Dhcp для двух подсетей windows
Сообщения: 4677
Благодарности: 1090
| Конфигурация компьютера |
| Память: 8Gb DDR3 |
| Ноутбук/нетбук: Dell Latitude 6430u |
| Да, меняйте везде на 255.255.0.0 чтоб больше не морочиться. » |
——-
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.
| Конфигурация компьютера |
| Память: 8Gb DDR3 |
| Ноутбук/нетбук: Dell Latitude 6430u |
| Угу, а потом окажется, что надо разделить » |
——-
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.
Настроить DHCPD на раздачу двух подсетей адресов
Доброго времени суток!
Имеется большая сетка в которой больше 200 устройств.
В таких условиях стало неудобно держать сетку одноранговой.
Тем более, что есть две четко различающихся группы устройств.
Возникла идей разбить сетку на подсети 192.168.1.1/24 и 192.168.2.1/24.
IP адреса выдаются DHCP сервером. Мне известны mac-адреса всех устройств. Сейчас сервер выдаёт адреса из 192.168.1.1.
А при попытке прописать в dhcpd.conf выдачу адреса из 192.168.2.1 указанное устройство не получает адреса.
Пробовал назначить интерфейсу сервера адреса из обоих подсетей.
Пробовал поменять маску интерфейса на 255.255.0.0.
Не помогает.
В таких условиях стало неудобно держать сетку одноранговой.
Одноранговость == равноправие клиентов в сети по своим функциям. Наличие DHCP-сервера в этой сети свидетельствует о том, что сеть не одноранговая. Иначе говоря, адресация IP отношения и влияния на одноранговость (или нет) не имеет.
Возникла идей разбить сетку на подсети 192.168.1.1/24 и 192.168.2.1/24.
192.168.1.1/24 и 192.168.2.1/24 — неправильные записи адресов подсетей. Правильно 192.168.1.0/24 и 192.168.2.0/24. Из таких маленьких неточностей складывается безграмотность.
Просто маску /23 использовать нельзя? И логически распределить адреса поддиапазона 192.168.1.0/24 среди устройств первого типа, а адреса поддиапазона 192.168.2.0/24 среди устройств второго типа?
Пробовал поменять маску интерфейса на 255.255.0.0.
Научитесь считать маски. /23 это 255.255.254.0
Ну и наконец, телепаты ещё не вернулись из отпуска, конфиг в студию.
Как обычно, несколько вариантов решения задачи. Первый, простой — набить ручками/скриптом соответствие mac-ip в конфиг dhcpd.conf, назначить два айпишника (192.168.1.1/24 и 192.168.2.1/24) на интерфейс в сети, определить подсети в конфиге dhcpd.conf и перезапустить. Второй, сложный — включить radius сервер и всё хранить в базе.
Во-втором случае можно прилепить красивую веб-морду для управления, выбор базы данных за вами (зависит от поддерживаемых хранилищ выбранного radius-сервера).
ЗЫ. Выше уже отметили очевидные ошибки в вопросе.
Первый, простой — набить ручками/скриптом
Набито, перезапущено. В качестве красивой морды выступает Webmin.
ЗЫ. Выше уже отметили очевидные ошибки в вопросе.
Что есть, то есть. Я уже засыпал, когда набирал пост.
Насчёт логического распределения /24 адресов — сейчас так и сделано. Но адресов скоро будет не хватать. Да и удобно было бы логически отделить компьютеры в классах от компьютеров сотрудников.
Не вижу смысла постить конфиг целиком — это ж перечисление компов. Вот часть:
Из таких маленьких неточностей складывается безграмотность.
Выше я написал, что печатал уже засыпая. Но не стоит быть слишком резким. Посмотрим:
192.168.1.1/24 и 192.168.2.1/24 — неправильные записи адресов подсетей. Правильно 192.168.1.0/24 и 192.168.2.0/24.
Строго говоря, вы правы. Но предложите nmap просканировать сеть 192.168.1.1/24 и он спокойно вас поймёт. Можете попробовать даже 192.168.1.254/24. Это правильная, хотя и не каноническая нотация.
