DHCP Sunucu: Otomatik IP Dağıtımı ve DHCP Snooping
ISC DHCP ve Kea DHCP sunucusu kurulumu, statik IP rezervasyonları, DHCP relay ve DHCP snooping güvenlik yapılandırması.
DHCP Sunucu: Otomatik IP Dağıtımı ve DHCP Snooping
DHCP (Dynamic Host Configuration Protocol), ağdaki her cihaza el değmeden IP adresi, subnet mask, gateway ve DNS bilgisi dağıtan protokol. Küçük bir ev ağından kurumsal kampüs ağına kadar her ölçekte çalışır; bu rehber ofis ve veri merkezi perspektifinden isc-dhcp-server'dan Kea'ya geçişi, lease yönetimini, güvenlik tehditlerini ve DHCP snooping'i ele alır.
Not: Bu rehber dinamik IP atama odaklıdır. Sunucu/VDS üzerinde statik IP yapılandırması için ayrı rehberimize bakın.
DHCP Nasıl Çalışır — DORA Akışı
DHCP istemci-sunucu protokolü dört mesajla çalışır; bu döngüye DORA denir:
DORA (Dynamic Host Configuration):
1. DISCOVER İstemci → 255.255.255.255 broadcast "DHCP sunucu var mı?"
2. OFFER Sunucu → İstemci unicast* "192.168.1.100 kullanabilirsin"
3. REQUEST İstemci → 255.255.255.255 broadcast "192.168.1.100'ü istiyorum"
4. ACK Sunucu → İstemci unicast "Onaylandı, lease: 24 saat"
* İstemci henüz IP almadığından bazı senaryolarda OFFER da broadcast olabilir
** Ağda birden fazla DHCP sunucu varsa hepsi OFFER gönderir;
istemci ilk geleni REQUEST ile kabul eder, diğerleri iptal eder (DHCPNAK)
Lease Yaşam Döngüsü
Lease alındıktan sonra:
T1 (lease/2) → Sunucuya yenileme (DHCPREQUEST unicast)
T2 (lease×7/8) → Sunucu yanıt vermezse broadcast ile rebind
Expire → IP bırakılır, 0.0.0.0 ile yeni DISCOVER
Örnek: 24 saatlik lease
T1 = 12. saat (unicast yenileme dener)
T2 = 21. saat (broadcast rebind)
24. saat → expire (yeni DORA gerekli)
DHCP Option'ları
DHCP yalnızca IP vermez; opsiyonlar (RFC 2132) istemciye ağ ortamını anlatır:
| Option | Ad | Açıklama |
|---|---|---|
| 1 | Subnet Mask | 255.255.255.0 |
| 3 | Router | Gateway IP (varsayılan yol) |
| 6 | Domain Name Server | DNS sunucu listesi |
| 12 | Hostname | İstemcinin host adı |
| 15 | Domain Name | office.example.com |
| 51 | Lease Time | Saniye cinsinden kira süresi |
| 66 | TFTP Server Name | PXE boot sunucu adresi |
| 67 | Bootfile Name | PXE boot dosyası |
| 121 | Classless Static Routes | Ek statik rotalar (RFC 3442) |
| 252 | WPAD | Web Proxy Auto-Discovery URL |
PXE senaryosu: Option 66 ve 67 birlikte kullanıldığında istemci ağ üzerinden boot dosyasını indirir — sunucu kurulumlarını otomatikleştirmek için kritik. WPAD senaryosu: Kurumsal tarayıcılar Option 252 ile proxy ayarlarını DHCP'den alabilir.
ISC DHCP — Eski Standart (2022'de Destek Sona Erdi)
isc-dhcp-server yıllarca Linux DHCP sunucu standartıydı. ISC 2022'de desteği sona erdirdi ve yerini resmi olarak Kea'ya bıraktı. Hâlâ sistemlerde görüleceği için temel yapısını bilmek gerekiyor.
