Использование DHCP-опций в межсетевых экранах серии ZyWALL USG

Как настроить использование DHCP-опций в межсетевых экранах серии ZyWALL USG?

DHCP (англ. Dynamic Host Configuration Protocol — протокол динамической настройки узла) — сетевой протокол, позволяющий компьютерам автоматически получать IP-адрес и другие параметры, необходимые для работы в сети.

Протокол DHCP является клиент-серверным, то есть в его работе участвуют клиент DHCP и сервер DHCP. Передача данных производится при помощи протокола UDP, при этом сервер принимает сообщения от клиентов на порт 67 и отправляет сообщения клиентам на порт 68. Для автоматической конфигурации компьютер-клиент на этапе конфигурации сетевого устройства обращается к серверу DHCP и получает от него нужные параметры. Когда в роли DHCP-сервера выступает ZyWALL USG, именно он будет раздавать сетевым узлам параметры нужные для работы в сети.

Наряду с основной информацией (ip-адрес, маска, шлюз, адреса DNS-серверов и пр.) DHCP-сервер может передавать узлам и другую информацию, необходимую для нормального функционирования различных сетевых служб. Для передачи этой информации используются специальные опции. Список стандартных опций можно найти в RFC 2132.

Начиная с микропрограммы версии 3.00 ZyWALL USG, работая в качестве DHCP-сервера, умеет передавать DHCP-клиентам различные сетевые параметры через DHCP-опции. 
Перечисленные ниже опции не поддерживаются в пользовательской настройке:
6 (Domain name server (DNS server)), 44 (NetBIOS name server (WINS server)), 50 (DHCP request address), 52 (DHCP option overload), 53 (DHCP message type), 54 (DHCP server identifier), 55 (DHCP parameter request list), 56 (DHCP message), 57 (DHCP max message size), 60 (Vendor class identifier), 61 (DHCP client identifier), 77 (User class), 118 (Subnet selection).
Настройка дополнительных DHCP-опций производится при настройке соответствующего интерфейса.

Кроме предустановленных DHCP-опций, можно настраивать и произвольные (User Defined) опции. При этом формат пользовательских опций должен соответствовать требованиям, описанным в RFC 2132.

Рассмотрим пример настройки автоматического назначения статических маршрутов пользователям сети.

Для назначения статических маршрутов используется DHCP опция 33 (Static Route Option).

Будем использовать следующую топологию: к межсетевому экрану подключается коммутатор, к которому в свою очередь подключаются две подсети Сеть А (192.168.1.0/24) и Сеть Б (192.168.5.0/24). На коммутаторе настроены два IP-интерфейса с адресами 192.168.1.5 и 192.168.5.5 для связи с соответствующей подсетью.

Узлы сети А в качестве основного шлюза используют ZyWALL (192.168.1.1), а узлы сети Б в качестве основного шлюза используют коммутатор (192.168.5.5). В сети Б работает ftp-сервер (192.168.5.10), и для узлов сети А этот ftp-сервер должен быть доступен.

В соответствии с правилами маршрутизации при обращении из сети А к ftp-серверу все пакеты будут пересылаться на шлюз по умолчанию, т.е на ZyWALL USG. Поскольку ZyWALL USG также ничего не знает о существовании подсети 192.168.5.0/24, он передаст пакет на свой шлюз, и дальше пакеты пойдут в сторону провайдера. В результате из сети А  доступа к серверу не будет.

Чтобы организовать правильную маршрутизацию, необходимо на узлах сети А добавить статический маршрут, согласно которому все пакеты с назначением 192.168.5.10 пересылать не на шлюз по умолчанию, а на IP-адрес коммутатора 192.168.1.5.

Для автоматического получения этого маршрута всеми узлами сети А на DHCP-сервере нужно добавить опцию 33.

Маршрут, передаваемый с помощью опции 33, состоит минимум из двух IP-адресов. Первый адрес – это адрес назначения (в нашем случае 192.168.5.10), а второй адрес – адрес шлюза (192.168.1.5).

Для настройки ZyWALL нужно перейти на вкладку параметров соответствующего интерфейса, в верхнем левом углу нажать на кнопку Show Advanced Settings и в разделе Extended Options добавить соответствующую опцию:

В результате при подключении узлов к этому интерфейсу каждый узел получит информацию о нужном маршруте.

Посмотреть полученный по DHCP маршрут на узле можно с помощью команды route print (команда вводится в режиме командной строки ОС Windows):

KB-3271

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 2 из 2

Комментарии

0 комментариев