下配置完整安全的DHCP服務器詳解

1、名稱 dhcpd.conf - dhcpd 配置文件 描述 dhcpd.conf 文件包括ISC DHCP的dhcpd的配置信息。 dhcpd.conf文件是一個普通格式的ASCII碼文檔， 它由內(nèi)置的遞歸解析器解釋。 dhcpd.conf文件可能會包含許多額外的tab和空格、空行，它們的目的是讓文件更容易閱讀。 其中的關(guān)鍵字對大小寫不敏感。注釋語句可以放在任何位置（除了引號中）注釋語句用# 開頭，這一行結(jié)束時注釋語句自然結(jié)束。 文件包括一組語句，語句在一對大括號中，包含參數(shù)和聲明。 參數(shù)語句說明如何做一件事（例如，租期是多長時間），或者是否做一件事情。 (例如， dhcpd 是否為

2、未知客戶提供地址)，或者給客戶提供哪種參數(shù)(例如，使用網(wǎng)關(guān))。聲明用來描述網(wǎng)絡的拓撲結(jié)構(gòu)、網(wǎng)絡上的客戶，提供可以為客戶端分配的地址，或者對某個客戶端組應用組（group）參數(shù)。在任何組參數(shù)中，所有的這些組參數(shù)必須比使用這些組參數(shù)的語句先出現(xiàn)。 網(wǎng)絡聲明包含多子網(wǎng)的網(wǎng)絡（有些地方譯為：超網(wǎng)，但超網(wǎng)太難理解了，這里叫“多子網(wǎng)網(wǎng)絡”）和子網(wǎng)的拓撲聲明。對于有地址被動態(tài)分配給客戶端的子網(wǎng)，子網(wǎng)聲明中必須有一個range聲明語句。對于靜態(tài)分配的地址，或者是已知客戶的安裝，每個客戶端都必須使用一個host聲明語句。如果一個參數(shù)應用到一組聲明中，這些聲明并不只與某個子網(wǎng)相關(guān)，可以定

3、義一個“組參數(shù)”。 對每一個要服務的子網(wǎng)，每個dhcp服務器連接的子網(wǎng)，都必須有一個子網(wǎng)聲明，用來告訴dhcpd如何處理那個子網(wǎng)上的地址。即使一個子網(wǎng)不需要分配任何地址，也需要一個子網(wǎng)聲明。 一些物理網(wǎng)絡上不只有一個IP子網(wǎng)存在，例如，如果一個網(wǎng)絡需要一個8位的子網(wǎng)，但是當業(yè)務發(fā)展使總的節(jié)點數(shù)超過了254臺，就需要增加一個8位的子網(wǎng)。這時，就增加了一個新的物理網(wǎng)絡，這種情況下，2個網(wǎng)絡的子網(wǎng)聲明必須包含在一個“多子網(wǎng)網(wǎng)絡聲明（超級作用域）”中。 有些網(wǎng)絡的客戶端不只有一個子網(wǎng)，可能會為同一子網(wǎng)中一些客戶端分配的一些參數(shù)與其它的客戶端不同。這樣的用戶可以使用host語句來定義，一些參數(shù)也可以定義

4、在“組參數(shù)”語句中，它被這些客戶端共同調(diào)用。對于需要根據(jù)不同情況獲得不同地址的客戶端，可能會使用“類聲明（class declarations）”和“條件聲明（conditional declarations）”語句，這樣可以根據(jù)客戶端發(fā)送的信息來決定分配給客戶端的參數(shù)。 當一個客戶端啟動時，服務器先查看是否有匹配客戶端的host語句，如果沒有，再看是否有匹配的“類聲明（class declarations）”語句，接著查看是否有“池pool”匹配，“子網(wǎng)subnet”匹配和“多子網(wǎng)網(wǎng)絡（超級作用域）shared-net-work”匹配。（根據(jù)這些匹配，）將符合這個客戶端的參數(shù)提供給它。每種參

5、數(shù)都不會被分析第2次，如果它們出現(xiàn)了2次或2次以上，那么會使用那個最精確出現(xiàn)的地方。dhcpd首先查找客戶端是否有包含固定IP地址的host語句，這個地址要在客戶端啟動的那個子網(wǎng)中，或者“多子網(wǎng)網(wǎng)絡”中，如果沒有對應的host語句匹配，那就查找非固定地址的聲明。 例如： 一個典型的dhcpd.conf 文件將會象下面這樣：  global parameters.  subnet netmask 24 subnet-specific parameters. range 0 204.254

6、.239.30;   subnet 2 netmask 24 subnet-specific parameters. range 2 2;   subnet 4 netmask 24 subnet-specific parameters. range 4 4;   group group-specific parameters. host zappo.test

