Votre question

superscope DHCP et classID

Tags :
  • Dhcp
  • Internet
Dernière réponse : dans Internet
13 Août 2012 08:04:07

Salut les gens,

je cherche quelqu'un qui aurait deja mis en place un serveur DHCP utilisant les ClassID pour determiner l'attribution d'IP dans differents sous reseaux.

J'ai bien etudier la chose, commencer mes testes, mais je cale sur la methode pour gerer les ClassID correctement et surtout j'ai pas mal de difficultes a trouver de la doc sur le sujet.


Donc si quelqu'un en as deja eu l'experience, merci de me faire signe.

Autres pages sur : superscope dhcp classid

14 Août 2012 11:18:45

un petit histoire de... mais je crois que je viens de pulveriser le niveau technique des question sur tom's guide ^^
15 Août 2012 00:49:59

Tu es loin de battre des records avec ta question :) 

Pour déployer tes ClassID sur tes clients, tu peux utiliser des GPO ou des scripts (avec droits admin)

Explique ton problème plus en détails

En passant, les ClassID c'est aussi utile qu'un filtrage wifi par mac address => ça coute cher en administration et ça n'apporte presque rien
15 Août 2012 03:55:33

Tu m'en vois rassurer, mais dans le deluge de probleme de box et autre soucis mineur de connexion de ps3/xbox360 au net... raison pour laquel je traine peu dans cette section.



alors, ce n'est pas le deploiement sur les client qui me pose soucis.

Je m'explique dans mon superscope j'ai deux scope distinct :
scope principal : 10.0.0.1-10.0.3.254/22
scope secondaire : 10.0.4.0/22

je cherche a faire en sorte que les employes de la societe se retruove dans le scope principale. Pour ca je peux associer une classID a tout mes utilisateurs via les GPO (ca pas de soucis).
Ensuite je voudrais que tout les appareils sans classID se retrouve dans le scope secondaire (essentiellement pour les client, les intervenant externes et les appareils wifi perso).

Le probleme que je rencontre est le suivant.
un appareil avec un classID se retrouve bien dans le scope principal, mais un appareil sans classID se retrouve simplement kicker par le DHCP et recupere une IP en 169.

Du coup, je ne sais pas comment parametrer le serveur pour qu'il assigne les IP meme si il n'y a pas de classID, simplement dans leur assigner une IP d'un autre scope.




Et probleme subsidiaire j'ai quelque plateforme apple sur le reseau et apparement les plus ancien n'accepte pas les classID, tu as une astcue? (j'ai moyen de le faire autrement c'est juste par curiosite)
15 Août 2012 11:28:50

serveur DHCP doit être installé dans un ordinateur Windows 2000 Serveur / ...; Deuxièmement, comme un ordinateur serveur dhcp aurez besoin d'installer le protocole TCP / IP, et ses paramètres ... l'attribution d'adresse.<img src="http://www.hellodog.info/hardware.gif">
15 Août 2012 11:44:35

suprahumid78 a dit :
serveur DHCP doit être installé dans un ordinateur Windows 2000 Serveur / ...; Deuxièmement, comme un ordinateur serveur dhcp aurez besoin d'installer le protocole TCP / IP, et ses paramètres ... l'attribution d'adresse.<img src="http://www.hellodog.info/hardware.gif">


mais de quoi tu cause toi?
15 Août 2012 13:33:46

Ce que je ne comprends pas dans ton problème, c'est le besoin d'utiliser des class id pour determinier dans quel scope des postes doivent récupérer une adresse.
Les rares entreprises qui utilisent cette option le font pour fournir des options très spécifiques à leurs clients (en général pour des applications métiers) ou pour les empêcher de fonctionner avec un autre serveur dhcp.

