CyberLaka

Механика простая, но часто вызывает вопросы. Разбираем по шагам.

1. Что делает DHCP Relay на коммутаторе

• Клиент в VLAN (например, VLAN 5, сеть 192.168.2.0/24) посылает DHCP Discover (broadcast).
• Так как broadcast не маршрутизируется, этот пакет до DHCP-сервера (например, в 192.168.1.0/24) не дойдёт.
• Коммутатор с включённой функцией dhcp relay перехватывает этот broadcast и отправляет его уже как unicast на указанный адрес DHCP-сервера (например, 192.168.1.10).
• При этом коммутатор подменяет поле giaddr (Gateway IP Address) в DHCP-запросе на свой IP-адрес интерфейса VLAN (в примере — 192.168.2.1).

2. Как DHCP-сервер выбирает пул

DHCP-сервер смотрит на поле giaddr в запросе. Это IP-адрес интерфейса relay-агента, из которого пришёл запрос.

• Если giaddr = 192.168.2.1, значит запрос пришёл от сети 192.168.2.0/24.
• DHCP-сервер подбирает scope / pool, привязанный к этой сети.
• На Windows DHCP это «Область» (Scope), настроенная на 192.168.2.0/24.
• На ISC DHCP (Linux) — это блок:

subnet 192.168.2.0 netmask 255.255.255.0 {
range 192.168.2.100 192.168.2.200;
option routers 192.168.2.1;
option domain-name-servers 8.8.8.8;
}

Таким образом, DHCP-сервер точно понимает, какой пул адресов и параметры (gateway, DNS, lease time и т. д.) нужно выдавать клиенту.

3. Почему это важно

DHCP Relay — это мост между сетями и сервером, без него DHCP в разных VLAN просто не работает. Но важно помнить: DHCP доверяет информации от relay-агента. Если в сети появится «лживый» DHCP-сервер, клиенты могут получить неправильные адреса или DNS → готовый MITM.

Защита:

• DHCP Snooping
• Dynamic ARP Inspection
• IP Source Guard

DHCP Relay работает просто: коммутатор добавляет в запрос свой адрес интерфейса, а сервер по нему понимает, из какой сети пришёл клиент и какой пул использовать.

Для сетевого инженера — базовая механика. Для специалиста по ИБ — ещё один узел, который важно держать под контролем.