Уважаемые специалисты!Хочу проконсультироваться с знающими людьми по вопросу организации автоматической раздачи DHCP настроек по подсетям офисов.
Схема такая:
Есть центральная серверная, где стоит шлюз в интернет и DHCP сервер. На нём описаны все подсети офисов. В конфиге dhcpd созданы группы по подсетям в которых описаны все имеющиеся в них устройства с привязкой mac-ip.В данный момент все офисы заведены оптикой в эту серверную, vlan'он никаких нет и возможностей по их организации тоже нет. Провайдер предоставляет только связь меж офисами в одном vlan.
И в данный момент соответственно все офисы в рамках одного широковещательного домена со всеми вытекающими отсюда трудностями.В ближайшее время на границе каждого офиса буду ставить маршрутизатор (микротик) с поднятым DHCP релеем который будет стучаться уже к центральному DHCP.
Так вот вопрос в чём: Если с прописанными в DHCP устройствами всё понятно, микротик запрашивает адрес для устройства и сервер для указанной подсети выдаст настройки для этого устройства. То вот раздачу адресов для неизвестных устройств из пула, не совсем понятно как делать.
Сейчас это работает так: в подсетях 192.168.1.0, 2.0 ... только известные устройства, а неизвестным выдаются адреса из 10.1.0.0/16. Но это в рамках одного широковещательного домена с единым шлюзом центральным 10.1.0.1, а после разграничения маршрутизаторами на подсети, мне для гостевой сети каждого офиса надо будет выдавать настройки из разных пулов. Т.е. в одном офисе гостевая подсетка должна будет быть: 10.1.0.0/24, во втором 10.1.1.0/24
Как мне это организовать? Поделитесь пожалуйста соображениями. Думал на центральном сервере поднять на одном интерфейсе с алиасами несколько dhcp серверов и с каждого релея чтобы указан dhcp был отвечающий за данную подсеть. Но выглядит сомнительно, ведь dhcp работает широковещательными запросами, а тут фактически все эти dchp будут на одной сетевухе работать. Да и кажется вариант костыльным.
Помогите плиз!
Дополню вопрос, есть ли возможность на пограничных офисных роутерах сделать что-то типа:Запрос dhcp от клиента релеем запрашивается у центрального сервера, и если тот не даёт настроек (mac не прописан на центральном), то микротик выдаёт из гостевого пула сконфигурированного на нём самом. Можно так сделать?
> Дополню вопрос, есть ли возможность на пограничных офисных роутерах сделать что-то типа:
> Запрос dhcp от клиента релеем запрашивается у центрального сервера, и если тот
> не даёт настроек (mac не прописан на центральном), то микротик выдаёт
> из гостевого пула сконфигурированного на нём самом. Можно так сделать?802.1X ?
> 802.1X ?Спасибо, подумаю над таким вариантом. А всё-же связку DHCP и DHCP релей возможно сделать?
>> 802.1X ?
> Спасибо, подумаю над таким вариантом. А всё-же связку DHCP и DHCP релей
> возможно сделать?Ну в этом мире нет ничего невозможного если у вас достаточно денег и времени.
> Ну в этом мире нет ничего невозможного если у вас достаточно денег
> и времени.Филосовствуете? Ну да, оно приятно бывает :)
>> Ну в этом мире нет ничего невозможного если у вас достаточно денег
>> и времени.
> Филосовствуете? Ну да, оно приятно бывает :)То о чем вы спрашиваете зависит от возможностей конкретного микротика, как вам отвечать в данном случае.
Ставите локальные DHCP с большой задержкой, что бы они отвечали гарантированно позже центрального.
> То о чем вы спрашиваете зависит от возможностей конкретного микротика, как вам
> отвечать в данном случае.
> Ставите локальные DHCP с большой задержкой, что бы они отвечали гарантированно позже
> центрального.Это вот очень интересно. А что есть такая опция как задержка ответа для клиента? Т.е. схема такая:
У микротика адреса допустим 192.168.0.1 (к центральному серверу), 192.168.1.1 (офисная) и 10.0.1.1 (гостевая)
И на 192.168.1.1 висит релей к центральному серверу с прописанными клиентами.,
а на 10.0.1.1 висит DHCP который отвечает с задержкой.Клиент делает запрос, его получает микротик на оба адреса, релей пересылает серверу и если сервер не выдаёт ему настроек, то клиент ничего не получает от него.
А через условно 10 секунд, гостевой dhcp отправляет ответ с параметрами гостевой сети, и если клиент до сих пор не получил никаких настроек, то он подхватывает гостевые.Так получается?
>> То о чем вы спрашиваете зависит от возможностей конкретного микротика, как вам
>> отвечать в данном случае.
>> Ставите локальные DHCP с большой задержкой, что бы они отвечали гарантированно позже
>> центрального.
> Это вот очень интересно. А что есть такая опция как задержка ответаmin-secs в ISC DHCP , про микротик незнаю
>[оверквотинг удален]
> и 10.0.1.1 (гостевая)
> И на 192.168.1.1 висит релей к центральному серверу с прописанными клиентами.,
> а на 10.0.1.1 висит DHCP который отвечает с задержкой.
> Клиент делает запрос, его получает микротик на оба адреса, релей пересылает серверу
> и если сервер не выдаёт ему настроек, то клиент ничего не
> получает от него.
> А через условно 10 секунд, гостевой dhcp отправляет ответ с параметрами гостевой
> сети, и если клиент до сих пор не получил никаких настроек,
> то он подхватывает гостевые.
> Так получается?это и имелось ввиду, только возможно не про микротик
На офисных микротиках делаешь релей, в релее первый сервером идет центральный микротик, на котором настраиваешь отдачу только зарезервированных адресов.
Далее, на офисных микротиках создаешь loopback интерфейс, на котором создаешь dhcp-сервер для локальной раздачи, и вешаешь его вторым сервером в релей.Вот всё что тебе надо.
Но я бы так не делал - не комильфо это. Уж лучше просить у провайдера Q-in-Q.
> Но я бы так не делал - не комильфо это. Уж лучше
> просить у провайдера Q-in-Q.Спасибо за пояснение. А у прова я это просил, нет говорят. Оборудование у них не позволяет QinQ реализовать. Может врут, но я настойчиво просил.
>> Но я бы так не делал - не комильфо это. Уж лучше
>> просить у провайдера Q-in-Q.
> Спасибо за пояснение. А у прова я это просил, нет говорят. Оборудование
> у них не позволяет QinQ реализовать. Может врут, но я настойчиво
> просил.И фиг сним с провайдером, Ethernet-Over-Ip никто не отменял и если трафика у вас там НЕ сотни мегабит то все довольно просто реализуется,
Та даже если сотни - VXLAN вам в помощь.
>>> Но я бы так не делал - не комильфо это. Уж лучше
>>> просить у провайдера Q-in-Q.
>> Спасибо за пояснение. А у прова я это просил, нет говорят. Оборудование
>> у них не позволяет QinQ реализовать. Может врут, но я настойчиво
>> просил.
> И фиг сним с провайдером, Ethernet-Over-Ip никто не отменял и если трафика
> у вас там НЕ сотни мегабит то все довольно просто реализуется,
> Та даже если сотни - VXLAN вам в помощь.Спасибо за наводки. Посмотрю что это за технологии такие в частности VXLAN. Пока не знаком.
>[оверквотинг удален]
> нет и возможностей по их организации тоже нет. Провайдер предоставляет только
> связь меж офисами в одном vlan.
> И в данный момент соответственно все офисы в рамках одного широковещательного домена
> со всеми вытекающими отсюда трудностями.
> В ближайшее время на границе каждого офиса буду ставить маршрутизатор (микротик) с
> поднятым DHCP релеем который будет стучаться уже к центральному DHCP.
> Так вот вопрос в чём: Если с прописанными в DHCP устройствами всё
> понятно, микротик запрашивает адрес для устройства и сервер для указанной подсети
> выдаст настройки для этого устройства. То вот раздачу адресов для неизвестных
> устройств из пула, не совсем понятно как делать.Классический пример:
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.10 192.168.1.100;
}host hostname {
hardware ethernet 08:00:00:00:00:23;
fixed-address 192.168.1.222;
}Вы знаете как релей работает???
На пальцах - он в запрос добавляет инфу о подсети, из которой запрос получен.
В результате неопознанные получают адреса 10-100, опознанные - что назначите.
В чем проблема?
или вам неопознанным надо РАДИКАЛЬНО другая подсеть???
> Вы знаете как релей работает???
> На пальцах - он в запрос добавляет инфу о подсети, из которой
> запрос получен.
> В результате неопознанные получают адреса 10-100, опознанные - что назначите.
> В чем проблема?
> или вам неопознанным надо РАДИКАЛЬНО другая подсеть???Да, мне для неопознанных нужна радикально другая подсеть. Причём в каждом офисе своя.
>> Вы знаете как релей работает???
>> На пальцах - он в запрос добавляет инфу о подсети, из которой
>> запрос получен.
>> В результате неопознанные получают адреса 10-100, опознанные - что назначите.
>> В чем проблема?
>> или вам неопознанным надо РАДИКАЛЬНО другая подсеть???
> Да, мне для неопознанных нужна радикально другая подсеть. Причём в каждом офисе
> своя.А опознанные и не опознанные в одном лан сегменте??
Потому, что если в одном то все это фикция будет. Все равно что прятать ключ от сейфа под ковриком перед сейфом.