# Paket kurulumu
apt install isc-dhcp-server -y
# Arayüz seçimi
# /etc/default/isc-dhcp-server
INTERFACESv4="eth0"
INTERFACESv6=""
# /etc/dhcp/dhcpd.conf — temel yapı
default-lease-time 3600; # 1 saat
max-lease-time 86400; # 24 saat maksimum
authoritative; # Ağda yetkili DHCP sunucu
ddns-update-style none;
log-facility local7;
subnet 192.168.10.0 netmask 255.255.255.0 {
range 192.168.10.100 192.168.10.200;
option routers 192.168.10.1;
option subnet-mask 255.255.255.0;
option domain-name-servers 8.8.8.8, 1.1.1.1;
option domain-name "office.local";
option broadcast-address 192.168.10.255;
default-lease-time 3600;
max-lease-time 86400;
}
# MAC adresine göre sabit IP rezervasyonu (host blok)
host yazici-muhasebe {
hardware ethernet AA:BB:CC:11:22:33;
fixed-address 192.168.10.20;
option host-name "yazici-muhasebe";
}
host ip-kamera-giris {
hardware ethernet DD:EE:FF:44:55:66;
fixed-address 192.168.10.30;
}
# Servis yönetimi
systemctl enable --now isc-dhcp-server
systemctl status isc-dhcp-server
# Config doğrulama
dhcpd -t -cf /etc/dhcp/dhcpd.conf
# Aktif lease'leri görüntüle
cat /var/lib/dhcp/dhcpd.leases
Neden artık Kea? ISC DHCP tek process mimarisi, flat-file config, runtime reload eksikliği ve IPv6 desteğinin sınırlı olması nedeniyle modern ölçeğe uymaz. ISC'nin resmi tavsiyesi Kea'ya geçiş.
Kea DHCP — ISC'nin Modern Nesli
Kea, ISC'nin geliştirdiği yeni nesil DHCP sunucu. JSON config, REST API, veritabanı backend, IPv4/IPv6 ayrı daemon ve hooks mimarisi ile kurumsal DHCP yönetimini tamamen değiştirdi.
Kea Bileşenleri:
├── kea-dhcp4 — IPv4 DHCP sunucu daemon
├── kea-dhcp6 — IPv6 DHCP sunucu daemon (ayrı process)
├── kea-dhcp-ddns — Dinamik DNS güncelleme
└── kea-ctrl-agent — REST API (config reload, istatistik)
Kea Kurulumu (Debian/Ubuntu)
# ISC Kea resmi repo (önerilen — paket repo güncel sürümü içermeyebilir)
curl -1sLf 'https://dl.cloudsmith.io/public/isc/kea-2-6/setup.deb.sh' | bash
apt install isc-kea-dhcp4-server isc-kea-ctrl-agent -y
# RHEL/AlmaLinux için:
# curl -1sLf 'https://dl.cloudsmith.io/public/isc/kea-2-6/setup.rpm.sh' | bash
# dnf install isc-kea -y
Kea IPv4 Konfigürasyonu
// /etc/kea/kea-dhcp4.conf
{
"Dhcp4": {
"interfaces-config": {
"interfaces": ["eth0"],
"dhcp-socket-type": "raw"
},
"control-socket": {
"socket-type": "unix",
"socket-name": "/run/kea/kea4-ctrl-socket"
},
"lease-database": {
"type": "memfile",
"persist": true,
"name": "/var/lib/kea/kea-leases4.csv",
"lfc-interval": 3600
},
"valid-lifetime": 3600,
"max-valid-lifetime": 86400,
"subnet4": [
{
"id": 1,
"subnet": "192.168.10.0/24",
"pools": [
{ "pool": "192.168.10.100 - 192.168.10.200" }
],
"option-data": [
{ "name": "routers", "data": "192.168.10.1" },
{ "name": "domain-name-servers","data": "8.8.8.8, 1.1.1.1" },
{ "name": "domain-name", "data": "office.local" },
{ "name": "broadcast-address", "data": "192.168.10.255" }
],
"reservations": [
{
"hw-address": "aa:bb:cc:11:22:33",
"ip-address": "192.168.10.20",
"hostname": "yazici-muhasebe"
},
{
"hw-address": "dd:ee:ff:44:55:66",
"ip-address": "192.168.10.30",
"hostname": "ip-kamera-giris"
}
]
}
]
}
}
# Config doğrulama
kea-dhcp4 -t /etc/kea/kea-dhcp4.conf
# Servis başlat
systemctl enable --now isc-kea-dhcp4-server
systemctl status isc-kea-dhcp4-server
# Kea Control Agent
systemctl enable --now isc-kea-ctrl-agent
Kea REST API ile Runtime Yönetimi
Kea'nın en güçlü özelliği: servisi durdurmadan config değişikliği ve istatistik alma:
# Yapılandırmayı yeniden yükle (reload — sıfırdan başlatmaya gerek yok)
curl -s -X POST http://localhost:8000/ \
-H 'Content-Type: application/json' \
-d '{"command": "config-reload", "service": ["dhcp4"]}' | jq .
# Aktif lease sayısı
curl -s -X POST http://localhost:8000/ \
-H 'Content-Type: application/json' \
-d '{"command": "stat-lease4-get", "service": ["dhcp4"]}' | jq .
# Belirli bir lease'i sorgula
curl -s -X POST http://localhost:8000/ \
-H 'Content-Type: application/json' \
-d '{"command": "lease4-get", "service": ["dhcp4"],
"arguments": {"ip-address": "192.168.10.105"}}' | jq .
Statik IP Rezervasyonu — MAC → IP Eşleme
Rezervasyon, belirli bir donanım adresine (MAC) her seferinde aynı IP'yi tahsis eder. Bu "dinamik IP" anlamında kayıp değil — kira protokolü yine işler, sadece kira her seferinde aynı adrese gider.
ISC DHCP'de:
host poe-switch-kat2 {
hardware ethernet 00:1A:2B:3C:4D:5E;
fixed-address 192.168.10.51;
option host-name "poe-switch-kat2";
# Sadece bu host için farklı DNS:
option domain-name-servers 192.168.10.5;
}
Kea'da "global" rezervasyon — subnet sınırını aşan (farklı subnet'lere de gidebilen) rezervasyon:
{
"Dhcp4": {
"reservations": [
{
"hw-address": "00:1a:2b:3c:4d:5e",
"ip-address": "192.168.10.51",
"hostname": "poe-switch-kat2",
"option-data": [
{ "name": "domain-name-servers", "data": "192.168.10.5" }
]
}
],
"reservations-global": true,
"reservations-in-subnet": false
}
}
Kea, subnet düzeyinde (reservations-in-subnet) veya global düzeyde rezervasyon ayırt eder. Global rezervasyon birden fazla subnet içeren ortamlar için esneklik sağlar.
DHCP Relay — Çoklu Subnet ve VLAN Ortamı
DHCP DISCOVER broadcast'tir; router'lar normalde broadcast'i başka ağ segmentine iletmez. DHCP relay agent bu sorunu çözer: her VLAN'daki relay agent, istemci broadcast'lerini merkezi DHCP sunucusuna unicast olarak iletir.
Mimari:
VLAN 10 (192.168.10.0/24)
İstemci broadcast → [L3 Switch / Router]
│ Relay forward (unicast)
↓
Merkezi DHCP Sunucu
│ (OFFER/ACK doğrudan istemciye)
↓
VLAN 20 (192.168.20.0/24)
İstemci broadcast → [L3 Switch / Router]
Linux üzerinde relay (dhcrelay):
apt install isc-dhcp-relay -y
# /etc/default/isc-dhcp-relay
SERVERS="192.168.1.1" # DHCP sunucu IP'si
INTERFACES="eth1 eth2" # İstemci VLAN arayüzleri
OPTIONS="-a" # Relay Agent Information (Option 82)
systemctl enable --now isc-dhcp-relay
Cisco/Juniper switch'te ip helper-address:
! Cisco IOS — L3 VLAN arayüzünde
interface Vlan10
ip address 192.168.10.1 255.255.255.0
ip helper-address 192.168.1.100 ! DHCP sunucu IP
interface Vlan20
ip address 192.168.20.1 255.255.255.0
ip helper-address 192.168.1.100
DHCP sunucusunda relay gelen subnet'ler için de subnet blokları tanımlanmış olmalı:
subnet 192.168.20.0 netmask 255.255.255.0 {
range 192.168.20.50 192.168.20.150;
option routers 192.168.20.1;
option domain-name-servers 8.8.8.8;
}
DHCP Failover ve Yüksek Erişilebilirlik
Tek DHCP sunucu = tek hata noktası. Üretim ağlarında HA zorunlu.
ISC DHCP failover:
# Primary sunucu
failover peer "dhcp-ha" {
primary;
address 192.168.1.1;
port 647;
peer address 192.168.1.2;
peer port 647;
max-response-delay 30;
max-unacked-updates 10;
load balance max seconds 3;
mclt 1800;
split 128; # 50/50 yük dağılımı (0-256 arası)
}
subnet 192.168.10.0 netmask 255.255.255.0 {
pool {
failover peer "dhcp-ha";
range 192.168.10.100 192.168.10.200;
}
option routers 192.168.10.1;
}
Kea HA hooks library: Kea'da HA, hooks mekanizmasıyla entegre — üç mod sunar:
"hooks-libraries": [
{
"library": "/usr/lib/x86_64-linux-gnu/kea/hooks/libdhcp_ha.so",
"parameters": {
"high-availability": [{
"this-server-name": "primary",
"mode": "hot-standby",
"heartbeat-delay": 10000,
"max-response-delay": 10000,
"max-ack-delay": 5000,
"max-unacked-clients": 5,
"peers": [
{ "name": "primary", "url": "http://192.168.1.1:8000/", "role": "primary", "auto-failover": true },
{ "name": "standby", "url": "http://192.168.1.2:8000/", "role": "standby", "auto-failover": true }
]
}]
}
}
]
Kea HA modları:
- hot-standby: Primary düşünce standby devreye girer, lease sync sürekli
- load-balancing: Her sunucu farklı IP havuzuna hizmet eder, paylaşımlı veritabanı
- passive-backup: Primary düşünce manuel müdahale gerekir
Kea HA için MySQL veya PostgreSQL backend önerilir — her iki sunucu aynı veritabanını kullanır, lease sync garanti altına alınır:
"lease-database": {
"type": "mysql",
"host": "192.168.1.50",
"name": "kea_db",
"user": "kea_user",
"password": "GIZLI_SIFRE"
}
DHCPv6 ve SLAAC Çakışması
IPv6'da IP adresi dağıtımı iki farklı yolla çalışır; ikisi çakışabilir.
IPv6 Adres Atama Yöntemleri:
SLAAC (Stateless Address Autoconfiguration — RFC 4862):
Router Advertisement (RA) M=0, O=0
→ İstemci kendi adresini prefix + EUI-64/random ile üretir
→ DHCP sunucu gerekmez
→ DNS almak için RDNSS (RFC 8106) veya DHCPv6
DHCPv6 Managed (RA M=1):
→ Adres DHCPv6 sunucudan alınır (SLAAC devre dışı)
DHCPv6 Other-Config (RA M=0, O=1):
→ Adres SLAAC ile, DNS/seçenekler DHCPv6 ile
→ Hibrit mod — en yaygın kurumsal senaryo
RA flag ayarı (radvd):
# /etc/radvd.conf
interface eth0 {
AdvSendAdvert on;
prefix 2001:db8:1::/64 {
AdvOnLink on;
AdvAutonomous on; # SLAAC açık
};
AdvManagedFlag off; # M=0: adres DHCPv6'dan değil
AdvOtherConfigFlag on; # O=1: DNS vb. DHCPv6'dan
};
Kea DHCPv6 (ayrı daemon):
apt install isc-kea-dhcp6-server -y
// /etc/kea/kea-dhcp6.conf
{
"Dhcp6": {
"interfaces-config": { "interfaces": ["eth0"] },
"preferred-lifetime": 3000,
"valid-lifetime": 4000,
"subnet6": [{
"id": 1,
"subnet": "2001:db8:1::/64",
"pools": [{ "pool": "2001:db8:1::100 - 2001:db8:1::200" }],
"option-data": [
{ "name": "dns-servers", "data": "2001:4860:4860::8888" }
]
}]
}
}
DUID (DHCP Unique Identifier): DHCPv6'da MAC yerine DUID kullanılır. Üç türü vardır: DUID-LLT (MAC + zaman), DUID-LL (sadece MAC), DUID-EN (kurumsal numara). Rezervasyon DUID ile yapılır.
Güvenlik Tehditleri
Rogue DHCP Server (Sahte DHCP)
Ağa bağlanan yetkisiz bir cihaz DHCP OFFER gönderirse istemcilere yanlış gateway, yanlış DNS dağıtır — klasik MITM (Man-in-the-Middle) vektörü.
Normal akış: İstemci → DHCP DISCOVER → Gerçek Sunucu → OFFER (doğru DNS/GW)
Saldırı: İstemci → DHCP DISCOVER → Sahte Sunucu → OFFER (saldırgan DNS/GW)
İstemci saldırganın trafiği üzerinden geçer
DHCP Starvation
Saldırgan sahte MAC adresleriyle yüzlerce/binlerce DHCPREQUEST gönderir, lease havuzunu tüketir. Meşru istemciler IP alamaz — DoS etkisi. Yersinia bu saldırıyı otomatikleştiren açık kaynak güvenlik test aracıdır:
# Penetrasyon testi / lab ortamı — üretimde KULLANMA
yersinia dhcp -attack 1 # DHCP starvation saldırısı simülasyonu
DHCP Spoofing
Starvation ile beraber: havuz tükendikten sonra sahte sunucu devreye girer, meşru istemcilere yanıt verir.
DHCP Snooping — L2 Güvenlik
DHCP snooping, yönetilen (managed) switch'in üstlendiği L2 güvenlik mekanizması. Anafikir basit: yalnızca güvenilir portlardan gelen DHCP sunucu yanıtlarına izin ver.
Trusted Port: DHCP sunucu veya uplink bağlı → OFFER/ACK geçebilir
Untrusted Port: Kullanıcı/istemci bağlı → OFFER/ACK engellenir, DISCOVER/REQUEST geçer
Snooping binding table: Hangi port, hangi VLAN, hangi MAC, hangi IP, ne zaman expire — switch bunu tutar. Bu tablo ARP Inspection ve IP Source Guard'ın da temelini oluşturur.
Cisco switch yapılandırması:
! Global DHCP snooping
ip dhcp snooping
ip dhcp snooping vlan 10,20,30
! Uplink portları (DHCP sunucuya giden) — trusted
interface GigabitEthernet0/1
ip dhcp snooping trust
! Kullanıcı/AP portları — untrusted + rate limit
interface range GigabitEthernet0/2 - 24
ip dhcp snooping limit rate 15 ! Saniyede max 15 DHCP paketi
! Doğrulama
show ip dhcp snooping
show ip dhcp snooping binding
show ip dhcp snooping statistics
HP/Aruba (ProCurve):
dhcp-snooping
dhcp-snooping vlan 10 20
interface 1
dhcp-snooping trust
Kablosuz ağlarda (WAP): AP'ye bağlı portlar untrusted olmalı — AP'nin uplink portu trusted, AP'nin kendisine bağlı istemci trafiği untrusted mantığıyla snooping çalışır. Bazı kurumsal AP'ler (örn. trunk modda çalışanlar) tagged VLAN üzerinden geçtiği için switch konfigürasyonu dikkat ister.
Option 82 (Relay Agent Information)
Snooping etkinken switch, istemci paketlerine Option 82 ekleyebilir — hangi port, hangi VLAN'dan geldiğini DHCP sunucuya bildirir. Merkezi izleme ve policy için kullanışlı.
