Вторник, 18.08.2020 23:56

Настройка DHCP-сервера на ESR-200

Настройка DHCP-сервера на ESR-200

В предыдущей статье мы рассмотрели настройку DHCP-сервера на MES2324B, сегодня мы настроим DHCP-сервер на ESR-200. 

Далее я предполагаю, что GNS3 у нас настроен согласно предыдущей статьи.

Если вы следовали указаниям предыдущий статьи, не забудьте сбросить MES2324B до заводских настроек, это можно сделать из консоли командой:

console#delete startup-config

Delete startup-config? (Y/N)[N] Y

console#19-Dec-2019 14:42:27 %FILE-I-DELETE: File Delete - URL flash://startup-config

И затем просто перегрузите устройство:

console#reload

You haven't saved your changes. Are you sure you want to continue ? (Y/N)[N] Y

This command will reset the whole system and disconnect your current session. Do you want to continue ? (Y/N)[N] Y

Shutting down ...

Вы так же можете просто отключить DHCP-сервер на MES2324B. Это необходимо сделать, так как в сети должен быть только один работающий DHCP-сервер, не считая случаев с failover!

ESR-200 был предварительно настроен для этой статьи, вот его конфигурация: 

security zone LAN
  description "LAN"
exit

object-group service SSH
  description "SSH"
  port-range 22
exit

object-group network MYLAN
  description "MYLAN "
  ip prefix 172.16.1.0/24
exit


interface gigabitethernet 1/0/1
  description "LAN"
  security-zone LAN
  ip address 172.16.1.102/24
  ip address 172.16.200.251/28
exit
interface gigabitethernet 1/0/2
  shutdown
exit
interface gigabitethernet 1/0/3
  shutdown
exit
interface gigabitethernet 1/0/4
  shutdown
exit
interface gigabitethernet 1/0/5
  shutdown
exit
interface gigabitethernet 1/0/6
  shutdown
exit
interface gigabitethernet 1/0/7
  shutdown
exit
interface gigabitethernet 1/0/8
  shutdown
exit
security zone-pair LAN self
  rule 1
    description "ICMP"
    action permit
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
  rule 2
    description "SSH"
    action permit
    match protocol tcp
    match source-address MYLAN
    match destination-address any
    match source-port any
    match destination-port SSH
    enable
  exit
exit

ip route 0.0.0.0/0 172.16.200.253

ip ssh server

Настройка DHCP-севера

Настройка DHCP-севера на ESR-200 не очень сильно отличается от таковой на MES23XX

Для начала активируем DHCP-сервер

ip dhcp-server

Создаем пул ip-адресов

ip dhcp-server pool LAN_POOL
  network 172.16.100.0/27
  default-lease-time 001:00:00
  address-range 172.16.100.1-172.16.100.30
  default-router 172.16.100.30
  dns-server 8.8.8.8
exit

 Чтобы устройства могли получить доступ к ресурсам сети пропишем на ESR-200 ip-адрес принадлежащий раздаваемой сети:

interface gigabitethernet 1/0/1
  ip address 172.16.100.30/27
exit

В ESR-200 всё что явно не разрешено – запрещено, так что нам нужно настроить межсетевой экран, для того, чтобы разрешить доступ из нашей сети.

object-group service dhcp_server 
port-range 67 
exit 
object-group service dhcp_client 
port-range 68 
exit 
security zone-pair LAN  self 
rule 30 
match protocol udp 
match source-address any 
match destination-address any 
match source-port dhcp_client 
match destination-port dhcp_server 
action permit 
enable 
exit 
exit

Сохраняем конфигурацию 

do com 
do con

 C ESR-200 проверим доступны ли на устройства внутри GNS3. Не забудьте запустить в GNS3 все устройства!