Научитесь считать маски. /23 это 255.255.254.0
Здесь нет ошибки. Мне не нужна маска /23.
Если Comp1 получает неверный ip — из какой сети он его получает 192.168.1.0 или 192.168.2.0?
Аналогично опишите ситуацию с Comp2.
Вынесите authoritative наверх, вне блока subnet 192.168.1.0 или добавьте ее во вторую подсеть.
Какие настройки у сетевых интерфейсов? Что показывают tcpdump и dhcpd -d?
фиксированные адреса следует выдавать за пределами range.
как-то это идеологически неправильно.. логичней было бы разделить сеть на две части (виланы) и в каждой из них выдавать адреса со своей сетевухи??
Dhcp для двух областей, и с фильтрацией одного диапазона по MAC
Суть такая.
Есть сеть скажем 192.168.247.10-250. Есть UnifiAP точки 3 штуки. Этим точкам нужен DHCP. Есть комп на интел атоме с 2мя сетевухами.
Задача такая: чтобы люди подключенные по wifi через точки UnifiAP(скажем 192.168.248.ХХХ) не имели доступа к сети 192.168.247.ХХХ.
Вариант первый: поставить dhcp сервер с 2мя диапазонами. При условии что первый диапазон должен выдаваться по жесткой фильтрации МАС для 247.ХХХ. А второй диапазон должны получить точки Unifi и раздавать ip из этого же диапазона.
Вариант второй: каким то образом запретить получать DHCP всем кроме этих 3х точек. т.е. только точки могут получать и так сказать раздавать ip, выделенные сервером, своим клиентам.
Как это реализовать лучше? И желателньо не просто в 2х словах сделать так и то, а более подробно..
FreeBSD шлюз с фильтрацией сайтов и трафика + настройка DHCP
Приветствую всех, сам я только недавно начал изучать и использовать на работе freebsd, сейчас из.
проблема с фильтрацией MAC адресов
Поставил МАС фильтрацию на роутере, чтобы только определенные МАС адреса могли использовать эту.
в DHCP хранятся для одного имени ПК разные ip адреса
на сервере развернуто DNS, DHCP, AD в DHCP хранятся для одного имени ПК разные ip адреса. Из за.
Wi-fi и DHCP для работы в двух подсетях
Добрый день уважаемый коллеги. Я новичке в этом деле, поэтому строго не судите. Файл проекта.
Dhcp для двух подсетей windows
Вопрос
Всем моё почтение!
Прошу помощи в решении возникшего вопроса:
Имеется сервер с AD, DNS, DHCP и прочим. Имеется 2 сетки. Каким образом я могу раздавать (DHCP) IP-адреса согласно принадлежности различным группам? Т.е. имеются, например, группы (GP) Администрация и Бухгалтерия. Есть две области IP-адресов (192.168.0.х и 192.168.77.х). Как компьютерам администрации выдать IP-адреса из первой области, а бухгалтерии — из второй.
Резервирование по мак-адресам не катит. Где-то (для 2000/2003) находил присваивание компьютерам ClassID. Может есть что-то похожее или лучше?
Какие службы (роли сервера) мне могут помочь и где я могу об этом прочитать?
Заранее благодарен за помощь дилетанту.
Ответы
Сообщаю последние новости.
Как выяснилось, решения данной проблемы в рамках начальных условий невозможно. Т.е. при одном физическом сегменте, деление на логические (с выдачей IP-адресов каждому из разных областей), не представляется возможным. Причем, как я понял, такого решения не существует в принципе. Как альтернатива — делить физически.
Спасибо за полное прояснение, хотя и без достижения желаемого результата.
Все ответы
По улучшениям DHCP в Windows server 2008 R2 см. статью Дмитрия Пономарева
Что касается ClassID, то здесь нет чего-то нового. Вы можете настроить на DHCP выдачу IP-адресов из разных областей на основе присвоенного ClassID. Присвоить ClassID вы можете по команде ipconfig /setclassid, причем команду можно выполнять на этапе подготовки компьютера для установки на рабочее место, либо запускать в скрипте через групповые политики. Подробнее см.
Спасибо за направление.
А можно ещё пример скрипта и то место, куда его надо вставить в групповых политиках?
Если я его пропишу в ГП, то при добавлении новой машины в эту группу, он должен сработать автоматом?
В целом понятно.
Хотел только уточнить: могу ли я в этом Startup script указать текстовый файл, в котором будет прописано » ipconfig /setclassid * workers» ?
И ещё, когда я указываю в ролях DHCP-сервера классы поставщиков, то я должен указать в качестве имени (и в ASCII) имя области, которая мне необходима и которая уже создана?
Да, создайте cmd-файл с указанной командой. Чтобы он был доступен со всех компьютеров, разместите его на контроллерах домена прямо в объекте групповой политики. Для этого, находясь в окне настройки политики Startup Scripts, щелкните кнопку Show Files и в создайте или скопируйте ваш cmd-файл в эту папку.
Нет, имя области и ClassID не связаны, они не обязаны иметь одинаковые имена.
Нашел эти настройки. Выбрал из списка нужный класс поставщика. Даже настроил «предопределенные параметры». Но это никак не повлияло на выбор IP из нужной области.
Видимо, я что-то делаю не так.
Посмотрите, вот инструкция по DHCP Server в Windows Server 2008:
Попробуйте на сервере перезапустить службу DHCP Server, если не сделали это после внесения описанных изменений в настройки областей. А на клиентском компьютере пробовали выполнить ipconfig /release, ipconfig /renew ?
Вроде бы всё перепробовал.
Вот, посмотрите, может что не так вообще, в корне:
параметры области 192.168.0.х — http://s46.radikal.ru/i112/1006/6a/f4d4b2847663.gif
параметры области 192.168.77.х — http://s42.radikal.ru/i096/1006/ca/59863bd6a073.gif
параметры всего сервера — http://i036.radikal.ru/1006/0e/3e0e564e6f27.gif
Не смотрел рисунки (не могу с текущего места), но вот какое замечание. Если, скажем, у вас адрес DHCP-сервера 192.168.0.1/255.255.255.0, то он сам может выдавать IP-адреса для областей в этой же подсети, 192.168.0.x/255.255.255.0. Но чтобы DHCP-сервер выдал адрес в подсети 192.168.77.x/255.255.255.0, необходимо, чтобы поступил запрос из этой подсети, а не из подсети, где находится DHCP-сервер. Иными словами, в подсети 192.168.77.x/255.255.255.0 у вас должен стоять DHCP Relay Agent, транслирующий запросы IP-адресов на DHCP-сервер. Соответственно, рекомендация: ваши области должны находиться в подсети, где находится сам DHCP-сервер: если адрес/маска подсети DHCP-сервера такие — 192.168.0.1/255.255.255.0, то области могут быть такими — 192.168.0.2-192.168.0.127 и 192.168.0.128-192.168.0.254. Или в пределах 192.168.0.x, но не 192.168.77.x.
Возьмите для тестирования компьютер, не подключенный к сети организации (или удалите информацию об аренде IP-адреса с сервера DHCP). До включения компьютера в сеть назначьте ClassID с помощью ipconfig /setclassid. Затем подключите компьютер к сети, выполните ipconfig /renew и проверьте, из какой области был назначен адрес сервером DHCP.
Делаю по рекомендации. Удаляю аренду, задаю classid для области 192.168.77.х, делаю renew.
1. Как же тогда сервер вообще выдаёт адреса типа 192.168.77.14 ?
2. Получается, установленные на сервере несколько сетевых никак не смогут мне помочь?