ip dhcp snooping information option ! Option 82 etkinleştir
ARP Inspection (DAI) ve IP Source Guard
DHCP snooping binding table oluşturulduktan sonra iki güvenlik katmanı daha devreye girer:
Dynamic ARP Inspection (DAI)
ARP tablosunu zehirlemeye (ARP spoofing) karşı korur. Switch her ARP paketini binding table ile karşılaştırır:
Binding table: MAC aa:bb:cc:11:22:33 → IP 192.168.10.105 (port Gi0/5)
Gi0/5'ten gelen ARP: "aa:bb:cc:11:22:33 → 192.168.10.105" → İzin ver
Gi0/5'ten gelen ARP: "aa:bb:cc:11:22:33 → 192.168.10.1" → DROP (GW'yi çalıyor)
! Cisco DAI
ip arp inspection vlan 10,20
ip arp inspection validate src-mac dst-mac ip
interface GigabitEthernet0/1
ip arp inspection trust ! Uplink trusted
IP Source Guard
Yalnızca binding table'daki MAC-IP çiftinden gelen paketleri geçirir; başka kaynak IP kullanımını engeller — IP spoofing'e karşı:
interface GigabitEthernet0/5
ip verify source ! IP Source Guard etkin
Bu üç katman birlikte çalışır:Snooping → Binding Table → DAI (ARP koruması) + IP Source Guard (IP koruması)
Buyukweb VDS'lerde DHCP Perspektifi
Buyukweb VDS'lerinde IP dağıtımı statik olarak gerçekleşir: her sanal makine kurulumda sabit bir IP alır, KVM hypervisor seviyesinde atanır. İç ağda DHCP sunucu çalıştırılmaz; müşteri doğrudan sabit IP ile başlar.
Bu ne anlama gelir:
- Buyukweb VDS üzerinde DHCP istemcisi olarak yapılandırma gereksiz — IP zaten statik
- Kendi VDS'iniz içinde bir DHCP sunucu çalıştırmak isteyebilirsiniz: örneğin üzerinde birden fazla sanal makine veya container çalıştırıyorsanız, iç network için Kea kurabilirsiniz
- Ofis network'ü veya lab ortamı için Buyukweb VDS üzerinde merkezi DHCP sunucu kurabilirsiniz — VPN tüneli üzerinden şirket ağına hizmet verebilir
VDS dışı ortamlar (ofis / ev ağı): OpenWrt, pfSense, OPNsense ve MikroTik RouterOS hepsinin yerleşik DHCP sunucusu var. Kurumsal ofis için Kea'yı dedicated bir Linux VM üzerinde çalıştırmak tercih edilir; router/switch ise relay agent olarak kullanılır.
Teknik destek: 0850 302 60 70
Troubleshooting
dhcping — DHCP Sunucu Test
apt install dhcping -y
# DHCP sunucunun 192.168.10.1'e yanıt verip vermediğini test et
dhcping -s 192.168.10.1 -c 192.168.10.50 -i eth0
tcpdump ile DHCP Trafiği Yakalama
# Port 67 (sunucu) ve 68 (istemci) DHCP trafiğini yakala
tcpdump -i eth0 -n port 67 or port 68 -v
# PCAP dosyasına kaydet, Wireshark ile analiz
tcpdump -i eth0 -n port 67 or port 68 -w /tmp/dhcp-capture.pcap
Kea Log İzleme
# Canlı log akışı
journalctl -u isc-kea-dhcp4-server -f
# Son 100 satır
journalctl -u isc-kea-dhcp4-server -n 100
# Belirli zaman aralığı
journalctl -u isc-kea-dhcp4-server --since "2024-01-01 10:00:00" --until "2024-01-01 11:00:00"
Lease Dosyası İnceleme
# Kea memfile backend
cat /var/lib/kea/kea-leases4.csv
# Başlık + lease içeriği örneği:
# address,hwaddr,client_id,valid_lifetime,expire,subnet_id,fqdn_fwd,fqdn_rev,hostname,...
# 192.168.10.105,aa:bb:cc:11:22:33,,3600,1700000000,1,0,0,laptop-muhasebe,...
İstemci Tarafı Yenileme
# Linux — DHCP'den vazgeç ve yeniden al
dhclient -r eth0 # Lease'i bırak (DHCPRELEASE gönderir)
dhclient eth0 # Yeni lease al
# NetworkManager ortamında
nmcli con down "Wired connection 1"
nmcli con up "Wired connection 1"
# systemd-networkd ortamında
networkctl renew eth0
Yaygın Sorunlar
| Belirti | Olası Sebep | Çözüm |
|---|---|---|
| İstemci IP alamıyor | Lease havuzu dolu | Havuz aralığını genişlet / lease süresini kısalt |
| Yanlış DNS alıyor | Rogue DHCP / config hatası | DHCP snooping etkinleştir, config kontrol |
| Rezervasyon çalışmıyor | MAC adresi eşleşmiyor (büyük/küçük harf) | ip link ile gerçek MAC'i doğrula |
| Farklı subnet DHCP alamıyor | Relay agent eksik | Switch'te ip helper-address yapılandır |
| Kea başlamıyor | JSON syntax hatası | kea-dhcp4 -t /etc/kea/kea-dhcp4.conf ile doğrula |
Sık Sorulan Sorular
ISC DHCP desteği tam olarak ne zaman sona erdi?
