具有多个作用域的DHCP服务器正在向VLANs发出错误的is。

Question

我们正在重组网络，并将路由器/dhcp服务器配置为：

# public internet connection
auto eth0
iface eth0 inet static
    address 192.168.10.10
    netmask 255.255.0.0
    gateway 192.168.0.1

# intranet
auto eth1
iface eth1 inet static
    address 10.0.0.1
    netmask 255.128.0.0

# DHCP relay for WLAN
auto eth2
iface eth2 inet static
    address 10.254.0.1
    netmask 255.255.0.0

# DHCP relay for VPN
auto eth3
iface eth3 inet static
    address 10.253.0.1
    netmask 255.255.0.0 

DHCP服务器被设置为侦听eth1、eth2和eth3，并配置了以下作用域：

subnet 10.0.0.0 netmask 255.128.0.0 {
    range 10.100.0.0 10.100.255.255;
    option routers 10.0.0.1;
}

subnet 10.254.0.0 netmask 255.255.0.0 {
    range 10.254.1.0 10.254.255.255;
    option routers 10.254.0.1;
}

subnet 10.253.0.0 netmask 255.255.0.0 {
    range 10.253.0.0 10.253.255.255;
    option routers 10.253.0.1;
}

无线设备连接到我们的Wi路由器。每个Wi路由器都是静态地址(例如，10.254.0.2，网关设置为10.254.0.1)。然而，通过Wi连接的设备正在获得VPN地址(10.253.0.0)。

另外，我希望在10.100.x.x范围内的台式计算机也能获得VPN地址。

这是在Ubuntu12.04上。

我在互联网上发现的所有文档都表明这是正确配置的--但我想我肯定错过了什么。

Answer 1

恐怕我的问题和上面斯特曼的评论差不多是总结了一下，但我想我还是要把它说出来:VLAN与子网不一样。在任何新设备获得IP地址之前，无论是网络，还是DHCP服务器，都不知道您的计划将在哪个子网上结束，因此设备只是进行了一个通用的DHCP广播，并满足于DHCP服务器的“默认”范围，该范围似乎是10.253/16。

你有两个选择：

1. 您可以在物理上和逻辑上重新配置您的网络，前提是您有一个可管理的交换基础设施，并使用VLAN。这引入了无线子网上的设备、VLAN子网上的设备和桌面子网上的设备使用的网络端口之间的逻辑分离。DHCP服务器需要被告知VLAN，并且每个VLAN上都需要一个不同的逻辑网络设备；交换机必须允许DHCP服务器的数据包被标记，根据它们在哪个VLAN中。如果您想这样做的话，您将需要深入了解您的交换机基础结构，并阅读有关VLAN和802.1q标记的内容。
2. 您可以使用特定于每个子网的MAC地址列表配置DHCP服务器，然后当服务器被告知位于特定子网上的设备出现时，将从适当的池而不是默认池提供DHCP租约。

这两种方法都不是免维护的选择，但我发现(1)涉及大部分的前期工作，而(2)涉及的大部分努力正在进行中，因为新设备从你的网络来来去去。

编辑: HorusKol，我在下面的评论中接受您的观点:但是请注意，VPN范围现在是默认的，所以只要您能够逐项列出桌面和无线子网上的所有主机，您仍然可以选择选项(2)。默认情况下，所有其他设备都可以从VPN池中获取它们的地址。