Re: Varios servidores dhcp en la misma red.

23/05/2007 - 15:55 por jferdieguez | Informe spam
On 23 mayo, 07:57, "Javier Inglés [MS MVP]" <jing...@NOSPAMmvps.org>
wrote:

Ah, en el DHCP, si quieres excluir/autenticar clientes por MAC, creo que
tienes una API para ello ya que el sistema directamente no lo implementa:

DHCP Server Callout APIhttp://msdn2.microsoft.com/en-us...63372.aspx

All about the DHCP server callout API functions.http://blogs.msdn.com/anto_rocks/ar...80510.aspx
Salu2!!
Javier Ingléshttps://mvp.support.microsoft.com/...209-2CB...
MS MVP, Windows Server-Directory Services

jing...@NOSPAMmvps.org

"Javier Inglés [MS MVP]" <jing...@NOSPAMmvps.org> escribió en el mensajenews:eza72XQnHHA.4412@TK2MSFTNGP02.phx.gbl...

> Si quieres tener varios DHCP para la misma subred, se deben instalar
> servers que repartan proporcionalmente las IPs del rango; por ejemplo, con
> 2 DHCP puedes ahcer una configuració para que uno reparta el 80% de las
> direcciones y el otro el 20% restante.

> Salu2!!
> Javier Inglés
>https://mvp.support.microsoft.com/p...209-2CB...
> MS MVP, Windows Server-Directory Services

> jing...@NOSPAMmvps.org

> <jferdieg...@gmail.com> escribió en el mensaje
>news:1179845280.898872.120520@z24g2000prd.googlegroups.com...
> On 21 mayo, 13:02, jferdieg...@gmail.com wrote:
>> Buenas,
>> Estamos montando en la empresa una red mpls para las distintas sedes
>> de la empresa.
>> Estamos integrando a todas las sedes con el mismo rango de ips y
>> queremos asignar las ips por dhcp.
>> Con un solo servidor dhcp hemos visto que teniamos mucho trafico entre
>> el servidor y las distintas sedes y nos comia mucho ancho de banda por
>> lo cual hemos decidido poner un servidor dhcp en cada sede.
>> En la documentación he leido que una configuracion recomendada es
>> tener dos ambito en cada sede
>> Ambitos de la sede 1
>> 172.22.10.x a 172.22.59.x
>> 172.22.60.x 172.22.80.x
>> El segundo ambito hay que excluirlo entero.
>> Ambitos de la sede 2
>> 172.22.60.x 172.22.80.x
>> 172.22.10.x a 172.22.59.x
>> El segundo ambito hay que excluirlo entero.

>> El problema es que cuando voy a crear el segundo ambito que luego
>> quiero excluir me pone que ya existe el ambito.
>> Tengo que desautorizar todos los servidores ya que actualmente estan
>> de la forma siguiente:
>> Ambitos de la sede 1
>> 172.22.10.x a 172.22.59.x
>> Ambitos de la sede 2
>> 172.22.60.x 172.22.80.x

>> Queriamos que la gente se pueda mover entre sedes con los portatiles
>> sin tener que realizar ninguna modificación a mayores y poder tener
>> control de la gente que se mueve. Pensamos realizarlo mediante la mac.
>> ¿Puedo tener la mac de un equipo dada de alta en dos ambitos con la
>> misma ip?
>> Esta es la otra duda que tengo.

>> Un saludo a todos
>> Jorge

> Me voy respondiendo a mi mismo. Por si a alguien le peude ayudar.
> Siendo una misma red no se puede usar lo del superambito ya que este
> es para unir varias subredes, por lo cual este metodo no me funciona
> para denegar a los clientes el servidor dhcp que no quiero que usen.
> Por lo que estoy viendo se podria mejorar el sistema dhcp de windows
> 2003, lo veo bastante rudimentario. En sistemas linux se pueden
> excluir equipor por mac de un servidor.Pero con el dhcp de windows
> 2003 no veo nada de eso.

> Se le ocurre a alguien la forma que dos servidores dhcp en la misma
> subred se pueda denegar a los clientes que usen uno de ellos. Es decir
> poder escoger el servidor dhc. Sin dividir la subred ya que no
> podemos, ni hacer cambios de mascara ya que todos los equipos de las
> sedes van a tener ip unica y misma mascara de red.
> Sin que me funcione esto la segunda pregunta me daria igual, pero
> estaria bien saber la respuesta por curiosidad.



Muchas gracias por la ayuda Javier,
comento como lo estoy haciendo al final.
He creado el mismo ambito en todas las sedes, he añadido todas las mac
de todos los equipos asociadas a la mac. Es decir todos los equipos de
mi red estan en reservado. Ya que queremos controlar todo equipo que
recibe ip.
Mediante netsh he creado unos scripts para pasar la configuraicon de
dns, puerta de enlace,etc a cada sede en el ambito que le corresponde.
Ya que en cada sede esos datos cambian.

Lo he centralizado todo en la sede A. De esta sede he hecho un
export. Todas las actualizaciones que hago las hago en la sede
central. Cada vez que añado un cliente tengo que hacer el export y
hacer los import en el resto de las sedes. Pasando luego al resto de
las sedes el script con su correspondientes dns,etc..
Por ultimo he puesto como intervalos de exclusion todas las ips que
quedan libres para que no pueda adquirir ningún equipo en la red ip
sin que nos enteremos nosotros.
Lo interesante seria poder decir al servidor dhcp que sino esta esta
en concession de direcciones que no le de la ip, mirare a ver las apis
que nos has puesto.

Ahh se me olvidaba para evitar que un cliente de una sede se
identifique en un servidor de otras sede lo que hemos hecho a sido lo
siguiente:
Entre sede y sede hay dos maquinas que tienen un cortafuego. Lo que
hecho ha sido no permitir el trafico broadcast por el puerto 69 de una
sede a otra que es el puerto que usan los clientes dhcp, de esta forma
solo se identifica en el servidor de su sede. En caso de que se
callera un servidor quitaria esa regla y se identificarian en la otra
sede.

En conclusión solo me falta ver alguna forma mas sencilla de evitar
que se identifiquen clientes anonimos en el dhcp, ya que lo de por
ambitos de exclusion lo veo un poco trabajoso, me gustaria eso que no
admitiera clientes que no esten reservados por mac.
Todo lo demas aunque parece un poco lioso, es un script que
simplemente se le da y replica de forma automatica al resto de las
sedes.
Solo hay un pequeño problema cuando se mueve un cliente de una sede a
otra y es que no esta actualizado las direcciones concedidas ya que te
las pone como inactivas al pisar el servidor de una sede con el import
de la sede central.

Espero que le sirva a alguien este "sistema" de tener todos los
equipos por dhcp y siempre con la misma ip entre varias sedes.

Un saludo
Jorge Fernández
 

Leer las respuestas

#1 Javier Inglés [MS MVP]
23/05/2007 - 16:22 | Informe spam
En conclusión solo me falta ver alguna forma mas sencilla de evitar






que se identifiquen clientes anonimos en el dhcp<<<

Para ello socio creo que con la API que te dije tendrás que andar jugando
con ello para conseguir que sólo cliente del dominio puedan solicitar
direcciones al DHCP
Salu2!!
Javier Inglés
https://mvp.support.microsoft.com/p...B5567431B0
MS MVP, Windows Server-Directory Services



escribió en el mensaje
news:
On 23 mayo, 07:57, "Javier Inglés [MS MVP]"
wrote:
Ah, en el DHCP, si quieres excluir/autenticar clientes por MAC, creo que
tienes una API para ello ya que el sistema directamente no lo implementa:

DHCP Server Callout
APIhttp://msdn2.microsoft.com/en-us...63372.aspx

All about the DHCP server callout API
functions.http://blogs.msdn.com/anto_rocks/ar...80510.aspx
Salu2!!
Javier
Ingléshttps://mvp.support.microsoft.com/...209-2CB...
MS MVP, Windows Server-Directory Services



"Javier Inglés [MS MVP]" escribió en el
mensajenews:

> Si quieres tener varios DHCP para la misma subred, se deben instalar
> servers que repartan proporcionalmente las IPs del rango; por ejemplo,
> con
> 2 DHCP puedes ahcer una configuració para que uno reparta el 80% de las
> direcciones y el otro el 20% restante.

> Salu2!!
> Javier Inglés
>https://mvp.support.microsoft.com/p...209-2CB...
> MS MVP, Windows Server-Directory Services

>

> escribió en el mensaje
>news:
> On 21 mayo, 13:02, wrote:
>> Buenas,
>> Estamos montando en la empresa una red mpls para las distintas sedes
>> de la empresa.
>> Estamos integrando a todas las sedes con el mismo rango de ips y
>> queremos asignar las ips por dhcp.
>> Con un solo servidor dhcp hemos visto que teniamos mucho trafico entre
>> el servidor y las distintas sedes y nos comia mucho ancho de banda por
>> lo cual hemos decidido poner un servidor dhcp en cada sede.
>> En la documentación he leido que una configuracion recomendada es
>> tener dos ambito en cada sede
>> Ambitos de la sede 1
>> 172.22.10.x a 172.22.59.x
>> 172.22.60.x 172.22.80.x
>> El segundo ambito hay que excluirlo entero.
>> Ambitos de la sede 2
>> 172.22.60.x 172.22.80.x
>> 172.22.10.x a 172.22.59.x
>> El segundo ambito hay que excluirlo entero.