ISC, isc-dhcp-server için güvenlik güncellemelerini Ekim 2022'de sonlandırdı. Aktif geliştirme çok daha önce durmuştu. Yeni kurulumlar için Kea kullanın; mevcut isc-dhcp sistemlerini geçiş planına alın.
Kea'da config değişikliği nasıl uygulanır, restart gerekir mi?
Hayır. Kea Control Agent (REST API) üzerinden config-reload komutu gönderilir, servis kesintisiz devam eder. Bu ISC DHCP'ye göre büyük bir operasyonel avantaj.
VDS'imde DHCP sunucu kurmam gerekiyor mu?
Hayır, Buyukweb VDS'leri statik IP ile gelir. Kendi iç ağınız (containerlar, VM'ler arası) için istiyorsanız Kea kurabilirsiniz; bu Buyukweb tarafından engellenmez.
Kablosuz ağlarda DHCP snooping nasıl çalışır?
AP uplink portu trusted yapılır. Kablosuz istemciler AP üzerinden L2 trafiği geçirdiğinden, AP'ye bağlı switch portu untrusted kalır. Bazı enterprise AP'ler (Aruba, Ruckus) kendi DHCP snooping mekanizması da içerir; switch + AP koordinasyonu önemli.
DHCP starvation saldırısı nasıl tespit edilir?
Switch'te show ip dhcp snooping statistics ile DROP sayısı izlenir. Anormal DHCPDISCOVER burst'ü (saniyede 15+ aynı porttan) uyarı verilebilir. tcpdump ile port 67/68 trafiğini yakaladığınızda kısa sürede yüzlerce farklı MAC'ten gelen DISCOVER trafik örüntüsü görürsünüz.
Kea ile MySQL backend kurulumu için ne gerekir?
apt install isc-kea-dhcp4-server mariadb-server libmariadb-dev -y
mysql -u root -e "CREATE DATABASE kea_db; GRANT ALL ON kea_db.* TO 'kea_user'@'localhost' IDENTIFIED BY 'sifre';"
kea-admin db-init mysql -u kea_user -p sifre -n kea_db
Sonra kea-dhcp4.conf içinde "type": "mysql" olarak güncellenir.
pfSense / OPNsense'deki DHCP server Kea mı?
OPNsense 23.7'den itibaren Kea'ya geçti; pfSense hâlâ ISC DHCP kullanıyor (geçiş planlandı). Her ikisinde de GUI üzerinden temel yapılandırma yapılabilir, gelişmiş seçenekler için config dosyası editörü gerekir.
Sonuç
DHCP, ağın sessiz altyapı taşı. DORA akışını anlamak sorun gidermede kritik; option'lar özelleştirme için şart; ISC'den Kea'ya geçiş artık zorunlu bir planlama. Güvenlik tarafında DHCP snooping, DAI ve IP Source Guard üçlüsü kurumsal ağın L2 katmanını sahte sunucu, ARP zehirleme ve IP sahtekarlığına karşı korur.
Buyukweb VDS altyapısı statik IP üzerine kuruludur — siz yine de kendi iç ağınız için Kea'yı VDS üzerinde çalıştırabilir, ofis ağlarınıza merkezi DHCP hizmeti sunabilirsiniz.
Sorularınız için 0850 302 60 70 numaralı destek hattımıza veya iletişim sayfamıza yazabilirsiniz.
İlgili Büyükweb Hizmetleri
Ağ altyapısı ve sunucu ihtiyaçlarınız için:
Ağ & Network İlgili Hizmetlerimiz
Bu yazıda anlatılan teknik konuyu profesyonel altyapıyla deneyimleyin
Etiketler: