Exclusión de Direcciones IP en Servidores DHCP: Una Guía Detallada

By /

La gestión eficiente de las direcciones IP es fundamental para el correcto funcionamiento de cualquier red. El Protocolo de Configuración Dinámica de Host (DHCP) simplifica este proceso al automatizar la asignación de direcciones a los dispositivos. Sin embargo, en ocasiones, es necesario reservar o excluir ciertas direcciones IP del rango asignado por el servidor DHCP para evitar conflictos y asegurar la disponibilidad de direcciones para dispositivos críticos. Este artículo explora en profundidad el concepto de exclusión de direcciones IP en servidores DHCP, abarcando desde los principios básicos hasta configuraciones específicas en diferentes plataformas.

Diagrama de red con servidor DHCP

La Importancia de la Exclusión de Direcciones IP

La asignación dinámica de direcciones IP a través de DHCP ofrece flexibilidad y reduce la carga administrativa. No obstante, existen escenarios donde la asignación estática de una dirección IP a un dispositivo es indispensable. Esto puede deberse a la necesidad de acceso constante a un servidor, una impresora de red, o incluso a las propias interfaces de gestión de dispositivos de red como routers y switches.

Si un dispositivo se configura con una dirección IP estática que se encuentra dentro del rango que un servidor DHCP podría asignar, se corre el riesgo de conflictos de direcciones IP duplicadas. Esto puede causar interrupciones en la comunicación de red para ambos dispositivos implicados. Para mitigar este problema, la exclusión de rangos o direcciones IP específicas del pool de DHCP es una práctica recomendada.

Situaciones Comunes que Requieren Exclusiones

  • Servidores y Dispositivos Críticos: Servidores de bases de datos, servidores web, controladores de dominio, y otros servicios centrales requieren direcciones IP estáticas para garantizar su accesibilidad constante.
  • Impresoras de Red: Las impresoras de red a menudo se configuran con direcciones IP estáticas para facilitar su localización y gestión.
  • Interfaces de Red de Dispositivos de Infraestructura: Las interfaces de routers, switches (especialmente switches de capa 3), firewalls y puntos de acceso a menudo requieren direcciones IP estáticas para su administración y funcionamiento.
  • Equipamiento de Red Específico: Dispositivos como cámaras de seguridad, sistemas de telefonía IP, o cualquier otro equipo que necesite una dirección IP predecible.
  • Segmentación de Red y Control de Acceso: Como se menciona en la experiencia con Fortinet, se pueden utilizar rangos excluidos para implementar diferentes niveles de acceso a Internet (acceso completo, moderado, o sin internet).

Comprendiendo el Proceso de Creación de un Ámbito DHCP y sus Exclusiones

La creación de un nuevo ámbito DHCP, ya sea en un servidor Windows o en un dispositivo de red como un router Cisco, generalmente sigue un proceso guiado o una serie de pasos de configuración.

Creación de un Nuevo Ámbito DHCP (Ejemplo Windows Server Wizard)

El proceso de creación de un nuevo ámbito DHCP en un servidor Windows típicamente se inicia con un "Wizard de creación de un nuevo ámbito".

  1. Nombre y Descripción del Ámbito: En la primera ventana, se asigna un nombre descriptivo para el nuevo ámbito y una descripción que ayude a identificarlo entre todos los ámbitos disponibles. Esto es crucial para la organización y gestión futura.
  2. Intervalo de Direcciones IP y Máscara de Subred: En la siguiente pantalla, se define el intervalo de direcciones IP que el servidor DHCP podrá asignar a los clientes conectados a este ámbito. Simultáneamente, se proporciona la máscara de subred para los clientes.
  3. Creación de Exclusiones: Este es el punto clave para nuestro tema. En este paso, se presentan las exclusiones. Las exclusiones son direcciones IP situadas dentro del rango previamente creado que no se podrán usar para ser asignadas a los clientes de DHCP. Como se mencionó, estas se suelen usar, por ejemplo, para equipamiento de red o servidores que se sitúan dentro del rango.
  4. Duración de la Concesión (Lease Time): En la sección de Duración de la concesión, se establece el tiempo que durará la asignación de la IP proporcionada mediante DHCP a un cliente. Esta puede configurarse en días, horas o minutos. La configuración por defecto en servidores Windows es de 8 días, pero debe ajustarse a las necesidades de la organización.
  5. Configuración de Opciones DHCP: En "Configurar opciones DHCP", se brinda la posibilidad de configurar los datos que el servidor facilitará a los clientes en ese momento, o dejarlo para más adelante. Es recomendable hacerlo en este momento si se tiene claro. Se debe seleccionar "Configurar estas opciones ahora".
    • Enrutador (Puerta de Enlace Predeterminada): Lo primero que se necesita es proporcionar el enrutador o puerta de enlace predeterminada que se configurará en los clientes.
    • Servidores DNS: También se configuran las direcciones de los servidores DNS.
    • Nombre de Dominio: Se puede especificar el nombre de dominio.
  6. Ventana Final: Se muestra la ventana final del asistente, donde se recuerda la importancia de la alta disponibilidad del servicio, sugiriendo la configuración de un clúster de conmutación por error.

