Méthodologie – Migration d’un réseau en IP Fixe vers DHCP avec réservation MAC

Au cours de mes activités professionnelles j’ai eu à reprendre en main un réseau entièrement en IP fixe.
Dans une volonté de sécurisation de son réseau, l’administrateur avait décidé que chaque poste aurait son IP, des réglages en dur dans le fichier host, et des réglages DNS différents (serveurs DNS internes et externes à l’entreprise).
Aucun inventaire des ces configurations n’avait été fait. En bref, le réseau était fonctionnel mais extrêmement rigide en cas de changement de DNS, de passerelle, de serveur NTP etc ….

Nous allons voir ici les étapes parmi lesquelles nous sommes passés avec mon assistant Alex Bacher:

  • Installation des outils nécessaires
  • Acquisitions d’informations réseau: IP, adresses MAC, Nom DNS
  • Installation d’un serveur DHCP avec basculement
  • Intégration des machines scannées dans le DHCP avec réservation MAC

Etape 1: Inventaire IP

Afin de savoir à quel point notre réseau est occupé nous avons pris le parti de scanner le réseau. Or certains postes sont mobiles. PC Portables et Smartphones ne sont pas connectés en permanence.
Ainsi nous avons scripté un scan IP avec l’utilitaire FING, puis nous avons intégré notre script dans une tache planifiée.

 

1.1 Installation de FING

Vous pourrez télècharger FING via ce lien: https://www.fing.io/download-free-ip-scanner-desktop-linux-windows-osx/

Pour notre exemple nous utiliserons la version Windows de Overlook Fing.
Vous lancerez l’installeur, puis cliquerez sur “Suivant”.

Vous accepterez la licence, puis cliquerez sur “Suivant”.

Vous choisirez d’ajouter FING au PATH (variable d’environnement) afin d’avoir accès au CLI, Puis vous cliquerez sur “Suivant”.

Vous choisirez le dossier d’installation, puis cliquerez sur “Suivant”.

Vous choisirez le nom dans le menu Démarrer, puis cliquerez sur “Suivant”.

L’installation débutera.

En cas d’absence, Overlook FING installera WinPcap, nécessaire à ses fonctionnalités.
Vous accepterez la licence de WinPcap en cliquant sur “I Agree”.

Vous choisirez le dossier d’installation, puis cliquerez sur “Install”.

Une fois l’installation terminée, vous cliquerez sur “Next”.

Vous choisirez de démarrer le service WinPcap après l’installation et au démarrage de votre machine (voir capture ci dessous).
Puis vous cliquerez sur “Next”.

Enfin vous finirez l’installation en cliquant sur “Finish”.

Vous terminerez l’installation de FING, en cliquant sur “Fermer”.

 

1.2 Création d’un script de scan IP

Pour scanner le réseau de manière régulière nous mettrons en place le script suivant dans une tache planifiée qui s’exécutera toutes les heures.
Il nous faudra au préalable créer le dossier de destination c:\resultats_scans\

@echo off
echo scan VLAN 1
fing -n 10.0.0.0/24 -r 1 -o log,csv,c:\resultats_scans\scan_ip.csv

Cette commande permettra de scanner le réseau (ici 10.0.0.0/24), une seule fois, loggera les informations dans un fichier CSV et complétera le fichier lors des itérations suivantes (option “log”).

De préférence, il vous faudra exécuter le script sur un serveur (ou toute autre machine allumée en permanence).

Pour créer votre tache vous pourrez suivre la documentation suivante: https://jpcheck.developpez.com/tutoriels/windows/creer-tache-planifiee-sous-windows-7/

Après quelques jours vous obtiendrez un fichier contenant ce type d’enregistrement:

2018/03/06 16:23:30;up;10.0.0.5;;SRV05;90:1B:0A:28:65:22;Fujitsu Technology Solutions
2018/03/06 16:23:30;up;10.0.0.1;;SRV01.dom.local;03:0C:29:0A:79:7A;VMware
2018/03/06 16:23:30;up;10.0.0.2;;SRV03.dom.local;03:50:56:86:78:F5;VMware
2018/03/06 16:23:30;up;10.0.0.3;;NAS01;00:11:32:35:B6:18;Synology
2018/03/06 16:23:30;up;10.0.0.4;;SRV04.dom.local;00:4C:29:C0:5C:90;VMware
2018/03/06 16:23:30;up;10.0.0.6;;SRV06.dom.local;00:54:56:86:28:97;VMware
2018/03/06 16:23:30;up;10.0.0.7;;SRV07.dom.local;00:9C:29:FB:92:B5;VMware
2018/03/06 16:23:30;up;10.0.0.8;;SRV08.dom.local;E4:2F:13:EC:78:C2;IBM
2018/03/06 16:23:30;up;10.0.0.9;;SRV09.dom.local;00:4C:29:B3:24:25;VMware
2018/03/06 16:23:30;up;10.0.0.11;;SRV05;00:50:56:86:79:83;VMware
2018/03/06 16:23:30;up;10.0.0.10;;SRV10.dom.local;90:5B:0E:B6:BB:63;Fujitsu Technology Solutions
2018/03/06 16:23:30;up;10.0.0.12;;SRV12;00:11:25:3E:72:BD;IBM
2018/03/06 16:23:30;up;10.0.0.13;;SRV13;00:19:99:9F:40:78;Fujitsu Technology Solutions
2018/03/06 16:23:30;up;10.0.0.15;;SRV15.dom.local;00:40:56:86:0F:59;VMware
2018/03/06 16:23:30;up;10.0.0.16;;;E4:1F:13:EC:78:C1;IBM
2018/03/06 16:23:30;up;10.0.0.17;;SRV17.dom.local;00:04:29:B5:C9:16;VMware
2018/03/06 16:23:30;up;10.0.0.18;;;E4:1F:13:EC:78:6E;IBM
2018/03/06 16:23:30;up;10.0.0.20;;SRV20.dom.local;03:0C:29:9F:9D:9B;VMware
2018/03/06 16:23:30;up;10.0.0.21;;SRV21.dom.local;A3:36:9F:E5:D2:BC;PCtel
2018/03/06 16:23:30;up;10.0.0.22;;SRV22.dom.local;27:6E:96:5A:5D:58;
2018/03/06 16:23:30;up;10.0.0.23;;SRV23.dom.local;54:9A:4C:5B:90:20;
2018/03/06 16:23:30;up;10.0.0.26;;SRV26.dom.local;86:7B:EB:F8:BE:CC;
2018/03/06 16:23:30;up;10.0.0.27;;SRV27.dom.local;87:7B:EB:F8:BE:FC;
2018/03/06 16:23:30;up;10.0.0.28;;SRV28.dom.local;54:9A:4C:5B:90:22;
2018/03/06 16:23:30;up;10.0.0.14;;SRV14.dom.local;09:50:56:86:39:33;VMware
2018/03/06 16:23:30;up;10.0.0.32;;PC42.dom.local;97:1B:0E:06:18:60;Fujitsu Technology Solutions
2018/03/06 16:23:30;up;10.0.0.31;;PC41.dom.local;96:1B:0E:03:B3:AB;Fujitsu Technology Solutions
2018/03/06 16:23:30;up;10.0.0.33;;PC159.dom.local;94:1B:0E:06:72:A5;Fujitsu Technology Solutions
2018/03/06 16:23:30;up;10.0.0.35;;PC45.dom.local;94:1B:0E:5D:E6:AE;Fujitsu Technology Solutions
2018/03/06 16:23:30;up;10.0.0.36;;PC160.dom.local;99:1B:0E:5D:B0:2D;Fujitsu Technology Solutions
2018/03/06 16:23:30;up;10.0.0.37;;PC47.dom.local;04:19:99:F5:C4:ED;Fujitsu Technology Solutions
2018/03/06 16:23:30;up;10.0.0.34;;PC173.dom.local;04:0A:CD:2F:E9:09;Sunrich Technology
2018/03/06 16:23:30;up;10.0.0.38;;PC48.dom.local;04:19:99:86:43:BC;Fujitsu Technology Solutions
2018/03/06 16:23:30;up;10.0.0.39;;PC49.dom.local;04:19:99:86:45:29;Fujitsu Technology Solutions
2018/03/06 16:23:30;up;10.0.0.40;;PC149.dom.local;40:1B:0E:5D:8C:8A;Fujitsu Technology Solutions
2018/03/06 16:23:30;up;10.0.0.41;;PC93.dom.local;96:1B:0E:5D:B0:6D;Fujitsu Technology Solutions
2018/03/06 16:23:30;up;10.0.0.42;;PC72.dom.local;05:19:99:E4:B7:53;Fujitsu Technology Solutions
2018/03/06 16:23:30;up;10.0.0.43;;PC70.dom.local;05:07:32:45:5B:F0;AAEON Technology
2018/03/06 16:23:30;up;10.0.0.45;;PC73.dom.local;02:19:99:E4:B7:56;Fujitsu Technology Solutions

 

Etape 2 : DHCP et réservation MAC

2.1 Installation et configuration DHCP

Une fois l’acquisition d’information effectuée, il vous faudra installer deux serveurs DHCP et configurer le basculement.
En effet afin de ne rien perdre en sécurité et en tolérance de panne, il est préférable d’avoir 2 serveurs.

Je vous renverrai pour ces parties sur mes précédents articles:

Configurer un serveur DHCP: https://remiflandrois.fr/2018/03/30/install-config-serveur-dhcp/

Sécuriser un serveur DHCP avec le basculement: https://remiflandrois.fr/2018/04/30/cluster-dhcp-windows-2016/

2.2 Intégration des réservations MAC en Powershell

Dans un premier temps nous allons devoir manipuler les données colléctées afin d’épurer les informations inutiles (dates de scan, heures etc …)
Vous ouvrirez votre fichier csv dans le tableur de votre choix, vous ne garderez que les colonnes avec les adresses IP, les noms FQDN, et les adresses MAC.
Rajoutez une colonne et devant chaque champs donnez le ScopeId (identifiant de la plage DHCP).

Les serveurs seront bien évidement supprimés de la liste des machines à mettre en DHCP.

Pour terminer, refermez votre tableur et re-ouvrez le fichier avec un éditeur de texte type Notepad.
Vous rajouterez les éléments suivants ScopeId,IPAddress,Name,ClientId , votre fichier devrait avoir la forme suivante:

ScopeId,IPAddress,Name,ClientId
10.0.0.0,10.0.0.32,PC42.dom.local,97:1B:0E:06:18:60
10.0.0.0,10.0.0.31,PC41.dom.local,96:1B:0E:03:B3:AB
10.0.0.0,10.0.0.33,PC159.dom.local,94:1B:0E:06:72:A5
10.0.0.0,10.0.0.35,PC45.dom.local,94:1B:0E:5D:E6:AE
10.0.0.0,10.0.0.36,PC160.dom.local,99:1B:0E:5D:B0:2D
10.0.0.0,10.0.0.37,PC47.dom.local,04:19:99:F5:C4:ED
10.0.0.0,10.0.0.34,PC173.dom.local,04:0A:CD:2F:E9:09
10.0.0.0,10.0.0.38,PC48.dom.local,04:19:99:86:43:BC
10.0.0.0,10.0.0.39,PC49.dom.local,04:19:99:86:45:29
10.0.0.0,10.0.0.40,PC149.dom.local,40:1B:0E:5D:8C:8A
10.0.0.0,10.0.0.41,PC93.dom.local,96:1B:0E:5D:B0:6D
10.0.0.0,10.0.0.42,PC72.dom.local,05:19:99:E4:B7:53
10.0.0.0,10.0.0.43,PC70.dom.local,05:07:32:45:5B:F0
10.0.0.0,10.0.0.45,PC73.dom.local,02:19:99:E4:B7:56

Une fois ces opérations réalisées, copier le fichier CSV sur votre serveur DHCP et importez les réservations via la commande Powershell:

Import-Csv –Path C:\scan_ip.csv | Add-DhcpServerv4Reservation -ComputerName SRV01.dom.local

Etape 3: Basculement des cartes réseaux clientes en DHCP

Malheureusement pour cette partie, peu de solutions fiables existent. La plus simple consiste à repasser sur chaque machine, et basculer la carte en DHCP. Cela aura moins l’avantage de vérifier que la solution est fonctionnelle et que tout se reconnecte bien. Dans notre cas nous en avons aussi profité pour nettoyer les fichiers hosts et autres configurations résiduelles.

Pour les plus confiants d’entre nous, un script existe, cependant son utilisation implique que les cartes réseaux aient toutes le même nom. Vous pourrez le déployer par GPO.

REM Start Script 
netsh interface ip set address "NOM_DE_LA_CARTE_RESEAU" dhcp
netsh interface ip set DNS "NOM_DE_LA_CARTE_RESEAU" dhcp 
:end
REM End script

 

Laisser un commentaire

%d blogueurs aiment cette page :