DHCPリレーとOption82を使用する実用的な側面

この記事では、 DHCPリレー+ option82 を許可オプションとして使用する実際的な側面を強調し（将来、このバンドルを意味します） 、 Dlink DES-3200-10スイッチとisc-dhcp-serverの構成例を提供します 。 ほとんどすべての記事で、dhcp relayは「dhcpサーバーをブロードキャストドメインの外部に移動できます」と解釈されます。 ただし、何らかの理由で、これは同じブロードキャストドメイン内のブロードキャストリクエストを削除する良い機会であると言及していないか、ほとんど言及していない。 そして最も重要なことは、私が注目していることは、option82のおかげで、指定されたポピーのスイッチと指定された番号のポートからリクエストが来たことを確認できることです。したがって、この方法でユーザーを「承認」できます。



少し進んで、DHCPリレーがどのように機能するかを思い出します。 ブロードキャスト要求（構成されているVLAN）をインターセプトし、L3でラップして、指定されたDHCPサーバーへのユニキャストに送信します。 まあ、option82が何をするかを思い出すことは不必要ではありません。 DHCPパケットに2つの追加パラメーターを追加します。

DHCP-Relay-Circuit-Id-要求の送信元のポート番号。

DHCP-Relay-Remote-Id-（デフォルトで）要求の送信元のスイッチのマクロアドレス。

このオプションをパッケージに実装する方法についても説明したいと思いますDlink機器には2つの方法があります。

dhcp_relay-Option82を追加し、上記のように、それをL3でラップし、指定されたDHCPサーバーにユニキャストを送信します。

dhcp_local_relay（DHCPスヌーピング）-Option82のみを追加し、ブロードキャストパケットをさらに転送します。

トピックから少し外れます。 実際、dhlink_local_relayコンストラクトはDlinkハードウェアでのみ見つかりました。 他のメーカーがこのような素晴らしいオプションを実装しなかったのはなぜだろうか？ それは結局、実装されており、長い間です。 DHCPスヌーピングと呼ばれます。



おそらく誰かが質問をするでしょう：「なぜブロードキャストトラフィックを取り除くべきなのか？」 実際、実際には、たとえば雷雨の結果としてスイッチに障害が発生するとループが発生し、ブロードキャストストームにつながるような現象に頻繁に遭遇しました。 もちろん、ご想像のとおり、IPv4で1つのブロードキャストトラフィックを取り除くことはできません。これはARPトラフィックです。 彼は、MAC-IPテーブルの作成を担当しています。 もちろん、これを無効にして、手動でテーブルに記入することができます。 しかし、私はこれによって引き起こされる不便が静的ARPテーブルの魅力をすべて無効にすることを恐れています。



すべての記事は、DHCPクライアントとDHCPサーバーが異なるサブネット上に存在する可能性があることを示しています-これは正しくありません。 以下に図を示します。







次に、構成の例を示します。



DLINK DES-3200

 config vlan default delete 1-10

  ＃デフォルトVLANからすべてのポートを削除
 VLAN VLAN7タグ7を作成します
 
 ＃DHCPサーバーが配置されているVLANを作成します
 config vlan VLAN7 add 9-10のタグ付け 
 ＃タグ付きポート9および10をそこに追加します（プロバイダーの方向を見てください）

 VLAN VLAN10タグ10を作成します
 
 ＃サブスクライバーがいるVLAN 10を作成します
 config vlan VLAN10 add tags 9
 -10 
 ＃タグ付きポート9および10を追加します 
 config vlan VLAN10 add untagged 1-8 
 ＃そこにタグなしポート1-8を追加（サブスクライバーポート）

 config ipif System ipaddress 10.90.90.90/8 
 ＃スイッチのIPアドレスを設定します                                     

 config ipif System vlan VLAN7
 ＃VLAN7にハングアップします

 dhcp_relayを有効にする
 ＃オプションを有効化
 config dhcp_relay option_82ポリシーの置き換え
 ＃パッケージ内の情報が既に存在する場合は、置き換えます
 config dhcp_relay option_82 remote_id default

 ＃デフォルト設定を保存するだけ（ポピー）
 config dhcp_relay option_82 circuit_id default

 ＃デフォルト設定（ポート番号）を保存するだけ
 config dhcp_relay add vlanid 10 10.90.90.92
 ＃VLAN10のすべてのトラフィックはインターセプトされ、アドレス10.90.90.92のDHCPサーバーに送信されます
 iprouteのデフォルト10.90.90.92を作成します
 ＃デフォルトルートを作成します。この例では、何が必要かはわかりませんが、風水

config isc-dhcp-server（isc-dhcpd-4.2.4）on

Linux big-A75F-M2 3.13.0-24-generic＃47-Ubuntu SMP Fri May 2 23:30:00 UTC 2014 x86_64 x86_64 x86_64 GNU / Linux：

$ sudo apt-get install vlan-tools isc-dhcp-server

$ sudo vconfig add eth0 7

$ sudo ifconfig eth0.7 10.90.90.92/8

＃VLAN7を作成し、DHCPサーバーを持つアドレス10.90.90.92/8を割り当てます

ローカルアドレス10.90.90.92;

 ＃理論的には、これは盗聴用のソケットの作成場所を示す必要がありますが、実際にはこのオプションは初歩的なものであることに気付きました。私はそれを変更しようとして何も変わっていないことをコメントしましたが、Feng Shuiによると:) 一般に、サーバーはすべての指示を「吐き出し」、サブネットセクションで説明されているサブネットに分類されるIPインターフェースで自動的にハングアップします。

