Протоколы и функции, применяемые в межсетевых экранах и интернет-маршрутизаторах
Сервисы DHCP
DHCP (Dynamic Host Configuration Protocol – протокол динамической конфигурации узла) – это сетевой протокол, позволяющий хостам автоматически получать IP-адреса и другие параметры, необходимые для работы в сети TCP/IP. Эти адреса выбираются из предопределенного пула IP-адресов, который управляется сервером DHCP. Данный протокол работает по модели "клиент – сервер". Для автоматической конфигурации хост-клиент (DHCP-клиент) на этапе конфигурации сетевого устройства обращается к DHCP-серверу и получает от него нужные параметры (например: IP-адрес, имя домена, период аренды IP-адреса). Чтобы адрес не "простаивал", DHCP-сервер предоставляет его на определенный администратором срок, это называется арендным договором (lease). По истечении половины срока арендного договора DHCP-клиент запрашивает его возобновление, и DHCP-сервер продлевает арендный договор. Это означает, что когда машина прекращает использовать назначенный IP-адрес, арендный договор истекает, и адрес возвращается в пул адресов для повторного использования.
DHCP-клиент в межсетевых экранах D-Link NetDefend
В состав системы NetDefendOS (операционная система межсетевых экранов D-Link NetDefend) включена функция DHCP-клиент (DHCP Client), которая отвечает за динамическое получение адреса от DHCP-сервера (например, в случае подключения к Интернет-провайдеру по DHCP). Используя данную функцию, можно получить IP-адрес интерфейса, адрес локальной сети, к которой относится данный интерфейс, IP-адрес шлюза по умолчанию и IP-адреса DNS-серверов.
Опция DHCP Client может быть включена или отключена администратором в свойствах интерфейса. По умолчанию это свойство отключено на всех Ethernet-интерфейсах, за исключением WAN1-порта (или WAN-порта, в зависимости от модели).
увеличить изображение
Рис. 4.3. Активация-деактивация функции DHCP-клиент на примере межсетевого экрана DFL-860E
Если функция DHCP-клиент активирована на каком-либо Ethernet-интерфейсе, то IP-адресация, относящая к данному интерфейсу (IP-адрес интерфейса/адрес сети/IP-адреса шлюза и DNS), не может быть изменена или удалена. Для изменения этих адресов необходимо отключить опцию DHCP Client.
DHCP-сервер в межсетевых экранах D-Link NetDefend
Как уже упоминалось выше, DHCP-сервер распределяет IP-адреса из определенного пула IP-адресов и управляет ими. В системе NetDefendOS DHCP-серверы не ограничены использованием одного диапазона IP-адресов, а могут применять любой диапазон IP-адресов, который определен как объект IP-адрес.
В NetDefendOS администратор имеет возможность настроить один или несколько логических DHCP-серверов. Фильтрация запросов DHCP-клиентов к разным DHCP-серверам зависит от двух параметров:
- Интерфейс (Interface)
Каждый интерфейс в системе NetDefendOS может иметь, по крайней мере, один логический одиночный DHCP-сервер. Другими словами, NetDefendOS может предоставить DHCP-клиентам IP-адреса из разных диапазонов в зависимости от интерфейса клиента.
- IP-адрес ретранслятора (Relayer IP)
IP-адрес ретранслятора, передаваемый в IP-пакете, также используется для определения подходящего сервера. Значение по умолчанию all-nets (все сети) делает все IP-адреса допустимыми, и тогда выбор DHCP-сервера зависит только от интерфейса.
Список DHCP-серверов формируется по мере занесения в него новых строк. Когда в системе NetDefendOS выбирается DHCP-сервер для обслуживания запроса клиента, поиск по списку осуществляется сверху вниз. Выбор падает на верхний по списку сервер, соответствующий комбинации параметров (интерфейс и IP-адрес устройства, выполняющего функцию DHCP Relay). Если совпадений в списке не найдено, запрос игнорируется.
увеличить изображение
Рис. 4.4. Составление списка DHCP-серверов на примере межсетевого экрана DFL-860E
Для DHCP-серверов задаются следующие параметры ( рис. 4.5):
Вкладка General:
Name – Символьное имя сервера. Используется в последующих настройках как ссылка на интерфейс или как ссылка в сообщениях для записи в журнал событий (log).
Interface Filter – Интерфейс источника, на котором система NetDefendOS будет ожидать получения DHCP-запросов.
Relay Filter – Каждый DHCP-сервер должен иметь определенное значение фильтра по IP-адресу ретранслятора. Возможны следующие варианты:
- all-nets (0.0.0.0/0) – значение по умолчанию. При выборе данного варианта обслуживаются все DHCP-запросы, вне зависимости от того, поступили они от клиентов локальной сети или через DHCP Relayer;
- значение 0.0.0.0 – фильтр 0.0.0.0 будет пропускать DHCP-запросы, приходящие только от клиентов локальной сети. Запросы, пересылаемые DHCP Relayer, будут игнорироваться.
- определенный IP-адрес – указывается IP-адрес DHCP-ретранслятора (DHCP Relayer), которому разрешено перенаправлять запросы. Запросы от локальных клиентов или других DHCP-ретрансляторов будут игнорироваться.
IP Address pool – Диапазон IP-адресов (группа или сеть), который используется DHCP-сервером для распределения IP-адресов DHCP-клиентам в соответствии с DHCP-арендой.
Netmask – Маска подсети, которая будет рассылаться DHCP-клиентам.
Вкладка Options:
Default GW – указывается IP-адрес устройства, выполняющего функции основного шлюза, который передается клиенту (маршрутизатор, к которому подключается клиент).
Domain – имя домена, используемое DNS для определения IP-адреса. Например, domain.com.
Lease Time – время предоставленной DHCP-аренды в секундах. По истечении данного периода DHCP-клиент должен возобновить аренду.
Primary/Secondary DNS – IP-адреса DNS-серверов.
Primary/Secondary NBNS/WINS – IP-адреса WINS-серверов среды Microsoft, которые используют NBNS-серверы для установления соответствий между IP-адресами и именами в NetBIOS.
Next Server – определяет IP-адрес сервера, с которого осуществляется загрузка операционной системы хостов, в случае загрузки по сети (например, TFTP-сервера).
Помимо описанных свойств, DHCP-сервер системы NetDefendOS может иметь два дополнительных набора объектов: Static Hosts и Custom Options.
Static Hosts. При необходимости установления фиксированной связи между клиентом и конкретным IP-адресом, система NetDefendOS позволяет назначить данный IP-адрес MAC-адресу клиента. Другими словами, позволяет создать хост со статическим IP-адресом.
Custom Options. Заполнение раздела специальных опций DHCP-сервера при его определении позволяет администратору в сообщениях, содержащих детали аренды (такие, как код и тип данных), также отправлять дополнительную информацию для DHCP-клиентов. В качестве примера могут служить те коммутаторы, которым требуется IP-адрес TFTP-сервера, для передачи дополнительной информации.
Коды вводятся в соответствии со значениями, определенными в RFC 2132 (DHCP Options and BOOTP Vendor Extensions).
RFC (Request for Comments – запрос комментариев) – это документы из серии пронумерованных информационных документов Интернета, содержащих технические спецификации и стандарты.
Функция DHCP Relays в межсетевых экранах D-Link NetDefend
По протоколу DHCP хост-клиент отправляет запросы DHCP-серверам, чтобы классифицировать их с помощью широковещательной рассылки. Однако такие сообщения обычно распространяются только в локальных сетях. Это означает, что DHCP-сервер и клиент всегда должны находиться в одной и той же физической сети. Поскольку для сетевой топологии, подобной сети Интернет, невозможно установить свой DHCP-сервер в каждой сети, в межсетевых экранах NetDefend используется функция DHCP Relays, которая позволяет передавать запросы от DHCP-клиентов DHCP-серверу.
DHCP Relayer (DHCP-ретранслятор) занимает место DHCP-сервера в локальной сети и выполняет роль связи между клиентом и удаленным DHCP-сервером. Он перехватывает запросы от клиентов и передает их DHCP-серверу. DHCP-сервер затем отвечает ретранслятору, который переадресовывает ответ обратно клиенту. Чтобы выполнять функции ретрансляции, DHCP Relayer использует протокол TCP/IP Bootstrap Protocol (BOOTP). Поэтому DHCP Relayer иногда ассоциируют с агентом пересылки BOOTP (BOOTP relay agent).
Пример получения IP-адресов клиентами системы NetDefendOS на интерфейсе lan от DHCP-сервера, расположенного во внешней сети, приведен на рисунке 3.6. IP-адрес DHCP-сервера определен в адресной книге системы NetDefendOS как ip-dhcp. Когда в системе NetDefendOS завершается процесс получения IP-адреса по DHCP, для клиента добавляется еще один маршрут (во вкладке Add Route нужно включить опцию Add dynamic routes for this relayed DHCP lease) .
увеличить изображение
Рис. 4.6. Использование функции DHCP Relays на примере межсетевого экрана DFL-860E