DHCP

Slackac
(usa Slackware)

Enviado em 23/08/2025 - 09:53h

Bom dia galera!

Estou com a seguinte situação: Tenho um servidor DHCP na rede - tenho uma faixa de IP /21 e na estrutura de rede serei obrigado a distribui uma nova faixa de IP /23 de uma faixa distinta da minha atual.
Para isso criei um Superescopo no DHCP e com isso consigo distribuir ambas faixas de IP na rede porém preciso que essas duas faixas se comuniquem como se fossem uma única, pois há servidores, estações de trabalho e impressoras por exemplo que precisam se comunicar entre as faixas diferentes.
Como configurar as duas faixas de rede de modo que se comuniquem entre si ?
Pensei no uso de VLAN’s mas fiquei na duvida se esta é a melhor solução para este caso.
Exemplificando:
Faixa atual: 10.0.0.1/21
Faixa adicional no mesmo DHCP: 10.2.0.1/23

Bem se puderem contribuir com ideias agradeço.

alexabolada
(usa Debian)

Enviado em 23/08/2025 - 09:54h

Bom dia. Vou responder em pontos. Frases curtas. Comandos formatados conforme pediu.

Resumo rápido.
- Suas duas faixas são sub-redes distintas.
- Um superscope só permite que o servidor DHCP distribua IPs.
- Não altera o roteamento nem o domínio de broadcast.
- Para "fazer parecer uma única rede" há 3 caminhos principais: renumerar (uma faixa única), juntar no mesmo domínio L2 (bridge/VLAN em L2) ou usar roteamento/relay com regras que permitam comunicação.

Explicações e opções.

1) Renumerar para uma única faixa (melhor se possível).
- Se puder remapear hosts para um bloco contínuo, é a solução mais limpa.
- Ajuste máscara e escopo DHCP.

2) Manter sub-redes diferentes e habilitar roteamento entre elas (recomendado).
- Use um roteador ou firewall (pode ser um host Linux).
- Habilite forwarding IP.
- Configure rotas nos gateways.
- Abra regras de firewall entre as redes apenas para os serviços necessários.

Exemplo em Debian (roteador Linux). Habilitar forwarding.

# sysctl -w net.ipv4.ip_forward=1


Salvar em /etc/sysctl.conf:

net.ipv4.ip_forward=1

 

Adicionar regras de firewall para permitir tráfego entre as sub-redes.

# iptables -A FORWARD -s 10.0.0.0/21 -d 10.2.0.0/23 -j ACCEPT


# iptables -A FORWARD -s 10.2.0.0/23 -d 10.0.0.0/21 -j ACCEPT


Se o roteador for o mesmo que fornece gateway dos hosts, não precisa NAT. Apenas rotas e regras.

3) Usar VLANs / L2 bridging.
- Se você "colocar tudo na mesma VLAN" vai compartilhar o mesmo domínio de broadcast.
- Porém, mesmo na mesma VLAN, o comportamento IP depende da máscara.
- Para hosts se enxergarem diretamente, eles precisam estar na mesma rede IP (mesmo prefixo/máscara).
- VLANs ajudam a separar/trafegar segmentos em switches. Não resolvem endereçamento por si só.

4) Proxy ARP ou IP alias (solução de contorno)
- Pode fazer o roteador responder ARP por IPs de outra sub-rede (proxy ARP).
- Funciona, mas é hacky e difícil de manter.
- Exemplo rápido (Linux): atribuir IP da sub-rede secundária e ativar proxy_arp.

# ip addr add 10.2.0.1/23 dev eth0


# sysctl -w net.ipv4.conf.eth0.proxy_arp=1


- Ainda precisa rotear e controlar firewall.

5) DHCP e superscope / relay
- Superscope (Windows DHCP) permite alocar scopes diferentes na mesma rede física.
- Não resolve comunicação entre sub-redes.
- Se scopes estiverem em redes físicas distintas, use DHCP relay (IP helper) no roteador.
- Em Debian você pode usar isc-dhcp-relay para encaminhar requisições DHCP ao servidor central.

Instalar relay em Debian:

# apt update && apt install isc-dhcp-relay -y


Configurar /etc/default/isc-dhcp-relay com os interfaces e o IP do servidor DHCP.

Recomendações práticas.
- Se possível, renumere para um bloco contínuo.
- Caso não possa, faça roteamento entre as sub-redes com regras de firewall específicas.
- Use VLANs para organização física/segurança.
- Use IPs estáticos para servidores e impressoras críticos, ou reserves via DHCP.
- Documente rotas e regras no seu ambiente.

Se quiser, eu monto um mini-playbook com passos concretos para o seu caso.
Diga se o gateway/roteador é Linux, switch gerenciável ou um roteador Windows/Cisco.

Slackac
(usa Slackware)

Enviado em 23/08/2025 - 10:48h

Obrigado pelo rápido retorno:
Vou seguir seu conselho e configurar o roteamento via Firewall, utilizo o firewall Fortigate, preciso definir nas configurações de roteamento estático e definir as politicas de Firewall para a nova faixa, correto ?