存在する場合agent.circuit-id
 {
  log（info、concat（ "Lease for"、binary-to-ascii（10、8、 "。"、leased-address）、。

  「rawオプション82情報はCID：」、バイナリからASCII（10、8、「。」、オプションagent.circuit-id）、「AID：」、

  binary-to-ascii（16、8、 "。"、オプションagent.remote-id）））;
 }
 ＃これは、オプション82が検出された場合、ログファイルにエントリを出力するだけです

サブネット10.0.0.0ネットマスク255.0.0.0 {
    プール{
        範囲10.0.0.155;
     }
 }
 ＃サブネットとプールを設定する 

もちろん、これはスタンドアロンの設定にすぎませんが、私たちにとって最も重要なことは、その仕組みを理解することです。 それでも、私はoption82とdhcp_local_relay（dhcpスヌーピング）コンストラクトを備えた課金システムがあり、サーバーとしてpostgresデータベースから選択されたperlのIPアドレスでfreeradius2を使用していると言えます。 しかし、これはすでにこの記事の範囲外です。



サーバーのあるマシンで、次を実行します。

$ sudo tcpdump -i eth0.7 -e -n -t

そして、次のようなものを見た場合：

c0：a0：bb：48：e5：b0> 00：15：17：db：e3：e0 、ethertype IPv4（0x0800）、長さ345： 10.90.90.90.68> 10.90.90.92.67 ：BOOTP / DHCP、リクエスト48：5b：39：43：78から：e5、長さ303

つまり、ブロードキャストはありません。つまり、すべてが順調に進んでおり、DHCPサーバーを起動するときです。

初めて、次の行を入力して開始することをお勧めします。

$ sudo dhcpd

その後、エラーがある場合はすぐにすべて表示され、フォームの記録が必要です。

LPF / eth0.7 / 00でのリッスン：15：17：db：e3：e0 / 10.0.0.0 / 8

LPF / eth0.7 / 00で送信：15：17：db：e3：e0 / 10.0.0.0 / 8

念のため、数秒後に確認できます。

$ pgrep dhcpd

プロセスのUIDを返す必要があります。何も出力されない場合は、構成を確認してください。



なぜこのようなチェックが必要なのですか？ サーバーが起動し、数秒間メモリにハングアップしてクラッシュした場合を覚えています。 そして、私は無駄にIPアドレスを取得しようとしました。



すべてがうまくいった場合、ログに次のようなものがあります。

12月2日20:36:17 big-A75F-M2 dhcpd：48：5b：39：43：78から10.0.0.155のDHCPREQUEST 10.90.90.90経由でe5（big-1001PX）



12月2日20:36:17 big-A75F-M2 dhcpd：10.0.0.155から48：5bのDHCPACK：39：43：78：10.90.90.90経由のe5（big-1001PX）



12月2日20:38:06 big-A75F-M2 dhcpd：10.0.0.155のrawオプション82情報のリースはCID：0.4.0.10.0.3 AID： 0.6.c0.a0.bb.48.e5.b0

今、非常に重要なことは、どこにも書かれていませんが、実験的に到達しました。 スイッチのIPアドレスは、加入者に発行されたアドレスと同じサブネット上になければなりません 。 他の組み合わせでは、Dlink DES-3200バンドル（ブートPROMバージョン：ビルド4.00.002ファームウェアバージョン：ビルド4.04.004ハードウェアバージョン：C1）​​とisc-dhcp-server 4.2.4を動作させることはできませんでした。



そして、まだ大きなボーナスはありません。ブロードキャストで死なないことです。 Dlink DES-3200 C1の構成：

 config safeguard_engine state enable
 config safeguard_engine使用率の上昇90下降30状態の有効化
 ＃これはプロセッサの過負荷保護です
 configトラフィック制御1-8ブロードキャストイネーブルマルチキャストイネーブルユニキャスト無効アクションドロップしきい値
 d 64カウントダウン5 time_interval 5
 ＃これにより、顧客が生成した複数のブロードキャストからあなたを救います
ループ検出を有効にする
 config loopdetect ports 1-8 state enable
 config loopdetect recover_timer 1200 interval 10モードポートベース
 ＃そして、ループが既に形成されている場合、これはループから保存されます

この記事はクローンではなく、他の人の記事をあなた自身の言葉で書き直そうとするものでもありません。 以下は、同様の出版物とそれらとの違いのリストです。 私の記事では、ネットワークからDHCPサーバーを取り出そうとするのではなく、承認方法としてこの設計を使用することに焦点を当てました。



-xgu.ru/wiki/%D0%9E%D0%BF%D1%86%D0%B8%D1%8F_82_DHCP-ここにエラーがあり、それを見つけるのに多くの時間を費やしました。 上記について書きました（スイッチのIPアドレスは、サブスクライバーに与えられたアドレスと同じサブネット上にある必要があります。他の組み合わせでは、Dlink DES-3200バンドルを動作させることはできませんでした（ブートPROMバージョン：ビルド4.00.002ファームウェアバージョン：ビルド4.04.004ハードウェアバージョン：C1）​​およびisc-dhcp-server 4.2.4。） ;

habrahabr.ru/post/143846-ここでdhcpはネットワーク外に移動されます。

www.dlink.ru/ru/faq/62/228.html-ここでもdhcpはネットワーク外に移動されます。