Протокол динамической настройки узла и подсети

[skobelev.yurij]

Здравствуйте, помогите в настройке dhcp сервера.
В учреждении имеется сервер - altlinux-7.0.2-school-server-i586-ru.
Сервер имеет два сетевых интерфейса:
Первый enp0s3 - смотрит в интернет (настроен вручную). - ip 172.16.33.3 маска 255.255.255.0
Второй enp0s8 - смотрит в локальная сеть (настроен вручную). - ip 192.168.1.1, маска 255.255.255.0
На сервере поднят dhcp сервер (интерфейс enp0s8), диапазон адресов от 192.168.1.10 до 192.168.1.200 по маске 255.255.255.0
Необходимо разбить сеть 192.168.1.0 (интерфейс enp0s8) на подсети по маске 255.255.255.240 (то есть по 14 рабочих станций), с автоматическим присваиванием ip адреса.
Реально ли то сделать? Или надо вручную вбивать статистический ip адрес и mac адрес dhcp серверу и только потом присваивать рабочим станциям ip адреса?

[yaleks]

а эти группы по 14 компов вы сами будете прописывать статически в конфиге?

[skobelev.yurij]

Хотелось бы, что бы сам dhcp сервер прописывал их.

[ksa]

Хотелось бы, что бы сам dhcp сервер прописывал их.

Увы, но вы сами должны настройку производить. Если много набирать, то можно применить скрипты для автоматизации. DHCP сервер не должен быть интеллектуальным, человек определяет, что, куда и кому раздавать.

[skobelev.yurij]

Попробовал изменить dhcp.conf следующим образом, но ничего не вышло, разбил по маске 255.255.255.192, по 62 рабочие станции в подсети, автоматически адреса из диапазона он не присваивает, как я понимаю надо их вбивать ручками на каждой рабочей станции, но это очень долго, так как рабочих станций более 90 и их необходимо выделить в подсети, что может быть неправильно в данной конфигурации?

authoritative;
ddns-update-style interim;

shared-network net {

subnet 192.168.1.64 netmask 255.255.255.192
{
   range dynamic-bootp 192.168.1.65 192.168.1.126;
   option subnet-mask 255.255.255.192;
   option broadcast-address 192.168.1.127;
   option routers 192.168.1.1;
   option domain-name-servers 192.168.1.1;
   default-lease-time 3600;
        max-lease-time 7200;
}

subnet 192.168.1.128 netmask 255.255.255.192
{
   range dynamic-bootp 192.168.1.129 192.168.1.190;
   option subnet-mask 255.255.255.192;
   option broadcast-address 192.168.1.191;
   option routers 192.168.1.1;
   option domain-name-servers 192.168.1.1;
   default-lease-time 3600;
        max-lease-time 7200;
}

[ksa]

Каким образом dhcp должен за вас догадываться из какого диапазона конкретной станции выдавать айпи ? Пока вы это явно не укажете или не привяжете диапазон к определённому физическому интерфейсу (если это возможно, конечно, так глубоко dhcp не копал), чтобы все станции, соединённые через этот интерфейс с dhcp сервером, получали адреса из определённого и заданного диапазона, тут уже мак адреса значения особого иметь не будут, если только вам не требуется привязывать конкретные станции к конкретным и постоянным адресам. В таком виде работать не будет, как мне кажется. Либо надо определить основной диапазон (как бы по умолчанию, если не задано иное [например, мак адрес нигде далее не привязан]). В общем совет внимательно изучить документацию, там, как правило, всё доступно описано.

[speccyfan]

Мне вот интересно, а кто будет маршрутизировать все эти подсети? Кто будет для каждой подсети default gateway?
Если это все тот же сервер, то на нем придется создавать все эти vlan-интерфейсы и в dhcp отдельные записи для каждой подсети. Или как-то прикручивать dhcp-relay на коммутаторе. Поясните изначальную задачу, зачем вам вообще делить на подсети?

[ksa]

Поясните изначальную задачу, зачем вам вообще делить на подсети?

Плюсую, не совсем понятно, зачем вам эти подсети.

[skobelev.yurij]

Разбил сеть 192.168.1.0 на подсети по маске 255.255.255.240

Все работает
Вот конфигурации

ifconfig сервера

eth0    Link encap:Ethernet  HWaddr 00:02:44:43:23:2D 
          inet addr:192.168.1.1  Bcast:0.0.0.0  Mask:255.255.255.0
          inet6 addr: fe80::202:44ff:fe43:232d/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:75417 errors:0 dropped:0 overruns:0 frame:0
          TX packets:99781 errors:2 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:11180477 (10.6 Mb)  TX bytes:92684995 (88.3 Mb)
          Interrupt:18 Base address:0x1000

eth1    Link encap:Ethernet  HWaddr 00:02:A5:1A:98:11 
          inet addr:172.16.33.2  Bcast:0.0.0.0  Mask:255.255.255.0
          inet6 addr: fe80::202:a5ff:fe1a:9811/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:91762 errors:0 dropped:0 overruns:0 frame:0
          TX packets:68641 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:92764362 (88.4 Mb)  TX bytes:10573055 (10.0 Mb)

lo        Link encap:Local Loopback 
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:2036 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2036 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:205963 (201.1 Kb)  TX bytes:205963 (201.1 Kb)


Файл dhcpd.conf сервера

authoritative;
ddns-update-style interim;


subnet 192.168.1.0 netmask 255.255.255.0
{
        option subnet-mask 255.255.255.240;
        option domain-name "";
        option routers 192.168.1.1;
        option domain-name-servers 192.168.1.1;
        range dynamic-bootp 192.168.1.7 192.168.1.200;
        default-lease-time 3600;
        max-lease-time 7200;
}

Что получил в итоге:
1. Ip адреса раздаются автоматически с 192.168.1.7 по 192.168.1.200 маска 255.255.255.240
2. При сканировании сети теперь не зайти на рабочие станции другой подсети
3. Бухгалтерия и администрация учреждения не видна в общей сети

Что неудобно
1. DHCP сервер после окончания аренды ip адреса поменяет его, и наобум поставить свободный
2. IP адрес рабочей станции может совпасть с  Broadcast Address (широковещательным адресом)

Цель почти достигнута, изначально необходимо было повысить безопасность сети, что бы администрация учреждения была в одной подсети, а рабочие станции персонала в другой. Если конфигурация неправильна подскажите, как ее улучшить.

[speccyfan]

К дополнению к вашим двум проблемам:
3. IP адрес может так же совпасть с адресом подсети.
4. При такой конфигурации, ПК с адресом например 192.168.1.17/28 будет находится в подсети, отличной от той, в которой находится ваш роутер (192.168.1.1/24), что может привезти к непредвиденным последствиям.

Обычно такие задачи решают при помощи VLAN.

[skobelev.yurij]

Спасибо, буду смотреть в сторону vlan