Внедрение DHCP option 82

@bsoz · Регистрация: 31.07.2014

Author24 — интернет-сервис помощи студентам

Доброго времени суток.

Сложилось так, что сеть разрослась до огромных размеров. И построена она на всяком разношерстном барахле.
После того, как в сеть вошли узлы, которые по-сути не контролируются администраторами основного сегмента (ну это уже временные организационные издержки), а) участились случаи конфликтов IP из-за пользователей, у которых есть права конфигурации IP (которые по какой-то причине забивают адреса вручную), б) были зафиксированы случаи появления Rogue DHCP (опять же рукоблудие пользователей и несанкционированные устройства), в) случалось, что ПЭВМ перемещались по помещениям бесконтрольно, несанкционировано подключаясь к сети (что тоже приводит к полной энтропии), г) в сети обнаруживались совершенно недопустимые устройства.

Разумеется на дисциплинарные меры полагаться нельзя (да и не всегда работает), сеть должны быть устойчивой к подобным явлениям.

Вижу решение в следующем:
Приобрести одинаковые управляемые коммутаторы, которые поддерживают DHCP option 82 (в релее) и DHCP snooping (в идеале вообще нечто всецело запрещающее передачу с IP, не полученных с доверенного DHCP) + поднять таки приличный DHCP сервер в сети (и лучше даже не один, т.к. сеть физически очень большая, сбой канала не должен приводить к неработоспособности большого количества узлов (а используется в т.ч. и VPN, что не добавляет надежности); иными словами по серверу в каждый филиал и по отдельному диапазону в едином адресном пространстве с ограничением иных серверов). DHCP сервер в WS 2008R2 малопригоден для подобных задач, насколько я понимаю (сильно повышается трудоемкость обслуживания: если поднимать ту же opt82, то придется все документировать), посему DHCP желательно поднять на чем-то поприличней, чем на WS (мб на некоторых коммутаторах и поднять).

Теперь встал вопрос о том, на чем же построить такую инфраструктуру? На Cisco и Junniper явно средства не выделят (да и с последним имею негативный опыт общения). Mikrotik как-то не серьезно (хотя с Mikrotik RB проще и удобнее всего было бы разворачивать, много замысловатых конфигураций доводилось строить на всяческих RB — гибкая, интуитивная и продуманная штука, эта RouterOS), хотя я и уверен, что оно вышло бы и дешевле и по производительности было бы достаточно. Mikrotik здесь никто серьезно не воспринимает (кроме меня, впрочем).

В данный момент сеть состоит из кучи разнородных гигабитных коммутаторов (более-менее живых и умирающих, неуправляемых и управляемых, которые никем и ничем в данный момент не управляются), преимущественно D-Link.

В какую сторону ещё стоит подумать?

@Korax · 31.07.2014, 09:34

Так как в железо и инфраструктуру у вас там крупно вкладываться не будут, советовать все переделать "как надо" смысла нет

1. от статических IP внедрение DHCP сервера не спасет. Отбирайте админские права у пользователей. Заодно и побезопаснее будет.
2. Если клиентские машины с виндой и есть домен, то мелкософтовский DHCP может быть выходом (его можно в AD регистрировать) Документоривать инфраструктуру придется в любом случае.
3. имхо, port security поможет (т.е., свичи, которые это умеют)
4. то же, что и в п.3.

По рекомендация конкретных железок... Тут у меня статистики маловато. Еще кто-нибудь сейчас насоветует...

@bsoz · 31.07.2014, 12:02 **[ТС]**

Если клиентские машины с виндой и есть домен, то мелкософтовский DHCP может быть выходом

В данный момент на контроллере домена и поднят DHCP. Не ясно, как это дело масштабировать, да и вообще Win DHCP сервер откровенно примитивный по функционалу из коробки. Зачем тут как таковая интеграция с AD я не понимаю.

Отбирайте админские права у пользователей. Заодно и побезопаснее будет.

Тут уже организационный вопрос, это практически не реализуемо (очень много железа помимо ПК, которое администрируют совсем другие люди, стенды всяческие, которые иногда по объективным причинам в отдельные сети не выделены; "филиалы" тоже своей жизнью пока живут, а сетевые ресурсы предприятия им нужны, никакого зонирования нет; по-сути это несколько ранее автономных сетей, ныне соединенных физически).

