DHCP认证功能

概述

通过使用本功能,网络管理员可事先在网络中区分被许可的终端(已注册终端)和未许可的终端(未注册终端),根据有无许可来分别控制每个终端可以访问的网络。
例如,能够对每个终端设置不同的访问权,如使已注册终端可以访问公司内部及外部的所有网络,对未注册终端进行限制使其只能访问公司内部的特定网段等。

通过下述机制为终端授予许可,即为许可终端事先保留DHCP所分配的IP地址。IP地址的保留通过事先在路由器中设置终端的MAC地址来进行。
并且,为了在网络中区分已注册终端和未注册终端,使用主地址/secondary地址的机制。将连接终端的一个物理网络分割为两个逻辑网络(主网络和secondary网络),对已注册终端分配相应主网络的IP地址,对未注册终端分配相应secondary网络的IP地址,从而区分已注册终端和未注册终端。

用通过DHCP分配的IP地址进行终端的认证时,存在如下一个问题:即使是未注册终端也可通过使用固定IP地址来设置主地址,从而能够和已注册终端访问相同的网络。然而,本功能中,通过同时使用MAC地址的以太网级别的过滤,从而解决了这个问题。对于主网络发送的数据包,判断发送方终端是否为已注册终端来进行数据包的过滤,防止未注册终端非法从主网络进行通信。

通过组合下述功能而实现本功能。

以太网级别的的过滤
只让被允许的MAC地址的通信通过。
除静态设置信息之外,也能够指定DHCP的保留设置信息。
指定了DHCP的保留设置信息时,检查MAC地址以及IP地址的一致性。
DHCP保留限定功能
IP地址的分配能够设为仅限保留客户端进行。
在范围内有可分配IP地址的状态下,非保留客户端不能进行分配。
通知功能
对于过滤的结果,进行日志显示和邮件通知。
DHCP状态显示、设置转换功能
能够从当前的分配信息一览表中简单地转换至保留信息。
DHCP服务器/DHCP中继代理合作功能
DHCP将服务器中设置的DHCP范围信息以及DHCP范围内设置地地址保留信息通知给DHCP中继代理,供其在过滤时进行查看。

注意事项及相关文件

关于主网络/secondary网络请参照以下文档。

  • RT系列的TCP/IP相关的FAQ - 主地址和secondary地址

Open in new windowhttp://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/secondary-address.html(日文)

支持机型和固件版本

雅马哈RT系列中,以下的机型以及固件支持DHCP认证功能。

机型 固件
RTX5000 Rev.14.00.15以后
RTX820 Rev.11.03.16以后
RTX1200 Rev.10.01.20以后
RTX800 Rev.10.01.20以后

设置・操作方法

命令

以太网过滤的设置

[格式]
ethernet filter FILTER_NUM PASS_REJECT SRC_MAC [DST_MAC [OFFSET BYTE_LIST]]
ethernet filter FILTER_NUM PASS_REJECT TYPE [SCOPE] [OFFSET BYTE_LIST]
no ethernet filter FILTER_NUM [PASS_REJECT ...]
[设置值]
  • FILTER_NUM ... 静态过滤的号码(1..100)
  • PASS_REJECT
    • pass-log ... 如果一致就通过(记录在日志里)
    • pass-nolog ... 如果一致就通过(不记录在日志里)
    • reject-log ... 如果一致就抛弃(记录在日志里)
    • reject-nolog ... 如果一致就抛弃(不记录在日志里)
  • SRC_MAC ... 起始MAC地址
    • - xx:xx:xx:xx:xx:xx (xx为16进制、或者*)
    • - * (支持所有的MAC地址)
  • DST_MAC ... 结束MAC地址
    • - 与起始MAC地址SRC_MAC相同格式
    • - 省略时等同于1个*
  • TYPE
    • dhcp-bind ... 将指定的DHCP范围内被保留设置的主机设为对象
    • dhcp-not-bind ... 将指定的DHCP范围内未被保留设置的主机设为对象
  • SCOPE ... DHCP范围
    • - 1..65535的整数
    • - DHCP范围的租用范围内包含的IP地址
  • OFFSET ... 表示偏移的10进制(以太网帧的起始MAC地址之后设为0)
  • BYTE_LIST ... 字节数组
    • - xx(2位的16进制)或者*(任意字节)用逗点隔开的排列(16个以内)
[说明]
  • 设置以太网络帧的过滤。可以用ethernet lan filter命令使用通过本命令设置的过滤。
  • 通常类型的过滤中,在用起始MAC地址、结束MAC地址等收发数据的以太网络帧中适用过滤。
  • dhcp-bind型的过滤中,在以下的以太网络帧中适用过滤。
  • 对象以外的以太网络帧作为与过滤不一致的帧进行处理。
  • 为下述任意一种的IPv4数据包时
    • - 以太网类型为IPv4(0x0800)
    • - PPPoE环境中,以太网类型为PPPoE数据框架(0x8864)、协议ID为IPv4(0x0800)
    • - 802.1Q标签VLAN环境中,TPID为802.1Q标签(0x8100)、以太网类型为IPv4(0x0800)
    • 以太网络帧的起始MAC地址和起始IP地址的组合若已在对象的DHCP范围内被保留,则视为与过滤一致。
  • 以太网类型为以下其中之一时
    • - ARP(0x0806)
    • - RARP(0x8035)
    • - PPPoE控制数据包(0x8863)
    • - MAC层控制数据包(0x8808)
    • 以太网络帧的起始MAC地址若已在对象的DHCP范围内被保留,则视为与过滤一致。
  • dhcp-not-bind型的过滤中,在以下的以太网络帧中适用过滤,对象以外的以太网络帧作为与过滤不一致的帧进行处理。
  • 以太网类型为IPv4(0x0800)时
    • 以太网络帧的起始IP地址若包括在对象DHCP范围的租用范围内、且起始MAC地址在DHCP范围内未被保留,则视为与过滤不一致。
  • dhcp-bind、dhcp-not-bind型的过滤中,对象DHCP范围用SCOPE参数指定。SCOPE参数既可指定DHCP范围号码,也可用包含在所定义的的DHCP范围内的IP地址进行指定。
  • IP地址中指定了DHCP范围时,若有多个DHCP范围符合,则选择其中具有最长网络掩码长度的DHCP范围。
  • 省略SCOPE参数时,对象为适用过滤的接口中使用的所有DHCP范围。
  • dhcp-bind、dhcp-not-bind类型的过滤设置于作为DHCP中继代理工作的路由器中时,从DHCP服务器获取DHCP范围和此范围内的客户端的保留信息,在过滤适用时进行查看。
  • 从DHCP服务器获取DHCP范围以及保留信息的方式为:传递DHCP消息时,在DHCP消息选项部写入保留信息进行通知。
[注解]
  • 使用LAN分割功能时,路由器内部使用0x8100~0x810f的值作为以太网类型,因此,如果过滤这些以太网帧使其无法收发数据,则在使用了LAN分割功能的端口无法通信,这一点需要注意。
  • dhcp-bind、dhcp-not-bind型的过滤中,为了使用以太网络帧的起始MAC地址或起始IP地址进行过滤的判断,ethernet lan filter命令中通常只使用in方向。out方向时,起始MAC地址为路由器自己的MAC地址,因此,不可能与DHCP的保留信息一致。
  • dhcp-bind型过滤的形式为只通过已被保留的客户端,因此,通常与pass等组合使用。而dhcp-not-bind型过滤的形式为抛弃未保留的客户端,因此,通常与reject等组合使用。

