一 現狀分析
隨着公司家屬區接入用戶的數量不斷增加,以及公司網絡的結構不斷的複雜,靜態ip地址的管理方式顯得極不協調。不但配置麻煩管理不便也會造成額外的工作負擔,因此對家屬區提供dhcp服務十分必要。
經過對公司網絡環境的研究以及現有資源的整合發現在不增加設備的前提下能夠對用戶提供有限的dhcp服務,但這會爲將來在整個企業網中實現dhcp動態分配地址積累豐富的經驗。可以先在家屬區進行試點在逐步推廣到全公司家屬區乃至辦公區。
二 網絡設計與配置計劃
經過對dhcp工做原理的研究發現dhcp relay 到dhcp server 之間的通訊是單播發送,換言之就是dhcp relay 與dhcp server 之間只要保持路由可達relay就能中繼dhcpdiscover等相關消息(如圖1-1)。這爲dhcp服務器的集中部署提供了必要條件,而且對後續的發展也是很有幫助。只要用戶匯聚交換機支持dhcp relay功能以及dhcp-snooping功能服務器就能匯聚中的網段提供dhcp服務。
2 . 配置計劃
針對家屬區的網絡環境具體的配置計劃如下:
(1)服務器配置
1. dhcp可架設在閒置的hp服務器上採用linux系統,劃入vlan 17內與cams服務器同屬於一vlan,這樣用戶若能訪問cams服務器那就一定能訪問dhcp服務器。因爲dhcp服務與cams是協同工作同一vlan也便於物理上進行區分。
Dhcp配置文件如下:
option domain-name "honliv.com";
option domain-name-servers 202.102.224.68, 10.1.100.88;
default-lease-time 172800;
max-lease-time 259200;
shared-network superscopes1 {
subnet 10.1.17.0 netmask 255.255.255.0 {
option routers 10.1.17.254;
}
}
shared-network superscopes2 {
subnet 10.1.8.0 netmask 255.255.255.0 {
option routers 10.1.8.254 ;
option broadcast-address 10.1.8.255;
range 10.1.8.3 10.1.8.30 ;
}
}
shared-network superscopes3 {
subnet 10.1.7.0 netmask 255.255.255.0 {
option routers 10.1.7.254 ;
option broadcast-address 10.1.7.255;
range 10.1.7.3 10.1.7.40 ;
}
}
shared-network superscopes4 {
subnet 10.1.6.0 netmask 255.255.255.0 {
option routers 10.1.6.254;
option broadcast-address 10.1.6.255;
range 10.1.6.115 10.1.6.116;
}
}
shared-network superscopes5 {
subnet 10.1.5.0 netmask 255.255.255.0 {
option routers 10.1.5.254;
option broadcast-address 10.1.5.255;
range 10.1.5.3 10.1.5.100 ; }}
網卡配置文件如下
DEVICE="eth0"
BOOTPROTO="static"
HWADDR="00:22:19:04:97:76"
IPV6INIT="yes"
MTU="1500"
NM_CONTROLLED="yes"
ONBOOT="yes"
TYPE="Ethernet"
UUID="6b409053-fd82-4e66-b386-254450de3f24"
IPADDR="10.1.17.17"
NETMASK="255.255.255.0"
GATEWAY="10.1.17.254"
NETWORK="10.1.17.0"
DNS1="10.1.100.88"
DNS2="202.102.224.68"
2 . chkconfig dhcpd on #設置開機啓動#
3 . 對重要配置文件進行備份比如dhcpd.cfg ifcfg-eth0
(2)交換機配置#交換機版本不一樣配置略有差別#
1 . [XXJSL-Huiju-S3628SI]dhcp enable ##開啓dhcp服務##
2 .[XXJSL-Huiju-S3628SI]dhcp-server 1 ip 10.1.17.90 10.1.17.91 ##配置DHCP服務器組##
3 .[XXJSL-Huiju-S3628SI]interface Vlan-interface 6
[XXJSL-Huiju-S3628SI-Vlan-interfaceX]dhcp-server 1 ##將需要提供DHCP服務的網段的接口加入與DHCP服務器組關聯##
4 .[XXJSL-Huiju-S3628SI]dhcp-snooping enable
[XXJSL-Huiju-S3628SI-interface-X/X]dhcp-snooping trust##保證服務器安全性,將鏈接服務器的口加入到trust區域進行授權,這樣可以對非授權的dhcp服務器進行隔離##
5 .在接入交換機上配置dhcp-snooping (有些可能不支持)將上聯到dhcp服務器的端口加入到trust區域。
(3)IMC配置
根據實驗時的數據imc客戶端應該進行如下配置,並且在開戶的時候要提前給用戶設置mac地址綁定,實現賬戶名+mac地址+vlan+端口的綁定。
3 . 可用性保障
(1)dhcp服務器安全性保障
啓動DHCP-snooping,主要作用就是通過配置非信任端口隔絕非法的dhcp server的接入。有些匯聚設備支持地址匹配檢查功能(dhcp relay address check)可以記錄每一條分配出去的地址與mac的綁定,禁止非法靜態地址用戶的接入。
(2)dhcp冗餘性保障
將主機bios設置成加電啓動,默認開機啓動dhcp服務,主服務器正常時可以把備用服務器端口關閉,主服務器宕機時開啓備用服務器。起到備份主dhcp服務器的效果
4 . 具體實施方法
在經過機房測試之後把dhcp服務器放入真實環境做最後的調試,根據調試結果選定具體實施時間,並且做好提前通知。要提前三天在oa系統對升級信息進行發佈,再通過學部向每位老師發送短信,提前做好通知的前提之下做好解決問題集中出現的準備。實施時間要避開日常工作繁忙期。
三 問題預測與解決辦法
1 . 路由器用戶的處理方法
很多新增路由器使用靜態地址修改起來比較麻煩,考慮到數量並不是很多可以先用靜態綁定,在服務器中設置靜態地址綁定mac,等系統穩定之後再逐個修改。
2 . 靜態地址與動態並存
雖然會造成衝突但是技術手段解決不了,因爲交換機不支持地址匹配檢查。但是並不影響使用,DHCP服務器會自動分配別的地址給客戶端。
3 . mac地址綁定問題(於cams結合問題)
爲了安全性考慮要實現賬戶名+mac地址+vlan+端口的綁定,在測試是發現mac綁定並不是十分完美,初步預測是因爲用戶下線之imc後保留用戶的在線狀態一段時間。但是對實際應用並不影響,在用戶重啓電腦,者重啓網卡或者下線超過一定時間之後mac綁定檢查就會生效。
4 . 雙服務器衝突問題
採用雙服務器熱備的方式雖然在實驗狀態下沒有問題,但是在實際環境大量用戶的請求下可能會出現問題(通常dhcp客戶端都會接受第一個發dhcpoffer的服務器,但是第二個服務器不會把這個同樣的ip移出自己的ip pool. 如果下一次這個服務器提供同樣的ip,客戶端會broadcast檢查發現這個ip已經有人在用了. 這樣會有很多broadcast在網絡中佔用帶寬資源),因此採用雙服務器先把其中之一的藉口down掉以備份主服務器。可以在穩定之後都開開觀察有什麼副作用是否明顯。