原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://dreamfire.blog.51cto.com/418026/135130
Windows 网络服务架构系列课程详解(一)
---------DHCP服务器的搭建与配置
实验背景:
企业网络环境中在没有配置DHCP服务器时,经常会遇到这样的情况,用户不懂怎么去配置IP地址;IP地址经常冲突;管理员单个配置IP地址会经常出错;笔记本计算机的客户,经常从一个子网移动到另一个子网,需要不断地手动更换IP地址;IP地址资源不足,但实际在同一时间段内使用的用户小于IP地址的数量等等。
实验目的:
1、了解Windows DHCP服务器的安装过程
2、了解Windows DHCP服务器的工作过程
3、掌握Windows DHCP服务器的配置和管理
4、理解DHCP中继代理概念,会用windows客户机或者路由器做DHCP中继代理获取TCP/IP参数。
5、掌握备份和还原DHCP数据库
6、浅谈路由器做DHCP服务器或DHCP中继代理
实验网络拓扑:
实验说明
本实验是在域环境下搭建的,因为,windows的大部分服务只有在域的环境下才能发挥初更好的效果来;其次,本实验无论是从域的角度去看,还是从DHCP服务器以及DHCP中继代理的角度去看都实现的是双备份冗余服务。因为,只有这样具有备份冗余的环境才能使企业的网络更加稳定,安全。
其次,为了模拟环境,中间采用了两台路由器,启用RIP v2协议,当然,其它路由协议也可以。具体配置就不做介绍了,可以参考其它网络文章。
实验步骤
1. 配置DHCP服务器的安装过程(主要配置DC—域控制器上DHCP服务器,BDC-副域控制器上的原理与DC上配置相同)
1.1、 配置之前,首先要知道DHCP服务器的要求。DHCP服务器要求在Windows Server 版的计算机上运行,本实验是在Windows Server 2003上运行的配置。由于DHCP服务器要运行稳定,必须有静态的IP地址、子网掩码和其他的TCP/IP参数。
下面是在DC上配置的TCP/IP参数。可以看出DHCP服务器的地址是192.168.0.254/24,DNS服务器的地址也是192.168.0.254/24,网关(R1路由接口E0/1的IP地址
clip_image004
下面是BDC上TCP/IP参数,其中另外一台DHCP服务器的IP地址为192.168.1.254/24,DNS是DC的IP地址,网关是路由器R3的端口E0/0接口的IP地址。
clip_image006
1.2、 安装DHCP服务器可以有两种方式,一种是通过“管理您的服务器(装好Windows server 2003之后,第一次启动就自动打开)”选项或通过“添加/删除程序”进行安装,本实验选后者。
首先在打开“开始”菜单,然后打开 “控制面板”选择里面的“添加/删除程序”,然后选择“添加/删除Windows组建”,选择“网络服务”,然后勾选里面的“动态主机配置协议(DHCP)进行安装。(注意:安装过程中,需要光盘里的文件,所以还需要将对应的Windows server 2003光盘放入光驱中,当然,这里用的是虚拟光驱和镜像文件进行安装的)
clip_image008
1.3、 安装完成之后,在“开始”----“管理工具”里有“DHCP选项,打开便是DHCP服务器的配置界面,当然,也可以通过“管理您的服务器”进行打开。
clip_image010
1.4、 授权DHCP服务器,授权是一种安全的防范措施,它可以确保只有经过授权的DHCP服务器才能在网络中运行。但是,这种授权配置只能在域环境中才能有效。
clip_image012
在没有给DHCP服务器进行授权之前,可以从DHCP的状态中看出,下面是BDC上的DHCP服务器没有进过授权显示的结果。
clip_image014
现在,在“管理授权的服务器中”添加两台DHCP服务器的地址,然后,点击“关闭”就可以生效了,下面DHCP服务器的状态就是处于“运行状态”
clip_image016
2. 配置DHCP服务器
2.1、 配置两个网段的作用域(以192.168.0.0/24段为例)。
在授权DHCP服务器之后,首要任务便是创建作用域及配置作用域。作用域实际就是一段IP地址的范围,当DHCP客户机请求IP地址时,DHCP服务器将从此段范围中选取一个尚未出租的IP地址,将其分配给DHCP客户机。
每一个DHCP服务器中至少应有一个作用域,为一个网段分配IP地址。如果要为多个网段分配IP地址,就需要创建多个作用域,这个在多个VLAN中应用是非常广泛的。
clip_image018
为了能够更好的区域不同的作用域,最好给每个作用域起一个名称,也可以给一定的描述。
clip_image020