接口中的以太网过滤的设置

[格式]
ethernet IF filter DIR LIST
no ethernet IF filter DIR [LIST]
[设置值]
  • IF ... LAN接口名称
  • DIR
    • in ... 从LAN端进入的数据包的过滤
    • out ... 流向LAN端的数据包的过滤
  • LIST ... 用空白隔开的静态过滤号码的排列(100个以内)
[说明]

通过LAN端的数据包,用ethernat filter命令组合数据包的过滤而控制通过的数据包的种类。

[注解]

能够指定为LAN接口名的只有物理性的LAN,不能指定VLAN接口。

[初始值]
  • 过滤未设置

DHCP 地址分配动作的设置

[格式]
dhcp scope lease type SCOPE_NUM TYPE [fallback=FALLBACK_SCOPE_NUM]
no dhcp scope lease type SCOPE [TYPE ...]
[设置值]
  • SCOPE_NUM, FALLBACK_SCOPE_NUM ... 范围号码 (1..65535)
  • TYPE ... 分配的动作
    • bind-priority ... 优先分配保留信息
    • bind-only ... 仅限分配保留信息
[说明]
  • 在用SCOPE_NUM指定的DHCP范围内控制地址的分配方法。
  • TYPE指定为bind-priority时,对于用dhcp scope bind命令保留的客户端分配已保留的IP地址,对于未保留的客户端分配范围内存在的未被其他客户端保留的空地址。
  • TYPE指定为bind-priority时,不能指定fallback选项。
  • TYPE指定为bind-only时,动作根据是否在fallback选项中指定了后退范围而变化。
  • 没有指定fallback选项时,仅对于用dhcp scope bind命令保留的客户端分配IP地址,对于未保留的客户端,即使范围内有空闲也不分配IP地址。
  • TYPE指定为bind-only,同时在fallback选项指定后退范围时,动作如下:
    • (01)如果在范围内保留了IP地址,则分配保留的IP地址给客户端。
    • (02)如果虽然未在范围内保留IP地址、但是在后退范围内保留,则分配后退范围内保留的IP地址给客户端。
    • (03)如果客户端未在范围及后退范围的任意一方保留IP地址,动作根据针对后退范围的dhcp scope lease type命令的设置而变化。
      • (03a)针对后退范围的dhcp scope lease type命令的设置为bind-priority时,只要后退范围内有空地址,就分配该地址给客户端。
      • (03b)针对后退范围的dhcp scope lease type命令的设置为bind-only时,不分配IP地址给客户端。
  • 任何情况下,租期根据各DHCP范围的定义。
[初始值]
bind-priority

根据DHCP分配信息生成保留设置

[格式]
dhcp convert lease to bind SCOPE_N [except] [IDX [...]]
[设置值]
  • SCOPE_N ... 范围号码(1-65535)
  • IDX
    • 号码 ... 用show status dhcp summary命令显示的索引号码,最大100个
    • all ... 对象为正在分配的所有信息
    • 省略时为all
[说明]

根据当前的分配信息创建保留设置。指示except关键字后,指定号码以外的信息被反映至保留设置中。

[注解]

根据以下的转换规则,IP地址分配信息转换为保留设置。

IP地址分配信息的客户端识别种类
(show status dhcp中显示的名称)
客户端识别信息 例 保留设置信息 例
客户端以太网地址 00:a0:de:01:02:03 ethernet 00:a0:de:01:02:03 ※1
00:a0:de:01:02:03 ※2
客户端ID (01) 00 a0 de 01 02 03 ethernet 00:a0:de:01:02:03
(01) 00 a0 de 01 02 03 04 01 00 a0 de 01 02 03 04
(00) 31 32 33 00 31 32 33

※1:存在rfc2131 compliant on或者use-clientid时,这样的IP地址分配信息的显示很可能是ARP检查的结果,如果是通常的分配,会使用客户端ID选项,因此按照此格式进行保留设置。但是,如果存在使用不同于MAC地址的客户端ID的主机,根据此自动转换的保留将无法有效发挥作用,因此对于这类主机的保留设置需要另外手动进行。

※2:不存在rfc2131 compliant off或者use-clientid时,使用chaddr字段
根据命令执行时刻的分配信息创建保留设置。如果已经经过了摘要显示至本转换命令执行的时间,本命令执行后,应该用show config确认是否创建了预期的PAIR保留。
要将转换创建的保留信息保存至非挥发性存储器,需要另外执行save命

邮件通知的设置(触发的条件中增加以太网过滤)

[格式]
mail notify NUM TEMPLATE_ID trigger backup IF_B RANGE [IF_B RANGE ...]
mail notify NUM TEMPLATE_ID trigger route ROUTE [ROUTE ...]
mail notify NUM TEMPLATE_ID trigger filter ethernet IF_F DIR [IF_F DIR [...]]
no mail notify NUM
[设置值]
  • NUM ... 设置号码(1-10)
  • TEMPLATE_ID ... 邮件模板ID(1-10)
  • IF_B ... 进行邮件通知的备份对象的接口
    • pp ... PP备份
    • lanN ... LAN备份
    • tunnel ... TUNNEL备份
  • RANGE ... 接口号码以及范围指定、仅pp, tunnel(*,xx-yy,zz etc)
  • ROUTE ... 带网络屏蔽的路由
  • IF_F ... 已经设置了进行邮件通知的过滤的LAN接口
  • DIR ... 过滤设置的方向
    • in ... 接收方向
    • out ... 发送方向
[说明]
  • 设置进行邮件通知的触发动作。可以指定备份、路由变更、以及过滤的日志显示为触发器。
  • 关于备份以及路由,对象为下述被设置的内容。
    • PP备份 ... pp backup命令
    • LAN备份 ... lan backup命令
    • TUNNEL备份 ... tunnel backup命令
    • 针对路由备份 ... ip route命令
  • 关于过滤,对象为日志显示的内容。
    • 以太网过滤 ... pass-log, reject-log参数的定义
  • 并且,将集中处理属于一个模板ID的邮件通知设置。
[注解]

网络备份为针对路由的备份,因此使用trigger route。

[设置范例]
mail notify 1 1 trigger backup pp * lan2 lan3 tunnel 1-10,12
mail notify 2 1 trigger route 192.168.1.0/24,172.16.0.0/16
mail notify 3 1 trigger filter ethernet lan1 in

DHCP保留地址的设置(能够指定'*'为IP地址这样的扩展)

[格式]
dhcp scope bind SCOPE_NUM IP_ADDRESS [TYPE] ID
dhcp scope bind SCOPE_NUM IP_ADDRESS MAC_ADDRESS
dhcp scope bind SCOPE_NUM IP_ADDRESS ipcp
no dhcp scope bind SCOPE_NUM IP_ADDRESS [[TYPE] ID]
no dhcp scope bind SCOPE_NUM IP_ADDRESS MAC_ADDRESS
[设置值]
  • SCOPE_NUM ... 范围号码(1..65535)
  • IP_ADDRESS ... 保留的IP 地址
    • - xxx.xxx.xxx.xxx(xxx为10进制)
    • - * (不指定租用的IP地址)
  • TYPE ... 决定Client-Identifier 选项的type字段
    • - 0x00(text)
    • - 0x01(ethernet)
  • ID
    • type为ethernet时 ... MAC地址
    • type为text时 ... 字符串
    • type省略时 ... 2位16进制的数列,开头为type字段
  • MAC_ADDRESS ... 保留客户端的MAC地址
    • - xx:xx:xx:xx:xx:xx (xx为16进制)
  • ipcp ... 表示用IPCP赋予给远端的关键字
[说明]

固定地设置租用IP地址的DHCP客户端。

[注解]

保持原有的命令参考的记述内容。

DHCP地址分配状态的显示("summary"添加关键字)

[格式]
show status dhcp [summary] [SCOPE_N]
[设置值]
  • summary ... 显示各DHCP范围的IP地址分配情况的概况
  • SCOPE_N ... 范围号码(1-65535)
[说明]

显示各个DHCP范围的租用情况。显示以下项目。

  • DHCP范围的租用状态
  • DHCP范围号码
  • 网络地址
  • 正在分配的IP地址
  • 正在分配客户端MAC地址
  • 租用剩余时间
  • 已保留(未使用)的IP地址
  • DHCP范围的全部IP地址数
  • 删除的IP地址数
  • 正在分配IP地址数
  • 可用地址数(其中已保留的IP地址数)

设置范例

[仅主网络的设置范例1] 只允许特定终端与外部通信

[概述]
  • 各个终端作为DHCP客户端,从DHCP服务器的路由器获取IP地址
  • DHCP服务器中,对于特定终端保留赋予的IP地址
  • 对于非特定终端不赋予IP地址
  • 拦截非特定终端向外部的通信
[结构图]
               172.16.1.0/24
      ┌─┐        │
 终端A│○+────+ 
      └─┘        │
 00:a0:de:01:02:03  │
 赋予172.16.1.2     │
                    │
      ┌─┐        │
 终端B│○+────+ 
      └─┘        │
 00:a0:de:11:12:13  │      ┌───┐   连接外部网络
 赋予172.16.1.3     +───+路由器+────→
                    │  lan1└───┘
      ┌─┐        │      DHCP服务器
 终端C│○+────+ 
      └─┘        │
 00:a0:de:21:22:23  │
 赋予172.16.1.4     │
                    │
      ┌─┐        │
      │×+────+ 
      └─┘        │
      其它
 禁止对外部的访问
[设置步骤]
# ethernet filter 1 pass-nolog dhcp-bind 1
# ethernet lan1 filter in 1
# dhcp service server
# dhcp scope lease type 1 bind-only
# dhcp scope 1 172.16.1.2-172.16.1.127/24
# dhcp scope bind 1 172.16.1.2 ethernet 00:a0:de:01:02:03 
# dhcp scope bind 1 172.16.1.3 ethernet 00:a0:de:11:12:13
# dhcp scope bind 1 172.16.1.4 ethernet 00:a0:de:21:22:23
[解说]
  1. # ethernet filter 1 pass-nolog dhcp-bind 1
    # ethernet lan1 filter in 1
    仅使发送方MAC地址和IP地址符合DHCP保留设置的数据包通过。
  2. # dhcp service server
    使其作为DHCP服务器工作。
  3. # dhcp scope lease type 1 bind-only
    即使范围1的范围内的IP地址中有空地址,也不分配IP地址给未保留的客户端。
  4. # dhcp scope 1 172.16.1.2-172.16.1.127/24
    作为DHCP服务器,设置赋予客户端的地址范围。
  5. # dhcp scope bind 1 172.16.1.2 ethernet 00:a0:de:01:02:03
    # dhcp scope bind 1 172.16.1.3 ethernet 00:a0:de:11:12:13
    # dhcp scope bind 1 172.16.1.4 ethernet 00:a0:de:21:22:23
    保留对终端A/B/C的IP地址分配。

[仅主网络的设置范例2] 检测到未允许终端的通信时用邮件通知

[概述]
  • 在路由器的LAN1的过滤中进行静态设置
  • 如果有来自终端A/B/C之外终端的访问,通过mx.example.co.jp进行邮件通知
[结构图]

               172.16.1.0/24
      ┌─┐        │
 终端A│○+────+ 
      └─┘        │
 00:a0:de:01:02:03  │
                    │
      ┌─┐        │
 终端B│○+────+ 
      └─┘        │
 00:a0:de:11:12:13  │      ┌───┐   连接外部网络
                    +───+路由器+────→
                    │  lan1└+──┘
      ┌─┐        │        │
 终端C│○+────+    ──+─+──
      └─┘        │            │ mx.example.co.jp
 00:a0:de:21:22:23  │      ┌──+───┐
                    │      │邮件服务器  │
      ┌─┐        │      └──────┘
      │×+────+ 
      └─┘        │
      其它
 禁止对外部的访问
[设置步骤]
# ethernet filter 1 pass-nolog 00:a0:de:01:02:03
# ethernet filter 2 pass-nolog 00:a0:de:11:12:13
# ethernet filter 3 pass-nolog 00:a0:de:21:22:23
# ethernet filter 100 reject-log *
# ethernet lan1 filter in 1 2 3 100
# mail server smtp 1 mx.example.co.jp
# mail template 1 1 From:filter@rtx1200 To:admin@example.co.jp
# mail notify 1 1 trigger filter ethernet lan1 in
[解说]
  1. # ethernet filter 1 pass-nolog 00:a0:de:01:02:03
    # ethernet filter 2 pass-nolog 00:a0:de:11:12:13
    # ethernet filter 3 pass-nolog 00:a0:de:21:22:23
    设置过滤定义以使来自终端A/B/C的数据包通过。
  2. # ethernet filter 100 reject-log *
    设置用于邮件通知的日志输出的过滤定义。
  3. # ethernet lan1 filter in 1 2 3 100
    对于从LAN1接收的数据包适用各个定义。
  4. # mail server smtp 1 mx.example.co.jp
    # mail template 1 1 From:filter@rtx1200 To:admin@example.co.jp
    设置邮件通知中使用的SMTP服务器以及头信息。
  5. # mail notify 1 1 trigger filter ethernet lan1 in
    设置LAN1接收方向的过滤作为邮件通知的触发器。

[仅主网络的设置范例3] 从当前的DHCP地址分配信息创建DHCP的保留设置

[概述]
  • 各个终端作为DHCP客户端、从DHCP服务器的路由器获取IP地址
  • 使用某个时刻的分配信息,保留赋予特定终端的IP地址
  • 不赋予IP地址给非特定终端
  • 拦截非特定终端向外部的通信
[结构图]
               172.16.1.0/24
      ┌─┐        │
 终端A│○+────+ 
      └─┘        │
 00:a0:de:01:02:03  │
 赋予172.16.1.2     │
                    │
      ┌─┐        │
 终端B│○+────+ 
      └─┘        │
 00:a0:de:11:12:13  │      ┌───┐   连接外部网络
 赋予172.16.1.3     +───+路由器+────→
                    │  lan1└───┘
      ┌─┐        │      DHCP服务器
 终端C│○+────+ 
      └─┘        │
 00:a0:de:21:22:23  │
 赋予172.16.1.4     │
                    │
      ┌─┐        │
      │×+────+ 
      └─┘        │
      其它
 禁止对外部的访问
[设置步骤]
# dhcp service server
# dhcp scope 1 172.16.1.2-172.16.1.127/24
# show status dhcp summary 1
DHCP范围号码: 1
1:        172.16.1.2:  00:a0:de:01:02:03, hostname_A
2:        172.16.1.3:  00:a0:de:11:12:13, hostname_B
3:        172.16.1.4:  00:a0:de:21:22:23, hostname_C
4:        172.16.1.5:  00:a0:de:31:32:33, hostname_D
5:        172.16.1.6:  00:a0:de:41:42:43, hostname_E
# dhcp convert lease to bind 1 1 2 3
# dhcp scope lease type 1 bind-only
# ethernet filter 1 pass-nolog dhcp-bind 1
# ethernet lan1 filter in 1
[解说]
  1. # dhcp service server
    使其作为DHCP服务器工作。
  2. # dhcp scope 1 172.16.1.2-172.16.1.127/24
    作为DHCP服务器,设置赋予客户端的地址范围。
    之后在各个终端进行获取IP地址等动作,使DHCP服务器能够管理客户端的分配信息。
  3. # show status dhcp summary 1
    显示分配给客户端的IP地址信息的概况。
    # show status dhcp summary 1
    DHCP范围号码: 1
      1:        172.16.1.2:  00:a0:de:01:02:03, hostname_A
      2:        172.16.1.3:  00:a0:de:11:12:13, hostname_B
      3:        172.16.1.4:  00:a0:de:21:22:23, hostname_C
      4:        172.16.1.5:  00:a0:de:31:32:33, hostname_D
      5:        172.16.1.6:  00:a0:de:41:42:43, hostname_E
    
  4. # dhcp convert lease to bind 1 1 2 3
    显示1,2,3号的分配信息转移至保留设置。
    例如,这种情况下,从1号的分配信息创建了
    dhcp scope bind 1 172.16.1.2 ethernet 00:a0:de:01:02:03
    的命令。
    并且,这个命令根据命令执行时刻的分配信息创建保留设置。
    如果已经经过了摘要显示至此转换命令执行的时间,本命令执行后,请用show config确认是否创建了预期的小组(PAIR)保留。
  5. # dhcp scope lease type 1 bind-only
    即使范围1的范围内的IP地址有空地址,也不分配IP地址给未保留的客户端。
  6. # ethernet filter 1 pass-nolog dhcp-bind 1
    # ethernet lan1 filter in 1
    关于从LAN1进入的数据包,仅使发送方MAC地址和IP地址与DHCP保留设置一致的数据包通过。

[使用secondary网络的设置范例1] 互联网访问

[概述]
  • 将已注册的终端(终端1)配置在主网络
    • 来自终端1的通信不过滤
  • 将未注册的终端(终端2)配置在secondary网络
    • 终端2只能访问公司内部的特定网络(192.168.100.0/24)
    • 对于未注册的终端也要使其能够进行必要的最低限度的公司内部访问
  • 未注册的终端(终端3)通过固定IP连接至主网络时
    • 拦截来自终端3的所有通信
  • 作为未注册的终端唯一能够访问的网络,配置192.168.100.0/24
    • 例如,在这里,只要配备邮件服务器/面向公司内部的Web服务器,就能够收到业务所需的最低限度的信息以及系统管理员发出的消息。
  • 路由器A作为DHCP服务器工作
[结构图]
           (primary) 192.168.0.0/24
         (secondary) 172.16.0.0/24
                    |
    +-------+       |
    | 终端1 +-------+
    +-------+       |
00:a0:de:01:02:03   |
 primary address    |
     (DHCP)         |
                    |
    +-------+       |
    | 终端2 +-------+
    +-------+       |
00:a0:de:11:12:13   |
secondary address   |        192.168.100.0/24
     (DHCP)         |               |
                    |               |
    +-------+       |               |
    | 终端3 +-------+               | lan3
    +-------+       |               | 192.168.100.1/24
00:a0:de:21:22:23   |            +--+------+
  192.168.0.200     +------------+ 路由器A +-----------> 连接外部网络
     (固定IP)       |       lan1 +---------+ lan2
                     (primary) 192.168.0.1/24
                   (secondary) 172.16.0.1/24
[设置步骤]
(省略WAN端的设置)

(路由器A)
# ip lan1 address 192.168.0.1/24
# ip lan1 secondary address 172.16.0.1/24
# ip lan3 address 192.168.100.1/24
# dhcp service server
# dhcp scope 1 192.168.0.2-192.168.0.5/24
# dhcp scope 2 172.16.0.2-172.16.0.5/24
# dhcp scope bind 1 192.168.0.2 ethernet 00:a0:de:01:02:03
# dhcp scope lease type 1 bind-only fallback=2
# ip filter 1 pass-nolog 192.168.0.0/24 *
# ip lan2 secure filter out 1
# ethernet filter 1 reject-log dhcp-not-bind 192.168.0.1
# ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
# ethernet lan1 filter in 1 2
[解说]
  1. # ip lan1 address 192.168.0.1/24
    # ip lan1 secondary address 172.16.0.1/24
    设置LAN端(lan1端口)的主地址和secondary地址。
  2. # ip lan3 address 192.168.100.1/24
    设置LAN端(lan3端口)的IP地址。
  3. # dhcp service server
    使其作为DHCP服务器工作。
  4. # dhcp scope 1 192.168.0.2-192.168.0.5/24
    # dhcp scope 2 172.16.0.2-172.16.0.5/24
    定义针对主/secondary网络的DHCP范围。
    因为省略了gateway 参数,所以将分别通知路由器的IP地址作为网关地址。
  5. # dhcp scope bind 1 192.168.0.2 ethernet 00:a0:de:01:02:03
    在主网络的DHCP范围(DHCP范围号码1)中保留终端1的IP地址。
  6. # dhcp scope lease type 1 bind-only fallback=2
    主网络的DHCP范围(DHCP范围号码1)中,对于保留了地址的终端分配已经保留的地址。
    从范围1分配地址失败时,尝试从范围2进行分配。
  7. # ip filter 1 pass-nolog 192.168.0.0/24 *
    # ip lan2 secure filter out 1
    仅使来自主网络的数据包通过连接外部网络。
  8. # ethernet filter 1 reject-log dhcp-not-bind 192.168.0.1
    # ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
    # ethernet lan1 filter in 1 2
    关于来自主网络的数据包,通过dhcp scope bind 命令抛弃来自未保留终端的数据包。
    来自非主网络的数据包使它们全部通过。
[参考]

如果想禁止从secondary网络(172.16.0.0/24)访问主网络(192.168.0.0/24),将IP过滤的设置进行以下的变更。
这种情况下,需要注意使其不过滤从secondary网络发至路由器A的DHCP数据包。

# ip filter 1 pass-nolog 172.16.0.0/24 192.168.100.0/24 *
# ip filter 2 pass-nolog 192.168.0.0/24 *
# ip filter 3 pass-nolog 0.0.0.0 *
# ip filter 4 pass-nolog 172.16.0.0/24 172.16.0.1 *
# ip lan1 secure filter in 1 2 3 4

[使用secondary网络的设置范例2] 互联网VPN

[概述]
  • 据点1/据点2/中心的三地结构
  • 中心/各据点之间通过互联网VPN连接
  • 终端注册通过中心端的路由器统一管理
  • 在各据点以及中心,将已注册的终端(终端A1/终端B1/终端C1)配置在主网络
    • 不过滤来自已注册终端的通信
  • 在各据点以及中心,将未注册的终端(终端A2/终端B2/终端C2)配置在secondary网络
    • 未注册的终端只能访问公司内部的特定网络(192.168.200.0/24)
  • 在各据点以及中心,未注册的终端(终端A3/终端B3/终端C3)通过固定IP连接至主网络时
    • 拦截所有来自这些终端的通信
  • 在中心配置192.168.200.0/24作为未注册终端唯一能够访问的网络
    • 例如,在这里,只要配备邮件服务器/面向公司内部的Web服务器,就能够收到业务所需的最低限度的信息以及系统管理员发出的消息。
  • 路由器A/路由器B作为DHCP中继代理工作
  • 路由器C作为DHCP服务器工作
[结构图]
(p): primary
(s): secondary
                                                (p) 192.168.0.0/24
                                                (s) 192.168.100.0/24
                                                           |
                                         +--------+        |
                                         | 终端C1 +--------+
                                         +--------+        |
                                      00:a0:de:61:62:63    |
                                       primary address     |
                                                           |
                                         +--------+        |
                                         | 终端C2 +--------+
                                         +--------+        |
                                      00:a0:de:71:72:73    |
                                      secondary address    |
         (p) 192.168.1.0/24                (DHCP)          |
         (s) 192.168.101.0/24                              |
                    |                    +--------+        |
   +--------+       |                    | 终端C3 +--------+
   | 终端A1 +-------+                    +--------+        |
   +--------+       |                 00:a0:de:81:82:83    |
00:a0:de:01:02:03   |                   192.168.0.200      |
 primary address    |                     (固定IP)         |
     (DHCP)         |                                      |
                    |                                      |
   +--------+       |                 (p) 192.168.0.1/24   |
   | 终端A2 +-------+                 (s) 192.168.100.1/24 |   192.168.200.0/24
   +--------+       |                                 lan1 |          |
00:a0:de:11:12:13   |                                 +----+----+     |
secondary address   |                          (中心) | 路由器C +-----+
     (DHCP)         |                                 +----+----+ lan3
                    |                                 lan2 |      192.168.200.1/24
   +--------+       |                                      |
   | 终端A3 +-------+                                      |
   +--------+       |          (据点1)                /----+---\
00:a0:de:21:22:23   |            +---------+          |        |
  192.168.1.200     +------------+ 路由器A +----------+        |
    (固定IP)        |       lan1 +---------+ lan2     |        |
                     (p) 192.168.1.1/24               |        |
                     (s) 192.168.101.1/24             |        |
                                                      |        |
                                                      |        |
                                                      |        |
         (p) 192.168.2.0/24                           |        |
         (s) 192.168.102.0/24                         |        |
                    |                                 |        |
   +--------+       |                                 |        |
   | 终端B1 +-------+                                 |  VPN   |
   +--------+       |                                 | tunnel |
00:a0:de:31:32:33   |                                 |        |
 primary address    |                                 |        |
     (DHCP)         |                                 |        |
                    |                                 |        |
   +--------+       |                                 |        |
   | 终端B2 +-------+                                 |        |
   +--------+       |                                 |        |
00:a0:de:41:42:43   |                                 |        |
secondary address   |                                 |        |
     (DHCP)         |                                 |        |
                    |                                 |        |
   +--------+       |                                 |        |
   | 终端B3 +-------+                                 |        |
   +--------+       |         (据点2)                 |        |
00:a0:de:51:52:53   |            +---------+          |        |
  192.168.2.200     +------------+ 路由器B +----------+        |
    (固定IP)        |       lan1 +---------+ lan2     |        |
                     (p) 192.168.2.1/24               \--------/
                     (s) 192.168.102.1/24
[设置步骤]
(省略各自的WAN端的设置)

(路由器A)

# ip lan1 address 192.168.1.1/24
# ip lan1 secondary address 192.168.101.1/24
# dhcp service relay
# dhcp relay server 192.168.0.1
# ip filter 1 pass-nolog 192.168.101.0/24 192.168.200.0/24
# ip filter 2 pass-nolog 192.168.1.0/24 *
# ip lan2 secure filter out 1 2
# ethernet filter 1 reject-log dhcp-not-bind 192.168.1.1
# ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
# ethernet lan1 filter in 1 2


(路由器B)

# ip lan1 address 192.168.2.1/24
# ip lan1 secondary address 192.168.102.1/24
# dhcp service relay
# dhcp relay server 192.168.0.1
# ip filter 1 pass-nolog 192.168.102.0/24 192.168.200.0/24
# ip filter 2 pass-nolog 192.168.2.0/24 *
# ip lan2 secure filter out 1 2
# ethernet filter 1 reject-log dhcp-not-bind 192.168.2.1
# ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
# ethernet lan1 filter in 1 2


(路由器C)

# ip lan1 address 192.168.0.1/24
# ip lan1 secondary address 192.168.100.1/24
# ip lan3 address 192.168.200.1/24
# dhcp service server

# dhcp scope 1 192.168.1.2-192.168.1.5/24 gateway 192.168.1.1
# dhcp scope 2 192.168.101.2-192.168.101.5/24 gateway 192.168.101.1
# dhcp scope bind 1 192.168.1.2 ethernet 00:a0:de:01:02:03
# dhcp scope lease type 1 bind-only fallback=2

# dhcp scope 3 192.168.2.2-192.168.2.5/24 gateway 192.168.2.1
# dhcp scope 4 192.168.102.2-192.168.102.5/24 gateway 192.168.102.1
# dhcp scope bind 3 192.168.2.2 ethernet 00:a0:de:31:32:33
# dhcp scope lease type 3 bind-only fallback=4

# dhcp scope 5 192.168.0.2-192.168.0.5/24 gateway 192.168.0.1
# dhcp scope 6 192.168.100.2-192.168.100.5/24 gateway 192.168.100.1
# dhcp scope bind 5 192.168.0.2 ethernet 00:a0:de:61:62:63
# dhcp scope lease type 5 bind-only fallback=6

# ip filter 1 pass-nolog 192.168.0.0/24 *
# ip lan2 secure filter out 1
# ethernet filter 1 reject-log dhcp-not-bind 192.168.0.1
# ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
# ethernet lan1 filter in 1 2
[解说]
(路由器A)
  1. # ip lan1 address 192.168.1.1/24
    # ip lan1 secondary address 192.168.101.1/24
    设置LAN端(lan1)的主地址和secondary地址。
  2. # dhcp service relay
    # dhcp relay server 192.168.0.1
    作为DHCP中继代理工作。
    将中心端的路由器指定为DHCP服务器。
  3. # ip filter 1 pass-nolog 192.168.101.0/24 192.168.200.0/24
    # ip filter 2 pass-nolog 192.168.1.0/24 *
    # ip lan2 secure filter out 1 2
    来自secondary网络的数据包仅使送向192.168.100.0/24的数据包通过。
    来自主网络的数据包使它们全部通过。
  4. # ethernet filter 1 reject-log dhcp-not-bind 192.168.1.1
    # ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
    # ethernet lan1 filter in 1 2
    关于来自主网络的数据包,在中心端的DHCP服务器中,抛弃来自未用dhcp scope bind 命令进行保留的终端的数据包。
    来自非主网络的数据包使它们全部通过。
(路由器B)
  • 省略
(路由器C)
  1. # ip lan1 address 192.168.0.1/24
    # ip lan1 secondary address 192.168.100.1/24
    设置LAN端(lan1)的主地址和secondary地址。
  2. # ip lan3 address 192.168.200.1/24
    设置LAN端(lan3)的IP地址。
  3. # dhcp service server
    使其作为DHCP服务器工作。
  4. # dhcp scope 1 192.168.1.2-192.168.1.5/24 gateway 192.168.1.1
    # dhcp scope 2 192.168.101.2-192.168.101.5/24 gateway 192.168.101.1
    # dhcp scope bind 1 192.168.1.2 ethernet 00:a0:de:01:02:03
    # dhcp scope lease type 1 bind-only fallback=2
    进行据点1的网络对应的DHCP服务器的设置。
    设置据点1的针对主/secondary网络的DHCP范围,向主网络保留终端A1的地址。
    主网络的DHCP范围(DHCP范围号码1)中未保留的终端从secondary网络的DHCP范围(DHCP范围号码2)分配地址。
  5. # dhcp scope 3 192.168.2.2-192.168.2.5/24 gateway 192.168.2.1
    # dhcp scope 4 192.168.102.2-192.168.102.5/24 gateway 192.168.102.1
    # dhcp scope bind 3 192.168.2.2 ethernet 00:a0:de:31:32:33
    # dhcp scope lease type 3 bind-only fallback=4
    对据点2进行和据点1相同的设置。
  6. # dhcp scope 5 192.168.0.2-192.168.0.5/24 gateway 192.168.0.1
    # dhcp scope 6 192.168.100.2-192.168.100.5/24 gateway 192.168.100.1
    # dhcp scope bind 5 192.168.0.2 ethernet 00:a0:de:61:62:63
    # dhcp scope lease type 5 bind-only fallback=6
    对中心进行和据点1相同的设置。
  7. # ip filter 1 pass-nolog 192.168.0.0/24 *
    # ip lan2 secure filter out 1
    仅使来自主网络的数据包通过流向外部。
  8. # ethernet filter 1 reject dhcp-not-bind 192.168.0.1
    # ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
    # ethernet lan1 filter in 1 2
    关于来自主网络的数据包,抛弃来自未用dhcp scope bind 命令进行保留的终端的数据包。
    来自非主网络的数据包使它们全部通过。

[使用secondary网络的设置范例3] 使用了过滤型路由控制的提供商的切换

[概述]
  • 将已注册的终端(终端1)配置在主网络
    • 终端1通过提供商A连接至互联网
  • 将未注册的终端(终端2)配置在secondary网络
    • 终端2通过提供商B连接至互联网
  • 未注册的终端(终端3)通过固定IP连接至主网络时
    • 拦截所有来自终端3的通信
[结构图]
   (primary) 192.168.0.0/24
 (secondary) 172.16.0.0/24
                    |
    +-------+       |
    | 终端1 +-------+
    +-------+       |
00:a0:de:01:02:03   |
 primary address    |
     (DHCP)         |
                    |               +-----> The Internet
    +-------+       |               |
    | 终端2 +-------+        +------+------+
    +-------+       |        |   提供商A   |
00:a0:de:11:12:13   |        +------+------+
secondary address   |               |                     +--> The Internet
     (DHCP)         |         +-----+----+                |
                    |         |调制解调器 |        +------+------+
    +-------+       |         +-----+----+         |   提供商B   |
    | 终端3 +-------+               |              +------+------+
    +-------+       |               | lan3                |
00:a0:de:21:22:23   |            +--+------+ lan2   +-----+-----+
  192.168.0.200     +------------+ 路由器A +--------+ 调制解调器 |
     (固定IP)       |       lan1 +---------+        +-----------+
                     (primary) 192.168.0.1/24
                   (secondary) 172.16.0.1/24
[设置步骤]
# ip lan1 address 192.168.0.1/24
# ip lan1 secondary address 172.16.0.1/24

# dhcp service server
# dhcp scope 1 192.168.0.2-192.168.0.5/24
# dhcp scope 2 172.16.0.2-172.16.0.5/24
# dhcp scope bind 1 192.168.0.2 ethernet 00:a0:de:01:02:03
# dhcp scope lease type 1 bind-only fallback=2

# nat descriptor type 1 masquerade
# nat descriptor address inner 1 192.168.0.2-192.168.0.5
# pp select 1
pp1# pppoe use lan3
pp1# pp auth accept chap pap
pp1# pp auth myname ID_A PASSWORD_A
pp1# ppp ipcp ipaddress on
pp1# ppp ipcp msext on
pp1# ip pp nat descriptor 1
pp1# ppp lcp mru on 1454
pp1# ip pp mtu 1454
pp1# pp enable 1
pp1# pp select none

# nat descriptor type 2 masquerade
# nat descriptor address inner 2 172.16.0.2-172.16.0.5
# pp select 2
pp2# pppoe use lan2
pp2# pp auth accept chap pap
pp2# pp auth myname ID_B PASSWORD_B
pp2# ppp ipcp ipaddress on
pp2# ppp ipcp msext on
pp2# ip pp nat descriptor 2
pp2# ppp lcp mru on 1454
pp2# ip pp mtu 1454
pp2# pp enable 1
pp2# pp select none

# ip filter 1 pass-nolog 192.168.0.0/24 * * * *
# ip filter 2 pass-nolog 172.16.0.0/24 * * * *
# ip route default gateway pp 1 filter 1 pp 2 filter 2

# ethernet filter 1 reject-log dhcp-not-bind 192.168.0.1
# ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
# ethernet lan1 filter in 1 2
[解说]
  1. # ip lan1 address 192.168.0.1/24
    # ip lan1 secondary address 172.16.0.1/24
    设置LAN端(lan1端口)的主IP地址和次IP地址。
  2. # dhcp service server
    # dhcp scope 1 192.168.0.2-192.168.0.5/24
    # dhcp scope 2 172.16.0.2-172.16.0.5/24
    # dhcp scope bind 1 192.168.0.2 ethernet 00:a0:de:01:02:03
    # dhcp scope lease type 1 bind-only fallback=2
    设置DHCP服务器的动作。
    在范围1内保留终端1的IP地址。
    对于范围1中保留的终端,从范围1分配已保留的地址,对于范围1中未保留的终端,从范围2分配空地址。
  3. # nat descriptor type 1 masquerade
    # nat descriptor address inner 1 192.168.0.2-192.168.0.5
    # pp select 1
    pp1# pppoe use lan3
    pp1# pp auth accept chap pap
    pp1# pp auth myname ID_A PASSWORD_A
    pp1# ppp ipcp ipaddress on
    pp1# ppp ipcp msext on
    pp1# ip pp nat descriptor 1
    pp1# ppp lcp mru on 1454
    pp1# ip pp mtu 1454
    pp1# pp enable 1
    pp1# pp select none
    设置向使用了lan3的提供商A的连接。
  4. # nat descriptor type 2 masquerade
    # nat descriptor address inner 2 172.16.0.2-172.16.0.5
    # pp select 2
    pp2# pppoe use lan2
    pp2# pp auth accept chap pap
    pp2# pp auth myname ID_B PASSWORD_B
    pp2# ppp ipcp ipaddress on
    pp2# ppp ipcp msext on
    pp2# ip pp nat descriptor 2
    pp2# ppp lcp mru on 1454
    pp2# ip pp mtu 1454
    pp2# pp enable 1
    pp2# pp select none
    设置向使用了lan2的提供商B的连接
  5. # ip filter 1 pass-nolog 192.168.0.0/24 * * * *
    # ip filter 2 pass-nolog 172.16.0.0/24 * * * *
    # ip route default gateway pp 1 filter 1 pp 2 filter 2
    使用过滤型路由控制分别进行路由控制,来自主地址的数据包给pp1(提供商A)、来自secondary地址的数据包给pp2 (提供商B)。
  6. # ethernet filter 1 reject-log dhcp-not-bind 192.168.0.1
    # ethernet filter 2 pass-nolog *:*:*:*:*:* *:*:*:*:*:*
    # ethernet lan1 filter in 1 2
    关于来自主网络的数据包,抛弃来自未用dhcp scope bind 命令进行保留的终端的数据包。
    来自非主网络的数据包使它们全部通过。

返回顶部Return to Top