随着公司家属区接入用户的数量不断增加,以及公司网络的结构不断的复杂,静态ip地址的管理方式显得极不协调。不但配置麻烦管理不便也会造成额外的工作负担,因此对家属区提供dhcp服务十分必要。
经过对公司网络环境的研究以及现有资源的整合发现在不增加设备的前提下能够对用户提供有限的dhcp服务,但这会为将来在整个企业网中实现dhcp动态分配地址积累丰富的经验。可以先在家属区进行试点在逐步推广到全公司家属区乃至办公区。
经过对dhcp工做原理的研究发现dhcp relay 到dhcp server 之间的通讯是单播发送,换言之就是dhcp relay 与dhcp server 之间只要保持路由可达relay就能中继dhcpdiscover等相关消息(如图1-1)。这为dhcp服务器的集中部署提供了必要条件,而且对后续的发展也是很有帮助。只要用户汇聚交换机支持dhcp relay功能以及dhcp-snooping功能服务器就能汇聚中的网段提供dhcp服务。
针对家属区的网络环境具体的配置计划如下:
(1)服务器配置
1. dhcp可架设在闲置的hp服务器上采用linux系统,划入vlan 17内与cams服务器同属于一vlan,这样用户若能访问cams服务器那就一定能访问dhcp服务器。因为dhcp服务与cams是协同工作同一vlan也便于物理上进行区分。
Dhcp配置文件如下:
option domain-name "honliv.com";
option domain-name-servers 202.102.224.68, 10.1.100.88;
default-lease-time 172800;
max-lease-time 259200;
shared-network superscopes1 {
subnet 10.1.17.0 netmask 255.255.255.0 {
option routers 10.1.17.254;
}
}
shared-network superscopes2 {
subnet 10.1.8.0 netmask 255.255.255.0 {
option routers 10.1.8.254 ;
option broadcast-address 10.1.8.255;
range 10.1.8.3 10.1.8.30 ;
}
}
shared-network superscopes3 {
subnet 10.1.7.0 netmask 255.255.255.0 {
option routers 10.1.7.254 ;
option broadcast-address 10.1.7.255;
range 10.1.7.3 10.1.7.40 ;
}
}
shared-network superscopes4 {
subnet 10.1.6.0 netmask 255.255.255.0 {
option routers 10.1.6.254;
option broadcast-address 10.1.6.255;
range 10.1.6.115 10.1.6.116;
}
}
shared-network superscopes5 {
subnet 10.1.5.0 netmask 255.255.255.0 {
option routers 10.1.5.254;
option broadcast-address 10.1.5.255;
range 10.1.5.3 10.1.5.100 ; }}
网卡配置文件如下
DEVICE="eth0"
BOOTPROTO="static"
HWADDR="00:22:19:04:97:76"
IPV6INIT="yes"
MTU="1500"
NM_CONTROLLED="yes"
ONBOOT="yes"
TYPE="Ethernet"
UUID="6b409053-fd82-4e66-b386-254450de3f24"
IPADDR="10.1.17.17"
NETMASK="255.255.255.0"
GATEWAY="10.1.17.254"
NETWORK="10.1.17.0"
DNS1="10.1.100.88"
DNS2="202.102.224.68"
2 . chkconfig dhcpd on #设置开机启动#
3 . 对重要配置文件进行备份比如dhcpd.cfg ifcfg-eth0
(2)交换机配置#交换机版本不一样配置略有差别#
1 . [XXJSL-Huiju-S3628SI]dhcp enable ##开启dhcp服务##
2 .[XXJSL-Huiju-S3628SI]dhcp-server 1 ip 10.1.17.90 10.1.17.91 ##配置DHCP服务器组##
3 .[XXJSL-Huiju-S3628SI]interface Vlan-interface 6
[XXJSL-Huiju-S3628SI-Vlan-interfaceX]dhcp-server 1 ##将需要提供DHCP服务的网段的接口加入与DHCP服务器组关联##
4 .[XXJSL-Huiju-S3628SI]dhcp-snooping enable
[XXJSL-Huiju-S3628SI-interface-X/X]dhcp-snooping trust##保证服务器安全性,将链接服务器的口加入到trust区域进行授权,这样可以对非授权的dhcp服务器进行隔离##
5 .在接入交换机上配置dhcp-snooping (有些可能不支持)将上联到dhcp服务器的端口加入到trust区域。
(3)IMC配置
根据实验时的数据imc客户端应该进行如下配置,并且在开户的时候要提前给用户设置mac地址绑定,实现账户名+mac地址+vlan+端口的绑定。
(1)dhcp服务器安全性保障
启动DHCP-snooping,主要作用就是通过配置非信任端口隔绝非法的dhcp server的接入。有些汇聚设备支持地址匹配检查功能(dhcp relay address check)可以记录每一条分配出去的地址与mac的绑定,禁止非法静态地址用户的接入。
(2)dhcp冗余性保障
将主机bios设置成加电启动,默认开机启动dhcp服务,主服务器正常时可以把备用服务器端口关闭,主服务器宕机时开启备用服务器。起到备份主dhcp服务器的效果
在经过机房测试之后把dhcp服务器放入真实环境做最后的调试,根据调试结果选定具体实施时间,并且做好提前通知。要提前三天在oa系统对升级信息进行发布,再通过学部向每位老师发送短信,提前做好通知的前提之下做好解决问题集中出现的准备。实施时间要避开日常工作繁忙期。
很多新增路由器使用静态地址修改起来比较麻烦,考虑到数量并不是很多可以先用静态绑定,在服务器中设置静态地址绑定mac,等系统稳定之后再逐个修改。
虽然会造成冲突但是技术手段解决不了,因为交换机不支持地址匹配检查。但是并不影响使用,DHCP服务器会自动分配别的地址给客户端。
为了安全性考虑要实现账户名+mac地址+vlan+端口的绑定,在测试是发现mac绑定并不是十分完美,初步预测是因为用户下线之imc后保留用户的在线状态一段时间。但是对实际应用并不影响,在用户重启电脑,者重启网卡或者下线超过一定时间之后mac绑定检查就会生效。
采用双服务器热备的方式虽然在实验状态下没有问题,但是在实际环境大量用户的请求下可能会出现问题(通常dhcp客户端都会接受第一个发dhcpoffer的服务器,但是第二个服务器不会把这个同样的ip移出自己的ip pool. 如果下一次这个服务器提供同样的ip,客户端会broadcast检查发现这个ip已经有人在用了. 这样会有很多broadcast在网络中占用带宽资源),因此采用双服务器先把其中之一的借口down掉以备份主服务器。可以在稳定之后都开开观察有什么副作用是否明显。