네트웍상에 2개의 DHCP가 돌경우, 특정 IP대역만 우선 받는방법이 있을까요?

   조회 4582   추천 0    

쪽팔리면 질문하지 맙시다. 소중한 답변 댓글을 삭제하는건 부끄러운 일 입니다 

안녕하세요.

서로 물리적인 다른 네트워크가 있습니다.


하나는 10.0.0.xxx  대역이고,, 하나는 192.168.0.xxx 이런식으로 망분리가 되어있는 네트웍인데...

가끔가다가 2개의 네트워크가 서로 L2 섞이는 상황이 생깁니다. ( 누군가 물리적으로 L2스위치에  두 네트워크를 연결하는 상황) 

우선은 이런일이 생기지 않게 해야하는데, 운용과정에서 어처구니없게도 자주 발생하는 상황입니다. ㅠㅠ


이런경우, 해당 특정 10.0.0.xxx  대역만  클라이언트 PC에서 우선적으로 받게 할수 있는 방법이 있을까요?

참고로..

   1. 10.0.0.xxx  대역은   업무용 네트워크망  (PC에 연결)   - DHCP 서버 가동. ( L/3스위치 )

   2. 192.168.0.xxx 대역은 인터넷 전화기용 망 ( 전화기에 연결 )  - DHCP서버 가동 ( IP타임 공유기 ) 

   3. 이상황에서 어느 사용자가 인터넷 전화기에 두개의 랜선을 입력하는 상황이 발생 ( 인터넷 전화기는 L2 허브역할을 함 ) 

   4. 클라이언트 PC는 현재 192.168.0.xxx  IP주소를 항상 먼저 받아옴.

   5. 이 상황에서 클라이언트 pc가  10.0.0.xxx  IP 주소를 우선순위로 먼저 받아올수 있게 하는  방법이 무엇인지???


PC쪽에서의 설정이든... 공유기쪽에서의 설정이든... 아니면  업무망의 라우터쪽 설정이든 

방법을 알고 싶습니다.ㅠ


감사합니다.



williamLee
짧은글 일수록 신중하게.
Commander 2023-03
라우터에 접속해서 해당 장비에 호스팅을 거부하면 되는거 아닌가요?
     
williamLee 2023-03
안녕하세요. 제가 네트웍쪽은 잘 몰라서.. 구체적으로 어떻게 하면 될까요? ㅠㅠ
혹시 클라이언트 (윈도우OS)  딴에서 선택적으로 받을수 있는 설정이 있을까요?
아니면  해당 공유기나... 다른 네트웍장비단에서 어떤 설정을 건드려야 할지...
          
Commander 2023-03
일단은 라우터가 어떻게 동작해야할지 설계하고 작업을 지시하거나 수행하시는분이 아닐경우를 가정해서 말씀드린다면  사용자가 물리적으로 게이트웨이를 이중으로 연결하는, 즉 엉뚱한 랜선꼽기를 차단하는 방법 말고는  해결책은 없으실겁니다.
          
Commander 2023-03
윈도우시면  네트워크 어댑터 설정에서  게이트웨이 목록을 관리하는 옵션창이 따로 있습니다, 거기에 PC용의 게이트웨이를 입력하시고,  주소값 자체는 자동으로 받게하시면  엉뚱한 장비에 랜선을 꼽지 않는한  라우터에게 호스팅을 요청하고 라우터는 ip주소를  잘 줄겁니다
          
Commander 2023-03
댓글중에 DHCP의 선택권이 없다는 답글이 있는데 이는 윈도우에서 만큼은 전혀 사실이 아니오니  게이트웨이 주소를 사전에 넣으시면 잘 되실겁니다.  IPXE boot 이런걸 쓰실경우 DHCP 게이트 경로 선택권도 없습니다. (일반적 경우)
               
안철현 2023-03
저도 가능할것 같기도 한데.. 궁금해서 한번 테스트해보고 결과 공유하겠습니다.
                    
Commander 2023-03
DHCP 는 약어 그대로 다이나믹한 호스팅 기법입니다. 선택권이 없는건  장비 설계자가 의도한 바이지  기술자체는 양방향의 합의로 작동하는 기술입니다. 라우터가 먼저다 이런거 없습니다.
                         
안철현 2023-03
TCP/IP 셋팅에서 IP를 넣지 않고는 게이트웨이 입력이 안되네요.. ㅠ.ㅠ
IP를 입력하려면 수동으로 IP를 설정하거나, DHCP에서 IP를 할당받아야 하는데..

