پروتکل ARP در شبکه و کاربردهای آن – بخش دوم

 پروتکل ARP در شبکه و کاربردهای آن – بخش دوم

افزودن قابلیت Add ARP for Lease در DHCP میکروتیک

این ویژگی در روترهای میکروتیک برای ایجاد ارتباط بین آدرس IP و آدرس سخت افزاری MAC بکار میرود به طوری که توسط آن، ورودی ها برای این آدرس های سخت افزاری MAC در جدول اضافه خواهد شد. به طور معمول، این ویژگی الزامی نیست اما در برخی از مواقع میتواند مورد استفاده قرار گیرد. همانطور که پیشتر ذکر شد،به عنوان نمونه این قابلیت در روترهای میکروتیک به عنوان یک راهکار امنیتی در برخی از موارد مورد استفاده قرار گیرد. بدین صورت که اینترفیسی که DHCP Server روی آن اجرا شده، تنها به درخواست های ARP جواب بدهد(reply-only) این کار در قسمت تنظیمات اینترفیس قابل انجام میباشد. با این قابلیت، کامپیوترهایی که آدرس MAC متناظر با آدرس IP در روتر را جستجو می کنند، بتوانند یک Reply دریافت کنند ضمن اینکه سیستم عامل RouterOS هرگز ترکیب آدرس IP و MAC را در جدول ARP وارد نخواهد کرد. این مسئله موجب میشود تا دستگاه میکروتیک از تعامل با دستگاه های دیگر بر روی شبکه جلوگیری کند، به دلیل اینکه هیچ ورودی ARP برای آنها وجود ندارد.

حال سوال این است که این کار چطور با مکانیزم DHCP Server در میکروتیک ترکیب میشود؟

به طور معمول، حالت ARP بر روی هر یک از اینترفیس های روتر فعال می باشد. بدین معنی که هر نود میتواند یک آدرس IP را در محدوده آدرسی( که روتر دارد) بگنجاند و روتر نیز با آن ارتباط برقرار خواهد نمود. این روند هنگامی رخ میدهد که هر  نودی در شبکه می پرسد که کدام نود که روی روتر هست یک آدرس IP دارد. روتر هم با آدرس MAC خودش پاسخ میدهد. روتر هم همین روند مشابه رو تکرار میکند به طوری که از بقیه نودها میپرسد که چه نودی فلان IP را دارد و سپس کلاینت از طریق آدرس MAC پاسخ میدهد.  هنگامی که ARP Mode در وضعیت Enabled قرار دارد، این روند به طور نرمال انجام می شود. اما در هنگامی که در وضعیت reply-only باشد، نود میتواند آدرس MAC روتر را بگیرد اما روتر برای یافتن MAC های آدرس های IP دیگر، تلاش نمیکند. تنها روشی که روتر میداند که کدام آدرس MAC به کدام آدرس IP ارتباط دارد توسط انتساب یک آدرس MAC  و آدرس IP و سپس ورود آن به عنوان یک ورودی در جدول ARP می باشد. بنابراین با استفاده از ترکیب قابلیت reply-only و Add ARP for Leases روتر تنها به نودهایی که آدرس های IP از DHCP Server گرفتند پاسخ میدهد. آدرس های IP دیگر حتی اگر در Subnet درستی باشند هیچ ارتباط دوطرفه ای را با روتر نخواهند داشت.

 

جلوگیری از سرور DHCP غیرقانونی در شبکه

ارائه دهنده گان سرویس شبکه بی سیم که در لایه 2 در حال ارائه خدمات هستند با پدیده ای به نام Rouge DHCP-Server مواجه هستند. به بیان ساده این پدیده  از وجود یک سرور DHCP دیگر در همان دامنه پخش (Broadcast Domain) که سرور DHCP اصلی در حال ایفای نقش می باشد خبر میدهد. در واقع تنها باید یک عدد از این سرور در هر دامنه پخش وجود داشته باشد، اما وقتی مشتریان اطلاعات ناکافی داشته باشند، میتوانند با اتصال روتر یا مودم خانگی به شبکه وایرلس، موجب بروز دردسر در شبکه Service Provider شوند. فارغ  از این موضوع که کاربر بداند و یا اطلاعی نداشته باشد بسیاری از تولیدکنندگان تجهیزات شبکه برای جلوگیری از بروز این مشکل راهکارهایی را ارائه داده اند. معمولا این راهکارها توسط عدم اجازه بسته های DHCP-Discovery برای عبور از اینترفیس وایرلس به سمت اینترفیس اترنت سیمی هست. سیستم عامل RouterOS نیز از مکانیزم مشابهی پیروی میکند به طوری که اجازه عبور بسته ها را به سمت آدرس های کلاینت ها نمیدهد. این موضع به آسانی توسط قراردادن یک Filter Rule که این نوع از ترافیک را در bridge جلوگیری میکند، انجام میشود.

