DHCP Nedir? Nasıl Çalışır ve Kurumsal Yapılandırma Rehberi

DHCP Nedir?

DHCP (Dynamic Host Configuration Protocol), ağa bağlanan cihazlara otomatik olarak IP adresi, subnet mask, varsayılan ağ geçidi (gateway) ve DNS sunucu bilgilerini atayan ağ protokolüdür. DHCP olmadan her cihazın IP adresi manuel olarak girilmek zorunda kalırdı; bu da büyük ağlarda yönetimi imkânsız hale getirirdi.

DORA Süreci — DHCP Nasıl Çalışır?

Bir cihaz ağa bağlandığında şu 4 adım gerçekleşir:

• D — Discover: Cihaz, DHCP sunucusunu bulmak için ağa broadcast mesaj yollar (UDP port 67). "Bana IP verecek DHCP sunucusu var mı?"
• O — Offer: DHCP sunucusu, müsait bir IP adresi ve yapılandırma bilgilerini içeren teklif (Offer) mesajıyla yanıtlar.
• R — Request: Cihaz, teklifi kabul ettiğini broadcast ile bildirir (birden fazla DHCP sunucusu varsa hangisinin teklifini seçtiğini diğerleri de öğrenir).
• A — Acknowledge: DHCP sunucusu, atama onayını (ACK) gönderir; cihaz IP adresini kullanmaya başlar.

DHCP Kira Süresi (Lease Time)

IP adresi kalıcı değil; belirli bir süreliğine (lease) atanır:

• Kira süresinin yarısında cihaz, mevcut DHCP sunucusuna yenileme isteği (Renew) gönderir.
• Sunucu yanıt vermezse kira süresinin %87,5'inde başka bir DHCP sunucusuna dener (Rebind).
• Kira tamamen dolduğunda IP adresini bırakır ve DORA sürecini yeniden başlatır.

Önerilen Kira Süreleri: Kullanıcı ağı için 8–24 saat; misafir ağı için 1–4 saat; sunucu ağı için rezervasyon önerilir (statik IP mantığı).

DHCP Rezervasyonu (Static DHCP)

DHCP sunucusu, belirli bir MAC adresine her seferinde aynı IP adresini atayabilir. Buna DHCP Rezervasyonu veya Static DHCP denir:

• Yazıcılar, IP kameralar, sunucular ve ağ cihazları için kullanılır.
• Cihaz yine DHCP üzerinden IP alır ama her zaman aynı adresi alır.
• Manuel statik IP yapılandırmasının dezavantajları (yanlış subnet mask, yanlış gateway girme riski) ortadan kalkar.

DHCP Relay (DHCP Helper)

DHCP, broadcast tabanlı çalıştığı için router/firewall sınırlarını geçemez. Farklı VLAN'lar veya subnet'lerdeki cihazlar merkezi DHCP sunucusunu nasıl bulur?

DHCP Relay Agent bu sorunu çözer: Router veya firewall (FortiGate dahil), broadcast DHCP Discover mesajını unicast'a çevirerek merkezi DHCP sunucusuna iletir. Yanıtı da ilgili VLAN'a geri gönderir.

FortiGate'de DHCP Relay yapılandırması: config system interface → interface → set ip-managed-by-fortiipam disable → set dhcp-relay-ip [DHCP sunucu IP]

FortiGate'de DHCP Sunucu Yapılandırması

FortiGate her arayüz için bağımsız DHCP sunucu çalıştırabilir:

• Network → Interfaces → İlgili arayüz → DHCP Server
• Address Range (IP havuzu), Netmask, Gateway, DNS Server ve Lease Time tanımlanır.
• Reserved Address (MAC bazlı rezervasyon) eklenebilir.
• Seçenekler (Options): Option 43 (VoIP için TFTP sunucu), Option 66/67 (PXE boot) gibi özel DHCP seçenekleri tanımlanabilir.

DHCP Snooping — Güvenlik Katmanı

Ağda sahte DHCP sunucusu çalıştıran saldırgan, cihazlara kendi IP'sini gateway olarak atayarak MITM saldırısı yapabilir. DHCP Snooping bunu engeller:

• Switch portları "güvenilir" (trusted) ve "güvenilmez" (untrusted) olarak sınıflandırılır.
• Yalnızca trusted portlardan gelen DHCP Offer ve ACK mesajlarına izin verilir.
• Kullanıcı portları (PC, yazıcı) daima untrusted; yalnızca firewall/router portu trusted olarak işaretlenir.

Sonuç

DHCP, kurumsal ağların yönetilemez hale gelmesini engelleyen kritik bir altyapı servisidir. Doğru yapılandırılmış DHCP rezervasyonları ve DHCP Snooping ile hem yönetilebilirlik hem güvenlik sağlanır. Lider Network, DHCP altyapısı tasarımı ve FortiGate yapılandırması konularında hizmetinizdedir.