Вопросы безопасности обеспечивает опять таки другое подразделение, здесь имеется нечто вроде нескольких контуров безопасности, в этой же сетке никакой критической инфы нет (во всяком случае в теории быть не должно, как оно на самом деле известно только им), она вся хранится и обрабатывается другими ПЭВМ и сети там другие (поменьше и территориально ограниченные периметром). Основное предназначение этой сетки — доступ к WAN (браузеры, обновление ПО, шары с публичной инфой и т.п). Основная нагрузка — RDP тонких клиентов (коих много, но они как раз таки совсем никогда проблем не продуцируют и в домене не состоят).

port-security — однозначно нужная вещь, но есть вопрос как управлять парком таких коммутаторов. Полагаю, что есть смысл брать коммутаторы одного производителя, дабы менеджмент проще построить было. Сейчас же я не представляю возможным на таком разношерстном железе что-либо настраивать на коммутаторах (а их ещё и половина неуправляемых в самых неподходящих местах, т.к. сеть росла стихийно и очень быстро). Наверняка и на них port-security есть, однако какой-либо системы кооперации этого дела с DHCP нет (банально нет данных, на каком порту какое устройство, нужно за длительное время логи с коммутаторов собирать даже чтобы тупо вручную забить mac-и, а уж в актуальном состоянии поддерживать и вовсе невозможно).

А вот сталкиваться с уже готовой конфигурацией, подобной той, которую я описываю, мне не доводилось пока. Недостаточно опыта. Такие задачи ни на одном месте работы пока не ставились (и зря, кстати, везде анархия в сетях).

Добавлено через 14 минут
Можно подумать над port-security static для динамического запоминания адресов, но это дело все равно нужно мониторить, чтобы в неподходящий момент не искать причину, почему данные по сети не идут.

@cat_driver · 01.08.2014, 15:42

Сообщение от bsoz

а) участились случаи конфликтов IP из-за пользователей, у которых есть права конфигурации IP (которые по какой-то причине забивают адреса вручную)

ip source guard /dhcp snooping(dhcp filter у длинка) - поможет от статитческих IP, и левых серверов DHCP большинство управляемых свитчей это умеют.

optino82 по сути нужна, чтоб создать соответствие: №порта,коммутатор+мак хоста. И соотвественно DHCP сервак должен принимать решение, на основании совпадения прежде, чем выдать IP адрес.

@bsoz 0 / 0 / 0 Регистрация: 31.07.2014 Сообщений: 22
		1
	Внедрение DHCP option 82 31.07.2014, 09:16. Показов 4890. Ответов 3 Метки нет (Все метки) Доброго времени суток. Сложилось так, что сеть разрослась до огромных размеров. И построена она на всяком разношерстном барахле. После того, как в сеть вошли узлы, которые по-сути не контролируются администраторами основного сегмента (ну это уже временные организационные издержки), а) участились случаи конфликтов IP из-за пользователей, у которых есть права конфигурации IP (которые по какой-то причине забивают адреса вручную), б) были зафиксированы случаи появления Rogue DHCP (опять же рукоблудие пользователей и несанкционированные устройства), в) случалось, что ПЭВМ перемещались по помещениям бесконтрольно, несанкционировано подключаясь к сети (что тоже приводит к полной энтропии), г) в сети обнаруживались совершенно недопустимые устройства. Разумеется на дисциплинарные меры полагаться нельзя (да и не всегда работает), сеть должны быть устойчивой к подобным явлениям. Вижу решение в следующем: Приобрести одинаковые управляемые коммутаторы, которые поддерживают DHCP option 82 (в релее) и DHCP snooping (в идеале вообще нечто всецело запрещающее передачу с IP, не полученных с доверенного DHCP) + поднять таки приличный DHCP сервер в сети (и лучше даже не один, т.к. сеть физически очень большая, сбой канала не должен приводить к неработоспособности большого количества узлов (а используется в т.ч. и VPN, что не добавляет надежности); иными словами по серверу в каждый филиал и по отдельному диапазону в едином адресном пространстве с ограничением иных серверов). DHCP сервер в WS 2008R2 малопригоден для подобных задач, насколько я понимаю (сильно повышается трудоемкость обслуживания: если поднимать ту же opt82, то придется все документировать), посему DHCP желательно поднять на чем-то поприличней, чем на WS (мб на некоторых коммутаторах и поднять). Теперь встал вопрос о том, на чем же построить такую инфраструктуру? На Cisco и Junniper явно средства не выделят (да и с последним имею негативный опыт общения). Mikrotik как-то не серьезно (хотя с Mikrotik RB проще и удобнее всего было бы разворачивать, много замысловатых конфигураций доводилось строить на всяческих RB — гибкая, интуитивная и продуманная штука, эта RouterOS), хотя я и уверен, что оно вышло бы и дешевле и по производительности было бы достаточно. Mikrotik здесь никто серьезно не воспринимает (кроме меня, впрочем). В данный момент сеть состоит из кучи разнородных гигабитных коммутаторов (более-менее живых и умирающих, неуправляемых и управляемых, которые никем и ничем в данный момент не управляются), преимущественно D-Link. В какую сторону ещё стоит подумать? 0

