Este capítulo contém as seguintes seções:
• Visão geral das opções do servidor DHCP
• Vários escopos DHCP por interface
• Escopos de concessão de servidor DHCP
• Configurar opções avançadas do servidor DHCP
• Configurar o servidor DHCP para intervalos dinâmicos
• Configurar entradas de DHCP estáticas
• Configurar opções genéricas do DHCP para escopos de concessão de DHCP
O dispositivo de segurança Dell SonicWALL inclui um servidor DHCP (Protocolo de Configuração Dinâmica de Hosts) para distribuir endereços IP, máscaras de sub-rede, endereços de gateway e endereços de servidor DNS para seus clientes de rede. A página Rede > Servidor DHCP inclui definições para configurar o servidor DHCP do dispositivo de segurança Dell SonicWALL.
Você pode usar o servidor DHCP do dispositivo de segurança Dell SonicWALL ou usar servidores DHCP existentes em sua rede. Se sua rede usar seus próprios servidores DHCP, verifique se a caixa de seleção Habilitar servidor DHCP está desmarcada.
O número de faixas de endereços e endereços IP que o servidor DHCP do Dell SonicWALL pode atribuir depende do modelo, sistema operacional e das licenças do dispositivo de segurança Dell SonicWALL. A tabela abaixo mostra o máximo permitido de concessões DHCP para dispositivos de segurança Dell SonicWALL.
|
Visão geral das opções do servidor DHCP
Esta seção fornece uma apresentação do recurso Opções do servidor DHCP. Esta seção contém as seguintes subseções:
• O que é o recurso de opções do servidor DHCP Dell SonicWALL?
• Como funciona o recurso de opções do servidor DHCP Dell SonicWALL?
O que é o recurso de opções do servidor DHCP Dell SonicWALL?
O recurso de opções de servidor DHCP Dell SonicWALL oferece suporte para opções de DHCP, também conhecidas como extensões do fornecedor, conforme definido primeiramente nos RFCs 2131 e 2132. As opções de DHCP permitem aos usuários especificar parâmetros adicionais de DHCP na forma de informações predefinidas específicas de fornecedor que são armazenadas no campo de opções de uma mensagem DHCP. Quando a mensagem DHCP é enviada para clientes na rede, ela fornece configurações específicas de fornecedor e informações sobre o serviço. A seção Números de opções do DHCP fornece uma lista de opções DHCP pelo número de opção atribuído por RFC.
O recurso de opções de servidor DHCP Dell SonicWALL fornece uma interface simples para selecionar opções de DHCP pelo número ou nome, tornando o processo de configuração de DHCP fácil, rápido e compatível com os padrões DHCP definidos pelo RFC.
Como funciona o recurso de opções do servidor DHCP Dell SonicWALL?
O recurso de opções de servidor DHCP Dell SonicWALL permite a definição de opções DHCP utilizando um menu suspenso com base em números de opções definidos pelo RFC, permitindo que os administradores criem facilmente objetos de DHCP e grupos de objetos e configurem opções genéricas de DHCP para escopos de concessão de DHCP dinâmicos e estáticos. Uma vez definida, a opção DHCP é incluída no campo de opções da mensagem DHCP, a qual é então transmitida para clientes de DHCP na rede, descrevendo a configuração da rede e os serviços disponíveis.
O recurso de opções de servidor DHCP Dell SonicWALL suporta os seguintes padrões:
• RFC 2131 – Protocolo de configuração dinâmica de hosts
• RFC 2132 – Opções de DHCP e extensões de fornecedor BOOTP
Vários escopos DHCP por interface
As seções a seguir fornecem uma visão geral do recurso Vários escopos DHCP por interface:
• O que são vários escopos DHCP por interface?
• Benefícios de vários escopos DHCP
• Como funcionam os vários escopos DHCP por interface?
O que são vários escopos DHCP por interface?
Geralmente, os servidores e clientes de DHCP residem na mesma rede ou sub-rede IP, mas por vezes os clientes de DHCP e seus servidores DHCP associados não residem na mesma sub-rede. O recurso Vários escopos DHCP por interface permite que um servidor DHCP gerencie escopos diferentes para clientes abrangendo várias sub-redes.