GW1: 

esr:esr-200# ping 172.16.200.253
PING 172.16.200.253 (172.16.200.253) 56(84) bytes of data.
!!!!!
--- 172.16.200.253 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 2.379/2.995/4.866/0.944 ms

 PC1: 

esr:esr-200# ping 172.16.200.1
PING 172.16.200.1 (172.16.200.1) 56(84) bytes of data.
!!!!!
--- 172.16.200.1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 2.525/2.593/2.769/0.089 ms

 Проверим как работает наш сервер. Откроем консоль PC4: 

PC4> dhcp
DDORA IP 172.16.100.5/27 GW 172.16.100.30
PC4> sh ip
NAME        : PC4[1]
IP/MASK     : 172.16.100.5/27
GATEWAY     : 172.16.100.30
DNS         : 8.8.8.8
DHCP SERVER : 172.16.1.102
DHCP LEASE  : 85841, 85882/42941/75146
MAC         : 00:50:79:66:68:02
LPORT       : 20030
RHOST:PORT  : 127.0.0.1:20031
MTU:        : 1500

 

Обратите внимание что PC4 определил адрес нашего сервера как 172.16.1.102, так как у нас на ESR-200 на порту 1 настроено несколько ip-адресов.

Проверим доступность шлюза с PC4:

 

PC4> ping 172.16.100.30
84 bytes from 172.16.100.30 icmp_seq=1 ttl=64 time=2.472 ms
84 bytes from 172.16.100.30 icmp_seq=2 ttl=64 time=2.292 ms
84 bytes from 172.16.100.30 icmp_seq=3 ttl=64 time=2.248 ms
84 bytes from 172.16.100.30 icmp_seq=4 ttl=64 time=2.245 ms
84 bytes from 172.16.100.30 icmp_seq=5 ttl=64 time=2.478 ms

 Попробуем пропинговать PC1 

Попробуем пропинговать PC1
PC4> ping 172.16.200.1
172.16.200.1 icmp_seq=1 timeout
172.16.200.1 icmp_seq=2 timeout
172.16.200.1 icmp_seq=3 timeout
172.16.200.1 icmp_seq=4 timeout
172.16.200.1 icmp_seq=5 timeout

 Связи нет, так как GW1 не знает ничего о сети 172.16.100.0/27

Добавим на микротик маршрут: 

/ip route add dst-address=172.16.100.0/27 gateway=172.16.200.251

 Проверяем снова: 

PC4> ping 172.16.200.1
172.16.200.1 icmp_seq=1 timeout
172.16.200.1 icmp_seq=2 timeout
172.16.200.1 icmp_seq=3 timeout
172.16.200.1 icmp_seq=4 timeout
172.16.200.1 icmp_seq=5 timeout

 Снова не работает!

А все дело в межсетевом экране, у нас пакеты приходят на ESR-200 из зоны LAN и в нее же уходят, но в межсетевом экране не прописано разрешающее правило, так что он просто отбрасывает эти пакеты. Давайте пропишем соответствующее правило: 

security zone-pair LAN LAN
  rule 1
    description "ICMP"
    action permit
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
  exit
do com
do con

 Обратите внимание, мы разрешили только ICMP, любой другой трафик будет так же отбрасываться, но для целей этой статьи этого будет достаточно.

Проверяем пинг: 

PC4> ping 172.16.200.1
84 bytes from 172.16.200.1 icmp_seq=1 ttl=62 time=4.950 ms
84 bytes from 172.16.200.1 icmp_seq=2 ttl=62 time=4.923 ms
84 bytes from 172.16.200.1 icmp_seq=3 ttl=62 time=4.871 ms
84 bytes from 172.16.200.1 icmp_seq=4 ttl=62 time=4.804 ms
84 bytes from 172.16.200.1 icmp_seq=5 ttl=62 time=4.715 ms

 Работает!

А теперь давайте настроим статический пул для наших устройств.