테스트를 하려는데 막혔습니다. ㅠ.ㅠ
IP는 자동할당으로 하고, 게이트웨이는 수동으로 설정하는 방법이 있으면 좀 공유해주셔요.
                         
Commander 2023-03
옵션창을 더 상세하게 보시기 바랍니다.. 이상 마치겠습니다.
                         
안철현 2023-03
고급설정에서 입력했습니다. 감사합니다.
               
williamLee 2023-03
네네.. 그러면.. 한번 제어판의  네트워크 설정에서 찾아보도록 하겠습니다. ㅠㅠ
많은것을 배웁니다 .감사합니다.
                    
안철현 2023-03
테스트 했는데.. 원하는대로 안되네요.. ㅠ.ㅠ
심플하게 ip타임 공유기2대를 이용해서 dhcp 서버 2개를 돌렸구요. ( 여기서는 게이트웨이 = dhcp 서버 입니다. )
게이트웨이1 = 192.168.0.1
게이트웨이2 = 192.168.1.1

192.168.1.1 로 게이트웨이(dpcp서버)를 강제로 지정하고 재부팅했는데..
192.168.0.1에서 dhcp 메시지를 먼저 받았는지..
192.168.0.1/24 네트워크가 설정되면서
아래와 같이 IP 설정이 되어버리네요.

지정하지않은 게이트웨이(DHCP)인 192.168.0.1에서 받은 IP와 게이트웨이 (192.168.0.2 / 192.168.0.1 ) 정보와
제가 지정한 게이트웨이 (192.168.1.1)가 짬뽕입니다.

게이트웨이를 수동으로 지정하더라도,
먼저 DHCP 브로드캐스팅 메시지를 받은 DHCP와 통신을해서 IP 설정이 되어버립니다.
이는 게이트웨이를 지정한다고해서 DHCP 서버 지정이 되지 않는다는 걸 의미하죠.


이더넷 어댑터 내장랜(1G):

  연결별 DNS 접미사. . . . :
  링크-로컬 IPv6 주소 . . . . : fe80::974b:b86f:3151:c77b%11
  IPv4 주소 . . . . . . . . . : 192.168.0.2  <== 실제로  DHCP를 통해서 셋팅된 IP
  서브넷 마스크 . . . . . . . : 255.255.255.0
  기본 게이트웨이 . . . . . . : 192.168.1.1  <== 제가 원했던 게이트웨이
                                192.168.0.1  <== 실제로  DHCP를 통해서 셋팅된 게이트웨이
                         
williamLee 2023-03
네... 저도 이와 같은 방법으로 예전에도 한번 테스트를 했는데도 잘 안되더라구요..
혹시 몰라서 양쪽 DHCP의 게이트웨이 다 입력하고 메트릭 설정까지 해도 안되더라구요..
                    
안철현 2023-03
혹시나 해서
windows 네트워크 설정 커맨드인
netsh dhcpclient 에서 지정가능한지도 확인해봤는데
dhcp 서버 지정명령은 따로 없네요.
               
williamLee 2023-03
음... ,네트워크설정에서...  ipv4 고급 옵션에서  게이트웨이를 PC대역(10.0.0...)  의 게이트웨이주소를 넣고  Ip설정은  자동(DHCP) 로 했는데도.
192.168..... (전화기 ) 대역의 IP를 받아오네요 ㅠㅠ
                    
안철현 2023-03
dhcp 서버들이 뿌리는 브로드캐스팅 패킷중에서
먼저 받은 메시지를 바탕으로 ip 설정이 이루어져서 그런것 같습니다.

dhcp 서버에서 뿌리는 dhcp 브로드캐스팅 패킷이 윈도우즈 클라이언트에 도달하지 않도록 차단하면 될것 같습니다.
                         
송주환 2023-03
안철현님 말씀이 맞습니다.책 한권 본 사람이 가장 무섭다고, OSI Layer는 왜 나오는지 모르겠네요. 하하
DHCP는 IETF에서 만들었으니, 굳이 레이어 구분을 들고 오려면 TCP/IP Protocol Suite를 가져와야 하는 것이 아닌지?

아무튼, RFC 2131에 따르면 DHCP 표준은 클라이언트가 Offer를 제공한 여러 서버 중 하나를 선택하는 방법을 정의하지 않습니다. 그리고 Windows의 dhcp client는 가장 먼저 offer를 제공한 서버를 대상으로 request를 전송합니다. 이게 이 이슈의 근본적인 원인이며, 윈도우의 dhcp client에서 이 동작을 제어할 방법은 없습니다. 세그먼트 구분이 어렵고, NAC을 쓰지 않는다면 AD와 방화벽을 통해 정책적으로 제어하는 것이 유일한 해결책이겠죠.
                    
Commander 2023-03
MAC ADDRESS를 새로이 갱신하셔야지요.. 이건 IP를 다루기 이전의 기초적인 부분입니다. 왜 엉뚱한 게이트와 연결 될까요.?
                         
안철현 2023-03
MAC 갱신을 하면 새로운 IP를 받아오긴 하죠.. 전혀 다른 단말로 인식을 하니..

문제는 두개의 DHCP중에서 내가 원하는 DHCP와 먼저 통신을 하기 위함입니다.
떠돌아다니는 DHCP 브로드캐스팅 메시지중에서 내가 원하는 DHCP 서버에서 보낸 메시지를
받아서 DHCP 설정을 하는게 최종 목표인데.

그런데 윈도우즈 10은  게이트웨이 수동으로 지정해도..
그 게이트웨의 DHCP 서버와  단말의 DHCP CLIENT가 반드시 통신을 하지 않는다는 점입니다.

IP 설정되기 이전 이야기라서
질문하신 분도 고민이신것 같습니다.

DHCP 프로토콜 구조 살펴보면 게이트웨어 설정으로는 답이 아닌것 같습니다.

DHCP 클라이언트가 DHCP discover 메시지를 브로드캐스팅하고
그 메시지를 받은 DHCP 서버가 OFFER 메시지를 브로드 캐스팅으로 보내는데..
여기서 DHCP 클라이언트가 직접 특정 DHCP 서버의 OFFER 메시지를 걸러 낼 수만 있으면 간단한데..
제가 능력이 모자란지 Commander 님이 알려주신 게이트웨이 변경으로는  잘 안되네요.
                         
Commander 2023-03
OSI는 계층으로 절대적인 순서라는게 있습니다. 전기가 흐르고 그다음이 데이터입니다 . L2데이터에 의도하지 않은 결과는 L1 부터 시작되는겁니다.

L2를 관여하는 상단의 장비측에서 L1을 스스로 제어하지 못한다면 사용자가 입력할수밖에 없습니다. 결국 양방향 작업일뿐입니다.

즉 단지 랜선만 연결했을뿐인데 의도하지 않은 상단의 장비가 호스팅을 하려했다면 L1을 제어에 실패한것이고, 이걸 수동적으로 처리하기위해선 양쪽이던 한쪽이던 L1값을 필터링 해야합니다. 무식한 펌웨어 설계의 한계점이라 봅니다. 결국 원점으로 돌아가 상단의 장비를 양쪽이던 한쪽이던 L1부터 MAC 값을 걸러낼수밖에 없어보입니다.
안철현 2023-03
클라이언트단에서 임의의 DHCP 서버를 선택하는 방법은 없습니다.

다만 특정 DHCP서버에서 보내는 인바운드 브로드캐스팅 패킷을 막아버리면 되긴하겠지만...
     
williamLee 2023-03
아하.. 그렇군요.. 궁금했던 부분인데.. 안되나보네요.
그럼  ' 인바운드 브로드캐스팅 패킷을 막아버리는 ' 설정은  어디서 해야할까요???
제가 네트웍쪽은 잘 몰라서.. ㅠ
          
안철현 2023-03
윈도우즈 방확벽 설정에서 가능합니다.

아렛분 의견대로
DHCP 서버에서 특정 단말(맥주소)에게만 IP를 할당하거나 거부하도록 할 수도 있을 듯 하구요..
          
안철현 2023-03
혹은 관리형 L2 스위치라면 특정 DHCP 서버의 MAC을 모두다 거부하도록 설정해서.. 패킷이 L2 스위치에서 못돌아 다니도록 하는것도
시도해볼만한 방법이구요
               
williamLee 2023-03
흠.. 결국에는 MAC 별로 접근 제어를 해야 하는 방향을 검토하라는 말씀이신거죠?
                    
