Настройка отказоустойчивого DHCP-сервера

Костюков Владимир

Команда форума
Админ
Регистрация
04.03.23
Сообщения
417
Реакции
67
1. Сгенерировать на КД секретный ключ omapi_key (далее используется для настройки серверов DHCP):
Код:
sudo dnssec-keygen -a HMAC-MD5 -b 128 -n USER DHCP_OMAPI
Kdhcp_omapi.+157+49226.key
2. Получить секрет ключа:
Код:
sudo cat Kdhcp_omapi.+157+49226.key
DHCP_OMAPI. IN KEY 0 3 157 M/G6oNesOzR23lwcm4BMvw==
3. Перейти на портале управления в раздел Роли и службы сайта — Служба динамической настройки узла и развернуть два сервера динамической настройки узла.
4. Добавить конфигурацию первого (основного) DHCP-сервера.
Пример настройки:
Код:
ddns-updates on;
update-conflict-detection false;
allow booting;
do-forward-updates on;
update-optimization on;
allow declines;
ddns-update-style interim;
include "/etc/dhcp/rndc.key";
ddns-domainname "";
update-static-leases off;
default-lease-time 129600;
max-lease-time 1296000;
authoritative;
option fqdn.no-client-update on;
option fqdn.rcode2 255;
option pxegrub code 150 = text ;
next-server 192.168.1.7;
option architecture code 93 = unsigned integer 16 ;
if option architecture = 00:07 { filename "bootx64.efi"; }
elsif option architecture = 00:09 { filename "bootx64.efi"; }
else { filename "pxelinux.0"; }

failover peer "failover-partner" {
    primary;
    address 192.168.1.5;
    port 519;
    peer address 192.168.1.6;
    peer port 520;
    max-response-delay 60;
    max-unacked-updates 10;
    mclt 3600;
    split 128;
    load balance max seconds 3;
}

subnet 192.168.1.0 netmask 255.255.255.0 {
    option routers                  192.168.1.1;
    option subnet-mask              255.255.255.0;
    option broadcast-address        192.168.1.255;
    option domain-name              "nii.test";
    option domain-name-servers      192.168.1.2;
    option domain-search            "nii.test";
    default-lease-time 21600;
    max-lease-time 43200;
    pool {
        failover peer "failover-partner";
        range 192.168.1.30 192.168.1.253;
    }

    zone nii.test. {
        primary 192.168.1.2;
        key "rndc-key";
    }
}

omapi-port 7911;
omapi-key omapi_key;
key omapi_key {
    algorithm hmac-md5;
    secret jqxXSz1KsVpKhmi8vT7pPA==;
}
Пример файла настройки сетевых интерфейсов:
Код:
# Defaults for isc-dhcp-server (sourced by /etc/init.d/isc-dhcp-server)
# Path to dhcpd's config file (default: /etc/dhcp/dhcpd.conf).
DHCPDv4_CONF=/etc/dhcp/dhcpd.conf
#DHCPDv6_CONF=/etc/dhcp/dhcpd6.conf
# Path to dhcpd's PID file (default: /var/run/dhcpd.pid).
DHCPDv4_PID=/var/run/dhcpd.pid
#DHCPDv6_PID=/var/run/dhcpd6.pid
# Additional options to start dhcpd with.
#       Don't use options -cf or -pf here; use DHCPD_CONF/ DHCPD_PID instead
#OPTIONS=""
# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
#       Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACESv4="eth0"
#INTERFACESv6=""
5. Скопировать с КД файл ключа /etc/bind/rndc.key на серверы DHCP-01 и DHCP-02 в каталог /etc/dhcp/.
6. Добавить конфигурацию второго (подчиненного) DHCP-сервера.
Пример конфигурации:
Код:
ddns-updates on;
update-conflict-detection false;
allow booting;
do-forward-updates on;
update-optimization on;
allow declines;
ddns-update-style interim;
include "/etc/dhcp/rndc.key";
ddns-domainname "";
update-static-leases off;
default-lease-time 129600;
max-lease-time 1296000;
authoritative;
option fqdn.no-client-update on;
option fqdn.rcode2 255;
option pxegrub code 150 = text ;
next-server 192.168.1.7;
option architecture code 93 = unsigned integer 16 ;
if option architecture = 00:07 { filename "bootx64.efi"; }
elsif option architecture = 00:09 { filename "bootx64.efi"; }
else { filename "pxelinux.0"; }

failover peer "failover-partner" {
    secondary;
    address 192.168.1.6;
    port 520;
    peer address 192.168.1.5;
    peer port 519;
    max-response-delay 60;
    max-unacked-updates 10;
    load balance max seconds 3;
}

subnet 192.168.1.0 netmask 255.255.255.0 {
    option routers                  192.168.1.1;
    option subnet-mask              255.255.255.0;
    option domain-name              "nii.test";
    option domain-name-servers      192.168.1.2, 192.168.1.3;
    option domain-search            "nii.test";
    default-lease-time 21600;
    max-lease-time 43200;
    pool {
        failover peer "failover-partner";
        range 192.168.1.30 192.168.1.253;
    }

    zone nii.test. {
     primary 192.168.1.2;
        key "rndc-key";
    }
}

omapi-port 7911;
omapi-key omapi_key;
key omapi_key {
    algorithm hmac-md5;
    secret jqxXSz1KsVpKhmi8vT7pPA==;
}
Пример файла настройки сетевых интерфейсов:
Код:
# Defaults for isc-dhcp-server (sourced by /etc/init.d/isc-dhcp-server)
# Path to dhcpd's config file (default: /etc/dhcp/dhcpd.conf).
DHCPDv4_CONF=/etc/dhcp/dhcpd.conf
#DHCPDv6_CONF=/etc/dhcp/dhcpd6.conf
# Path to dhcpd's PID file (default: /var/run/dhcpd.pid).
DHCPDv4_PID=/var/run/dhcpd.pid
#DHCPDv6_PID=/var/run/dhcpd6.pid
# Additional options to start dhcpd with.
#       Don't use options -cf or -pf here; use DHCPD_CONF/ DHCPD_PID instead
#OPTIONS=""
# On what interfaces should the DHCP server (dhcpd) serve DHCP requests?
#       Separate multiple interfaces with spaces, e.g. "eth0 eth1".
INTERFACESv4="eth0"
#INTERFACESv6=""
7. Запустить веб-интерфейс управления сервером FreeIPA — Сетевые службы.
8. Перейти во вкладку Зоны DNS — Прямая зона — Параметры и добавить в раздел Политика обновления BIND запись:
Код:
grant rndc-key wildcard * ANY;
9. Разрешить PTR-синхронизацию.
10. Перейти во вкладку Зоны DNS — Обратная зона — Параметры и добавить в раздел Политика обновления BIND запись:
Код:
grant rndc-key wildcard * PTR;
11. Разрешить PTR-синхронизацию.
12. Добавить на КД в файл /etc/bind/named.conf после блока options строку:
Код:
include "/etc/bind/rndc.key";
 
Последнее редактирование:
Назад
Сверху Снизу