Interfaz de configuración de exclusiones de IP en DHCP

Configuración de Exclusiones en Dispositivos Cisco (CLI)

En el ámbito de las redes empresariales, los dispositivos Cisco son omnipresentes. La configuración de un servidor DHCPv4 en routers o switches de capa 3 es una tarea fundamental, y la exclusión de direcciones IP es una práctica recomendada.

La configuración se realiza principalmente a través de la interfaz de línea de comandos (CLI) del dispositivo Cisco. Los routers Cisco son los dispositivos más comunes para actuar como servidores DHCP en una red, aunque los switches de capa 3 también pueden hacerlo. Los pasos son prácticamente idénticos.

Pasos para Configurar un Servidor DHCPv4 en un Router Cisco

  1. Excluir Direcciones IP (Opcional pero Recomendado):Es una mejor práctica excluir las direcciones IP que se asignarán estáticamente a dispositivos como servidores, impresoras, o las interfaces propias del Router o Switch. Esto evita conflictos de direcciones IP. Se utiliza el comando ip dhcp excluded-address low-address [high-address].

    • Excluir una única dirección:R1(config)# ip dhcp excluded-address 192.168.10.1
    • Excluir un rango de direcciones:R1(config)# ip dhcp excluded-address 192.168.10.1 192.168.10.50Este comando se ejecuta en el modo de configuración global.

  2. Crear un Pool de Direcciones DHCP:Aquí se define el rango de direcciones IP que el servidor asignará a los clientes. Se ingresa al modo de configuración del pool con el comando ip dhcp pool NOMBRE_DEL_POOL, donde NOMBRE_DEL_POOL es un nombre descriptivo.

    R1(config)# ip dhcp pool LAN_POOLR1(dhcp-config)#

  3. Definir la Red del Pool:Dentro del modo de configuración del pool, debes especificar la red y la máscara de subred para las direcciones que se asignarán. Se utiliza el comando network DIRECCIÓN_DE_RED MÁSCARA_DE_SUBRED.

    R1(dhcp-config)# network 192.168.10.0 255.255.255.0

  4. Definir la Puerta de Enlace Predeterminada (Opcional pero Recomendado):Configurar la puerta de enlace predeterminada (default-router) permite a los clientes comunicarse con redes externas. Normalmente, el gateway es la interfaz LAN del router más cercano a los dispositivos clientes.

    R1(dhcp-config)# default-router 192.168.10.1

  5. Configurar los Servidores DNS (Opcional pero Recomendado):Se configuran las direcciones IP de los servidores DNS que los clientes utilizarán para resolver nombres de dominio.

    R1(dhcp-config)# dns-server 8.8.8.8 8.8.4.4

  6. Definir el Tiempo de Concesión (Opcional):El tiempo de concesión (lease time) determina cuánto tiempo un cliente puede usar una dirección IP antes de intentar renovarla. Se configura con el comando lease DÍAS [horas] [minutos] o lease infinite. El valor de arrendamiento predeterminado es un día.

    R1(dhcp-config)# lease 7 0 0 // Lease de 7 días

  7. Configurar Otras Opciones (Opcional):DHCP puede proporcionar información adicional utilizando la opción option CODE value.

  8. Habilitar el Servicio DHCP (por defecto está habilitado):Aunque el servicio DHCP está habilitado por defecto en IOS, si alguna vez se deshabilitó, se puede volver a habilitar con Router(config)# service dhcp.

Configuración Específica en Switches (Si actúan como servidor para una VLAN)

Si un switch de capa 2/3 actúa como servidor DHCP para una VLAN, debe tener una interfaz virtual de switch (SVI) configurada para esa VLAN con una dirección IP dentro del rango DHCP. Esta dirección IP en la SVI a menudo actúa como la puerta de enlace predeterminada para los clientes en esa VLAN.

Verificación de la Configuración DHCP en Cisco

Una vez configurado, es crucial verificar el funcionamiento. Los comandos clave incluyen:

  • show running-config | section dhcp: Muestra los comandos de DHCPv4 configurados.
  • show ip dhcp binding: Verifica el estado de las asignaciones de direcciones IP a direcciones MAC.
  • show ip dhcp server statistics: Muestra estadísticas sobre los mensajes DHCP recibidos y enviados.

Configuración de DHCP POOL en router cisco bien explicado y muy facil y sencillo

Experiencia con Fortinet: Desafíos y Posibles Soluciones

La gestión de DHCP en dispositivos FortiGate puede presentar particularidades, especialmente al actualizar versiones del sistema operativo (FortiOS). Un usuario reporta dificultades para excluir rangos de IP y realizar reservas de IP para MACs que no son asignadas por DHCP en la versión V5 Patch3, tras una migración desde versiones anteriores donde estas funciones estaban disponibles.

El Problema Reportado

El usuario tenía una configuración previa donde excluía un rango de la .40 a la .59 para acceso completo a Internet, asignaba un rango de la .60 a la .199 con Internet moderada, y excluía otro rango de la .200 a la .254 para usuarios "Sin internet". Tras la actualización, perdió esta configuración y no encuentra la interfaz gráfica para replicarla. Además, no puede reservar IPs a MACs que no son asignadas por DHCP.

Posibles Soluciones y Consideraciones

  1. Funcionalidad de Exclusiones en FortiOS:

    • Interfaz Gráfica: Es posible que la ubicación de la opción para excluir rangos de IP haya cambiado en las versiones más recientes de FortiOS. Se debe explorar la sección de Network > DHCP Server y las configuraciones de cada interfaz que actúa como servidor DHCP. A menudo, las exclusiones se configuran directamente en la definición del ámbito DHCP para una interfaz específica.
    • CLI (Command Line Interface): Si la interfaz gráfica no ofrece la opción deseada, la CLI es una alternativa robusta. Los comandos para configurar el servidor DHCP y sus exclusiones en FortiGate son específicos de FortiOS. Aunque el usuario preferiría evitar la CLI, si es la única solución, sería necesario consultar la documentación oficial de Fortinet para los comandos exactos de la versión utilizada.
      • Un comando genérico para configurar un servidor DHCP en una interfaz podría ser similar a:config system dhcp server edit <interface_name> set start-ip <start_ip> set end-ip <end_ip> set dns-service default set default-gateway <gateway_ip> config ip-range edit <range_name> set start-ip <start_ip_range> set end-ip <end_ip_range> next end config reserved-address edit <mac_address> set ip <static_ip> next end // La exclusión de rangos puede ser implícita al definir el rango de asignación // o a través de comandos específicos si existen para rangos de exclusión. nextend
      • La exclusión de rangos en FortiGate a menudo se logra definiendo el start-ip y end-ip del pool de asignación de forma que se omita el rango deseado, o mediante la configuración de direcciones reservadas que no se incluirán en el pool dinámico.

  2. Reservas de IP para MACs no Asignadas por DHCP:

    • La funcionalidad de "reservas" en DHCP está intrínsecamente ligada a la asignación de direcciones IP a través del protocolo DHCP. Si un dispositivo tiene una IP estática configurada manualmente, el servidor DHCP no tiene conocimiento de ella y, por lo tanto, no puede "reservarla" en el sentido tradicional de DHCP.
    • Solución: La forma de manejar esto es asegurarse de que las direcciones IP estáticas deseadas sean excluidas del rango de asignación dinámica del servidor DHCP. Si se desea que un dispositivo específico siempre reciba una IP particular, se configura esa IP estática en el dispositivo y se añade esa IP (o rango) a la lista de exclusiones del servidor DHCP. Alternativamente, se puede crear una reserva en el servidor DHCP para esa MAC, asegurando que si el dispositivo solicita una IP, se le asigne siempre la misma, pero esto asume que el dispositivo está configurado para obtener su IP vía DHCP. Si el dispositivo tiene una IP estática configurada manualmente, la reserva DHCP no tendrá efecto sobre él.

  3. Migración de Configuraciones:

    • Al migrar entre versiones mayores de sistemas operativos, es común que algunas configuraciones deban ser reconfiguradas. Es vital revisar las notas de la versión y la documentación de migración de Fortinet.
    • En algunos casos, las configuraciones previas pueden haber sido guardadas en archivos de respaldo que pueden ser importados o utilizados como referencia para reconstruir la configuración.

Reconstrucción de la Configuración de Exclusión de Rangos (Ejemplo Conceptual)

Si se desea replicar la configuración de exclusión de rangos mencionada (ej. .40-.59 para acceso completo, .60-.199 para moderado, .200-.254 sin internet), se requerirían múltiples ámbitos DHCP o configuraciones más avanzadas de políticas de red.

  • Enfoque de Rangos Excluidos:
    • Definir un pool DHCP principal que cubra, por ejemplo, de .40 a .254.
    • Luego, excluir el rango .40 a .59 para que no se asignen dinámicamente.
    • Excluir el rango .200 a .254.
    • Los dispositivos que necesiten acceso completo se configurarían con IPs estáticas dentro del rango .40-.59.
    • Los dispositivos que obtengan IPs dinámicamente recibirían IPs del rango .60-.199.
    • Los dispositivos que necesiten estar "sin internet" se configurarían con IPs estáticas dentro del rango .200-.254.
  • Enfoque de Múltiples Ámbitos (si la plataforma lo soporta):
    • Ámbito 1: Rango .40-.59, configurado para pleno acceso.
    • Ámbito 2: Rango .60-.199, configurado para acceso moderado.
    • Las IPs para "sin internet" se asignarían estáticamente y se excluirían de todos los ámbitos.

La clave está en que las exclusiones impiden que el servidor DHCP asigne esas direcciones dinámicamente, permitiendo su uso estático.

Implicaciones de Conflictos de Direcciones IP Duplicadas

La duplicación de direcciones IP en una red DHCP puede tener diversas consecuencias negativas, que van desde la intermitencia en la conexión hasta la imposibilidad total de comunicación para los dispositivos afectados.

  • Pérdida de Conectividad: Cuando dos dispositivos intentan utilizar la misma dirección IP, ambos pueden experimentar problemas de conectividad, ya que la red no puede determinar a cuál de los dos enviar el tráfico destinado a esa IP.
  • Problemas de Resolución de Nombres: Los conflictos de IP pueden interferir con los servicios de resolución de nombres, como DNS, haciendo que los dispositivos no puedan acceder a recursos por nombre.
  • Inestabilidad de la Red: La presencia de conflictos de IP puede generar inestabilidad general en la red, afectando a otros dispositivos y servicios.
  • Dificultad de Diagnóstico: Identificar y solucionar conflictos de IP puede ser un proceso tedioso, ya que a menudo requiere rastrear qué dispositivo está causando el problema.

Para resolver un conflicto de IP, una de las soluciones es convertir el dispositivo de red con la dirección IP estática a un cliente DHCP, si es factible, para que reciba una dirección IP única del pool DHCP. Sin embargo, si se requiere una IP estática, la exclusión de esa IP del rango DHCP es la solución correcta.

DHCPv4 como Servicio en Dispositivos de Red

La configuración de un servidor DHCPv4 en dispositivos como routers y switches de capa 3 es una característica valiosa en la administración de redes. Estos dispositivos pueden automatizar la asignación de direcciones IP y otros parámetros de red, simplificando enormemente la administración.

Funcionamiento Básico de DHCPv4

El proceso DHCPv4 implica un intercambio de mensajes entre el cliente y el servidor:

  1. DHCPDISCOVER: El cliente busca un servidor DHCP enviando un mensaje de difusión.
  2. DHCPOFFER: Los servidores DHCP que reciben la solicitud ofrecen una dirección IP y otros parámetros de configuración al cliente.
  3. DHCPREQUEST: El cliente acepta una de las ofertas y solicita formalmente la dirección IP.
  4. DHCPACK: El servidor confirma la asignación de la dirección IP y los parámetros al cliente.

Diagrama del proceso de descubrimiento, oferta, solicitud y acuse de recibo de DHCP

Retransmisión de DHCPv4 (DHCP Relay Agent)

En redes jerárquicas complejas, los servidores DHCP pueden estar ubicados en una subred separada de los clientes. Dado que los mensajes DHCP iniciales son de difusión, los routers, por defecto, no reenvían estas difusiones entre subredes. Para superar esto, se configura un agente de retransmisión DHCPv4 (DHCP Relay Agent).

El router, actuando como agente de retransmisión, recibe las difusiones DHCP de los clientes y las reenvía como mensajes de unidifusión a la dirección del servidor DHCP especificado. El comando clave para esto en Cisco IOS es ip helper-address <dirección_ip_servidor_dhcp>. Este comando, configurado en la interfaz del router que recibe la difusión del cliente, permite que las solicitudes DHCP alcancen al servidor centralizado.

De manera predeterminada, el comando ip helper-address reenvía varios servicios UDP, incluyendo DHCP (puertos 67 y 68).

Conclusión Parcial

La exclusión de direcciones IP del rango asignado por un servidor DHCP es una práctica esencial para mantener la estabilidad y la eficiencia de una red. Ya sea que se configure en un servidor Windows dedicado o en dispositivos de red como routers Cisco, el objetivo es el mismo: asegurar que las direcciones IP críticas permanezcan disponibles para asignaciones estáticas y evitar conflictos. Comprender las herramientas y comandos específicos de cada plataforma, así como las implicaciones de las configuraciones, es fundamental para una administración de red exitosa. La gestión de estas exclusiones, especialmente en entornos complejos y al migrar entre versiones de software, requiere atención al detalle y un conocimiento profundo de los protocolos de red.

tags: #buenos #dias #necesito #excluir #del #dhcp

Publicaciones populares:

  • Certificados SSL y credibilidad
  • Tutorial GPRS y Arduino
  • Evitar hackeos del módem
  • Acceder al Huawei LTE Wingle
  • Guía para reiniciar routers Cisco Claro