Возможно, я в этом что-то напутал. Но при этих настройках вроде всё работает (сеть и интернет)
Настройка протокола IP для Windows
Имя компьютера . . . . . . . . . : SERVERF
Основной DNS-суффикс . . . . . . : local.net
Тип узла. . . . . . . . . . . . . : Гибридный
IP-маршрутизация включена . . . . : Да
WINS-прокси включен . . . . . . . : Нет
Порядок просмотра суффиксов DNS . : local.net
Ethernet adapter LAN_Internet:
DNS- суффикс подключения . . . . . :
Описание . . . . . . . . . . . . . : Realtek PCIe GBE Family Controller
Физический адрес. . . . . . . . . : 40-61-86-4B-D9-4D
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::3d41:e550:4924:8819%17(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
Основной шлюз. . . . . . . . . : 192.168.0.1
IAID DHCPv6 . . . . . . . . . . . : 289431942
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-13-7B-E2-88-00-C0-DF-08-48-8F
NetBios через TCP/IP. . . . . . . . : Включен
Ethernet adapter Students:
DNS- суффикс подключения . . . . . :
Описание . . . . . . . . . . . . . : Realtek RTL8139/810x Family Fast Ethernet NIC #2
Физический адрес. . . . . . . . . : 00-C0-DF-08-48-8C
DHCP включен. . . . . . . . . . . : Нет
Автонастройка включена. . . . . . : Да
Локальный IPv6-адрес канала . . . : fe80::ec64:bf76:e6c0:b06a%11(Основной)
Маска подсети . . . . . . . . . . : 255.255.255.0
IAID DHCPv6 . . . . . . . . . . . : 268484831
DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-13-7B-E2-88-00-C0-DF-08-48-8F
NetBios через TCP/IP. . . . . . . . : Включен
Включены ли адаптеры LAN_Internet и Students в разные физические сегменты сети? Если в разные, то вам никакой ClassID не нужен — компьютеры в разных сегментах будут получать адреса из своих подсетей. Если адаптеры включены в один физический сегмент сети, то такая конфигурация некорректна — я не берусь сказать, как она будет работать.
В том-то и дело, что ClassId хотелось использовать в одной сети (сегменте). Или так делать не рекомендуется?
Может тогда есть другие какие-нибудь решения?
Ну возьмите два диапазона IP-адресов, но в пределах одной подсети — тогда все правильно будет. К примеру (это не значит, что нужно делать именно так), если вы выберите маску подсети 255.255.0.0, то сети 192.168.0.x и 192.168.77.x окажутся в одной IP-подсети. Смешивать несколько IP-подсетей в одном физическом сегменте допускается, но не приветствуется: как можно видеть, DHCP-сервер в такой конфигурации не работает так, как ожидалось.
Я бы выделил для администрации область адресов, скажем 192.168.0.21-192.168.0.120, для бухгалтерии — 192.168.0.121-192.168.0.220 (маска подсети везде — 255.255.255.0), остальные адреса оставил бы как статические для серверов, принтеров, сетевого оборудования.
Во-первых хотелось бы поблагодарить, что Вы так терпеливо всё объясняете. Я бы, наверное не выдержал 🙂
Объясню откуда растут ноги у этой проблемы. Дело в том, что изначально хотелось разделить подсети, имея уже готовый физический сегмент. Как вариант — было выбрано решение на разделение по сетям на 192.168.0.x и 192.168.77.х, чтобы они не видели друг друга. Иначе, конечно, не стал бы заморачиваться и сделал как предлагали — одну область адресов для разных групп. Возможно, получилось не лучшее решение.
Кроме того, может тогда я не понял для чего ещё нужен такой инструмент, как ClassID, если не для подобных решений?
Давайте попробуем следующим образом. Отключите сетеыой адаптер Students от сети, удалите с него настройки IP-адреса и затем отключите как устройство (Disable). Добавьте IP-адрес 192.168.77.101/255.255.255.0 как второй в настройку сетевого подключения LAN_Internet. В конфигурации сервера DHCP создайте Superscope и добавьте в него созданные вами области.
Вообще, ClassID в обсуждаемой конфигурации может использоваться как простой метод разграничения доступа на уровне компьютеров. Например, в одной области можно назначать Default Gateway, а в другой — нет, и тогда одни компьютеры будут получать, скажем, доступ в Интернет, а другие — нет в зависимости от их ClassID. Иными словами, если посторонний человек подключится к сети со своего ноутбука, то он получит доступ только к локальному сегменту сети. Кроме того, межсетевой экран тоже может разрешать доступ в Интернет только с определенного диапазона IP-адресов, а эти адреса будут назначаться только для компьютеров с определенным ClassID.