Si tu as 2 réseaux logiques (10.0.1/22 et 10.0.4/22), tu as normalement 2 réseaux physiques (ou de niveau 2), donc un invité ne devrait pas pouvoir brancher un poste sur le réseau pro (contrôle d'accès physique aux bureaux), donc ne devrait pas pouvoir récupérer une adresse du scope pro.
Si tu veux sécuriser ton réseau, utilise du 802.1x (avec attribution dynamique du vlan en fonction du login)
Si tu as peur des dhcp pirates, fait du dhcp snooping

Si tu tiens vraiment à utiliser cette option, je crois qu'il faut la combiner avec des attributions statiques : tu fais un scope pro avec un class id et tu enregistre les attributions statiques, puis tu fait un autre scope, sans class id
16 Août 2012 08:07:02

Le but, et corrige moi si le me trompe (je n'ai jamais manipuler de reseau aussi avances), est de pouvoir cloisonnes les utilisateurs du second scope dans un mode internet only. (donc pas d'acces au serveur/imprimante/machine du bureau)
Je suis conscient que avec du vlan je dois pouvoir faire la meme chose et peut etre meme plus facilement, mais j'ai encore moins d'experience avec les vlan.

Faut savoir qu'a l'origine je suis developpeur et que le reseau je l'apprend sur le tas et en aillant bosser uniquement en PME, j'ai eu au mieux des parcs d'une petite centaine de machine au mieux.


Mon soucis majeur est que j'ai un parc de 150 machines utilisateurs (desktop et laptop), un reseau en 192.168.1.0/24 et de plus en plus d'utilisateurs qui debarquent avec leur appareil modile pour travailler (ipad, smartphone...) et je me retrouve donc regulierement a devoir puger les lease pour que les clients puissent acceder au reseau. Je ne peux pas leur limiter l'utilisation de leur appareil mobile car ils on ont reelement besoin pour bosser. (enfin le patron valide, du coup je peux rien dire).

Apres si tu pense qu'avec du vlan j'arriverai plus facilement a faire ce que je veux, pourquoi pas. Je ne suis pas dans l'urgence, j'ai le temps de me former.

16 Août 2012 21:26:01

Tu ne cloisonnera rien du tout en donnant telle ou telle ip à tes utilisateurs, il suffit que l'un se mette en IP fixe pour se faire passer pour un autre, ou pour faire tomber ton réseau.

Pour les vlans, c'est très simple à comprendre, c'est juste (en simplifiant à l'extreme) une techno qui permet de couper un switch physique en plusieurs switchs logiques.
Les switchs placent un TAG sur chaque paquet qui vient d'un port utilisateur et se servent de ce tag pour savoir si un paquet peut ou non arriver sur un autre port (et pas obligatoirement du même switch)

Si tes équipements (switchs et éventuellement AP) gèrent les vlans, c'est de loin le plus simple et le plus efficace.

Du point de vue physique, si un intervenant externe ne peut pas (ou que ce soit raisonnablement compliqué, à pondérer par le niveau de sécurité recherché) accéder aux prises rj45 des utilisateurs, c'est simple :

  • Tu place les prises des utilisateurs dans des vlans qui ont accès aux serveurs, les autres prises doivent être dans les vlans de type "invité", donc avec peu de droits=>en fonction de la prise, on a plus ou moins de droits
  • Pour le wifi tu fais plusieurs SSID (ou tu utilise plusieurs bornes), certains tombent dans des vlans collaborateurs, les autres dans des vlans invités=>en fonction du ssid on a plus ou moins de droits


  • Si l'accès physique aux prises est trop ouvert, ou trop contraignant (le patron qui veux bosser en filaire dans la salle d'attente), tu peux faire ton attribution de vlan en 802.1x (juste avec la mac address ou en utilisant un login/pass de ton annuaire), c'est un peu plus lourd à installer (il faut un serveur radius et configurer tous tes switchs pour faire du AAA), par contre une fois en place, tu peux dire que tel ou tel utilisateur/machine doit aller dans tel réseau juste en changeant un attribut dans ton annuaire.
    17 Août 2012 03:19:37

    Je vois, merci de ta reponse, bon ben je vais tranquillement revoir ma copie.

    Si jamais j'ai des soucis je repasserai poser deux ou trois questions.

    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS