариант настройки — под спойлером.

Предположим, нам нужно добавить клиентам маршрут вида dst-address=10.0.0.0/24 gateway=192.168.88.2, а основным шлюзом будет 192.168.88.1. Приведем это все в HEX:

Соберем все это счастье в одну строку и получим настройку:

/ip dhcp-server option

add code=121 name=classless value=0x0A0000c0a8580200c0a85801

Подробнее можно прочитать в статье «Mikrotik, DHCP Classless Route».

Option 252. Автоматическая настройка прокси-сервера. Если по каким-то причинам в организации используется непрозрачный прокси, то удобно будет настроить его у клиентов через специальный файл wpad (pac). Пример настройки такого файла разобран в материале «Proxy Auto Configuration (PAC)». К сожалению, в MiroTik нет встроенного веб-сервера для размещения этого файла. Можно использовать для этого пакет hotspot или возможности metarouter, но лучше разместить файл где-либо еще.

Option 82. Одна из полезнейших опций — только не для клиента, а для DHCP-релея. Позволяет передать серверу информацию о порте коммутатора, к которому подключен клиент, и id самого коммутатора. Сервер на основе этой информации в свою очередь может выдать уже клиенту какой-то определенный набор настроек или просто занести в лог — чтобы в случае необходимости найти порт подключения клиента, не приходилось заходить на все свитчи подряд (особенно, если они не в стеке).

После настройки DHCP-Relay на маршрутизаторе в информации о клиентах появятся поля Agent Circuit ID и Agent Remote ID, где первое — идентификатор порта коммутатора, а второе — идентификатор самого коммутатора.

Информация выдается в шестнадцатиричном формате. Для удобства восприятия при анализе журнала DHCP можно использовать скрипты. Например, решение для решения от Microsoft опубликовано в галерее скриптов Technet под названием «Декорирование DHCP опции 82».

Также опция Option 82 активно используется в системе биллинга провайдеров и при защите сети от посторонних вмешательств. Об этом чуть подробнее.

Zeroconf или зачем нам вообще какой-то DHCP

Поиск по имени. Система анонсирует свое сетевое имя, и каждый компьютер работает с ним как с DNS, храня записи у себя в кэше. Apple использует технологию mDNS (Multicast DNS), а Microsoft — LLMNR (Link-local Multicast Name Resolution), упомянутую в статье «Домены, адреса и Windows: смешивать, но не взбалтывать».

Поиск сетевых сервисов. Например, принтеров. Пожалуй, самым известным протоколом является UPnP, который помимо прочего умеет сам открывать порты на роутерах. Протокол довольно сложен, в нем используется целый набор надстроек вроде использования http, в отличие от второго известного протокола — DNS-SD (DNS Service Discovery), который попросту использует SRV-записи, в том числе при работе mDNS.

При всех плюсах Zeroconf — без каких-либо сакральных знаний можно собрать рабочую сеть, просто соединив компьютеры на физическом уровне, — IT-специалистам он может даже мешать.

Немного раздражает, не так ли?

Разумеется, Zeroconf подходит разве что для небольших изолированных сетей (например, встретились с приятелем с ноутбуками, соединили их по Wi-Fi и давай играть Diablo II, не тратя время на какие-то сервера), да и выводить локальную сеть в интернет тоже хочется. Чтоб не мучаться со статическими настройками каждого компьютера, были созданы специальные протоколы, включая героя дня — DHCP.

DHCP и его прародители

Схема работы RARP протокола.

И все вроде работало. Но у протокола были минусы: нужно было настраивать сервер в каждом сегменте локальной сети, регистрировать MAC-адреса на этом сервере, а передавать дополнительную информацию клиенту вообще не было возможности. Поэтому на смену ему был создан протокол BOOTP (Bootstrap Protocol).

Важным отличием от устаревших протоколов является возможность временной выдачи адреса (lease) и передачи большого количества разной информации клиенту. Достигается это за счет менее тривиальной процедуры получения адреса. Если в старых протоколах схема была простая, вида запрос-ответ, то теперь схема следующая:

• Клиент ищет сервер широковещательным запросом, запрашивая в том числе и дополнительные настройки.
• Сервер соглашается с клиентом, отправляя ему запрос, по получении которого клиент уже настраивает сетевой интерфейс или отвергает его.

Схема общения клиента с сервером пересылки и сервером.

Подробнее про схему взаимодействия сервера и клиента и про структуру запросов и ответов можно почитать, например, в материале «Структура, формат и назначение DHCP пакетов».

На нескольких собеседованиях меня спрашивали: «А какой транспорт и порт использует DHCP?» На всякий случай отвечаем: «Сервер UDP:67, клиент UDP:68».

С разными реализациями DHCP-сервера сталкивались многие, даже при настройке домашней сети. Действительно, сейчас сервер есть:

• На практически любом маршрутизаторе, особенно SOHO.
• На системах Windows Server. О сервере и его настройке можно почитать в официальной документации.
• На системах *nix. Пожалуй, самое популярное ПО — ISC DHCP Server (dhcpd) и «комбайн» Dnsmasq.