안철현 2023-03
Dhcp 서버의 mac을 L2 스위치 포트 전체적으로 DENY해버리면 될것 같긴 합니다.
                         
williamLee 2023-03
아.. 업무용망에 있는 스위치가 관리형 L2 스위치라고 한다면...
그 스위치단에서  ip타임 공유기 자체의 MAC을  ACL 에서 차단하라는 말씀이신거죠?
     
Commander 2023-03
클라이언트에서 게이트웨이를 골라서 들어가면 될건데요. 방법이 없는건 아닌거같네요
          
안철현 2023-03
Dhcp서버와 통신한다음에 ip와 게이트웨이가 설정되기에...

DHCP가 뿌리는 브로드캐스팅 메시지를 클라이언트가 받지 않도록 조치해야 합니다.
김강호 2023-03
DHCP 서버에서 특정 맥만 허용하거나 거부 시키는 게 빠르겠네요
     
williamLee 2023-03
네네, 감사합니다. 그러기에는 디바이스 장비가 너무 많고.. 유동적이라.. 관리하기가 거의 불가능해서요 ㅠㅠ
          
김강호 2023-03
전화기 자산은 고정적이지 않나요? 번거로워도 해야죠.
               
williamLee 2023-03
네네.. 맞습니다.. 그런데.. 전화기를 들고  사무실을 여기저기 이동하는 케이스가 많습니다. ㅠㅠ
각 층마다  또 인터넷 전화기용 공유기는 따로 설치되어있어서... 각 층 공유기에 특정 전화기들의 Mac주소를
미리 등록해놓을수도 없는 상황입니다. ㅠㅠ
                    
김강호 2023-03
아이피타임이 어디까지 버텨줄진 모르겠지만, 모든 공유기에 모든 전화기의 MAC 주소를 때려박아보는 수 밖에 없겠네요.
박문형 2023-03
물리적으로 두 개의 망을 분리시키고 (스위치를 따로 두고)

데이터용 케이블은 회색을 사용하고  전화용 케이블은 파란색을 사용한다 정도로 해도 사용자의 실수는 적어지고

관리자의 편리함은 늘 것 같습니다..


전화용 네트워크는 퍼포먼스 재대로 나오고 튼튼한 스위치 사용하면 10/100 짜리라도 충분히 잘 돌아갑니다..

(물론 장비는 갑자기 다 구매하시지 마시고 테스트용으로 샘플 구매해서 충분히 테스트 해보고 전체 구매하세요..

10/100 스위치는 중고 업체에서 보기에는 계륵의 장비입니다..)



인터넷 전화기 사용할 때 데이터용과 스위치를 같이 사용하면 고장이 났을 때 어디가 문제인지 찾는데 시간이 많이 걸리고

둘 중 하나가 죽어도 전체 네트워크 다운이라는 심각한 문제가 나올 수도 있기에 여유가 되신다면 물리적으로 망분리 해주는 것이

어느 한쪽이 죽어도 다른 쪽은 돌아가고 둘 중에 어디가 문제라고 판단하기가 쉽습니다..
     
williamLee 2023-03
네네.. 이미 앞서말씀드렸다시피  기본적인 조치랑 인프라는 아주 잘 구성된 상태입니다.
UTP케이블도  샊깔별로 구분 되어있고.. 스위치도 모두  인터넷전화기용, PC용 모두다 분리가 되있는데;;
그럼에도 불구하고.. 사용자가 책상에 있는 인터넷전화기(허브역할도함)에대가  두개의 선을 모두 꼽아버리는 아주 괴랄한 케이스가 자주생겨서 입니다. ㅠㅠ
          
김강호 2023-03
그러면 전화기의 한쪽 포트를 막음조치 하시는 것도 임시방편 중 하나일 것 같습니다.
               
박문형 2023-03
+100

전화기 랜포트의 IP를 수동으로 셋팅이 가능하면 수동으로 고정시켜 버리는 것도 방법이 될 수 있을 듯합니다..
                    
williamLee 2023-03
전화기IP는  수동이든 자동이든 상관이 없는데요..
문제는 클라이언트PC가 엉뚱하게도 전화기 IP를 받아오는 상황이 생겨서 입니다.

원래 정책은  사용자가 고정IP를 써야하는데.. 외근나가서 쓰는 케이스가 많다보니..사용자의 편의성을 위해 사용자PC는
dhcp 설정을 허용하고 있습니다...
                         
김강호 2023-03
IP설정은 인터페이스를 따라가니, 사내 전용 USB 랜카드를 보급하고 거기에 IP 정보 입력해두라고 하는 방법도 있을거 같습니다. 외근 나갈 땐 USB를 통으로 뽑아버리구요.
박문형 2023-03
그렇게 해도 그런다면

만일 가능하면 사용자 컴퓨터 랜포트를 1개만 빼고 막아버려야죠..

실제 사용자 컴퓨터가 랜포트가 2개가 되는 경우는 사무용 컴퓨터에서는 드문 일이고 사용자가 랜카드를 가져와서 꼽지 않는 한은

일어나지 말아야 하는데 그런 것도 보안 통제가 가능하실지 모르겠습니다..



아니면 컴퓨터의 IP를 기존 DHCP 대역은 사용하되 자동으로 셋팅하지 말고 수동으로 셋팅하고 선번장 만들어두면 누가 그런 사고를 치는지

찾는데 편해질 듯합니다..

그 외 대부분을 고정 IP로 셋팅하고 공용으로 사용하는 장소는 약간의 DHCP 대역을 남겨두어도 되고요..
dragoune 2023-03
IP 전화기라면 VLAN 설정이 있을테니 전부 Tag VLAN을 태워버리시면 되지 않을까요?
한번 설정한 후에는 전화기 추가 셋팅할 때 Tag VLAN만 설정해주시면 됩니다.

메이커에 따라서는 PC연결용 포트에 중계하는 경우에도 VLAN 설정이 가능하니 그 반대로도 가능하고요
마왕 2023-03
Iptime 공유기 kt iptv 설정하면 1 번 포트가 kt iptv 지정포트인데 여기에 스위치 연결하고 ㅡiptv 와 여러 인터넷 기기를 연결하면 사설과 공인 ip 가 뒤섞입니다.

역시나 해결책은 tagged vlan 으 로 나눠서 망 분리 하는거죠.

이런 방법도 고려해 볼만 하네요.

인터넷 전화기 라인에 80포트나 원도우 파일이나 프린터 사용 포트를  블럭하면 인터넷 서핑이나 프린터나 파일공유가 안되기 때문에 사용을 막을수 있을 겁니다.

컴퓨터 사용에 필요한 필수 포트 몇개를 막으면 컴퓨가 안되기 때문에 sos 를 치겠지요.
술이 2023-03
두가지 방법이 존재합니다. 테스트 해보니 잘되네요.

첫번째는 VLAN으로 구분하면 그만이고...

두번째는 받고 싶지 않은 DHCP 대역을 윈도우 방화벽에서 UDP 67-68 받고싶지 않은 대역을 거부 정책 생성하면 원하는 DHCP만 받게 됩니다.

PC가 겁나게 많다 하면 AD같은거 만들어서 도메인 정책으로 뿌려야죠 머. 이것도 무리수다 그러면 파워쉘로 거부정책 만드는거 만들어서 전부 배치로 클릭하게 만들면 쉽게 되지 않을까 싶네요.
파닥파닥 2023-03
관리형 스위치의 경우 voice vlan 기능이 있고 특정 mac address 패턴에 대해서 명시적으로 해당 vlan 에 속하게 설정 가능합니다

물리 스위치를 나누는 방법도 답이지만 사용자 실수 방지를 하려면 위의 방법도 고민해 보시는것도 좋습니다
williamLee 2023-03
그새 많은 분들이 답글을 작성해 주셔서 많은 인사이트를 얻고 갑니다. 정말 감사합니다.
여기에 올라왔던 내용들 참고해서 적용해보고 후기 한번 올려보겠습니다.

감사합니다.


QnA
제목Page 3752/5706
2014-05   5131418   정은준1
2015-12   1666197   백메가
2014-12   4271   트렌드
2016-07   4271   analogue김…
2022-01   4271   newretrowave
2018-06   4271   보라매
2014-01   4271   악땅
2019-07   4271   NeTe
2016-03   4271   izegtob
2014-09   4271   천외천oo노…
2017-08   4271   호박고구마
2013-12   4271   아름다운노을
2014-08   4271   이유종
2008-08   4271   김상희
2019-03   4271   송주형
2016-02   4271   izegtob
2017-02   4271   앤드유저
2018-01   4270   iwill
2017-09   4270   이대창
2014-09   4270  
2014-11   4270   막울었어요
2019-05   4270   kino0924