Benefícios de vários escopos DHCP
Eficiência – um único servidor DHCP pode fornecer endereços IP para clientes abrangendo várias sub-redes.
Compatível com DHCP sobre VPN – o processamento de mensagens DHCP retransmitidas é tratado de maneira uniforme, independentemente da proveniência de um túnel VPN ou de um agente de retransmissão de DHCP.
Vários escopos para VPN entre locais – ao usar um servidor DHCP interno, poderá ser configurada uma sub-rede remota usando intervalos de escopo que diferem da sub-rede de LAN/DMZ. O intervalo de escopo da sub-rede remota é decidido pelo "Endereço IP de retransmissão" definido no gateway remoto.
Vários escopos para VPN de grupo – ao usar um servidor DHCP interno, poderá ser configurado um cliente Dell SonicWALL GVC usando intervalos de escopo que diferem da sub-rede de LAN/DMZ. O intervalo de escopo do cliente de GVC do Dell SonicWALL é decidido pelo "Endereço IP de retransmissão (opcional)" definido no gateway central.
Compatível com detecção de conflitos – atualmente, o servidor DHCP Dell SonicWALL executa a detecção de conflitos do lado do servidor quando esse recurso está habilitado. A vantagem de detecção de conflitos do lado do servidor é que ela detecta conflitos mesmo quando o cliente de DHCP não executa a detecção de conflitos do lado do cliente. No entanto, se existirem muitos clientes de DHCP na rede, a detecção de conflitos do lado do servidor pode resultar em esperas maiores pela conclusão da alocação completa do endereço IP. A detecção de conflitos e a pré-descoberta de rede não são executadas para um endereço IP que pertence a um escopo de sub-rede "retransmitido". O servidor DHCP somente executa uma verificação de ICMP de detecção de conflitos para um intervalo de sub-rede anexado à sua interface.
Como funcionam os vários escopos DHCP por interface?
Normalmente, um cliente de DHCP inicia um procedimento de alocação de endereço enviando uma mensagem de descoberta de DHCP de difusão. Uma vez que a maioria das rotas não encaminha pacotes de difusão, este método requer que servidores e clientes de DHCP residam na mesma rede ou sub-rede IP.
Quando os clientes de DHCP e o servidor DHCP associado não estão na mesma sub-rede, é necessário algum tipo de agente de terceiros (agente de retransmissão BOOTP, Auxiliar de IP, etc.) para a transferência de mensagens DHCP entre clientes e servidor. O agente de retransmissão de DHCP preenche o campo giaddr com seu endereço IP de interface de ingresso e, em seguida, encaminha-o para o servidor DHCP configurado. Quando o servidor DHCP recebe a mensagem, ele examina o campo giaddr para determinar se ele tem um escopo DHCP que possa ser usado para fornecer uma concessão de endereço IP ao cliente.
Figure 28:1 Várias sub-redes compartilhando um servidor DHCP
O recurso Vários escopos DHCP por interface fornece aprimoramentos de segurança para proteger contra possíveis vulnerabilidades inerentes permitindo acesso mais amplo ao servidor DHCP. A página Configurações avançadas de DHCP fornece segurança com uma nova guia para Agentes confiáveis, onde é possível especificar os agentes de retransmissão de DHCP confiáveis. O servidor DHCP descarta todas as mensagens retransmitidas pelos agentes que não estejam na lista.
Figure 28:2 Agentes de retransmissão de DHCP confiáveis
Se você desejar usar o servidor DHCP do dispositivo de segurança Dell SonicWALL, selecione Habilitar servidor DHCP na página Rede > Servidor DHCP.
As seguintes opções do servidor DHCP podem ser configuradas:
• Selecione Habilitar detecção de conflitos para ativar a detecção automática de conflitos de escopo DHCP em cada zona.
Compatível com detecção de conflitos – atualmente, o servidor DHCP Dell SonicWALL executa a detecção de conflitos do lado do servidor quando esse recurso está habilitado. A vantagem de detecção de conflitos do lado do servidor é que ela detecta conflitos mesmo quando o cliente de DHCP não executa a detecção de conflitos do lado do cliente. No entanto, se existirem muitos clientes de DHCP na rede, a detecção de conflitos do lado do servidor pode resultar em esperas maiores pela conclusão da alocação completa do endereço IP.
