Konfiguracja MikroTik — Część 57: MikroTik jako Centralny Serwer DHCP z Dynamicznymi Skryptami Provisioningu Urządzeń
Konfiguracja MikroTik — Część 57: MikroTik jako Centralny Serwer DHCP z Dynamicznymi Skryptami Provisioningu Urządzeń
Wprowadzenie
Zarządzanie urządzeniami końcowymi w sieci lokalnej, zwłaszcza w środowiskach firmowych, edukacyjnych lub IoT, wymaga coraz bardziej elastycznych i zautomatyzowanych rozwiązań. MikroTik, poza rolą klasycznego routera czy firewall’a, świetnie sprawdza się jako centralny serwer DHCP z możliwością automatycznego uruchamiania skryptów provisioningowych.
W tej części przybliżymy Ci, jak skonfigurować MikroTik jako DHCP Server z rozszerzoną funkcjonalnością: dynamicznym przypisywaniem adresów IP, skryptami uruchamianymi przy wydawaniu dzierżawy oraz automatyzacją integracji urządzeń z siecią.
Krok 1 — Konfiguracja Serwera DHCP
Podstawowa konfiguracja serwera DHCP na MikroTik jest prosta, ale możesz ją rozbudować o zaawansowane opcje:
/ip dhcp-server
add name=dhcp_office interface=bridge1 lease-time=1h address-pool=dhcp_pool authoritative=yes
/ip pool
add name=dhcp_pool ranges=192.168.50.100-192.168.50.200
/ip dhcp-server network
add address=192.168.50.0/24 gateway=192.168.50.1 dns-server=192.168.50.1 domain=local
Krok 2 — Definiowanie Lease Script dla Dynamicznej Obsługi
MikroTik pozwala na przypisanie skryptu, który uruchamia się automatycznie po przydzieleniu lub zwolnieniu adresu IP przez DHCP.
Przykład dynamicznego skryptu DHCP Lease:
/ip dhcp-server
set dhcp_office lease-script=":if (\$leaseBound = 1) do={ \
/log info (\"Nowe urządzenie DHCP: \" . \$\"lease-hostname\" . \" - \" . \$\"lease-active-address\"); \
/ip firewall address-list add list=dhcp_devices address=\$\"lease-active-address\" comment=\$\"lease-hostname\"; \
} else={ \
/log info (\"Urządzenie zwolniło DHCP: \" . \$\"lease-hostname\" . \" - \" . \$\"lease-active-address\"); \
/ip firewall address-list remove [find list=dhcp_devices address=\$\"lease-active-address\"]; \
}"
Dzięki temu każde nowe urządzenie trafia automatycznie do listy adresów IP monitorowanych przez firewall lub systemy SIEM.
Krok 3 — Integracja z Access Control
Stosując address-list, możesz dynamicznie sterować dostępem do sieci LAN, WAN czy VLAN:
/ip firewall filter
add chain=forward src-address-list=dhcp_devices action=accept comment="Zezwól urządzeniom DHCP"
add chain=forward action=drop comment="Blokuj pozostały ruch"
Krok 4 — Automatyczna Segmentacja Ruchu DHCP
Za pomocą firewall mangle oraz dynamicznych marków możesz zarządzać pasmem urządzeń przyłączonych dynamicznie:
/ip firewall mangle
add chain=prerouting src-address-list=dhcp_devices action=mark-connection new-connection-mark=dhcp_conn passthrough=yes
/queue tree
add name="DHCP Devices Limit" parent=global connection-mark=dhcp_conn limit-at=2M max-limit=5M
Krok 5 — Logowanie i Monitorowanie
MikroTik pozwala na logowanie zdarzeń DHCP, co pozwala na późniejsze analizowanie ruchu czy troubleshooting:
/system logging
add topics=dhcp action=memory
Dodatkowo możesz przesyłać logi do sysloga lub SIEM.
Krok 6 — Dynamiczny Provisioning IoT i Drukarek
Dzięki wykorzystaniu DHCP Option możesz kierować urządzenia na serwery provisioningowe lub TFTP, co jest szczególnie przydatne w sieciach VoIP, IoT i firmowych środowiskach drukarek sieciowych.
/ip dhcp-server option
add name="tftp-server" code=66 value="192.168.50.10"
# Przypisanie do serwera DHCP
/ip dhcp-server option-set
add name="iot-options" options=tftp-server
/ip dhcp-server
set dhcp_office option-set=iot-options
Krok 7 — Zaawansowane Scenariusze Wdrożeniowe
- Monitoring urządzeń BYOD — automatyczne przypisywanie do VLAN izolowanego
- Dynamiczne QoS dla gości — limitowanie pasma na podstawie lease-script
- Provisioning VoIP — automatyczne dostarczanie konfiguracji SIP
- Integracja z External API — lease-script może wywoływać Webhooki
Podsumowanie
Dzięki zastosowaniu DHCP z dynamicznymi skryptami na MikroTik możesz znacząco uprościć proces zarządzania urządzeniami w sieci oraz zautomatyzować działania, które wcześniej wymagały ręcznych interwencji. To idealne rozwiązanie dla administratorów, którzy chcą efektywnie kontrolować środowisko LAN, wprowadzać polityki bezpieczeństwa oraz mieć pełną kontrolę nad ruchem generowanym przez użytkowników i urządzenia końcowe.
Połączenie dwóch sieci WAN za pomocą VPN - Poradnik Połączenie dwóch sieci WAN za pomocą VPN (Virtual Private Network) pozwala Czytaj dalej
🛰️ RIPv1 vs. RIPv2: Kluczowe różnice i kiedy używać której wersji 📌 Wprowadzenie do protokołu RIP RIP (Routing Information Protocol) Czytaj dalej