7、. host-specific parameters. host host-specific parameters. host host-specific parameters.   圖 1  注意文件的開始，它是全局參數(shù)放置的地方，可能會是： 組織的域名，DNS服務器的地址（如果這個服務器對整個網(wǎng)絡都是一樣的）和其它一些。比如：  option domain-name "" option domain-name-servers ns1.is

8、, ;  圖 2  如圖2中所示，可以使用DNS服務器的名稱而不使用它的IP地址，如果指定不只一個DNS服務器地址，那么只要有可能，所有地址都會提供給客戶端。 每個子網(wǎng)都要指明的最可能必須的參數(shù)是router，如圖1所示。因此對于第一個子網(wǎng)，它就應該是這個樣子的 option routers ; 注意這里的地址是數(shù)字形式的，如果每個網(wǎng)關(guān)都有域名，這就不是必須的，使用域名也是合法的。然而，很多情況下，多個網(wǎng)關(guān)只有一個域名，這樣就不能使用域名了。 在圖1中，有一個group 語句，它為一組host語句zappo，bepp

9、o和harpo提供了通用的參數(shù)。如你所見，這些主機都在這個域里，這樣它在“組參數(shù)”中指明就會覆蓋全局設置的參數(shù)：  option domain-name ""  而且，指明它們的域，可能用在測試機器中，如果我們要測試DHCP的租約機制，可以在這里設置比默認值更短的租約：  max-lease-time 120; default-lease-time 120;  你可能注意到有些參數(shù)以option 關(guān)鍵字開頭，有些不。以option 關(guān)鍵字開頭的語句對應實際的DHCP選項，不以option關(guān)鍵字開頭的選項控制服務

10、端(例如，租期) 或客戶端的選項不在DHCP協(xié)議中（例如，服務器名或文件名） 在圖1中，每個host 都有指定的參數(shù)，它會包含象hostname選項，要上傳的文件名(filename 參數(shù))，還有要上傳的服務器的地址(next-server 參數(shù))。通常，任何參數(shù)都可以在任何可以出現(xiàn)的地方出現(xiàn)，并且按照參數(shù)出現(xiàn)位置確定應用范圍。 假設你的環(huán)境中有許多沒有CD的X終端，這些終端有不同的型號，你想為每種型號確定一個啟動文件，一種方法是給每個服務器和組都使用host語句：  group filename "Xncd19r" next-server ncd-booter;

11、  host ncd1 hardware ethernet 0:c0:c3:49:2b:57; host ncd4 hardware ethernet 0:c0:c3:80:fc:32; host ncd8 hardware ethernet 0:c0:c3:22:46:81;   group filename "Xncd19c" next-server ncd-booter;  host ncd2 hardware ethernet 0:c0:c3:88:2d:81; host ncd3 hardware ethernet 0:c0:c3:0

12、0:14:11;   group filename "XncdHMX" next-server ncd-booter;  host ncd1 hardware ethernet 0:c0:c3:11:90:23; host ncd4 hardware ethernet 0:c0:c3:91:a7:8; host ncd8 hardware ethernet 0:c0:c3:cc:a:8f;  地址池 “池”語句(pool)用來定義一個地址池，即便是在同一個網(wǎng)段或者子網(wǎng)，也可以定義幾個池，系統(tǒng)將通過“池”來區(qū)分它們。例如，你可能想提供一大段地址分

13、配給DHCP客戶端時同時提供很短的租約的一小段地址，用來給未知客戶。如果有防火墻，你可能會安排一段地址池能上網(wǎng)，另一個地址池不能上網(wǎng)，這可以鼓勵用戶注冊到DHCP系統(tǒng)中來，也就需要建立兩個地址池：  subnet .0 netmask option routers .254;  # Unknown clients get this pool. pool option domain-name-servers ; max-lease-time 300; range .200 53; allow unknown-clients;

14、60; # Known clients get this pool. pool option domain-name-servers , ; max-lease-time 28800; range .5 99; deny unknown-clients;   上面這個例子中，已知客戶和未知客戶在相同的子網(wǎng)中，也可能將已知和未知客戶分配在不同的子網(wǎng)中，或者在“多子網(wǎng)層次（超級作用域）”，這樣地址池的范圍可能跨越不同的子網(wǎng)。正如前面的例子，地址池可以允許或拒絕一個控制用戶存取的組，這個組名前面要有allow或 deny 關(guān)鍵字。 如果一個池有一個允許列表，只有匹配的客戶端

15、才可以獲得地址池的地址，如果這個池有一個拒絕列表，只有不匹配的客戶端才可以獲得池中的地址，如果同時存在允許和拒絕列表，那么只有在允許列表并且不在拒絕列表中的客戶端才可以獲得池中的地址。 動態(tài)地址分配 地址分配實際只在客戶端在初始狀態(tài)并且發(fā)送一個 DHCPDISCOVER信息時完成。如果客戶端認為它有一個有效的租約并且發(fā)送了一個DHCPREQUEST信息來初始化或者更新租約，服務器就只有3個選擇：（1）它可以忽略DHCPREQUEST信息，并且返回一個DHCPNAK 信息來告訴客戶端，要求客戶端停止使用這個地址，（2）或者發(fā)送一個DHCPACK信息，告訴客戶端繼續(xù)再使用這個地址一段時間

16、，如果服務器找到客戶端要求的地址，并且這個地址對于這個客戶也是可用的，服務器會發(fā)送一個DHCPACK信息，如果這個地址已經(jīng)不能用了，客戶端就不能使用它，此時服務器將會發(fā)送一個DHCPNAK信息，（3）如果服務器不知道這個地址，它會先保持沉默，除非這個地址對于客戶端依附的地址段是不正確的，這種情況下服務器會發(fā)送一個DHCPNAK，即便它完全不知道這個地址。 如果有一個host語句定義了客戶端，同時host語句中包含了固定地址（fixed-address），這個IP地址對于客戶端實際連接的網(wǎng)段也是合法的，此時DHCP服務器不動態(tài)分配地址，而是發(fā)送host語句指明的地址。如果此時用戶發(fā)送了DHCPR

17、EQUEST信息來獲得其它地址，服務器會回應一個DHCPNAK信息，來拒絕為用戶分配其它地址。 當一個DHCP服務器為客戶端分配一個新的地址時(記住，這只發(fā)生在客戶端發(fā)送DHCPDISCOVER信息時)，它首先查找lease文件，看客戶機是否存在一個有效的地址租約，或者此客戶機原來是否有一個地址（這個地址已經(jīng)過期），如果有，服務器就會檢查那個地址，看客戶端是否被允許使用這個地址，如果客戶端已經(jīng)不被允許使用這個地址（通常是客戶機從另外一個子網(wǎng)登錄了，或者此地址被其它客戶端占用），并且服務器lease文件中顯示原來的租約還存在，服務器就釋放這個租約，事實上，此時是客戶端發(fā)送的DHCPDISCOVE

18、R信息，它已經(jīng)證明客戶端實際并沒有使用這個租約。如果沒有找到存在的租約，或者客戶端被強迫接收一個已經(jīng)存在的租約，那么服務器就會查找客戶端所在網(wǎng)段的地址池，找一個允許客戶端使用而又沒有使用的地址，它會按順序遍歷每個地址池(所有地址池外的“范圍”range定義語句都組成一個沒有允許列表的單獨的池)。如果地址池的允許列表允許客戶端得到一個池中的地址，這個地址池會被檢查是否有可用的地址，如果有，客戶端將會得到這個地址；否則，會檢查下一個地址池。如果一直都沒有找到可用的地址，服務器就不發(fā)送回應。如果找到一個地址，這個地址以前從未被任何客戶端使用過，這個地址將立即分配給這個客戶，如果這個地址曾經(jīng)分配給另一

19、個客戶端，服務器會嘗試查找一個從未分配的地址給客戶端。 DHCP服務器使用哈希表(hash table)來產(chǎn)生一組可用的IP地址，這意味著地址不以任何特定的順序存放，這樣也就不能預測DHCP服務器下一個要分配的地址。前一個版本的ISC DHCP服務器使用降序來分配地址，現(xiàn)在不是了，并且在這個版本里也沒有辦法配置服務器分發(fā)地址的順序 (ISC DHCP 3)。 防止IP地址沖突 DHCP服務器在分配IP地址前檢查它們是否被使用來防止沖突。它通過向準備分配的IP地址發(fā)送ICMP Echo 請求信息來完成，如果1秒內(nèi)沒有接收到ICMP Echo reply信息，就假定這個地址是可用的。這只

20、對在range語句中指明的租約，并且租約被DHCP服務器認為可用時有效。例如，DHCP服務器或者它的熱備機沒有列出這個租約在使用中。如果收到ICMP Echo回應，DHCP服務器會假定出現(xiàn)了配置錯誤IP地址被網(wǎng)絡上的主機使用了，然后它標記這個地址為“廢棄地址”，不再把它分配給客戶端。如果DHCP客戶端試圖得到一個地址，但是卻沒有可用的地址，服務器會（隨機）標記一個“廢棄地址”為“可用”，然后向這個地址發(fā)送同樣的ICMP Echo 請求，如果沒有得到 ICMP Echo reply回應，這個地址就會分配給這個客戶。 如果要收回的第一個IP地址是可用的，DHCP服務器不會去循環(huán)使用“廢棄地址”。而

21、且，當下一個客戶的DHCPDISCOVER信息到達時，它會用相同的方法開始一個新的分配，并且嘗試分配一個新的IP地址。在Linux中配置DHCP服務器安裝DHCP服務器DHCP配置文件可以使用RHEL 5.0自身攜帶的RPM包安裝，安裝結(jié)束后DHCP端口監(jiān)督程序dhcpd配置文件是/etc目錄中的名為dhcpd.conf的文件。下面手工建立/etc/dhcpd.conf文件，該文件通常包括3個部分，即parameters參數(shù)、declarations聲明和option選項。1DHCP配置文件中的parametersparameters表明如何執(zhí)行任務，以及是否要執(zhí)行任務或?qū)⒛男┚W(wǎng)絡配置選項發(fā)送

22、給客戶端，主要參數(shù)如表8-1所示。DHCP配置文件中的主要參數(shù)參 數(shù)解 釋ddns-update-style配置DHCP-DNS互動更新模式default-lease-time指定默認租賃時間的長度，單位是秒max-lease-time指定最大租賃時間長度，單位是秒hardware指定網(wǎng)卡接口類型和MAC地址server-name通知DHCP客戶端服務器名稱get-lease-hostnames flag檢查客戶端使用的IP地址fixed-address ip分配給客戶端一個固定的地址authritative拒絕不正確的IP地址的要求2DHCP配置文件中的declarationsdeclara

23、tions用來描述網(wǎng)絡布局及提供客戶的IP地址等，主要聲明聲 明解 釋shared-network用來告知是否一些子網(wǎng)絡共享相同網(wǎng)絡subnet描述一個IP地址是否屬于該子網(wǎng)range起始IP終止IP提供動態(tài)分配IP的范圍host主機名稱參考特別的主機group為一組參數(shù)提供聲明續(xù)表聲 明解 釋allow unknown-clientsdeny unknown-client是否動態(tài)分配IP給未知的使用者allow bootp;deny bootp是否響應激活查詢allow bootingdeny booting是否響應使用者查詢filename開始啟動文件的名稱，應用于無盤工作站next-se

24、rver設置服務器從引導文件中裝入主機名，應用于無盤工作站DHCP配置文件中的optionoption用來配置DHCP可選參數(shù)，全部用option關(guān)鍵字作為開始，主要選項如表8-3所示。表8-3 DHCP配置文件中option關(guān)鍵字的主要選項 選 項解 釋subnet-mask為客戶端設定子網(wǎng)掩碼domain-name為客戶端指明DNS名字domain-name-servers為客戶端指明DNS服務器的IP地址host-name為客戶端指定主機名稱routers為客戶端設定默認網(wǎng)關(guān)broadcast-address為客戶端設定廣播地址ntp-server為客戶端設定網(wǎng)絡時間服務器的IP地址ti

25、me-offset為客戶端設定格林威治時間的偏移時間，單位是秒配置實例在下面的實例中使用一個的虛擬域名，用戶需要修改其中的內(nèi)容以滿足網(wǎng)絡的需求。/etc/dhcpd.conf文件的內(nèi)容如下：# The options outside a subnet directive are global unless# over-ridden by the same setting inside the subnet directive.option domain-name-servers 3， 36;default-lease-time 6000; max-leas

26、e-time 7200;# If this DHCP server is the official DHCP server for the local# network，the authoritative directive should be uncommented.authoritative;# Use this to send dhcp log messages to a different log file (you also# have to hack syslog.conf to complete the redirection).log-facility local7;# Han

27、dle client dynamic dns updatesddns-update-style none;# Example Network 1 ( on eth0 )subnet netmask option domain-name ""range 00 00;option routers 54;上面的實例配置文件分為兩個部分，即子網(wǎng)配置信息和全局配置信息。可以有多個子網(wǎng)，這里為了簡化，只指定了一個子網(wǎng)。（1）Subnet。在上面的例子中，

28、一個子網(wǎng)聲明以“subset”關(guān)鍵字開始，所以子網(wǎng)信息包括在中。中的配置信息只對該子網(wǎng)有效，會覆蓋全局配置。（2）Global。所有子網(wǎng)以外的配置都是全局配置，如果同一個全局配置沒有被子網(wǎng)配置覆蓋，則其將對所有子網(wǎng)生效。（3）Configuration Options。下面是上例中配置指令的解釋說明。option domain-name-servers 3， 36;這一行指定客戶端應該使用的DNS服務器，該選項可以用于全局參數(shù)或者子網(wǎng)參數(shù)。default-lease-time 6000; max-lease-time 7200;這兩行是相關(guān)的，defaul

29、t-lease-time指定客戶端需要刷新配置信息的時間間隔（秒），max-lease-time為客戶端用于無法從服務器獲得任何信息的時間，超過該時間則會丟棄之前從該DHCP服務器獲得的所有信息，而轉(zhuǎn)向使用OS的默認設置。authoritative;指定當一個客戶端試圖獲得一個不是該DHCP服務器分配的IP信息，DHCP將發(fā)送一個拒絕消息，而不會等待請求超時。當請求被拒絕，客戶端會重新向當前DHCP發(fā)送IP請求獲得新地址。log-facility daemon;指定DHCP服務器發(fā)送的日志信息的日志級別。ddns-update-style none;該配置可以指定一個方法，客戶端用該方法來更新

30、IP對應的域名信息，本例中禁用了該特性。subnet netmask option domain-name ""range 00 00;option routers 54;上面內(nèi)容為子網(wǎng)配置，第1行指定該子網(wǎng)地址和掩碼。DHCP服務器必須擁有該子網(wǎng)的一個IP，domain-name設置該客戶端的域名。DHCP服務器可以負責整個子網(wǎng)的信息，也可以只負責子網(wǎng)的一段。option routers配置默認網(wǎng)關(guān)IP。啟動DHCP服務器1建立客戶端租約文

31、件運行DHCP服務器還需要一個名為“dhcpd.leases”的文件，其中保存所有已經(jīng)分發(fā)的IP地址。在Red Hat Linux發(fā)行版本中，該文件位于/var/lib/dhcp/目錄中。如果通過RPM安裝ISC DHCP，那么該目錄應該已經(jīng)存在。dhcpd.leases的文件格式為：Leases address statement一個典型的文件內(nèi)容如下：lease 55 #DHCP服務器分配的IP地址#starts 1 2005/05/02 03:02:26; # lease 開始租約時間#ends 1 2005/05/02 09:02:26; # lease 結(jié)束租約

32、時間#binding state active;next binding state free;hardware ethernet 00:00:e8:a0:25:86; #客戶機網(wǎng)卡MAC地址#uid "001000000350240%206" #用來驗證客戶機的UID標志#client-hostname "cjh1" #客戶機名稱#注意：lease開始租約時間和lease結(jié)束租約時間是格林威治標準時間（GMT），不是本地時間。第1次運行DHCP服務器時，dhcpd.leases是一個空文件，也不用手工建立。如果不是通過RPM安裝ISC DHCP，或者d

33、hcpd已經(jīng)安裝，那么應該試著確定dhcpd將其lease文件寫到何處并確保該文件存在。也可以手工建立一個空文件：#touch /var/lib/dhcp/dhcpd.leases2啟動和檢查DHCP服務器使用命令啟動DHCP服務器：#service dhcpd start使用ps命令檢查dhcpd進程：#ps -ef | grep dhcpdroot 2402 1 0 14:25 ? 00:00:00 /usr/sbin/dhcpdroot 2764 2725 0 14:29 pts/2 00:00:00 grep dhcpd使用netstat檢查dhcpd運行的端口：# netstat -

34、nutap | grep dhcpdudp 0 0 .0:67 :* 2402/dhcpd3設置DHCP轉(zhuǎn)發(fā)代理DHCP的轉(zhuǎn)發(fā)代理（dhcrelay）允許把無DHCP服務器子網(wǎng)內(nèi)的DHCP和BOOTP請求轉(zhuǎn)發(fā)給其他子網(wǎng)內(nèi)的一臺或多臺DHCP服務器。當某個DHCP客戶端請求信息時，DHCP轉(zhuǎn)發(fā)代理把該請求轉(zhuǎn)發(fā)給DHCP轉(zhuǎn)發(fā)代理啟動時所指定的一臺DHCP服務器。當某臺DHCP服務器返回一個回應時，該回應被廣播或單播給發(fā)送最初請求的網(wǎng)絡。除非使用INTERFACES指令在/etc/sysconfig/dhcrelay文件中指定了接口，否則DHCP轉(zhuǎn)發(fā)代理監(jiān)聽所有接口上的DHCP請求。要

35、啟動DHCP轉(zhuǎn)發(fā)代理，使用命令：service dhcrelay start4從指定端口啟動DHCP服務器如果系統(tǒng)連接不止一個網(wǎng)絡接口，但是只想讓DHCP服務器啟動其中之一，則可以配置DHCP服務器只在相應設備上啟動。在/etc/sysconfig/dhcpd中，把接口的名稱添加到DHCPDARGS的列表中：# Command line options hereDHCPDARGS=eth0如果有一個帶有兩塊網(wǎng)卡的防火墻機器，這種方法就會大派用場。一塊網(wǎng)卡可以被配置成DHCP客戶端從互聯(lián)網(wǎng)上檢索IP地址；另一塊網(wǎng)卡可以被用做防火墻之后的內(nèi)部網(wǎng)絡的DHCP服務器。僅指定連接到內(nèi)部網(wǎng)絡的網(wǎng)卡使系統(tǒng)更

36、加安全，因為用戶無法通過互聯(lián)網(wǎng)來連接其守護進程。其他可在/etc/sysconfig/dhcpd中指定的命令行選項如下。（1）-p<portnum>：指定dhcpd應該監(jiān)聽的UDP端口號碼，默認值為67。DHCP服務器在比指定的UDP端口大一位的端口號上把回應傳輸給DHCP客戶端。例如，如果使用默認端口67，服務器就會在端口67上監(jiān)聽請求，然后在端口68上回應客戶。如果在此處指定了一個端口號，并且使用了DHCP轉(zhuǎn)發(fā)代理，所指定的DHCP轉(zhuǎn)發(fā)代理所監(jiān)聽的端口必須是同一端口。（2）-f：把守護進程作為前臺進程運行，在調(diào)試時最常用。（3）-d：把DCHP服務器守護進程記錄到標準錯誤描述器

37、中，在調(diào)試時最常用。如果未指定，日志將被寫入/var/log/messages中。（4）-cf<filename>：指定配置文件的位置，默認為/etc/dhcpd.conf。（5）-lf<filename>：指定租期數(shù)據(jù)庫文件的位置。如果租期數(shù)據(jù)庫文件已存在，在DHCP服務器每次啟動時使用同一個文件至關(guān)重要。建議只在無關(guān)緊要的機器上為調(diào)試目的才使用該選項，默認為/var/lib/dhcp/dhcpd.leases。（6）-q：在啟動該守護進程時，不要顯示整篇版權(quán)信息。5管理DHCP服務器端口常見的DHCP服務器是dhcpd，可以通過命令行設定其監(jiān)聽端口。例如，使用以下命

38、令：#dhcpd eth0該命令允許dhcpd進程只在eth0網(wǎng)絡端口上工作，默認為監(jiān)聽所有端口。由于DHCP同樣使用67和68端口通信，所以更改該端口將造成DHCP服務無法正常使用。設置DHCP客戶端1在Linux下配置DHCP客戶端配置DHCP客戶端的第1步是確定內(nèi)核能夠識別網(wǎng)卡，多數(shù)網(wǎng)卡會在安裝過程中被識別，系統(tǒng)會為該網(wǎng)卡配置恰當?shù)膬?nèi)核模塊。如果在安裝后添加了一塊網(wǎng)卡，Kudzu應該會識別它，并提示為其配置相應的內(nèi)核模塊。通常網(wǎng)管員選擇手工配置DHCP客戶端，需要修改/etc/sysconfig/network文件來啟用聯(lián)網(wǎng)；修改/etc/sysconfig/network-script

39、s目錄中每個網(wǎng)絡設備的配置文件，在該目錄中的每種設備都有一個叫做“ifcfg-eth？”的配置文件。eth？是網(wǎng)絡設備的名稱，如eth0等。如果想在引導時啟動聯(lián)網(wǎng)，NETWORKING變量必須被設為yes。除此之外，/etc/sysconfig/network文件應該包含以下行：NETWORKING=yesDEVICE=eth0BOOTPROTO=dhcpONBOOT=yes每種需要配置使用DHCP的設備都需要一個配置文件。其他網(wǎng)絡腳本包括的選項如下。（1）DHCP_HOSTNAME：只有當DHCP服務器在接收IP地址前需要客戶端指定主機名時才使用該選項。（2）PEERDNS=<answ

40、er>：<answer>取值為如下之一。 yes：使用來自服務器的信息來修改/etc/resolv.conf。若使用DHCP，那么yes是默認值。 no：不要修改/etc/resolv.conf。（3）SRCADDR=<address>：<address>是用于輸出包的指定源IP地址。（4）USERCTL=<answer>：<answer>取值為如下之一。 yes：允許非根用戶控制該設備。 no：不允許非根用戶控制該設備。2在Windows下設置DHCP客戶端Windows 2000和Windows XP的配置方法相同，DHCP

41、客戶端的配置很簡單。只需要在“控制面板”中雙擊“網(wǎng)絡連接”圖標，然后在如圖8-1所示的“本地連接屬性”對話框中選擇“Internet協(xié)議（TCP/IP）”屬性?！俺Ｒ?guī)”選項卡中選擇“自動獲取IP地址”和“自動獲取DNS服務器地址”單選按鈕。3測試端口監(jiān)督程序現(xiàn)在應該已經(jīng)可以將一個客戶機接入到網(wǎng)絡中，并通過DHCP請求一個IP地址。要通過Windows客戶端測試，在DOS提示符下執(zhí)行以下操作。 （1）清除適配器可能已經(jīng)擁有的IP地址信息，執(zhí)行命令：ipconfig /release（2）向DHCP服務器請求一個新的IP地址，執(zhí)行命令：ipconfig /renew顯示從DHCP服務器獲得的信息，