• Selecione Habilitar pré-descoberta de rede de servidor DHCP para que o servidor DHCP verifique se existem outras redes de servidor DHCP. As seguintes opções podem ser modificadas para personalizar o desempenho de pré-descoberta de rede do servidor DHCP:
– Período de detecção de conflitos de servidor DHCP—Define a frequência com que o servidor DHCP verifica se existem outras redes. O padrão é 300 segundos.
– Número de recursos DHCP a serem descobertos—Define o número de redes DHCP que são examinadas. O padrão é 10.
– Tempo limite para nova verificação de recurso em conflito—Define o período de tempo após o qual recursos em conflito são novamente verificados. O padrão é 1800 segundos.
– Tempo limite para nova verificação de recurso disponível—Define o período de tempo após o qual recursos disponíveis são novamente verificados. O padrão é 600 segundos.
Note A detecção de conflitos e a pré-descoberta de rede não são executadas para um endereço IP que pertence a um escopo de sub-rede "retransmitido". O servidor DHCP somente executa uma verificação de ICMP de detecção de conflitos para um intervalo de sub-rede anexado à sua interface.
Para configurar Objetos de opção, Grupos de opções e Agentes confiáveis, clique no botão Avançado. Para obter informações detalhadas sobre a configuração desses recursos, consulte Configurar opções avançadas do servidor DHCP.
Configurar a persistência do servidor DHCP
A persistência do servidor DHCP é a capacidade do firewall para salvar informações de concessão de DHCP e fornecer ao cliente um endereço IP previsível que não está em conflito com outro uso na rede, mesmo depois de reinicializar um cliente.
A persistência do servidor DHCP funciona com o armazenamento de informações de concessão de DHCP periodicamente na memória flash. Isso garante que os usuários tenham endereços IP previsíveis e minimiza o risco de conflitos de endereçamento IP após uma reinicialização.
A persistência do servidor DHCP fornece uma experiência perfeita quando um usuário reinicializa uma estação de trabalho. As informações de concessão de DHCP são salvas e o usuário mantém o mesmo endereço IP da estação de trabalho. Quando um firewall é reiniciado, normalmente devido a manutenção ou uma atualização, a persistência do servidor DHCP fornece os seguintes benefícios:
• Exclusividade do endereço IP: As informações de concessão são armazenadas na memória flash para que o risco de atribuição do mesmo endereço IP para vários usuários seja anulado.
• Facilidade de uso: Ao salvar as informações de concessão na memória flash, as conexões do usuário são automaticamente restauradas.
Para configurar a persistência do servidor DHCP, marque a caixa de seleção Habilitar persistência do servidor DHCP. Como alternativa, você pode modificar a frequência com que o servidor DHCP armazena informações de concessão de DHCP modificando o campo Intervalo de monitoramento da persistência do servidor DHCP. O padrão é 5 minutos.
Escopos de concessão de servidor DHCP
A tabela Escopos de concessão de servidor DHCP exibe os intervalos IP de DHCP configurados no momento. A tabela mostra:
• Tipo — Dinâmico ou estático.
• Escopo de concessão — A faixa de endereços IP, por exemplo, 172.16.31.2 - 172.16.31.254.
• Interface — A interface à qual a faixa está atribuída.
• Detalhes — Informações detalhadas sobre a concessão, exibidas como uma dica de ferramenta quando você passa o ponteiro do mouse sobre o ícone Detalhes.
Habilitar — Marque a caixa na coluna Habilitar para habilitar o intervalo do DHCP. Desmarque-a para desabilitar o intervalo.
• Configuração — Clique no ícone de configuração para configurar o intervalo do DHCP.
As informações de concessões de DHCP atuais são exibidas na tabela Concessões de DHCP atuais. Cada entrada de vinculação exibe o Endereço IP, o Endereço Ethernet e o Tipo de vinculação (Dinâmico, BOOTP dinâmico ou BOOTP estático).
Para excluir uma vinculação, o que libera o endereço IP no servidor DHCP, clique no ícone Excluir ao lado da entrada. Por exemplo, use o ícone Excluir para remover um host quando ele tiver sido removido da rede e você precisar reutilizar seu endereço IP.