程序员 Python google Firefox Windows nginx Ubuntu shell Android php wordpress 云计算 开源 centos java linux mysql 编程 apache 微软

Windows 網絡服務架構系列課程詳解(一) —-DHCP服務器的搭建與配置

Windows 網絡服務架構系列課程詳解(一)

---------DHCP服務器的搭建與配置

實驗背景:

企業網絡環境中在沒有配置DHCP服務器時,經常會遇到這樣的情況,用戶不懂怎麽去配置ip地址;IP地址經常沖突;管理員單個配置IP地址會經常出錯;筆記本計算機的客戶,經常從一個子網移動到另一個子網,需要不斷地手動更換IP地址;IP地址資源不足,但實際在同一時間段內使用的用戶小於IP地址的數量等等。

實驗目的:

1、了解Windows DHCP服務器的安裝過程

2、了解Windows DHCP服務器的工作過程

3、掌握Windows DHCP服務器的配置和管理

4、理解DHCP中繼代理概念,會用windows客戶機或者路由器做DHCP中繼代理獲取TCP/IP參數。

5、掌握備份和還原DHCP數據庫

6、淺談路由器做DHCP服務器或DHCP中繼代理

實驗網絡拓撲:

 

實驗說明

本實驗是在域環境下搭建的,因為,windows的大部分服務只有在域的環境下才能發揮初更好的效果來;其次,本實驗無論是從域的角度去看,還是從DHCP服務器以及DHCP中繼代理的角度去看都實現的是雙備份冗余服務。因為,只有這樣具有備份冗余的環境才能使企業的網絡更加穩定,安全。

其次,為了模擬環境,中間采用了兩臺路由器,啟用RIP v2協議,當然,其它路由協議也可以。具體配置就不做介紹了,可以參考其它網絡文章。

實驗步驟

1. 配置DHCP服務器的安裝過程(主要配置DC—域控制器上DHCP服務器,BDC-副域控制器上的原理與DC上配置相同)

1.1、 配置之前,首先要知道DHCP服務器的要求。DHCP服務器要求在Windows Server 版的計算機上運行,本實驗是在Windows Server 2003上運行的配置。由於DHCP服務器要運行穩定,必須有靜態的IP地址、子網掩碼和其他的TCP/IP參數。

下面是在DC上配置的TCP/IP參數。可以看出DHCP服務器的地址是192.168.0.254/24,DNS服務器的地址也是192.168.0.254/24,網關(R1路由接口E0/1的IP地址

clip_image004

 

下面是BDC上TCP/IP參數,其中另外一臺DHCP服務器的IP地址為192.168.1.254/24,DNS是DC的IP地址,網關是路由器R3的端口E0/0接口的IP地址。

clip_image006

 

1.2、 安裝DHCP服務器可以有兩種方式,一種是通過“管理您的服務器(裝好Windows server 2003之後,第一次啟動就自動打開)”選項或通過“添加/刪除程序”進行安裝,本實驗選後者。

首先在打開“開始”菜單,然後打開 “控制面板”選擇裏面的“添加/刪除程序”,然後選擇“添加/刪除Windows組建”,選擇“網絡服務”,然後勾選裏面的“動態主機配置協議(DHCP)進行安裝。(註意:安裝過程中,需要光盤裏的文件,所以還需要將對應的Windows server 2003光盤放入光驅中,當然,這裏用的是虛擬光驅和鏡像文件進行安裝的)

clip_image008

 

1.3、 安裝完成之後,在“開始”----“管理工具”裏有“DHCP選項,打開便是DHCP服務器的配置界面,當然,也可以通過“管理您的服務器”進行打開。

clip_image010

 

1.4、 授權DHCP服務器,授權是一種安全的防範措施,它可以確保只有經過授權的DHCP服務器才能在網絡中運行。但是,這種授權配置只能在域環境中才能有效。clip_image012

 

在沒有給DHCP服務器進行授權之前,可以從DHCP的狀態中看出,下面是BDC上的DHCP服務器沒有進過授權顯示的結果。

clip_image014

 

現在,在“管理授權的服務器中”添加兩臺DHCP服務器的地址,然後,點擊“關閉”就可以生效了,下面DHCP服務器的狀態就是處於“運行狀態”

clip_image016

 

2. 配置DHCP服務器

2.1、 配置兩個網段的作用域(以192.168.0.0/24段為例)。

在授權DHCP服務器之後,首要任務便是創建作用域及配置作用域。作用域實際就是一段IP地址的範圍,當DHCP客戶機請求IP地址時,DHCP服務器將從此段範圍中選取一個尚未出租的IP地址,將其分配給DHCP客戶機。

每一個DHCP服務器中至少應有一個作用域,為一個網段分配IP地址。如果要為多個網段分配IP地址,就需要創建多個作用域,這個在多個VLAN中應用是非常廣泛的。

clip_image018

 

为了能够更好的区域不同的作用域,最好给每个作用域起一个名称,也可以给一定的描述。

clip_image020

 

键入作用域的IP地址范围,以及子网掩码长度(长度和子网掩码是等同的)

clip_image022

 

IP地址池建好之後,可以排除裏面的一些地址來分配給一些需要固定IP地址的計算機或服務器,註意:配置的時候,起始地址和結束地址是一樣的。比如說192.168.0.10留給路由器的接口(默認網關),192.168.0.20留給ftp服務器等等。

clip_image024

 

接下來輸入租約期限(某DHCP客戶端在此作用域中使用申請的一個IP地址的時間長短。),默認為8天,也可以更改為其它天數,最大為999天。配置時應根據情況而定。比如說對於一些經常移動的用戶,設置的租約期限短一點比較好,例如,我們學校中心的機房偶然會連一次外網,這時候就需要從DHCP服務器上獲取IP地址。但是時間又不長,大概也就幾個小時,而中心的管理員就將此DHCP租約期限設置為兩個小時,這樣既保證了IP在沒用期間能夠盡快的釋放,同時,也增大了IP地址的利用率。當然,對於一些固定的主機來說,設置租約期限長一點還是比較好的。

clip_image026

 

接下來是一個配置DHCP選項(DHCP選項是指客戶機獲得一個IP地址之後,除了包含IP地址和子網掩碼必須項之外,還有一些可選項,如常用的路由器的(默認網關)IP地址,DNS服務器的IP地址等等,設置什麽要根據情況而定)的向導,主要是針對於初級用戶而設計的,我們就直接選擇稍後配置即可。

clip_image028

 

新建好作用域之後,作用域前面有一個紅色向下的箭頭,表明作用域狀態為不活動,此時客戶機不能從此作用域裏獲取IP地址。配置完成之後,要使作用域生效,需要激活。(在作用域沒有配置完整之前,最好不要激活作用域,這樣可以避免客戶端學習到不完整的TCP/IP信息)。

clip_image030

 

配置完之后,可以通过地址池查看之前的配置是否正确。

clip_image032

 

客户端保留可以确保让某台计算机总是获得同一个IP地址,而这个IP地址实际跟计算机的MAC地址绑定在一起的。

clip_image034

 

输入“新建保留”的IP地址,对应于计算机的MAC地址。还有一些描述信息。

clip_image036

 

注意:另外一个地址段的作用域和上面的配置原理基本相同,这里不再做配置。

clip_image038

 

2.2、 配置作用域選項

創建了DHCP作用域之後,就可以配置作用域選項了,(也可以在新建作用域的過程中進行配置,但之能配置網關,DNS,WINS三項)而作用域選項裏可以為客戶端配置60多項內容,具體配置根據具體情況而定,一般只選用 “003 路由器”配置網關,還要“006 DNS服務器”配置DNS。不同的作用域中可以設置不同的參數,例如,不同的VLAN中就可以設置各自的網關地址等等。

clip_image040

 

选择“003 路由器”配置192.168.0.0/24段的默认网关地址。也就是路由器R1的E0/1端口的IP地址。

clip_image042

 

選擇“006 DNS 服務器”來設置192.168.0.0/24網段的DNS服務器地址,而192.168.1.0/24網段的DNS服務器地址也應該設置成192.168.0.254。

clip_image044

 

配置完成之后,可以通过点击“作用域选项”进行查看。

clip_image046

 

當然,也可以在作用域中配置“服務器選項”裏的“配置選項”這個主要應用於多個作用域選項的某一參數值一樣的時候,為了快速方便,只需要在服務器選項中配置,所有作用域選項裏便有這項參數。

clip_image048

 

註意:要註意服務器選項、作用域選項和保留選項之間的關系。

一般來說,各選項的功能都是配置客戶機的TCP/IP參數的可選項,但各項的應用範圍和優先級不一樣。服務器選項在本服務器上所有的作用域中生效,作用域選項在本作用域中生效,保留選項對保留的客戶機生效,優先級由高到低依次為:保留選項 、作用域選項、服務器選項。