В предыдущей статье, мы уже определили mac-адреса:

PC3 - 00:50:79:66:68:02

PC4 - 00:50:79:66:68:03

Добавим в созданный пул ip и mac-адреса: 

ip dhcp-server pool LAN_POOL
  address 172.16.100.12 mac-address 0c:fe:c2:70:7d:00
  address 172.16.100.16 mac-address 00:50:79:66:68:02
  address 172.16.100.17 mac-address 00:50:79:66:68:03
exit
do com
do con

 Обновим на PC4 ip-адрес 

PC4> dhcp
DORA IP 172.16.100.16/27 GW 172.16.100.30

PC4> sh ip

NAME        : PC4[1]
IP/MASK     : 172.16.100.16/27
GATEWAY     : 172.16.100.30
DNS         : 8.8.8.8
DHCP SERVER : 172.16.1.102
DHCP LEASE  : 86393, 86400/43200/75600
MAC         : 00:50:79:66:68:02
LPORT       : 20030
RHOST:PORT  : 127.0.0.1:20031
MTU:        : 1500

Проверим PC3

PC3> dhcp
DDORA IP 172.16.100.6/27 GW 172.16.100.30

PC3> sh ip

NAME        : PC3[1]
IP/MASK     : 172.16.100.6/27
GATEWAY     : 172.16.100.30
DNS         : 8.8.8.8
DHCP SERVER : 172.16.1.102
DHCP LEASE  : 86393, 86400/43200/75600
MAC         : 00:50:79:66:68:00
LPORT       : 20028
RHOST:PORT  : 127.0.0.1:20029
MTU:        : 1500

 Вот и всё. Мы настроили DHCP-сервер на ESR-200.

Конфигурация ESR-200

В заключение я приведу конфигурацию для ESR-200 с настроенным DHCP-сервером и статическим пулом. 

security zone LAN
  description "LAN"
exit

object-group service SSH
  description "SSH"
  port-range 22
exit
object-group service dhcp_server
  port-range 67
exit
object-group service dhcp_client
  port-range 68
exit

object-group network MYLAN
  description "MYLAN "
  ip prefix 172.16.1.0/24
exit


interface gigabitethernet 1/0/1
  description "LAN"
  security-zone LAN
  ip address 172.16.1.102/24
  ip address 172.16.200.251/28
  ip address 172.16.100.30/27
exit
interface gigabitethernet 1/0/2
  shutdown
exit
interface gigabitethernet 1/0/3
  shutdown
exit
interface gigabitethernet 1/0/4
  shutdown
exit
interface gigabitethernet 1/0/5
  shutdown
exit
interface gigabitethernet 1/0/6
  shutdown
exit
interface gigabitethernet 1/0/7
  shutdown
exit
interface gigabitethernet 1/0/8
  shutdown
exit
security zone-pair LAN self
  rule 1
    description "ICMP"
    action permit
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
  rule 2
    description "SSH"
    action permit
    match protocol tcp
    match source-address MYLAN
    match destination-address any
    match source-port any
    match destination-port SSH
    enable
  exit
  rule 30
    action permit
    match protocol udp
    match source-address any
    match destination-address any
    match source-port dhcp_client
    match destination-port dhcp_server
    enable
  exit
exit
security zone-pair LAN LAN
  rule 1
    description "ICMP"
    action permit
    match protocol icmp
    match source-address any
    match destination-address any
    enable
  exit
exit

ip dhcp-server
ip dhcp-server pool LAN_POOL
  network 172.16.100.0/27
  default-lease-time 001:00:00
  address-range 172.16.100.1-172.16.100.30
  address 172.16.100.12 mac-address 0c:fe:c2:70:7d:00
  address 172.16.100.16 mac-address 00:50:79:66:68:02
  address 172.16.100.17 mac-address 00:50:79:66:68:03
  default-router 172.16.100.30
  dns-server 8.8.8.8
exit

ip route 0.0.0.0/0 172.16.200.253

ip ssh server

Заключение

Сегодня мы сбросили настройки mikrotik до заводских и прописали на устройстве новую конфигурацию.

Включили DHCP-сервер на ESR-200 и прописали на нём пул адресов, а также настройки DNS и шлюза.

Проверили работу DHCP-сервера с помощью GNS3.

Настроили сервер для выдачи статических ip-адресов по mac-адресу.

Категория ESR

Добавить комментарий

Простой текст

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Строки и абзацы переносятся автоматически.
  • Адреса веб-страниц и email-адреса преобразовываются в ссылки автоматически.
Просмотров: 688