DHCP多作用域.doc

DHCP及DHCP多作用域服务器工作原理2007-11-18 20:39:02标签：DHCP职场休闲多作用域服务器一、DHCP服务是什么DHCP称为动态主机配置协议。DHCP服务允许工作站连接到网络并且自动获取一个IP地址。配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关、一个WINS服务器的IP地址，以及一个DNS服务器的IP地址。二、DHCP服务在实际应用中的常见问题1、在一个子网内是否可以存在多台DHCP服务器，如果存在的话，那么该子网中的客户机能否正确获取地址，将会获取哪个DHCP服务器所分配的地址，是否能控制客户机器能从管理人员所设置的DHCP服务器中获取地址而不会从一些非法用户自建的DHCP服务器中取得非法得IP？2、如果网络中存在多个子网，而子网的客户机需要DHCP服务器提供地址配置，那么是采取在各个子网都安装一台DHCP服务器，还是只在某一个子网中安装DHCP服务器，让它为多个子网的客户机分配IP地址，应该如何实现？3、如果采取在一个子网中安装DHCP服务器，让它为多个子网的客户机分配IP地址，那么应该需要在一台DHCP服务器中创建多个不同范围的作用域，而我们如何可以准确地保证相应范围的地址峙涓嘤油刂骰兀?4、如果客户机器无法从DHCP服务器中获取IP地址，那么Windows2000客户机器将会如何处理自己的TCP/IP设置？三、DHCP的工作原理要解析第二点中所提的问题，首先要搞清楚DHCP的实际的工作过程及原理，下面就对此做简单介绍：DHCP是一个基于广播的协议，它的操作可以归结为四个阶段，这些阶段是IP租用请求、IP租用提供、IP租用选择、IP租用确认。1. 寻找Server。当DHCP客户端第一次登录网路的时候也就是客户发现本机上没有任何IP资料设定它会向网路发出一个DHCPDISCOVER封包。因为客户端还不知道自己属于哪一个网路所以封包的来源地址会为0.0.0.0而目的地址则为255.255.255.255然后再附上DHCPdiscover的信息向网路进行广播。网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息，但只有DHCP服务器才会做出响应.DHCPdiscover的等待时间预设为1秒也就是当客户端将第一个DHCPdiscover封包送出去之后在1秒之内没有得到回应的话就会进行第二次DHCPdiscover广播。在得不到回应的情况下客户端一共会有四次DHCPdiscover广播(包括第一次在内)除了第一次会等待1秒之外其余三次的等待时间分别是9 13 16秒。如果都没有得到DHCP服务器的回应客户端则会显示错误信息宣告DHCPdiscover的失败。之后基于使用者的选择系统会继续在5分钟之后再重一次DHCPdiscover的要求。2. 提供IP租用位址。当DHCP服务器监听到客户端发出的DHCPdiscover广播后它会从那些还没有租出的位址范围内选择最前面的的空置IP，连同其它TCP/IP设定，回应给客户端一个DHCPOFFER封包。由于客户端在开始的时候还没有IP位址所以在其DHCPdiscover封包内会带有其MAC位址信息并且有一个XID编号来辨别该封包DHCP服务器回应的DHCPoffer封包则会根据这些资料传递给要求租约的客户。根据服务器端的设定DHCPoffer封包会包含一个租约期限的信息。3. 接受IP租约。如果客户端收到网路上多台DHCP服务器的回应只会挑选其中一个DHCPoffer(通常是最先抵达的那个)并且会向网路发送一个DHCPrequest广播封包告诉所有DHCP服务器它将指定接受哪一台服务器提供的IP位址。之所以要以广播方式回答，是为了通知所有的DHCP服务器，他将选择某台DHCP服务器所提供的IP地址同时客户端还会向网路发送一个ARP封包查询网路上面有没有其它机器使用该IP位址如果发现该IP已经被占用客户端则会送出一个DHCPDECLINE封包给DHCP服务器拒绝接受其DHCPoffer并重新发送DHCPdiscover信息。事实上并不是所有DHCP客户端都会无条件接受DHCP服务器的offer尤其这些主机安装有其它TCP/IP相关的客户软件。客户端也可以用DHCPrequest向服务器提出DHCP选择而这些选择会以不同的号码填写在DHCPOptionField里面。