2.3、 配置DHCP客戶機

DHCP服務器配置完成後,客戶端就可以開始啟用DHCP功能。使用Windows XP/2003操作系統的用戶中,單擊“控制面板”,選擇“網絡連接”,右擊本地連接,選擇“屬性”,在下拉列表中,選中“Internet 協議(TCP/IP)”復選框,然後單擊 “屬性”按鈕,如下圖所示:選則自動獲取IP地址,自動獲取DNS地址(這一項必須在DHCP中作用域選項或者服務器選項中有DNS的指定配置才能生效,如果沒有,需要手動指定)

clip_image050

 

獲取到之後,就可以在開始---運行命令裏輸入ipconfig /all命令進行查看所以的TCP/IP參數了,其中192.168.0.2便是獲取的IP地址,其它的DNS,Default Gateway等等都是從DHCP服務器中獲得的,那麽,DHCP客戶端獲取TCP/IP參數是一個什麽樣的過程呢?

首先,客戶端請求IP租約:在網絡中廣播一個DHCPDiscover包請求IP地址(源IP地址是0.0.0.0,目標IP地址是255.255.255.255—廣播,以及客戶端的MAC地址,用於確定客戶端的具體位置。

其次,服務器相應:當網絡中的某一臺DHCP服務器收到客戶機請求IP地址的信息時,就在自己規定的IP地址池裏查找是否有合法的IP地址提供給客戶機,如果有,就將此IP地址做上標記,廣播一個DHCPOffer包出去。

再次,客戶機選擇IP地址:DHCP客戶機從接受到第一個DHCPOffer包中選擇IP地址,並將DHCPRequest包打上服務器標示字段廣播到所有的DHCP服務器上,DHCP服務器查看服務器標示字段是否為客戶機提供了IP地址,如果有,則該地址保留;如果沒有,則DHCP服務器取消IP地址用於下一個IP租約請求。

最好,服務器確認租約:當服務器收到DHCPRequest後,以DHCPACK消息的信息向客戶機廣播成功的確認,該消息包含了IP地址的有效信息和其他可能的配置。當客戶機收到DHCPACK包之後,就配上了IP地址,便可以在TCP/IP網絡中通信了。

下面就是PC1從DHCP(192.168.0.254)上申請的最小的一個IP地址(客戶端從小向大獲取)

clip_image052

 

IP租約釋放與從新獲得

在客戶機上使用ipconfig /release命令使DHCP客戶機 向DHCP服務器發送DHCPRelease包並釋放其租約。比如說,一臺客戶機在租約過期之後才打開,那麽,如果客戶機不適用DHCPRelease包,那麽它在重新啟動時,將試圖嘗試繼續使用上一次使用過的IP地址。

在客戶機上使用ipconfig /renew命令使DHCP客戶機向DHCP服務器從新發送DHCPDiscover,繼續獲取IP參數。

clip_image054

 

下面是在DHCP服務器上看到的兩個客戶端獲取的最小的IP地址,其中有主機名,租約期限等等。而192.168.0.30是保留的地址,只有FTP服務器一開啟,馬上獲取這個地址。

clip_image056

 

配置自動獲取時,也可以在“備用配置”裏進行配置,這個主要用於一些用戶,經常在有或者是沒有DHCP的網絡中活動的時候配置的,如果有DHCP服務器,就自動獲得;如果沒有DHCP服務器,就啟用備用配置。

clip_image058

 

3. 配置DHCP中繼代理(windows和路由器上實現)

DHCP租約過程是靠廣播信息發送消息的,而不同VLAN之間是沖突域,只能在各自VLAN中廣播消息,同樣,不同網段之間也是沖突域,也只能在各自的網段之內廣播消息,不同VLAN或者不同網段之間之能通過單播傳輸消息,傳統的方法是給每個VLAN或者每個網段放置一個DHCP服務器,但是這樣對資源來說是一種浪費,維護起來也不方便,也就要求能夠轉發DHCP租約請求的設備在兩個廣播域之間傳輸單播,DHCP中繼代理便實現了這一功能。