@Korax 860 / 433 / 128 Регистрация: 20.04.2014 Сообщений: 1,117
	31.07.2014, 09:34	2
	Так как в железо и инфраструктуру у вас там крупно вкладываться не будут, советовать все переделать "как надо" смысла нет 1. от статических IP внедрение DHCP сервера не спасет. Отбирайте админские права у пользователей. Заодно и побезопаснее будет. 2. Если клиентские машины с виндой и есть домен, то мелкософтовский DHCP может быть выходом (его можно в AD регистрировать) Документоривать инфраструктуру придется в любом случае. 3. имхо, port security поможет (т.е., свичи, которые это умеют) 4. то же, что и в п.3. По рекомендация конкретных железок... Тут у меня статистики маловато. Еще кто-нибудь сейчас насоветует... 0

@bsoz 0 / 0 / 0 Регистрация: 31.07.2014 Сообщений: 22
	31.07.2014, 12:02 [ТС]	3
	Если клиентские машины с виндой и есть домен, то мелкософтовский DHCP может быть выходом В данный момент на контроллере домена и поднят DHCP. Не ясно, как это дело масштабировать, да и вообще Win DHCP сервер откровенно примитивный по функционалу из коробки. Зачем тут как таковая интеграция с AD я не понимаю. Отбирайте админские права у пользователей. Заодно и побезопаснее будет. Тут уже организационный вопрос, это практически не реализуемо (очень много железа помимо ПК, которое администрируют совсем другие люди, стенды всяческие, которые иногда по объективным причинам в отдельные сети не выделены; "филиалы" тоже своей жизнью пока живут, а сетевые ресурсы предприятия им нужны, никакого зонирования нет; по-сути это несколько ранее автономных сетей, ныне соединенных физически). Вопросы безопасности обеспечивает опять таки другое подразделение, здесь имеется нечто вроде нескольких контуров безопасности, в этой же сетке никакой критической инфы нет (во всяком случае в теории быть не должно, как оно на самом деле известно только им), она вся хранится и обрабатывается другими ПЭВМ и сети там другие (поменьше и территориально ограниченные периметром). Основное предназначение этой сетки — доступ к WAN (браузеры, обновление ПО, шары с публичной инфой и т.п). Основная нагрузка — RDP тонких клиентов (коих много, но они как раз таки совсем никогда проблем не продуцируют и в домене не состоят). port-security — однозначно нужная вещь, но есть вопрос как управлять парком таких коммутаторов. Полагаю, что есть смысл брать коммутаторы одного производителя, дабы менеджмент проще построить было. Сейчас же я не представляю возможным на таком разношерстном железе что-либо настраивать на коммутаторах (а их ещё и половина неуправляемых в самых неподходящих местах, т.к. сеть росла стихийно и очень быстро). Наверняка и на них port-security есть, однако какой-либо системы кооперации этого дела с DHCP нет (банально нет данных, на каком порту какое устройство, нужно за длительное время логи с коммутаторов собирать даже чтобы тупо вручную забить mac-и, а уж в актуальном состоянии поддерживать и вовсе невозможно). А вот сталкиваться с уже готовой конфигурацией, подобной той, которую я описываю, мне не доводилось пока. Недостаточно опыта. Такие задачи ни на одном месте работы пока не ставились (и зря, кстати, везде анархия в сетях). Добавлено через 14 минут Можно подумать над port-security static для динамического запоминания адресов, но это дело все равно нужно мониторить, чтобы в неподходящий момент не искать причину, почему данные по сети не идут. 0

@cat_driver 58 / 49 / 3 Регистрация: 19.12.2013 Сообщений: 203
	01.08.2014, 15:42	4
	Сообщение от bsoz а) участились случаи конфликтов IP из-за пользователей, у которых есть права конфигурации IP (которые по какой-то причине забивают адреса вручную) ip source guard /dhcp snooping(dhcp filter у длинка) - поможет от статитческих IP, и левых серверов DHCP большинство управляемых свитчей это умеют. optino82 по сути нужна, чтоб создать соответствие: №порта,коммутатор+мак хоста. И соотвественно DHCP сервак должен принимать решение, на основании совпадения прежде, чем выдать IP адрес. 0

Опции темы