Настройка DHCP-сервера на ESR-200
В предыдущей статье мы рассмотрели настройку DHCP-сервера на MES2324B, сегодня мы настроим DHCP-сервер на ESR-200.
Далее я предполагаю, что GNS3 у нас настроен согласно предыдущей статьи.
Если вы следовали указаниям предыдущий статьи, не забудьте сбросить MES2324B до заводских настроек, это можно сделать из консоли командой:
console#delete startup-config
Delete startup-config? (Y/N)[N] Y
console#19-Dec-2019 14:42:27 %FILE-I-DELETE: File Delete - URL flash://startup-config
И затем просто перегрузите устройство:
console#reload
You haven't saved your changes. Are you sure you want to continue ? (Y/N)[N] Y
This command will reset the whole system and disconnect your current session. Do you want to continue ? (Y/N)[N] Y
Shutting down ...
Вы так же можете просто отключить DHCP-сервер на MES2324B. Это необходимо сделать, так как в сети должен быть только один работающий DHCP-сервер, не считая случаев с failover!
ESR-200 был предварительно настроен для этой статьи, вот его конфигурация:
security zone LAN
description "LAN"
exit
object-group service SSH
description "SSH"
port-range 22
exit
object-group network MYLAN
description "MYLAN "
ip prefix 172.16.1.0/24
exit
interface gigabitethernet 1/0/1
description "LAN"
security-zone LAN
ip address 172.16.1.102/24
ip address 172.16.200.251/28
exit
interface gigabitethernet 1/0/2
shutdown
exit
interface gigabitethernet 1/0/3
shutdown
exit
interface gigabitethernet 1/0/4
shutdown
exit
interface gigabitethernet 1/0/5
shutdown
exit
interface gigabitethernet 1/0/6
shutdown
exit
interface gigabitethernet 1/0/7
shutdown
exit
interface gigabitethernet 1/0/8
shutdown
exit
security zone-pair LAN self
rule 1
description "ICMP"
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
rule 2
description "SSH"
action permit
match protocol tcp
match source-address MYLAN
match destination-address any
match source-port any
match destination-port SSH
enable
exit
exit
ip route 0.0.0.0/0 172.16.200.253
ip ssh server
Настройка DHCP-севера
Настройка DHCP-севера на ESR-200 не очень сильно отличается от таковой на MES23XX
Для начала активируем DHCP-сервер
ip dhcp-server
Создаем пул ip-адресов
ip dhcp-server pool LAN_POOL
network 172.16.100.0/27
default-lease-time 001:00:00
address-range 172.16.100.1-172.16.100.30
default-router 172.16.100.30
dns-server 8.8.8.8
exit
Чтобы устройства могли получить доступ к ресурсам сети пропишем на ESR-200 ip-адрес принадлежащий раздаваемой сети:
interface gigabitethernet 1/0/1
ip address 172.16.100.30/27
exit
В ESR-200 всё что явно не разрешено – запрещено, так что нам нужно настроить межсетевой экран, для того, чтобы разрешить доступ из нашей сети.
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
security zone-pair LAN self
rule 30
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_client
match destination-port dhcp_server
action permit
enable
exit
exit
Сохраняем конфигурацию
do com
do con
C ESR-200 проверим доступны ли на устройства внутри GNS3. Не забудьте запустить в GNS3 все устройства!
GW1:
esr:esr-200# ping 172.16.200.253
PING 172.16.200.253 (172.16.200.253) 56(84) bytes of data.
!!!!!
--- 172.16.200.253 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4005ms
rtt min/avg/max/mdev = 2.379/2.995/4.866/0.944 ms
PC1:
esr:esr-200# ping 172.16.200.1
PING 172.16.200.1 (172.16.200.1) 56(84) bytes of data.
!!!!!
--- 172.16.200.1 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 2.525/2.593/2.769/0.089 ms
Проверим как работает наш сервер. Откроем консоль PC4:
PC4> dhcp
DDORA IP 172.16.100.5/27 GW 172.16.100.30
PC4> sh ip
NAME : PC4[1]
IP/MASK : 172.16.100.5/27
GATEWAY : 172.16.100.30
DNS : 8.8.8.8
DHCP SERVER : 172.16.1.102
DHCP LEASE : 85841, 85882/42941/75146
MAC : 00:50:79:66:68:02
LPORT : 20030
RHOST:PORT : 127.0.0.1:20031
MTU: : 1500
Обратите внимание что PC4 определил адрес нашего сервера как 172.16.1.102, так как у нас на ESR-200 на порту 1 настроено несколько ip-адресов.
Проверим доступность шлюза с PC4:
PC4> ping 172.16.100.30
84 bytes from 172.16.100.30 icmp_seq=1 ttl=64 time=2.472 ms
84 bytes from 172.16.100.30 icmp_seq=2 ttl=64 time=2.292 ms
84 bytes from 172.16.100.30 icmp_seq=3 ttl=64 time=2.248 ms
84 bytes from 172.16.100.30 icmp_seq=4 ttl=64 time=2.245 ms
84 bytes from 172.16.100.30 icmp_seq=5 ttl=64 time=2.478 ms
Попробуем пропинговать PC1
Попробуем пропинговать PC1
PC4> ping 172.16.200.1
172.16.200.1 icmp_seq=1 timeout
172.16.200.1 icmp_seq=2 timeout
172.16.200.1 icmp_seq=3 timeout
172.16.200.1 icmp_seq=4 timeout
172.16.200.1 icmp_seq=5 timeout
Связи нет, так как GW1 не знает ничего о сети 172.16.100.0/27
Добавим на микротик маршрут:
/ip route add dst-address=172.16.100.0/27 gateway=172.16.200.251
Проверяем снова:
PC4> ping 172.16.200.1
172.16.200.1 icmp_seq=1 timeout
172.16.200.1 icmp_seq=2 timeout
172.16.200.1 icmp_seq=3 timeout
172.16.200.1 icmp_seq=4 timeout
172.16.200.1 icmp_seq=5 timeout
Снова не работает!