首先,DHCP客戶機申請IP租約,發送DHCPDiscover廣播包,中繼代理收到該包後,並通過單播的形式轉發給另一個網段的DHCP服務器,DHCP服務器收到該包,然後將DHCPOffer包通過單播的形式傳給DHCP中繼代理,中繼代理將地址租約通過廣播的形式轉發給DHCP客戶端,DHCP客戶端收到DHCPOffer包 之後,發送DHCPRequest包給DHCP中繼代理然後轉個DHCP服務器,DHCP服務器最終發送DHCPACK包給DHCP中繼代理轉個DHCP客戶機,DHCP客戶機便實現了網絡參數的獲取。

打開BDC(DC上的配置原理相同)上“管理工具”----“路由和遠程訪問”窗口(註意:PC機是七層設備,也就是說它是具備數據鏈路層設備和網絡層設備的某些功能的,比如說網絡層路由器設備的某些功能,包括路由協議等等)

clip_image060

 

配置并启用路由和远程访问

clip_image062

 

选择自定义配置(其它配置包括VPN拨号,NAT等等)

clip_image064

 

接下來選擇“LAN路由”(因為DHCP中繼代理其實主要起了一個路由轉發功能,將DHCP客戶機的請求轉發給DHCP服務器,然後再將DHCP服務器的請求轉發給DHCP客戶機)clip_image066

 

配置完成之后,开启此服务。否则,此服务不可用。也可以通过“服务”窗口开启此服务(开始---运行----services.msc)

clip_image068

 

配置好之后,选择IP路由选择里的常规,单击右击选择新增路由协议选项

clip_image070

 

选择DHCP中继代理程序

clip_image072

 

选好之后,然后开始配置DHCP中继代理程序,右击“DHCP中继代理程序”,然后选择“属性”

clip_image074

 

在DHCP中繼代理程序屬性中配置DHCP服務器的IP地址,如果有一個DHCP服務器,只需要配置一個即可;如果有多個DHCP服務器,也可以添加多個DHCP服務器。

clip_image076

 

右击“DHCP中继代理程序”,在弹出的快捷键菜单中选择“新增接口”命令,选择“本地连接”,然后确定

clip_image078

clip_image080

 

下面的“躍點計數閾值”是中繼代理通信可以跨過的最大跳數,“啟動閾值(秒)”是中繼代理轉發DHCP消息前的等待時間,該選項對希望本地DHCP服務器首先相應,如果 DHCP服務器在規定的時間內不響應,則中繼代理就會轉發DHCP消息給其他網段的DHCP服務器,默認值都是4,而本實驗中,192.168.0.0/24段的客戶端首先會將DHCPDiscover發送給IP地址為192.168.0.254的DHCP服務器,如果4秒不響應(比如說,此DHCP服務器處於維護狀態),才將DHCPDiscover請求發個DHCP本端的DHCP中繼代理轉發到對端的DHCP服務器(192.168.1.254/24)

clip_image082

 

關閉IP地址為192.168.1.254的DHCP服務器,然後,開啟DHCP中繼代理功能,讓PC3通過DHCP中繼代理獲取TCP/IP參數,通過ipconfig /release 和ipconfig /renew命令可以實現,也可以通過圖形界面自動獲得。

clip_image084

 

當然,除了在服務器上配置DHCP中繼代理之外,也可以讓路由器充當DHCP中繼代理的角色,在R3上配上以下命令,ip helper-address 192.168.0.10是關聯DHCP服務器的IP地址。(註意:是在路由器配置默認網關的接口上進行配置)

clip_image086

在實際應用中,主要是轉發不同VLAN的DHCPDiscove包,具體配置是

R3(config)#interface vlan-ID (需要給那個VLAN做DHCP中繼)

R3(config)#ip helper-address DHCP服務器地址

4. 維護DHCP服務器(備份、還原數據庫和刪除DHCP組件)

為了防止DHCP服務器由於硬盤發生錯誤或者其他原因而導致數據庫丟失的情況發生,需要備份DHCP數據庫,由於兩邊的DHCP服務器的配置相同(冗余備份),可以將一邊的DHCP服務器配置後之後,備份出DHCP數據庫,然後在另外一臺DHCP服務器上還原即可。

備份的時候要註意,必須關閉DHCP服務器的一起功能,避免在備份的過程中給客戶機分配IP地址造成錯誤。如果此服務器不再提高DHCP服務,就可以通過刪除DHCP組件安全卸載DHCP服務器 。具體方法是:在“控制面板”中,選擇“添加或刪除程序”---“添加/刪除Windows組件”---“網絡服務”,清除“動態主機配置協議(DHCP)”,單擊“確定”按提示完成刪除DHCP服務的操作。

clip_image088

延伸阅读

评论