Linux下配置完整安全的DHCP服務(wù)器詳解

1、名稱 dhcpd.conf - dhcpd 配置文件描述 dhcpd.conf 文件包括ISC DHCP的dhcpd的配置信息。文件是一個普通格式的ASCII碼文檔， 它由內(nèi)置的遞歸解析器解釋。 dhcpd.conf文件可能會包含許多額外的tab和空格、空行，它們的目的是讓文件更容易閱讀。 其中的關(guān)鍵字對大小寫不敏感。注釋語句可以放在任何位置除了引號中注釋語句用# 開頭，這一行結(jié)束時注釋語句自然結(jié)束。 文件包括一組語句，語句在一對大括號中，包含參數(shù)和聲明。 參數(shù)語句說明如何做一件事例如，租期是多長時間，或者是否做一件事情。 (例如， dhcpd 是否為未知客戶提供地址)，或者給客戶提供哪種參數(shù)

2、(例如，使用網(wǎng)關(guān))。聲明用來描述網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)上的客戶，提供可以為客戶端分配的地址，或者對某個客戶端組應(yīng)用組group參數(shù)。在任何組參數(shù)中，所有的這些組參數(shù)必須比使用這些組參數(shù)的語句先出現(xiàn)。 網(wǎng)絡(luò)聲明包含多子網(wǎng)的網(wǎng)絡(luò)有些地方譯為：超網(wǎng)，但超網(wǎng)太難理解了，這里叫“多子網(wǎng)網(wǎng)絡(luò)”和子網(wǎng)的拓?fù)渎暶?。對于有地址被動態(tài)分配給客戶端的子網(wǎng)，子網(wǎng)聲明中必須有一個range聲明語句。對于靜態(tài)分配的地址，或者是已知客戶的安裝，每個客戶端都必須使用一個host聲明語句。如果一個參數(shù)應(yīng)用到一組聲明中，這些聲明并不只與某個子網(wǎng)相關(guān)，可以定義一個“組參數(shù)”。 對每一個要服務(wù)的子網(wǎng)，每個dh

3、cp服務(wù)器連接的子網(wǎng)，都必須有一個子網(wǎng)聲明，用來告訴dhcpd如何處理那個子網(wǎng)上的地址。即使一個子網(wǎng)不需要分配任何地址，也需要一個子網(wǎng)聲明。 一些物理網(wǎng)絡(luò)上不只有一個IP子網(wǎng)存在，例如，如果一個網(wǎng)絡(luò)需要一個8位的子網(wǎng)，但是當(dāng)業(yè)務(wù)發(fā)展使總的節(jié)點(diǎn)數(shù)超過了254臺，就需要增加一個8位的子網(wǎng)。這時，就增加了一個新的物理網(wǎng)絡(luò)，這種情況下，2個網(wǎng)絡(luò)的子網(wǎng)聲明必須包含在一個“多子網(wǎng)網(wǎng)絡(luò)聲明超級作用域”中。 有些網(wǎng)絡(luò)的客戶端不只有一個子網(wǎng)，可能會為同一子網(wǎng)中一些客戶端分配的一些參數(shù)與其它的客戶端不同。這樣的用戶可以使用host語句來定義，一些參數(shù)也可以定義在“組參數(shù)”語句中，它被這些客戶端共同調(diào)用。對于需要根

4、據(jù)不同情況獲得不同地址的客戶端，可能會使用“類聲明class declarations”和“條件聲明conditional declarations”語句，這樣可以根據(jù)客戶端發(fā)送的信息來決定分配給客戶端的參數(shù)。 當(dāng)一個客戶端啟動時，服務(wù)器先查看是否有匹配客戶端的host語句，如果沒有，再看是否有匹配的“類聲明class declarations”語句，接著查看是否有“池pool”匹配，“子網(wǎng)subnet”匹配和“多子網(wǎng)網(wǎng)絡(luò)超級作用域shared-net-work”匹配。根據(jù)這些匹配，將符合這個客戶端的參數(shù)提供應(yīng)它。每種參數(shù)都不會被分析第2次，如果它們出現(xiàn)了2次或2次以上，那么會使用那個最精確出

5、現(xiàn)的地方。dhcpd首先查找客戶端是否有包含固定IP地址的host語句，這個地址要在客戶端啟動的那個子網(wǎng)中，或者“多子網(wǎng)網(wǎng)絡(luò)”中，如果沒有對應(yīng)的host語句匹配，那就查找非固定地址的聲明。例如： 一個典型的dhcpd.conf 文件將會象下面這樣： global parameters. subnet netmask 24 subnet-specific parameters. range 0 0; subnet 2 netmask 24

6、subnet-specific parameters. range 2 2; subnet 4 netmask 24 subnet-specific parameters. range 4 4; group group-specific parameters. host host-specific parameters. host host-specific par

7、ameters. host host-specific parameters. 圖 1 注意文件的開始，它是全局參數(shù)放置的地方，可能會是： 組織的域名，DNS服務(wù)器的地址如果這個服務(wù)器對整個網(wǎng)絡(luò)都是一樣的和其它一些。比方： option domain-name ; option domain-name-servers , ; 圖 2 如圖2中所示，可以使用DNS服務(wù)器的名稱而不使用它的IP地址，如果指定不只一個DNS服務(wù)器地址，那么只要有可能，所有地址都會提供應(yīng)客戶端。 每個子網(wǎng)都要指明的最可能必須

8、的參數(shù)是router，如圖1所示。因此對于第一個子網(wǎng)，它就應(yīng)該是這個樣子的 option routers ; 注意這里的地址是數(shù)字形式的，如果每個網(wǎng)關(guān)都有域名，這就不是必須的，使用域名也是合法的。然而，很多情況下，多個網(wǎng)關(guān)只有一個域名，這樣就不能使用域名了。 在圖1中，有一個group 語句，它為一組host語句zappo，beppo和harpo提供了通用的參數(shù)。如你所見，這些主機(jī)都在這個域里，這樣它在“組參數(shù)”中指明就會覆蓋全局設(shè)置的參數(shù)： option domain-name ; 而且，指明它們的域，可能用在測試機(jī)器中，如果我們要測試DHC

9、P的租約機(jī)制，可以在這里設(shè)置比默認(rèn)值更短的租約： max-lease-time 120; default-lease-time 120; 你可能注意到有些參數(shù)以option 關(guān)鍵字開頭，有些不。以option 關(guān)鍵字開頭的語句對應(yīng)實(shí)際的DHCP選項，不以option關(guān)鍵字開頭的選項控制服務(wù)端(例如，租期) 或客戶端的選項不在DHCP協(xié)議中例如，服務(wù)器名或文件名 在圖1中，每個host 都有指定的參數(shù)，它會包含象hostname選項，要上傳的文件名(filename 參數(shù))，還有要上傳的服務(wù)器的地址(next-server 參數(shù))。通常，任何參數(shù)都可以在任何可以出現(xiàn)的地方出現(xiàn)，并且按照參數(shù)出現(xiàn)位

10、置確定應(yīng)用范圍。 假設(shè)你的環(huán)境中有許多沒有CD的X終端，這些終端有不同的型號，你想為每種型號確定一個啟動文件，一種方法是給每個服務(wù)器和組都使用host語句： group filename Xncd19r; next-server ncd-booter; host ncd1 hardware ethernet 0:c0:c3:49:2b:57; host ncd4 hardware ethernet 0:c0:c3:80:fc:32; host ncd8 hardware ethernet 0:c0:c3:22:46:81; group filename Xncd19c; next-server

11、 ncd-booter; host ncd2 hardware ethernet 0:c0:c3:88:2d:81; host ncd3 hardware ethernet 0:c0:c3:00:14:11; group filename XncdHMX; next-server ncd-booter; host ncd1 hardware ethernet 0:c0:c3:11:90:23; host ncd4 hardware ethernet 0:c0:c3:91:a7:8; host ncd8 hardware ethernet 0:c0:c3:cc:a:8f; 地址池 “池”語句(p

12、ool)用來定義一個地址池，即便是在同一個網(wǎng)段或者子網(wǎng)，也可以定義幾個池，系統(tǒng)將通過“池”來區(qū)分它們。例如，你可能想提供一大段地址分配給DHCP客戶端時同時提供很短的租約的一小段地址，用來給未知客戶。如果有防火墻，你可能會安排一段地址池能上網(wǎng)，另一個地址池不能上網(wǎng)，這可以鼓勵用戶注冊到DHCP系統(tǒng)中來，也就需要建立兩個地址池： subnet .0 netmask option routers .254; # Unknown clients get this pool. pool option domain-name-servers bogus.example ; m

13、ax-lease-time 300; range .200 53; allow unknown-clients; # Known clients get this pool. pool option domain-name-servers ns1.example , ns2.example ; max-lease-time 28800; range .5 99; deny unknown-clients; 上面這個例子中，已知客戶和未知客戶在相同的子網(wǎng)中，也可能將已知和未知客戶分配在不同的子網(wǎng)中，或者在“多子網(wǎng)層次超級作用域”，這樣地址池的范圍可能跨越不同的子網(wǎng)

14、。正如前面的例子，地址池可以允許或拒絕一個控制用戶存取的組，這個組名前面要有allow或 deny 關(guān)鍵字。 如果一個池有一個允許列表，只有匹配的客戶端才可以獲得地址池的地址，如果這個池有一個拒絕列表，只有不匹配的客戶端才可以獲得池中的地址，如果同時存在允許和拒絕列表，那么只有在允許列表并且不在拒絕列表中的客戶端才可以獲得池中的地址。動態(tài)地址分配 地址分配實(shí)際只在客戶端在初始狀態(tài)并且發(fā)送一個 DHCPDISCOVER信息時完成。如果客戶端認(rèn)為它有一個有效的租約并且發(fā)送了一個DHCPREQUEST信息來初始化或者更新租約，服務(wù)器就只有3個選擇：1它可以忽略DHCPREQUEST信息，并且返回一個

15、DHCPNAK 信息來告訴客戶端，要求客戶端停止使用這個地址，2或者發(fā)送一個DHCPACK信息，告訴客戶端繼續(xù)再使用這個地址一段時間，如果服務(wù)器找到客戶端要求的地址，并且這個地址對于這個客戶也是可用的，服務(wù)器會發(fā)送一個DHCPACK信息，如果這個地址已經(jīng)不能用了，客戶端就不能使用它，此時服務(wù)器將會發(fā)送一個DHCPNAK信息，3如果服務(wù)器不知道這個地址，它會先保持沉默，除非這個地址對于客戶端依附的地址段是不正確的，這種情況下服務(wù)器會發(fā)送一個DHCPNAK，即便它完全不知道這個地址。 如果有一個host語句定義了客戶端，同時host語句中包含了固定地址fixed-address，這個IP地址對于客

16、戶端實(shí)際連接的網(wǎng)段也是合法的，此時DHCP服務(wù)器不動態(tài)分配地址，而是發(fā)送host語句指明的地址。如果此時用戶發(fā)送了DHCPREQUEST信息來獲得其它地址，服務(wù)器會回應(yīng)一個DHCPNAK信息，來拒絕為用戶分配其它地址。 當(dāng)一個DHCP服務(wù)器為客戶端分配一個新的地址時(記住，這只發(fā)生在客戶端發(fā)送DHCPDISCOVER信息時)，它首先查找lease文件，看客戶機(jī)是否存在一個有效的地址租約，或者此客戶機(jī)原來是否有一個地址這個地址已經(jīng)過期，如果有，服務(wù)器就會檢查那個地址，看客戶端是否被允許使用這個地址，如果客戶端已經(jīng)不被允許使用這個地址通常是客戶機(jī)從另外一個子網(wǎng)登錄了，或者此地址被其它客戶端占用，并

17、且服務(wù)器lease文件中顯示原來的租約還存在，服務(wù)器就釋放這個租約，事實(shí)上，此時是客戶端發(fā)送的DHCPDISCOVER信息，它已經(jīng)證明客戶端實(shí)際并沒有使用這個租約。如果沒有找到存在的租約，或者客戶端被強(qiáng)迫接收一個已經(jīng)存在的租約，那么服務(wù)器就會查找客戶端所在網(wǎng)段的地址池，找一個允許客戶端使用而又沒有使用的地址，它會按順序遍歷每個地址池(所有地址池外的“范圍”range定義語句都組成一個沒有允許列表的單獨(dú)的池)。如果地址池的允許列表允許客戶端得到一個池中的地址，這個地址池會被檢查是否有可用的地址，如果有，客戶端將會得到這個地址；否則，會檢查下一個地址池。如果一直都沒有找到可用的地址，服務(wù)器就不發(fā)送

18、回應(yīng)。如果找到一個地址，這個地址以前從未被任何客戶端使用過，這個地址將立即分配給這個客戶，如果這個地址曾經(jīng)分配給另一個客戶端，服務(wù)器會嘗試查找一個從未分配的地址給客戶端。 DHCP服務(wù)器使用哈希表(hash table)來產(chǎn)生一組可用的IP地址，這意味著地址不以任何特定的順序存放，這樣也就不能預(yù)測DHCP服務(wù)器下一個要分配的地址。前一個版本的ISC DHCP服務(wù)器使用降序來分配地址，現(xiàn)在不是了，并且在這個版本里也沒有方法配置服務(wù)器分發(fā)地址的順序 (ISC DHCP 3)。防止IP地址沖突 DHCP服務(wù)器在分配IP地址前檢查它們是否被使用來防止沖突。它通過向準(zhǔn)備分配的IP地址發(fā)送ICMP Ech

19、o 請求信息來完成，如果1秒內(nèi)沒有接收到ICMP Echo reply信息，就假定這個地址是可用的。這只對在range語句中指明的租約，并且租約被DHCP服務(wù)器認(rèn)為可用時有效。例如，DHCP服務(wù)器或者它的熱備機(jī)沒有列出這個租約在使用中。如果收到ICMP Echo回應(yīng)，DHCP服務(wù)器會假定出現(xiàn)了配置錯誤IP地址被網(wǎng)絡(luò)上的主機(jī)使用了，然后它標(biāo)記這個地址為“廢棄地址”，不再把它分配給客戶端。如果DHCP客戶端試圖得到一個地址，但是卻沒有可用的地址，服務(wù)器會隨機(jī)標(biāo)記一個“廢棄地址”為“可用”，然后向這個地址發(fā)送同樣的ICMP Echo 請求，如果沒有得到 ICMP Echo reply回應(yīng)，這個地址就

20、會分配給這個客戶。 如果要收回的第一個IP地址是可用的，DHCP服務(wù)器不會去循環(huán)使用“廢棄地址”。而且，當(dāng)下一個客戶的DHCPDISCOVER信息到達(dá)時，它會用相同的方法開始一個新的分配，并且嘗試分配一個新的IP地址。在Linux中配置DHCP服務(wù)器安裝DHCP服務(wù)器DHCP配置文件可以使用RHEL 5.0自身攜帶的RPM包安裝，安裝結(jié)束后DHCP端口監(jiān)督程序dhcpd配置文件是/etc目錄中的名為dhcpd.conf的文件。下面手工建立/etc/dhcpd.conf文件，該文件通常包括3個部分，即parameters參數(shù)、declarations聲明和option選項。1DHCP配置文件中的

21、parametersparameters說明如何執(zhí)行任務(wù)，以及是否要執(zhí)行任務(wù)或?qū)⒛男┚W(wǎng)絡(luò)配置選項發(fā)送給客戶端，主要參數(shù)如表8-1所示。DHCP配置文件中的主要參數(shù)參 數(shù)解 釋ddns-update-style配置DHCP-DNS互動更新模式default-lease-time指定默認(rèn)租賃時間的長度，單位是秒max-lease-time指定最大租賃時間長度，單位是秒hardware指定網(wǎng)卡接口類型和MAC地址server-name通知DHCP客戶端服務(wù)器名稱get-lease-hostnames flag檢查客戶端使用的IP地址fixed-address ip分配給客戶端一個固定的地址authr

22、itative拒絕不正確的IP地址的要求2DHCP配置文件中的declarationsdeclarations用來描述網(wǎng)絡(luò)布局及提供客戶的IP地址等，主要聲明聲 明解 釋shared-network用來告知是否一些子網(wǎng)絡(luò)共享相同網(wǎng)絡(luò)subnet描述一個IP地址是否屬于該子網(wǎng)range起始IP終止IP提供動態(tài)分配IP的范圍host主機(jī)名稱參考特別的主機(jī)group為一組參數(shù)提供聲明續(xù)表聲 明解 釋allow unknown-clientsdeny unknown-client是否動態(tài)分配IP給未知的使用者allow bootp;deny bootp是否響應(yīng)激活查詢allow bootingdeny

23、 booting是否響應(yīng)使用者查詢filename開始啟動文件的名稱，應(yīng)用于無盤工作站next-server設(shè)置服務(wù)器從引導(dǎo)文件中裝入主機(jī)名，應(yīng)用于無盤工作站DHCP配置文件中的optionoption用來配置DHCP可選參數(shù)，全部用option關(guān)鍵字作為開始，主要選項如表8-3所示。表8-3 DHCP配置文件中option關(guān)鍵字的主要選項 選 項解 釋subnet-mask為客戶端設(shè)定子網(wǎng)掩碼domain-name為客戶端指明DNS名字domain-name-servers為客戶端指明DNS服務(wù)器的IP地址host-name為客戶端指定主機(jī)名稱routers為客戶端設(shè)定默認(rèn)網(wǎng)關(guān)broadca

24、st-address為客戶端設(shè)定廣播地址ntp-server為客戶端設(shè)定網(wǎng)絡(luò)時間服務(wù)器的IP地址time-offset為客戶端設(shè)定格林威治時間的偏移時間，單位是秒配置實(shí)例在下面的實(shí)例中使用一個example 的虛擬域名，用戶需要修改其中的內(nèi)容以滿足網(wǎng)絡(luò)的需求。/etc/dhcpd.conf文件的內(nèi)容如下：# The options outside a subnet directive are global unless# over-ridden by the same setting inside the subnet directive.option domain-name-servers

25、3， 36;default-lease-time 6000; max-lease-time 7200;# If this DHCP server is the official DHCP server for the local# network，the authoritative directive should be uncommented.authoritative;# Use this to send dhcp log messages to a different log file (you also# have to hack syslog.c

26、onf to complete the redirection).log-facility local7;# Handle client dynamic dns updatesddns-update-style none;# Example Network 1 ( on eth0 )subnet netmask option domain-name corp.example ;range 00 00;option routers 54;上面的實(shí)例配置文件分為兩個

27、部分，即子網(wǎng)配置信息和全局配置信息?？梢杂卸鄠€子網(wǎng)，這里為了簡化，只指定了一個子網(wǎng)。1Subnet。在上面的例子中，一個子網(wǎng)聲明以“subset”關(guān)鍵字開始，所以子網(wǎng)信息包括在中。中的配置信息只對該子網(wǎng)有效，會覆蓋全局配置。2Global。所有子網(wǎng)以外的配置都是全局配置，如果同一個全局配置沒有被子網(wǎng)配置覆蓋，則其將對所有子網(wǎng)生效。3Configuration Options。下面是上例中配置指令的解釋說明。option domain-name-servers 3， 36;這一行指定客戶端應(yīng)該使用的DNS服務(wù)器，該選項可以用于全局參數(shù)或者子網(wǎng)參數(shù)。defau

28、lt-lease-time 6000; max-lease-time 7200;這兩行是相關(guān)的，default-lease-time指定客戶端需要刷新配置信息的時間間隔秒，max-lease-time為客戶端用于無法從服務(wù)器獲得任何信息的時間，超過該時間則會丟棄之前從該DHCP服務(wù)器獲得的所有信息，而轉(zhuǎn)向使用OS的默認(rèn)設(shè)置。authoritative;指定當(dāng)一個客戶端試圖獲得一個不是該DHCP服務(wù)器分配的IP信息，DHCP將發(fā)送一個拒絕消息，而不會等待請求超時。當(dāng)請求被拒絕，客戶端會重新向當(dāng)前DHCP發(fā)送IP請求獲得新地址。log-facility daemon;指定DHCP服務(wù)器發(fā)送的日志信

29、息的日志級別。ddns-update-style none;該配置可以指定一個方法，客戶端用該方法來更新IP對應(yīng)的域名信息，本例中禁用了該特性。subnet netmask option domain-name corp.example ;range 00 00;option routers 54;上面內(nèi)容為子網(wǎng)配置，第1行指定該子網(wǎng)地址和掩碼。DHCP服務(wù)器必須擁有該子網(wǎng)的一個IP，domain-name設(shè)置該客戶端的域名。DHCP服務(wù)器可以負(fù)責(zé)整個子網(wǎng)的信息

30、，也可以只負(fù)責(zé)子網(wǎng)的一段。option routers配置默認(rèn)網(wǎng)關(guān)IP。啟動DHCP服務(wù)器1建立客戶端租約文件運(yùn)行DHCP服務(wù)器還需要一個名為“”的文件，其中保存所有已經(jīng)分發(fā)的IP地址。在Red Hat Linux發(fā)行版本中，該文件位于/var/lib/dhcp/目錄中。如果通過RPM安裝ISC DHCP，那么該目錄應(yīng)該已經(jīng)存在。dhcpd.leases的文件格式為：Leases address statement一個典型的文件內(nèi)容如下：lease 55 #DHCP服務(wù)器分配的IP地址#starts 1 2005/05/02 03:02:26; # lease 開始租約時

31、間#ends 1 2005/05/02 09:02:26; # lease 結(jié)束租約時間#binding state active;next binding state free;hardware ethernet 00:00:e8:a0:25:86; #客戶機(jī)網(wǎng)卡MAC地址#uid 001000000350240%206; #用來驗(yàn)證客戶機(jī)的UID標(biāo)志#client-hostname cjh1; #客戶機(jī)名稱#注意：lease開始租約時間和lease結(jié)束租約時間是格林威治標(biāo)準(zhǔn)時間GMT，不是本地時間。第1次運(yùn)行DHCP服務(wù)器時，dhcpd.leases是一個空文件，也不用手工建立。如果不是通

32、過RPM安裝ISC DHCP，或者dhcpd已經(jīng)安裝，那么應(yīng)該試著確定dhcpd將其lease文件寫到何處并確保該文件存在。也可以手工建立一個空文件：2啟動和檢查DHCP服務(wù)器使用命令啟動DHCP服務(wù)器：#service dhcpd start使用ps命令檢查dhcpd進(jìn)程：#ps -ef | grep dhcpdroot 2402 1 0 14:25 ? 00:00:00 /usr/sbin/dhcpdroot 2764 2725 0 14:29 pts/2 00:00:00 grep dhcpd使用netstat檢查dhcpd運(yùn)行的端口：# netstat -nutap | grep dh

33、cpdudp 0 0 .0:67 :* 2402/dhcpd3設(shè)置DHCP轉(zhuǎn)發(fā)代理DHCP的轉(zhuǎn)發(fā)代理dhcrelay允許把無DHCP服務(wù)器子網(wǎng)內(nèi)的DHCP和BOOTP請求轉(zhuǎn)發(fā)給其他子網(wǎng)內(nèi)的一臺或多臺DHCP服務(wù)器。當(dāng)某個DHCP客戶端請求信息時，DHCP轉(zhuǎn)發(fā)代理把該請求轉(zhuǎn)發(fā)給DHCP轉(zhuǎn)發(fā)代理啟動時所指定的一臺DHCP服務(wù)器。當(dāng)某臺DHCP服務(wù)器返回一個回應(yīng)時，該回應(yīng)被廣播或單播給發(fā)送最初請求的網(wǎng)絡(luò)。除非使用INTERFACES指令在/etc/sysconfig/dhcrelay文件中指定了接口，否則DHCP轉(zhuǎn)發(fā)代理監(jiān)聽所有接口上的DHCP請求。要啟動DHCP轉(zhuǎn)發(fā)代理，使用命令：s

34、ervice dhcrelay start4從指定端口啟動DHCP服務(wù)器如果系統(tǒng)連接不止一個網(wǎng)絡(luò)接口，但是只想讓DHCP服務(wù)器啟動其中之一，則可以配置DHCP服務(wù)器只在相應(yīng)設(shè)備上啟動。在/etc/sysconfig/dhcpd中，把接口的名稱添加到DHCPDARGS的列表中：# Command line options hereDHCPDARGS=eth0如果有一個帶有兩塊網(wǎng)卡的防火墻機(jī)器，這種方法就會大派用場。一塊網(wǎng)卡可以被配置成DHCP客戶端從互聯(lián)網(wǎng)上檢索IP地址；另一塊網(wǎng)卡可以被用做防火墻之后的內(nèi)部網(wǎng)絡(luò)的DHCP服務(wù)器。僅指定連接到內(nèi)部網(wǎng)絡(luò)的網(wǎng)卡使系統(tǒng)更加安全，因?yàn)橛脩魺o法通過互聯(lián)網(wǎng)來連

35、接其守護(hù)進(jìn)程。其他可在/etc/sysconfig/dhcpd中指定的命令行選項如下。1-p：指定dhcpd應(yīng)該監(jiān)聽的UDP端口號碼，默認(rèn)值為67。DHCP服務(wù)器在比指定的UDP端口大一位的端口號上把回應(yīng)傳輸給DHCP客戶端。例如，如果使用默認(rèn)端口67，服務(wù)器就會在端口67上監(jiān)聽請求，然后在端口68上回應(yīng)客戶。如果在此處指定了一個端口號，并且使用了DHCP轉(zhuǎn)發(fā)代理，所指定的DHCP轉(zhuǎn)發(fā)代理所監(jiān)聽的端口必須是同一端口。2-f：把守護(hù)進(jìn)程作為前臺進(jìn)程運(yùn)行，在調(diào)試時最常用。3-d：把DCHP服務(wù)器守護(hù)進(jìn)程記錄到標(biāo)準(zhǔn)錯誤描述器中，在調(diào)試時最常用。如果未指定，日志將被寫入/var/log/message

36、s中。4-cf：指定配置文件的位置，默認(rèn)為/etc/dhcpd.conf。5-lf：指定租期數(shù)據(jù)庫文件的位置。如果租期數(shù)據(jù)庫文件已存在，在DHCP服務(wù)器每次啟動時使用同一個文件至關(guān)重要。建議只在無關(guān)緊要的機(jī)器上為調(diào)試目的才使用該選項，默認(rèn)為/var/lib/dhcp/dhcpd.leases。6-q：在啟動該守護(hù)進(jìn)程時，不要顯示整篇版權(quán)信息。5管理DHCP服務(wù)器端口常見的DHCP服務(wù)器是dhcpd，可以通過命令行設(shè)定其監(jiān)聽端口。例如，使用以下命令：#dhcpd eth0該命令允許dhcpd進(jìn)程只在eth0網(wǎng)絡(luò)端口上工作，默認(rèn)為監(jiān)聽所有端口。由于DHCP同樣使用67和68端口通信，所以更改該端口

37、將造成DHCP服務(wù)無法正常使用。設(shè)置DHCP客戶端1在Linux下配置DHCP客戶端配置DHCP客戶端的第1步是確定內(nèi)核能夠識別網(wǎng)卡，多數(shù)網(wǎng)卡會在安裝過程中被識別，系統(tǒng)會為該網(wǎng)卡配置恰當(dāng)?shù)膬?nèi)核模塊。如果在安裝后添加了一塊網(wǎng)卡，Kudzu應(yīng)該會識別它，并提示為其配置相應(yīng)的內(nèi)核模塊。通常網(wǎng)管員選擇手工配置DHCP客戶端，需要修改/etc/sysconfig/network文件來啟用聯(lián)網(wǎng)；修改/etc/sysconfig/network-scripts目錄中每個網(wǎng)絡(luò)設(shè)備的配置文件，在該目錄中的每種設(shè)備都有一個叫做“ifcfg-eth？”的配置文件。eth？是網(wǎng)絡(luò)設(shè)備的名稱，如eth0等。如果想在引導(dǎo)

38、時啟動聯(lián)網(wǎng)，NETWORKING變量必須被設(shè)為yes。除此之外，/etc/sysconfig/network文件應(yīng)該包含以下行：NETWORKING=yesDEVICE=eth0BOOTPROTO=dhcpONBOOT=yes每種需要配置使用DHCP的設(shè)備都需要一個配置文件。其他網(wǎng)絡(luò)腳本包括的選項如下。1DHCP_HOSTNAME：只有當(dāng)DHCP服務(wù)器在接收IP地址前需要客戶端指定主機(jī)名時才使用該選項。2PEERDNS=：取值為如下之一。 yes：使用來自服務(wù)器的信息來修改。假設(shè)使用DHCP，那么yes是默認(rèn)值。 no：不要修改。3SRCADDR=：是用于輸出包的指定源IP地址。4USERCT

39、L=：取值為如下之一。 yes：允許非根用戶控制該設(shè)備。 no：不允許非根用戶控制該設(shè)備。2在Windows下設(shè)置DHCP客戶端Windows 2000和Windows XP的配置方法相同，DHCP客戶端的配置很簡單。只需要在“控制面板”中雙擊“網(wǎng)絡(luò)連接”圖標(biāo)，然后在如圖8-1所示的“本地連接屬性”對話框中選擇“Internet協(xié)議TCP/IP”屬性。“常規(guī)”選項卡中選擇“自動獲取IP地址”和“自動獲取DNS服務(wù)器地址”單項選擇按鈕。3測試端口監(jiān)督程序現(xiàn)在應(yīng)該已經(jīng)可以將一個客戶機(jī)接入到網(wǎng)絡(luò)中，并通過DHCP請求一個IP地址。要通過Windows客戶端測試，在DOS提示符下執(zhí)行以下操作。 1清除

40、適配器可能已經(jīng)擁有的IP地址信息，執(zhí)行命令：ipconfig /release2向DHCP服務(wù)器請求一個新的IP地址，執(zhí)行命令：ipconfig /renewDHCP簡介 DHCP的前身是BOOTP，它工作在OSI的應(yīng)用層，是一種幫助電腦從指定的DHCP服務(wù)器獲取配置信息的自舉協(xié)議。DHCP使用客戶端/服務(wù)器模式，請求配置信息的電腦叫做“DHCP客戶端”，而提供信息的叫做“DHCP服務(wù)器”。DHCP為客戶端分配地址的方法有3種，即手工配置、自動配置和動態(tài)配置。DHCP最重要的功能就是動態(tài)分配，除了IP地址，DHCP還為客戶端提供其他的配置信息，如子網(wǎng)掩碼，從而使得客戶端無須用戶動手即可自動配置

41、并連接網(wǎng)絡(luò)。為什么使用DHCPDHCP在快速發(fā)送客戶網(wǎng)絡(luò)配置方面很有用，當(dāng)配置客戶端系統(tǒng)時，假設(shè)管理員選擇DHCP，則不必輸入IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)或DNS服務(wù)器，客戶端從DHCP服務(wù)器中檢索這些信息。DHCP在網(wǎng)絡(luò)管理員想改變大量系統(tǒng)的IP地址時也有用，與其重新配置所有系統(tǒng)，不如編輯服務(wù)器中的一個用于新IP地址集合的DHCP配置文件。如果某機(jī)構(gòu)的DNS服務(wù)器改變，這種改變只須在DHCP服務(wù)器中，而不必在DHCP客戶端上進(jìn)行。一旦客戶端的網(wǎng)絡(luò)被重新啟動或客戶端重新引導(dǎo)系統(tǒng)，改變就會生效。除此之外，如果便攜電腦或任何類型的可移動電腦被配置使用DHCP，只要每個辦公室都有一個允許其聯(lián)網(wǎng)的DHCP

42、服務(wù)器，它就可以不必重新配置而在辦公室間自由移動。DHCP的工作流程1發(fā)現(xiàn)階段即DHCP客戶端查找DHCP服務(wù)器的階段?？蛻魴C(jī)以廣播方式因?yàn)镈HCP服務(wù)器的IP地址對于客戶端來說是未知的發(fā)送DHCP discover信息來查找DHCP服務(wù)器，即向地址55發(fā)送特定的廣播信息。網(wǎng)絡(luò)上每一臺安裝了TCP/IP的主機(jī)都會接收到這種廣播信息，但只有DHCP服務(wù)器才會做出響應(yīng)。2提供階段即DHCP服務(wù)器提供IP地址的階段，在網(wǎng)絡(luò)中接收到DHCP discover信息的DHCP服務(wù)器都會做出響應(yīng)。它從尚未出租的IP地址中挑選一個分配給DHCP客戶端，向其發(fā)送一個包含出租的IP地址和

43、其他設(shè)置的DHCP offer信息。3選擇階段即DHCP客戶端選擇某臺DHCP服務(wù)器提供的IP地址的階段。如果有多臺DHCP服務(wù)器向DHCP客戶端發(fā)送DHCP offer信息，則DHCP客戶端只接受第1個收到的DHCP offer信息。然后它就以廣播方式答復(fù)一個DHCP request信息，該信息中包含向它所選定的DHCP服務(wù)器請求IP地址的內(nèi)容。之所以要以廣播方式答復(fù)，是為了通知所有DHCP服務(wù)器，它將選擇某臺DHCP服務(wù)器所提供的IP地址。4確認(rèn)階段即DHCP服務(wù)器確認(rèn)所提供的IP地址的階段。當(dāng)DHCP服務(wù)器收到DHCP客戶端答復(fù)的DHCP request信息之后，它向DHCP客戶端發(fā)送一

44、個包含其所提供的IP地址和其他設(shè)置的DHCP ACK信息，告訴DHCP客戶端可以使用該IP地址，然后DHCP客戶端便將其TCP/IP與網(wǎng)卡綁定。另外，除DHCP客戶端選中的服務(wù)器外，其他的DHCP服務(wù)器都將收回曾提供的IP地址。5重新登錄以后DHCP客戶端每次重新登錄網(wǎng)絡(luò)時，不需要發(fā)送DHCP discover信息，而是直接發(fā)送包含前一次所分配的IP地址的DHCP request信息。當(dāng)DHCP服務(wù)器收到這一信息后，它會嘗試讓DHCP客戶端繼續(xù)使用原來的IP地址，并答復(fù)一個DHCP ACK信息。如果此IP地址已無法再分配給原來的DHCP客戶端使用比方此IP地址已分配給其他DHCP客戶端使用，則

45、DHCP服務(wù)器給DHCP客戶端答復(fù)一個DHCP NACK信息。當(dāng)原來的DHCP客戶端收到此信息后，必須重新發(fā)送DHCP discover信息來請求新的IP地址。6更新租約DHCP服務(wù)器向DHCP客戶端出租的IP地址一般都有一個租借期限，期滿后DHCP服務(wù)器便會收回該IP地址。如果DHCP客戶端要延長其IP租約，則必須更新其IP租約。DHCP客戶端啟動時和IP租約期限過一半時，DHCP客戶端都會自動向DHCP服務(wù)器發(fā)送更新其IP租約的信息。DHCP的設(shè)計目標(biāo)1DHCP應(yīng)該是一種機(jī)制而不是策略，它必須允許本地系統(tǒng)管理員控制配置參數(shù)，本地系統(tǒng)管理員應(yīng)該能夠?qū)λＭ芾淼馁Y源進(jìn)行有效的管理。2客戶端不

46、需要手工配置，而應(yīng)該在不參與的情況下發(fā)現(xiàn)合適于本地機(jī)的配置參數(shù)，并利用這些參數(shù)加以配置。3不需要為單個客戶端配置網(wǎng)絡(luò)，在通常情況下，網(wǎng)絡(luò)管理員沒有必要輸入任何預(yù)先設(shè)計好的用戶配置參數(shù)。4DHCP不需要在每個子網(wǎng)上配置一臺服務(wù)器，出于經(jīng)濟(jì)原因，DHCP服務(wù)器必須可以和路由器或BOOTP轉(zhuǎn)發(fā)代理一起工作。5DHCP客戶端必須能對多個DHCP服務(wù)器提供的服務(wù)做出響應(yīng)，出于網(wǎng)絡(luò)穩(wěn)定與安全的考慮，有時需要在網(wǎng)絡(luò)中添加多臺DHCP服務(wù)器。6DHCP必須靜態(tài)配置，而且必須用現(xiàn)存的網(wǎng)絡(luò)協(xié)議實(shí)現(xiàn)。7DHCP必須能夠和BOOTP轉(zhuǎn)發(fā)代理互操作。8DHCP必須能夠?yàn)楝F(xiàn)有的BOOTP客戶端提供服務(wù)。9不允許有多個客戶

47、端同時使用一個網(wǎng)絡(luò)地址。10在DHCP客戶端重新啟動后仍然能夠保留其原先的配置參數(shù)，如果可能，客戶端應(yīng)該被指定為相同的配置參數(shù)。11在DHCP服務(wù)器重新啟動后仍然能夠保留客戶端的配置參數(shù)，如果可能，即使DHCP機(jī)制重新啟動，也應(yīng)該能夠?yàn)榭蛻舳朔峙湓械呐渲脜?shù)。12能夠?yàn)樾录尤氲目蛻舳俗詣犹峁┡渲脜?shù)。13支持對特定客戶端永久固定分配網(wǎng)絡(luò)地址。上面913的設(shè)計目標(biāo)是對于網(wǎng)絡(luò)層參數(shù)的設(shè)計而言的，在網(wǎng)絡(luò)層參數(shù)上，DHCP必須做到這幾點(diǎn)。安裝DHCP服務(wù)器DHCP配置文件可以使用RHEL 5.0自身攜帶的RPM包安裝，安裝結(jié)束后DHCP端口監(jiān)督程序dhcpd配置文件是/etc目錄中的名為dhcpd.

48、conf的文件。下面手工建立/etc/dhcpd.conf文件，該文件通常包括3個部分，即parameters參數(shù)、declarations聲明和option選項。1DHCP配置文件中的parametersparameters說明如何執(zhí)行任務(wù)，以及是否要執(zhí)行任務(wù)或?qū)⒛男┚W(wǎng)絡(luò)配置選項發(fā)送給客戶端，主要參數(shù)如表8-1所示。DHCP配置文件中的主要參數(shù)參 數(shù) 解 釋 ddns-update-style 配置DHCP-DNS互動更新模式 default-lease-time 指定默認(rèn)租賃時間的長度，單位是秒 max-lease-time 指定最大租賃時間長度，單位是秒 hardware 指定網(wǎng)卡接口類

49、型和MAC地址 server-name 通知DHCP客戶端服務(wù)器名稱 get-lease-hostnames flag 檢查客戶端使用的IP地址 fixed-address ip 分配給客戶端一個固定的地址 authritative 拒絕不正確的IP地址的要求 2DHCP配置文件中的declarationsdeclarations用來描述網(wǎng)絡(luò)布局及提供客戶的IP地址等，主要聲明 聲明 聲 明 解 釋 shared-network 用來告知是否一些子網(wǎng)絡(luò)共享相同網(wǎng)絡(luò) subnet 描述一個IP地址是否屬于該子網(wǎng) range起始IP終止IP 提供動態(tài)分配IP的范圍 host主機(jī)名稱 參考特別的主機(jī)

50、 group 為一組參數(shù)提供聲明 續(xù)表 聲 明 解 釋allow unknown-clientsdeny unknown-client 是否動態(tài)分配IP給未知的使用者allow bootp;deny bootp 是否響應(yīng)激活查詢allow bootingdeny booting 是否響應(yīng)使用者查詢filename 開始啟動文件的名稱，應(yīng)用于無盤工作站 next-server 設(shè)置服務(wù)器從引導(dǎo)文件中裝入主機(jī)名，應(yīng)用于無盤工作站DHCP配置文件中的option option用來配置DHCP可選參數(shù)，全部用option關(guān)鍵字作為開始，主要選項如表8-3所示。表8-3 DHCP配置文件中option關(guān)鍵字的主要選項 選 項 解 釋subnet-mask 為客戶端設(shè)定子網(wǎng)掩碼domain-name為客戶端指明DNS名字domain-name-servers為客戶端指明DNS服務(wù)器的IP地址host-name為客戶端指定主機(jī)名稱routers為客戶端設(shè)定默認(rèn)網(wǎng)關(guān)broadcast-address為客戶端設(shè)定廣播地址ntp-server為客戶端設(shè)定網(wǎng)絡(luò)時間服務(wù)器的IP地址time-offset為客戶端設(shè)定格林威治時間的偏移時間，單位是秒配置實(shí)例在下面的實(shí)例中使用一個ex