42、應該會看到Primary WINS Server、DNS Servers和Connection-specific DNS Suffix域都獲得了dhcpd.conf文件中提供的數(shù)據(jù)DHCP簡介 DHCP的前身是BOOTP，它工作在OSI的應用層，是一種幫助計算機從指定的DHCP服務器獲取配置信息的自舉協(xié)議。DHCP使用客戶端/服務器模式，請求配置信息的計算機叫做“DHCP客戶端”，而提供信息的叫做“DHCP服務器”。DHCP為客戶端分配地址的方法有3種，即手工配置、自動配置和動態(tài)配置。DHCP最重要的功能就是動態(tài)分配，除了IP地址，DHCP還為客戶端提供其他的配置信息，如子網(wǎng)掩碼，從而使得客戶

43、端無須用戶動手即可自動配置并連接網(wǎng)絡。為什么使用DHCPDHCP在快速發(fā)送客戶網(wǎng)絡配置方面很有用，當配置客戶端系統(tǒng)時，若管理員選擇DHCP，則不必輸入IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)或DNS服務器，客戶端從DHCP服務器中檢索這些信息。DHCP在網(wǎng)絡管理員想改變大量系統(tǒng)的IP地址時也有用，與其重新配置所有系統(tǒng)，不如編輯服務器中的一個用于新IP地址集合的DHCP配置文件。如果某機構(gòu)的DNS服務器改變，這種改變只須在DHCP服務器中，而不必在DHCP客戶端上進行。一旦客戶端的網(wǎng)絡被重新啟動（或客戶端重新引導系統(tǒng)），改變就會生效。除此之外，如果便攜電腦或任何類型的可移動計算機被配置使用DHCP，只要每個辦公

44、室都有一個允許其聯(lián)網(wǎng)的DHCP服務器，它就可以不必重新配置而在辦公室間自由移動。DHCP的工作流程1發(fā)現(xiàn)階段即DHCP客戶端查找DHCP服務器的階段?？蛻魴C以廣播方式（因為DHCP服務器的IP地址對于客戶端來說是未知的）發(fā)送DHCP discover信息來查找DHCP服務器，即向地址55發(fā)送特定的廣播信息。網(wǎng)絡上每一臺安裝了TCP/IP的主機都會接收到這種廣播信息，但只有DHCP服務器才會做出響應。2提供階段即DHCP服務器提供IP地址的階段，在網(wǎng)絡中接收到DHCP discover信息的DHCP服務器都會做出響應。它從尚未出租的IP地址中挑選一個分配給DHCP客戶端

45、，向其發(fā)送一個包含出租的IP地址和其他設置的DHCP offer信息。3選擇階段即DHCP客戶端選擇某臺DHCP服務器提供的IP地址的階段。如果有多臺DHCP服務器向DHCP客戶端發(fā)送DHCP offer信息，則DHCP客戶端只接受第1個收到的DHCP offer信息。然后它就以廣播方式回答一個DHCP request信息，該信息中包含向它所選定的DHCP服務器請求IP地址的內(nèi)容。之所以要以廣播方式回答，是為了通知所有DHCP服務器，它將選擇某臺DHCP服務器所提供的IP地址。4確認階段即DHCP服務器確認所提供的IP地址的階段。當DHCP服務器收到DHCP客戶端回答的DHCP request

46、信息之后，它向DHCP客戶端發(fā)送一個包含其所提供的IP地址和其他設置的DHCP ACK信息，告訴DHCP客戶端可以使用該IP地址，然后DHCP客戶端便將其TCP/IP與網(wǎng)卡綁定。另外，除DHCP客戶端選中的服務器外，其他的DHCP服務器都將收回曾提供的IP地址。5重新登錄以后DHCP客戶端每次重新登錄網(wǎng)絡時，不需要發(fā)送DHCP discover信息，而是直接發(fā)送包含前一次所分配的IP地址的DHCP request信息。當DHCP服務器收到這一信息后，它會嘗試讓DHCP客戶端繼續(xù)使用原來的IP地址，并回答一個DHCP ACK信息。如果此IP地址已無法再分配給原來的DHCP客戶端使用（比如此IP地

47、址已分配給其他DHCP客戶端使用），則DHCP服務器給DHCP客戶端回答一個DHCP NACK信息。當原來的DHCP客戶端收到此信息后，必須重新發(fā)送DHCP discover信息來請求新的IP地址。6更新租約DHCP服務器向DHCP客戶端出租的IP地址一般都有一個租借期限，期滿后DHCP服務器便會收回該IP地址。如果DHCP客戶端要延長其IP租約，則必須更新其IP租約。DHCP客戶端啟動時和IP租約期限過一半時，DHCP客戶端都會自動向DHCP服務器發(fā)送更新其IP租約的信息。DHCP的設計目標（1）DHCP應該是一種機制而不是策略，它必須允許本地系統(tǒng)管理員控制配置參數(shù)，本地系統(tǒng)管理員應該能夠?qū)?/p>

48、所希望管理的資源進行有效的管理。（2）客戶端不需要手工配置，而應該在不參與的情況下發(fā)現(xiàn)合適于本地機的配置參數(shù)，并利用這些參數(shù)加以配置。（3）不需要為單個客戶端配置網(wǎng)絡，在通常情況下，網(wǎng)絡管理員沒有必要輸入任何預先設計好的用戶配置參數(shù)。（4）DHCP不需要在每個子網(wǎng)上配置一臺服務器，出于經(jīng)濟原因，DHCP服務器必須可以和路由器或BOOTP轉(zhuǎn)發(fā)代理一起工作。（5）DHCP客戶端必須能對多個DHCP服務器提供的服務做出響應，出于網(wǎng)絡穩(wěn)定與安全的考慮，有時需要在網(wǎng)絡中添加多臺DHCP服務器。（6）DHCP必須靜態(tài)配置，而且必須用現(xiàn)存的網(wǎng)絡協(xié)議實現(xiàn)。（7）DHCP必須能夠和BOOTP轉(zhuǎn)發(fā)代理互操作。（8

49、）DHCP必須能夠為現(xiàn)有的BOOTP客戶端提供服務。（9）不允許有多個客戶端同時使用一個網(wǎng)絡地址。（10）在DHCP客戶端重新啟動后仍然能夠保留其原先的配置參數(shù)，如果可能，客戶端應該被指定為相同的配置參數(shù)。（11）在DHCP服務器重新啟動后仍然能夠保留客戶端的配置參數(shù)，如果可能，即使DHCP機制重新啟動，也應該能夠為客戶端分配原有的配置參數(shù)。（12）能夠為新加入的客戶端自動提供配置參數(shù)。（13）支持對特定客戶端永久固定分配網(wǎng)絡地址。上面（9）（13）的設計目標是對于網(wǎng)絡層參數(shù)的設計而言的，在網(wǎng)絡層參數(shù)上，DHCP必須做到這幾點。安裝DHCP服務器DHCP配置文件可以使用RHEL 5.0自身攜帶

50、的RPM包安裝，安裝結(jié)束后DHCP端口監(jiān)督程序dhcpd配置文件是/etc目錄中的名為dhcpd.conf的文件。下面手工建立/etc/dhcpd.conf文件，該文件通常包括3個部分，即parameters參數(shù)、declarations聲明和option選項。1DHCP配置文件中的parametersparameters表明如何執(zhí)行任務，以及是否要執(zhí)行任務或?qū)⒛男┚W(wǎng)絡配置選項發(fā)送給客戶端，主要參數(shù)如表8-1所示。DHCP配置文件中的主要參數(shù)參 數(shù) 解 釋 ddns-update-style 配置DHCP-DNS互動更新模式 default-lease-time 指定默認租賃時間的長度，單位是

51、秒 max-lease-time 指定最大租賃時間長度，單位是秒 hardware 指定網(wǎng)卡接口類型和MAC地址 server-name 通知DHCP客戶端服務器名稱 get-lease-hostnames flag 檢查客戶端使用的IP地址 fixed-address ip 分配給客戶端一個固定的地址 authritative 拒絕不正確的IP地址的要求 2DHCP配置文件中的declarationsdeclarations用來描述網(wǎng)絡布局及提供客戶的IP地址等，主要聲明 聲明 聲 明 解 釋 shared-network 用來告知是否一些子網(wǎng)絡共享相同網(wǎng)絡 subnet 描述一個IP地址是

52、否屬于該子網(wǎng) range起始IP終止IP 提供動態(tài)分配IP的范圍 host主機名稱 參考特別的主機 group 為一組參數(shù)提供聲明 續(xù)表 聲 明 解 釋allow unknown-clientsdeny unknown-client 是否動態(tài)分配IP給未知的使用者allow bootp;deny bootp 是否響應激活查詢allow bootingdeny booting 是否響應使用者查詢filename 開始啟動文件的名稱，應用于無盤工作站 next-server 設置服務器從引導文件中裝入主機名，應用于無盤工作站DHCP配置文件中的option option用來配置DHCP可選參數(shù)，全部用option關(guān)鍵字作為開始，主要選項如表8-3所示。表8-3 DHCP配置文件中option關(guān)鍵字的主要選項 選 項