سیستم عامل میکروتیک یک ویژگی استاندارد دیگری هم به نام Authoritative دارد به طوری که سرور مدنظر شما را به عنوان سرور مورد تایید در broadcast domain در نظر خواهد گرفت. به طور پیش فرض تنظیمات Authoritative به صورت after-2sec-delay تنظیم شده است. ابن موجب میشود تا سرور DHCP شبکه ما قبل از سرو کار داشتن با درخواست کاربران به میزان 2 ثانیه صبر کند.  معمولا ما تمایل نداریم تا منتظر بمانیم برای همین به عنوان یک مدیر شبکه، اطلاع داریم که تنها سرور DHCP در شبکه کدام است و این سرور تنها سرور مورد تایید برای پاسخگویی به درخواستهای DHCP می باشد. با بیان این نکته، میتوان گفت که مکانیزم های فوق الذکر به عنوان یک راهکار جامع در هر نوع شبکه ای بکار می رود. به نظر میرسد که کاربران نباید به شبکه لایه 2 دسترسی داشته باشند و بمنظور جلوگیری از مشکلات به طور کلی  باید همیشه توسط روتر در segment مربوط به خودشان قرار گیرند. اگرچه که این موضع برای همه شبکه ها عملی نیست اما به عنوان یک هدف و آرمان برای هر مدیر شبکه ای می باید در نظر گرفته شود.

DHCP‐Relay چیست؟

این قابلیت به عنوان یک پراکسی عمل میکند بطوری که قادر است درخواستهای DHCP را دریافت نموده و آنرا به سرور DHCP واقعی برساند. در واقع در سمت سرور DHCP هم مشخص میکنیم که فقط درخواستهایی که از طرف DHCP-Relay میرسند پاسخ داده شوند، که این همان آدرس IP اینترفیسی است که نزدیکترین ارتباط را با سرور DHCP دارد. اگرچه که در هنگامی که تغیرات مسیریابی در روتر اتفاق بیافتد این آدرس تغییر یافته و از IP اینترفیس دیگری استفاده میشود لذا برای جلوگیری از این اتفاق، از آدرس local برای تعیین آدرس ارسال درخواست DHCP-relay به سرور DHCP استفاده میکنیم.

استفاده واقعی از DHCP-relay

این قابلیت اجازه میدهد تا یک سرور مرکزی DHCP برای توزیع همه آدرس ها داشه باشیم. در بسیاری از شبکه ها از همین مکانیزم استفاده میشود و از داشتن چندین سرور در بخشهای مختلف شبکه خودداری می شود. یکی از مزایای این کار نظارت بر آدرسهای اجاره داده شده می باشد و همچنین امکان این می باشد تا بتوان آدرسها را به صورت static در نظر گرفت و یا آنها را حذف نمود. در این راستا اسکریپت نویسی نیز میتواند برای اتوماتیک سازی وظایف مورد استفاده بگیرد که به راحتی در میکروتیک قابل پیاده سازی است.

همچنین یکی از نکات مهم و قابل توجه این است که باید محدوده استخر آدرس IP برای همه سرورهای توزیع IP و همچنین سرور های Relay به درستی تنظیم شود تا کلیت IP Addressing به درستی کار کند. در صورتی که یک شبکه Fully Routed Network به همراه افزونگی (redundancy) داشته باشیم، می بایست یک سیستم Loop Back برای انتساب آدرسهای Source درDHCP-Relay  پیاده سازی کنیم. برای آشنایی با این موضوع میتوانید به موضوع Loopback interface در مستندات شبکه میکروتیک مراجعه نمایید.

 

مفهوم DHCP ARP Inspection

یکی از مشکلات در حوزه توزیع آدرس IP این است که اگر کاربری که به طور اتوماتیک از DHCP Server آدرس دریافت میکند در میانه این راه آدرس آی پی خود را از Dynamic به Static تغییر دهد، موجب اختلال در شبکه خواهد شد. برای جلوگیری از اینکه کاربر بتواند آدرس Static IP   بگیرد 2 کار نیاز داریم:

  1. تغییر ARP mode به reply-only بر روی اینترفیسی که DHCP Server در حال اجرا هست.
  2. گام دوم انتخاب Add ARP for Lease در بخش تنظیمات DHCP Server می باشد.

با این روش ما کاربران را ملزم خواهیم کرد تا از طریق سرور DHCP آدرس IP را دریافت نمایند.

علی درزی

http://alidarzi.ir

ارسال یک پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

اینستاگرام