DHCP logging

CPE’ye göre method değişmektedir.

1 – Cisco : AAA (genelde radius) kullanılarak dhcp atamaları accounting kaydı olarak gönderilebilir. syslog pakedi olarak gönderilmek istendiğinde ise durum biraz zorlaşıyor. Bunun için ilk olarak dhcp debug açıp daha sonra syslog yapılandırması gerekiyor. Bu methoddaki sorun ise reboot vb sorunlarda, açılan debug silinmesidir. EEM kullanılarak reboot’dan sonra otomatik debug açan bir EEM script’i yazılabilir.

2 – Diğer bir çok CPE’de ise dhcp atamaları logging ile otomatik olarak syslog sunucusuna gönderilir.

Logging sunucusunun LAN’da veya WAN’da tanımlı olmasına göre’de başka bir sorun ortaya çıkar. WAN’da tanımlı olması durumunda cihazın ilk açılma zamanında bazı log kaybı olacakdır. CPE açılır açılmaz, dhcp sunucusu LAN DHCP isteklerine atama yapar. WAN henüz up olmadığı için, bu aşamadaki atamalara ait bilgiler logging sunucuna iletilemez ve bu bilgiler kaybolur. Bazı  gelişmiş CPE’lerde WAN up olasaya kadar dhcp sunucusunu açmıyacak gelişmiş scriptler yazılabilir. Ama genel olarak sorunu çözmez. Çözüm ise;

1- Syslog sunucusunu LAN’da kurmak ve merkezi bir sunucuda belli aralıklar ile bunu toplamak. Pek uygulanabilir değil. Her uç noktasına bu şekilde bir sunucu kurmak maliyetli olacakdır.

2 – DHCP atamalarını yerel CPE’den alıp merkesi bir DHCP sunucusuna taşımak (WAN’da bulunan). Merkezde bulunan domain controller, veya merkezdeki DHCP sunucusu bu amaç için kullanılabilir. En uygulanabilir yöntem bu olmaktadır. Zaten yasal zorumluluklardan dolayı, ip atamasını güvenlik nedeni ile tek bir yerden yapmak daha mantıklıdır. Bu şekilde en azından (dot1x vb methodları destekliyen CPE’ler var ise bu methodlar geliştirilmeli, bu şekilde onay verilmemiş cihazların fiziksel olarak bağlanması engellenmiş olur) dhcp ataması kontrollü olarak yapılabilir (mac2ip eşleştirmesi ile).