换一句话说在DHCP服务器上面的设定未必是客户端全都接受客户端可以保留自己的一些TCP/IP设定。而主动权永远在客户端这边。4. 确认阶段。即DHCP服务器确认所提供的IP地址的阶段。当DHCP服务器收到DHCP客户机回答的DHCPrequest请求信息之后，它便向DHCP客户机发送一个包含它所提供的IP地址和其他设置的DHCPack确认信息，告诉DHCP客户机可以使用它所提供的IP地址。然后DHCP客户机便将其TCP/IP协议与网卡绑定，另外，除DHCP客户机选中的服务器外，其他的DHCP服务器都将收回曾提供的IP地址5. 重新登录。以后DHCP客户机每次重新登录网络时，就不需要再发送DHCPdiscover发现信息了，而是直接发送包含前一次所分配的IP地址的DHCPrequest请求信息。当DHCP服务器收到这一信息后，它会尝试让DHCP客户机继续使用原来的IP地址，并回答一个DHCPack确认信息。如果此IP地址已无法再分配给原来的DHCP客户机使用时（比如此IP地址已分配给其它DHCP客户机使用），则DHCP服务器给DHCP客户机回答一个DHCPnack否认信息。当原来的DHCP客户机收到此DHCPnack否认信息后，它就必须重新发送DHCPdiscover发现信息来请求新的IP地址。6. 更新租约。DHCP服务器向DHCP客户机出租的IP地址一般都有一个租借期限，期满后DHCP服务器便会收回出租的IP地址。如果DHCP客户机要延长其IP租约，则必须更新其IP租约。DHCP客户机启动时和IP租约期限过一半时，DHCP客户机都会自动向DHCP服务器发送更新其IP租约的信息。至于IP的租约期限却是非常考究的并非如我们租房子那样简单DHCP客户机除了在开机的时候发出DHCPrequest请求之外在租约期限一半的时候也会发出DHCPrequest如果此时得不到DHCP服务器的确认的话工作站还可以继续使用该IP然后在剩下的租约期限的再一半的时候(即租约的75%)还得不到确认的话那么工作站就不能拥有这个IP了。要是您想退租，可以随时送出DHCPLEREASE命令解约就算您的租约在前一秒钟才获得的.四、DHCP服务常见问题的解决方案本文第二点中我们所提出的问题有四点，以下就此4个问题做相应的分析并给出我个人的一些解决方案，相信可以对学习DHCP服务的自学者会有一定的帮助，这些问题也是在实际教学中学生提出疑问最多的知识难点。1、根据客户计算机的IP租用原理可以知道，在一个子网内，如果存在多台DHCP服务器来提供地址配置信息，这是不违反请求、分配原则的，因为只要中有一台客户计算机在该子网中提出IP地址租约请求，由于请求是广播形式的，所以在子网中可以有任意数量的特定DHCP服务器响应一个IP租用请求，而客户请求后选中的是这些任意特定DHCP服务器中的某一台，这个选择具有随机性，但有一点要注意的是客户只能为每一张网络接口卡接受一个租用提供，上面所谓特定的DHCP服务器是指那些经过系统授权的DHCP服务器，而非授权的DHCP服务器将无法在网络中提供正常的地址分配服务，这一点非常重要，因为这样一来客户机器将只会在管理员设定的地址范围中取得地址，Windows 2000操作系统的这一新增功能，通过对DHCP服务器进行认证避免了非法DHCP服务器分配非法IP地址造成的IP地址冲突，在实际应用中，客户机器获取非法的地址经常是造成网络瘫痪和无法正常通讯的一大原因。综合上面的分析可以做出第一个问题的结论：在一个子网中可以存在多台DHCP服务器来提供地址分配，但能够作为地址提供的不是任意的DHCP服务器，而应该是经过系统认证的那些，客户机请求地址时最终从那一台经过认证机器中获取时随机的。此外，从另一个角度看，在相同子网上使用多个 DHCP 服务器，将为它所服务的 DHCP 客户机提供更强的容错能力，如下图所示，在一个子网内（网络号为192.168.1.0 掩码为255.255.255.0）共用两个 DHCP 服务器，其中的DHCP服务器1不可用的话，DHCP服务器2可以取代它并继续租用新的地址或续订现有客户机。可以建议采用的解决方案是使用 80/20 规则来划分两个 DHCP 服务器之间的作用域地址，具体做法可以是将服务器 1 配置成可使用大多数地址（约 80%），服务器 2 可以配置成让客户机使用其他地址（约 20%）。2、如果在一个网络中存在多个子网，而多个子网的主机都需要DHCP服务器来提供地址配置信息，那么我们可以采用的方法是在每一个子网中安装一台DHCP服务器，让它们来为各个子网分配IP地址，但从节约资源利用出发，我们一般情况下不这样做，可以采取在一个子网中安装DHCP服务器，让它来为多个子网分配IP地址，实现多子网地址分配可以借助DHCP的中继代理功能实现，而作为中继代理的设备可以是一台提供中继代理程序的Windows2000服务器或是一个符合RFC1542规定的路由器，具备 DHCP/ BOOTP Relay Agent 的功能（DHCP relay agent能够把 DHCP/BOOTP 广播信息从一个网段转播到另一个网段上）。以管理的局域网分为三个子网，用Win2000服务器连接。下面是实现跨子网使用DHCP服务器的具体解决方案：（1）安装DHCP中继代理程序：在Windows2000服务器的“路由和远程访问”窗口中，依次展开“本地服务器IP路由选择常规”选项，右键点击“常规”选项，在弹出的菜单中选择“新增路由协议”，然后在“新路由协议”窗口中选择“DHCP中继代理程序”，接着点击“确定”按钮。（2）指定DHCP服务器：右键点击刚刚添加的“DHCP中继代理程序”选项，在弹出菜单中选择“属性”，进入“DHCP中继代理程序属性”对话框，在“常规”标签页的“服务器地址”栏中输入子网1中DHCP服务器的IP地址：192.168.1.2，然后点击“添加”按钮，最后点击“确定”按钮关闭该对话框。（3）配置访问接口：右键点击“DHCP中继代理程序”选项，在弹出菜单中选择“新增接口”，然后在“DHCP中继代理程序的新接口”对话框中的“接口”列表框中选中可以访问子网1中的DHCP服务器的接口，这里新增的接口应该是接口二和接口三，接着点击“确定”按钮。然后在弹出的“DHCP中继站属性”对话框中，选中“中继DHCP数据包”选项，这样就启用了它的中继功能，最后点击“确定”按钮。（4）DHCP服务器中配置一个超级作用域，其中包含三个普通作用域，作用域地址范围可以分别设置为192.168.1.10192.168.1.254（分配给子网1的PC使用）；192.168.2.10192.168.2.254（分配给子网2的PC使用）；192.168.3.10192.168.3.254（分配给子网3的PC使用），必须记住DHCP只能为每一个子网分配一个范围。完成以上配置后，子网2和子网3中的DHCP客户机PC2及PC3就可以通过主机A的DHCP中继代理程序访问子网1中的DHCP服务器。3、解决了单台DHCP服务器为多个子网分配IP地址后，我们还要搞清楚的一个问题是，如果某一个子网的PC如子网2中的PC2或子网3中的PC3发出地址请求信息后，主机A可以作为中继代理对他们的请求传达子网1中的DHCP服务器，但该DHCP服务器如何可以确定并准确地将作用域192.168.2.0网段的地址分给PC2而把作用域192.168.3.0网段的地址分给PC3呢？这个是多数学生可能存在的疑问，要搞清楚这个问题，可以参考以下的原理分析来找答案：以子网2中的主机PC2为例，DHCP 客户机PC2在子网2 上广播 DHCP/BOOTP discover 消息 (DHCPDISCOVER),广播是将消息以 UDP (User Datagram Protocol)数据包的形式通过 67 端口发出，当中继代理（relay agent）主机A接收到这个消息后,它检查包含在这个消息报头中的网关IP 地址，如果网关IP 地址为 0.0.0.0 ,则用 relay agent主机A的接口二的IP地址192.168.2.1替换它，然后将其转发到 DHCP 服务器所在的子网1上（主机A还担任路由器功能）。当在子网1中的 DHCP服务器收到这个消息后，它开始检查消息中的网关IP地址，然后判断该网关地址是否包含在DHCP的某一个作用域范围内，从而决定它是否可以使用相应的作用域的地址来提供IP地址租约，当然，本例中DHCP服务器将会从作用域192.168.2.10192.168.2.254选取一个地址来配置PC2；也就是说DHCP客户机的请求地址消息中的网关IP地址 (GIADDR) 将是DHCP服务器用来确定从那个DHCP 范围中挑选IP地址来配置客户机的依据。4、如果DHCP客户机无法找到DHCP服务器，则它从微软保留的 B 类网段 1