>> El problema es que cuando voy a crear el segundo ambito que luego
>> quiero excluir me pone que ya existe el ambito.
>> Tengo que desautorizar todos los servidores ya que actualmente estan
>> de la forma siguiente:
>> Ambitos de la sede 1
>> 172.22.10.x a 172.22.59.x
>> Ambitos de la sede 2
>> 172.22.60.x 172.22.80.x

>> Queriamos que la gente se pueda mover entre sedes con los portatiles
>> sin tener que realizar ninguna modificación a mayores y poder tener
>> control de la gente que se mueve. Pensamos realizarlo mediante la mac.
>> ¿Puedo tener la mac de un equipo dada de alta en dos ambitos con la
>> misma ip?
>> Esta es la otra duda que tengo.

>> Un saludo a todos
>> Jorge

> Me voy respondiendo a mi mismo. Por si a alguien le peude ayudar.
> Siendo una misma red no se puede usar lo del superambito ya que este
> es para unir varias subredes, por lo cual este metodo no me funciona
> para denegar a los clientes el servidor dhcp que no quiero que usen.
> Por lo que estoy viendo se podria mejorar el sistema dhcp de windows
> 2003, lo veo bastante rudimentario. En sistemas linux se pueden
> excluir equipor por mac de un servidor.Pero con el dhcp de windows
> 2003 no veo nada de eso.

> Se le ocurre a alguien la forma que dos servidores dhcp en la misma
> subred se pueda denegar a los clientes que usen uno de ellos. Es decir
> poder escoger el servidor dhc. Sin dividir la subred ya que no
> podemos, ni hacer cambios de mascara ya que todos los equipos de las
> sedes van a tener ip unica y misma mascara de red.
> Sin que me funcione esto la segunda pregunta me daria igual, pero
> estaria bien saber la respuesta por curiosidad.



Muchas gracias por la ayuda Javier,
comento como lo estoy haciendo al final.
He creado el mismo ambito en todas las sedes, he añadido todas las mac
de todos los equipos asociadas a la mac. Es decir todos los equipos de
mi red estan en reservado. Ya que queremos controlar todo equipo que
recibe ip.
Mediante netsh he creado unos scripts para pasar la configuraicon de
dns, puerta de enlace,etc a cada sede en el ambito que le corresponde.
Ya que en cada sede esos datos cambian.

Lo he centralizado todo en la sede A. De esta sede he hecho un
export. Todas las actualizaciones que hago las hago en la sede
central. Cada vez que añado un cliente tengo que hacer el export y
hacer los import en el resto de las sedes. Pasando luego al resto de
las sedes el script con su correspondientes dns,etc..
Por ultimo he puesto como intervalos de exclusion todas las ips que
quedan libres para que no pueda adquirir ningún equipo en la red ip
sin que nos enteremos nosotros.
Lo interesante seria poder decir al servidor dhcp que sino esta esta
en concession de direcciones que no le de la ip, mirare a ver las apis
que nos has puesto.

Ahh se me olvidaba para evitar que un cliente de una sede se
identifique en un servidor de otras sede lo que hemos hecho a sido lo
siguiente:
Entre sede y sede hay dos maquinas que tienen un cortafuego. Lo que
hecho ha sido no permitir el trafico broadcast por el puerto 69 de una
sede a otra que es el puerto que usan los clientes dhcp, de esta forma
solo se identifica en el servidor de su sede. En caso de que se
callera un servidor quitaria esa regla y se identificarian en la otra
sede.

En conclusión solo me falta ver alguna forma mas sencilla de evitar
que se identifiquen clientes anonimos en el dhcp, ya que lo de por
ambitos de exclusion lo veo un poco trabajoso, me gustaria eso que no
admitiera clientes que no esten reservados por mac.
Todo lo demas aunque parece un poco lioso, es un script que
simplemente se le da y replica de forma automatica al resto de las
sedes.
Solo hay un pequeño problema cuando se mueve un cliente de una sede a
otra y es que no esta actualizado las direcciones concedidas ya que te
las pone como inactivas al pisar el servidor de una sede con el import
de la sede central.

Espero que le sirva a alguien este "sistema" de tener todos los
equipos por dhcp y siempre con la misma ip entre varias sedes.

Un saludo
Jorge Fernández

Preguntas similares