А все дело в межсетевом экране, у нас пакеты приходят на ESR-200 из зоны LAN и в нее же уходят, но в межсетевом экране не прописано разрешающее правило, так что он просто отбрасывает эти пакеты. Давайте пропишем соответствующее правило:
security zone-pair LAN LAN
rule 1
description "ICMP"
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
exit
do com
do con
Обратите внимание, мы разрешили только ICMP, любой другой трафик будет так же отбрасываться, но для целей этой статьи этого будет достаточно.
Проверяем пинг:
PC4> ping 172.16.200.1
84 bytes from 172.16.200.1 icmp_seq=1 ttl=62 time=4.950 ms
84 bytes from 172.16.200.1 icmp_seq=2 ttl=62 time=4.923 ms
84 bytes from 172.16.200.1 icmp_seq=3 ttl=62 time=4.871 ms
84 bytes from 172.16.200.1 icmp_seq=4 ttl=62 time=4.804 ms
84 bytes from 172.16.200.1 icmp_seq=5 ttl=62 time=4.715 ms
Работает!
А теперь давайте настроим статический пул для наших устройств.
В предыдущей статье, мы уже определили mac-адреса:
PC3 - 00:50:79:66:68:02
PC4 - 00:50:79:66:68:03
Добавим в созданный пул ip и mac-адреса:
ip dhcp-server pool LAN_POOL
address 172.16.100.12 mac-address 0c:fe:c2:70:7d:00
address 172.16.100.16 mac-address 00:50:79:66:68:02
address 172.16.100.17 mac-address 00:50:79:66:68:03
exit
do com
do con
Обновим на PC4 ip-адрес
PC4> dhcp
DORA IP 172.16.100.16/27 GW 172.16.100.30
PC4> sh ip
NAME : PC4[1]
IP/MASK : 172.16.100.16/27
GATEWAY : 172.16.100.30
DNS : 8.8.8.8
DHCP SERVER : 172.16.1.102
DHCP LEASE : 86393, 86400/43200/75600
MAC : 00:50:79:66:68:02
LPORT : 20030
RHOST:PORT : 127.0.0.1:20031
MTU: : 1500
Проверим PC3
PC3> dhcp
DDORA IP 172.16.100.6/27 GW 172.16.100.30
PC3> sh ip
NAME : PC3[1]
IP/MASK : 172.16.100.6/27
GATEWAY : 172.16.100.30
DNS : 8.8.8.8
DHCP SERVER : 172.16.1.102
DHCP LEASE : 86393, 86400/43200/75600
MAC : 00:50:79:66:68:00
LPORT : 20028
RHOST:PORT : 127.0.0.1:20029
MTU: : 1500
Вот и всё. Мы настроили DHCP-сервер на ESR-200.
Конфигурация ESR-200
В заключение я приведу конфигурацию для ESR-200 с настроенным DHCP-сервером и статическим пулом.
security zone LAN
description "LAN"
exit
object-group service SSH
description "SSH"
port-range 22
exit
object-group service dhcp_server
port-range 67
exit
object-group service dhcp_client
port-range 68
exit
object-group network MYLAN
description "MYLAN "
ip prefix 172.16.1.0/24
exit
interface gigabitethernet 1/0/1
description "LAN"
security-zone LAN
ip address 172.16.1.102/24
ip address 172.16.200.251/28
ip address 172.16.100.30/27
exit
interface gigabitethernet 1/0/2
shutdown
exit
interface gigabitethernet 1/0/3
shutdown
exit
interface gigabitethernet 1/0/4
shutdown
exit
interface gigabitethernet 1/0/5
shutdown
exit
interface gigabitethernet 1/0/6
shutdown
exit
interface gigabitethernet 1/0/7
shutdown
exit
interface gigabitethernet 1/0/8
shutdown
exit
security zone-pair LAN self
rule 1
description "ICMP"
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
rule 2
description "SSH"
action permit
match protocol tcp
match source-address MYLAN
match destination-address any
match source-port any
match destination-port SSH
enable
exit
rule 30
action permit
match protocol udp
match source-address any
match destination-address any
match source-port dhcp_client
match destination-port dhcp_server
enable
exit
exit
security zone-pair LAN LAN
rule 1
description "ICMP"
action permit
match protocol icmp
match source-address any
match destination-address any
enable
exit
exit
ip dhcp-server
ip dhcp-server pool LAN_POOL
network 172.16.100.0/27
default-lease-time 001:00:00
address-range 172.16.100.1-172.16.100.30
address 172.16.100.12 mac-address 0c:fe:c2:70:7d:00
address 172.16.100.16 mac-address 00:50:79:66:68:02
address 172.16.100.17 mac-address 00:50:79:66:68:03
default-router 172.16.100.30
dns-server 8.8.8.8
exit
ip route 0.0.0.0/0 172.16.200.253
ip ssh server
Заключение
Сегодня мы сбросили настройки mikrotik до заводских и прописали на устройстве новую конфигурацию.
Включили DHCP-сервер на ESR-200 и прописали на нём пул адресов, а также настройки DNS и шлюза.
Проверили работу DHCP-сервера с помощью GNS3.
Настроили сервер для выдачи статических ip-адресов по mac-адресу.
Добавить комментарий