Migracja serwera DHCP – aspekt sieciowy


 

servers_migration_210Jakiś czas temu pisaliśmy o bezpiecznym migrowaniu DHCP na inny serwer. Aby zagadnienie było kompletne, chciałem również poruszyć aspekt sieciowy całej operacji. W większości przypadków, a przynajmniej w większych sieciach, oprócz zmian na samym serwerze trzeba będzie zmodyfikować bowiem ustawienia sieci, aby wszystko działało jak należy.

Jeżeli sieć podzieloną mamy na logiczne segmenty, vlany, to każdy taki segment jest traktowany jako oddzielna domena rozgłoszeniowa (broadcasting domain). Pakiety kierowane na adres rozgłoszeniowy propagują jedynie w obrębie domeny. Jest to jak najbardziej pożądane i zmniejsza niepotrzebny ruch. Jednak jak zapewne wiecie zasada działania DHCP opiera się właśnie na zasadzie rozgłaszania pakietów. Gdy nowy komputer pojawia się w sieci i skonfigurowany jest tak aby automatycznie pobierać adres IP, wysyła on pakiety na adres rozgłoszeniowy. Jeżeli nasza sieć podzielona jest na segmenty, a serwer DHCP znajduje się w innym niż komputer, przy domyślnej konfiguracji sieci, pakiet do niego nie dotrze. Istnieje na szczęście mechanizm, który na rozprzestrzenianie takich informacji. Pozwala on na swobodną komunikacje wybranym pakietom UDP pomiędzy vlanami.

Jeżeli sieć, w której modyfikujemy DHCP zbudowana jest na urządzeniach z IOSem na pokładzie, w konfiguracji vlanów poszukać musimy komend IP helper. Służy ona to przekazywania rozgłaszanych w vlanie pakietów na konkretny adres IP. W tym przypadku nasz serwer DHCP. Jeżeli usługa przenosimy na inny serwer zmieniając tym samym jego IP, należy również zmienić wpisy IP helpera.

IP helper-address 192.168.1.100

Na urządzeniach z JunOSem odpowiednikiem takiej komendy jest forwarding-options helpers. Analogicznie przekazuje pakiety do serwera DHCP w innym vlanie.

set forwarding-options helpers bootp server 192.168.1.100

Kolejną pułapką podczas migracji może być mechanizm obronny przed nieautoryzowanymi serwerami DHCP. O tym, że niepożądany serwer DHCP jest niemiłym gościem w sieci nie trzeba chyba nikogo przekonywać. Mechanizm taki jest więc bardzo pożyteczny, jednak każdy nowe serwer DHCP musimy dodatkowo autoryzować. Urządzenia Cisco wymagają aby port do, którego podpięty jest serwer został odpowiednio oznaczony. Jeżeli więc nowy serwer podpięty będzie w innym miejscu, do innego portu musimy zaaplikować na nim komendę.

ip dhcp snooping trust

Podobne Tematy:

Tags:,