键入作用域的IP地址范围,以及子网掩码长度(长度和子网掩码是等同的)
clip_image022
IP地址池建好之后,可以排除里面的一些地址来分配给一些需要固定IP地址的计算机或服务器,注意:配置的时候,起始地址和结束地址是一样的。比如说192.168.0.10留给路由器的接口(默认网关),192.168.0.20留给FTP服务器等等。
clip_image024
接下来输入租约期限(某DHCP客户端在此作用域中使用申请的一个IP地址的时间长短。),默认为8天,也可以更改为其它天数,最大为999天。配置时应根据情况而定。比如说对于一些经常移动的用户,设置的租约期限短一点比较好,例如,我们学校中心的机房偶然会连一次外网,这时候就需要从DHCP服务器上获取IP地址。但是时间又不长,大概也就几个小时,而中心的管理员就将此DHCP租约期限设置为两个小时,这样既保证了IP在没用期间能够尽快的释放,同时,也增大了IP地址的利用率。当然,对于一些固定的主机来说,设置租约期限长一点还是比较好的。
clip_image026
接下来是一个配置DHCP选项(DHCP选项是指客户机获得一个IP地址之后,除了包含IP地址和子网掩码必须项之外,还有一些可选项,如常用的路由器的(默认网关)IP地址,DNS服务器的IP地址等等,设置什么要根据情况而定)的向导,主要是针对于初级用户而设计的,我们就直接选择稍后配置即可。
clip_image028
新建好作用域之后,作用域前面有一个红色向下的箭头,表明作用域状态为不活动,此时客户机不能从此作用域里获取IP地址。配置完成之后,要使作用域生效,需要激活。(在作用域没有配置完整之前,最好不要激活作用域,这样可以避免客户端学习到不完整的TCP/IP信息)。
clip_image030
配置完之后,可以通过地址池查看之前的配置是否正确。
clip_image032
客户端保留可以确保让某台计算机总是获得同一个IP地址,而这个IP地址实际跟计算机的MAC地址绑定在一起的。
clip_image034
输入“新建保留”的IP地址,对应于计算机的MAC地址。还有一些描述信息。
clip_image036
注意:另外一个地址段的作用域和上面的配置原理基本相同,这里不再做配置。
clip_image038
2.2、 配置作用域选项
创建了DHCP作用域之后,就可以配置作用域选项了,(也可以在新建作用域的过程中进行配置,但之能配置网关,DNS,WINS三项)而作用域选项里可以为客户端配置60多项内容,具体配置根据具体情况而定,一般只选用 “003 路由器”配置网关,还要“006 DNS服务器”配置DNS。不同的作用域中可以设置不同的参数,例如,不同的VLAN中就可以设置各自的网关地址等等。
clip_image040
选择“003 路由器”配置192.168.0.0/24段的默认网关地址。也就是路由器R1的E0/1端口的IP地址。
clip_image042
选择“006 DNS 服务器”来设置192.168.0.0/24网段的DNS服务器地址,而192.168.1.0/24网段的DNS服务器地址也应该设置成192.168.0.254。
clip_image044
配置完成之后,可以通过点击“作用域选项”进行查看。
clip_image046
当然,也可以在作用域中配置“服务器选项”里的“配置选项”这个主要应用于多个作用域选项的某一参数值一样的时候,为了快速方便,只需要在服务器选项中配置,所有作用域选项里便有这项参数。
clip_image048
注意:要注意服务器选项、作用域选项和保留选项之间的关系。
一般来说,各选项的功能都是配置客户机的TCP/IP参数的可选项,但各项的应用范围和优先级不一样。服务器选项在本服务器上所有的作用域中生效,作用域选项在本作用域中生效,保留选项对保留的客户机生效,优先级由高到低依次为:保留选项 、作用域选项、服务器选项。
2.3、 配置DHCP客户机
DHCP服务器配置完成后,客户端就可以开始启用DHCP功能。使用Windows XP/2003操作系统的用户中,单击“控制面板”,选择“网络连接”,右击本地连接,选择“属性”,在下拉列表中,选中“Internet 协议(TCP/IP)”复选框,然后单击 “属性”按钮,如下图所示:选则自动获取IP地址,自动获取DNS地址(这一项必须在DHCP中作用域选项或者服务器选项中有DNS的指定配置才能生效,如果没有,需要手动指定)
clip_image050
获取到之后,就可以在开始---运行命令里输入ipconfig /all命令进行查看所以的TCP/IP参数了,其中192.168.0.2便是获取的IP地址,其它的DNS,Default Gateway等等都是从DHCP服务器中获得的,那么,DHCP客户端获取TCP/IP参数是一个什么样的过程呢?
首先,客户端请求IP租约:在网络中广播一个DHCPDiscover包请求IP地址(源IP地址是0.0.0.0,目标IP地址是255.255.255.255—广播,以及客户端的MAC地址,用于确定客户端的具体位置。
其次,服务器相应:当网络中的某一台DHCP服务器收到客户机请求IP地址的信息时,就在自己规定的IP地址池里查找是否有合法的IP地址提供给客户机,如果有,就将此IP地址做上标记,广播一个DHCPOffer包出去。
再次,客户机选择IP地址:DHCP客户机从接受到第一个DHCPOffer包中选择IP地址,并将DHCPRequest包打上服务器标示字段广播到所有的DHCP服务器上,DHCP服务器查看服务器标示字段是否为客户机提供了IP地址,如果有,则该地址保留;如果没有,则DHCP服务器取消IP地址用于下一个IP租约请求。
最好,服务器确认租约:当服务器收到DHCPRequest后,以DHCPACK消息的信息向客户机广播成功的确认,该消息包含了IP地址的有效信息和其他可能的配置。当客户机收到DHCPACK包之后,就配上了IP地址,便可以在TCP/IP网络中通信了。
下面就是PC1从DHCP(192.168.0.254)上申请的最小的一个IP地址(客户端从小向大获取)
clip_image052
IP租约释放与从新获得
在客户机上使用ipconfig /release命令使DHCP客户机 向DHCP服务器发送DHCPRelease包并释放其租约。比如说,一台客户机在租约过期之后才打开,那么,如果客户机不适用DHCPRelease包,那么它在重新启动时,将试图尝试继续使用上一次使用过的IP地址。
在客户机上使用ipconfig /renew命令使DHCP客户机向DHCP服务器从新发送DHCPDiscover,继续获取IP参数。
clip_image054
下面是在DHCP服务器上看到的两个客户端获取的最小的IP地址,其中有主机名,租约期限等等。而192.168.0.30是保留的地址,只有FTP服务器一开启,马上获取这个地址。
clip_image056
配置自动获取时,也可以在“备用配置”里进行配置,这个主要用于一些用户,经常在有或者是没有DHCP的网络中活动的时候配置的,如果有DHCP服务器,就自动获得;如果没有DHCP服务器,就启用备用配置。
clip_image058
3. 配置DHCP中继代理(windows和路由器上实现)
DHCP租约过程是靠广播信息发送消息的,而不同VLAN之间是冲突域,只能在各自VLAN中广播消息,同样,不同网段之间也是冲突域,也只能在各自的网段之内广播消息,不同VLAN或者不同网段之间之能通过单播传输消息,传统的方法是给每个VLAN或者每个网段放置一个DHCP服务器,但是这样对资源来说是一种浪费,维护起来也不方便,也就要求能够转发DHCP租约请求的设备在两个广播域之间传输单播,DHCP中继代理便实现了这一功能。
首先,DHCP客户机申请IP租约,发送DHCPDiscover广播包,中继代理收到该包后,并通过单播的形式转发给另一个网段的DHCP服务器,DHCP服务器收到该包,然后将DHCPOffer包通过单播的形式传给DHCP中继代理,中继代理将地址租约通过广播的形式转发给DHCP客户端,DHCP客户端收到DHCPOffer包 之后,发送DHCPRequest包给DHCP中继代理然后转个DHCP服务器,DHCP服务器最终发送DHCPACK包给DHCP中继代理转个DHCP客户机,DHCP客户机便实现了网络参数的获取。
打开BDC(DC上的配置原理相同)上“管理工具”----“路由和远程访问”窗口(注意:PC机是七层设备,也就是说它是具备数据链路层设备和网络层设备的某些功能的,比如说网络层路由器设备的某些功能,包括路由协议等等)
clip_image060
配置并启用路由和远程访问
clip_image062
选择自定义配置(其它配置包括***拨号,NAT等等)
clip_image064
接下来选择“LAN路由”(因为DHCP中继代理其实主要起了一个路由转发功能,将DHCP客户机的请求转发给DHCP服务器,然后再将DHCP服务器的请求转发给DHCP客户机)
clip_image066
配置完成之后,开启此服务。否则,此服务不可用。也可以通过“服务”窗口开启此服务(开始---运行----services.msc)
clip_image068
配置好之后,选择IP路由选择里的常规,单击右击选择新增路由协议选项
clip_image070
选择DHCP中继代理程序
clip_image072
选好之后,然后开始配置DHCP中继代理程序,右击“DHCP中继代理程序”,然后选择“属性”
clip_image074
在DHCP中继代理程序属性中配置DHCP服务器的IP地址,如果有一个DHCP服务器,只需要配置一个即可;如果有多个DHCP服务器,也可以添加多个DHCP服务器。
clip_image076
右击“DHCP中继代理程序”,在弹出的快捷键菜单中选择“新增接口”命令,选择“本地连接”,然后确定
clip_image078
clip_image080
下面的“跃点计数阈值”是中继代理通信可以跨过的最大跳数,“启动阈值(秒)”是中继代理转发DHCP消息前的等待时间,该选项对希望本地DHCP服务器首先相应,如果 DHCP服务器在规定的时间内不响应,则中继代理就会转发DHCP消息给其他网段的DHCP服务器,默认值都是4,而本实验中,192.168.0.0/24段的客户端首先会将DHCPDiscover发送给IP地址为192.168.0.254的DHCP服务器,如果4秒不响应(比如说,此DHCP服务器处于维护状态),才将DHCPDiscover请求发个DHCP本端的DHCP中继代理转发到对端的DHCP服务器(192.168.1.254/24)
clip_image082
关闭IP地址为192.168.1.254的DHCP服务器,然后,开启DHCP中继代理功能,让PC3通过DHCP中继代理获取TCP/IP参数,通过ipconfig /release 和ipconfig /renew命令可以实现,也可以通过图形界面自动获得。
clip_image084
当然,除了在服务器上配置DHCP中继代理之外,也可以让路由器充当DHCP中继代理的角色,在R3上配上以下命令,ip helper-address 192.168.0.10是关联DHCP服务器的IP地址。(注意:是在路由器配置默认网关的接口上进行配置)
clip_image086
在实际应用中,主要是转发不同VLAN的DHCPDiscove包,具体配置是
R3(config)#interface vlan-ID (需要给那个VLAN做DHCP中继)
R3(config)#ip helper-address DHCP服务器地址
4. 维护DHCP服务器(备份、还原数据库和删除DHCP组件)
为了防止DHCP服务器由于硬盘发生错误或者其他原因而导致数据库丢失的情况发生,需要备份DHCP数据库,由于两边的DHCP服务器的配置相同(冗余备份),可以将一边的DHCP服务器配置后之后,备份出DHCP数据库,然后在另外一台DHCP服务器上还原即可。
备份的时候要注意,必须关闭DHCP服务器的一起功能,避免在备份的过程中给客户机分配IP地址造成错误。如果此服务器不再提高DHCP服务,就可以通过删除DHCP组件安全卸载DHCP服务器 。具体方法是:在“控制面板”中,选择“添加或删除程序”---“添加/删除Windows组件”---“网络服务”,清除“动态主机配置协议(DHCP)”,单击“确定”按提示完成删除DHCP服务的操作。
clip_image088

本文出自 “小诺的Linux开源技术博客” 博客,请务必保留此出处http://dreamfire.blog.51cto.com/418026/135130