网络管理与应用.ppt

网络服务与应用服务器管理,dhcp,第3章 DHCP服务器,案例之二某公司仅有100个可供分配的IP192.168.1.149）现要求：(1)分配给公司内部200台PC连接因特网（200台PC同时使用的概率小于50%）。(2)网络中的有些员工经常需要将他们的计算机在不同的子网间移动。(3)部门经理所使用的主机IP地址固定不变，其他员工的IP地址可随时改变。网络管理员如何才能保证所有的计算机均可相互通信并访问因特网？,3.1 DHCP工作原理,3.1.1 动态主机配置协议（DHCP,Dynamic Host Configuration Protocol）DHCP是通过服务器计算机来统一规划和管理网络中的IP地址及其他相关配置详细信息，减轻TCP/IP网络的规划、管理和维护的负担，解决IP地址空间缺乏问题。运行DHCP的服务器自动在TCP/IP网络上安全地分配和租用IP地址的机制，实现IP地址的集中式管理，基本上不需要网络管理人员的人为干预。支持需要网络配置信息的无盘工作站。,3.1.2 常用术语,(1)DHCP客户。DHCP客户是一通过DHCP来获得网络配置参数的Internet主机，通常就是普通用户的工作站。(2)DHCP服务器。DHCP服务器是提供网络设置参数给DHCP客户的Internet主机。(3)DHCP/BOOTP（BootStrap Protocol，自引导协议）中继代理。在DHCP客户和服务器之间转发DHCP消息的主机或路由器。(4)作用域。作用域是用于网络的可能IP地址的完整连续范围。作用域的属性：IP 地址的范围、惟一的子网掩码、作用域创建时指派的名称、租约期限。,3.1.2 常用术语,(5)超级作用域。超级作用域是可用于支持相同物理子网上多个逻辑IP子网的作用域的管理性分组。(6)排除范围。排除范围是作用域内从DHCP服务中排除的有限IP地址序列。(7)地址池。在定义DHCP作用域并应用排除范围之后，剩余的地址在作用域内形成可用地址池。(8)租约。租约是客户机可使用指派的IP地址期间DHCP服务器指定的时间长度。(9)保留。使用保留创建通过DHCP服务器的永久地址租约指派。(10)选项类型。DHCP服务器在向DHCP客户机提供租约服务时指派的其他客户机配置参数。,3.1.3 DHCP分配IP地址的过程,DHCP是基于客户机/服务器模型设计的，服务器数据库包含以下信息：(1)网络上所有客户机的有效配置参数。(2)在指派到客户机的地址池中维护的有效 IP 地址，以及用于手动指派的保留地址。(3)服务器提供的租约持续时间。租约定义了指派的IP地址可以使用的时间长度。,3.1.3 DHCP分配IP地址的过程,DHCP分配IP地址的过程如下：(1)DHCP客户机初始化TCP/IP，在本地物理子网上广播一个DHCPDISCOVER 消息，向 DHCP 服务器发出 IP 地址租用请求。(2)如果DHCP服务器和客户不在同一个物理子网上，BOOTP中继代理将转发这个消息给DHCP服务器。(3)由于网络上可能不止一个DHCP服务器，凡具有有效IP地址信息的DHCP服务器向客户机发出一个响应消息。(4)客户机从接收到的第一个响应消息中选定IP地址信息，并广播一条租用地址的消息请求。,DHCP分配IP地址的过程如下：,(5)由发出该响应的DHCP服务器响应该消息，指定IP地址信息给该客户机并发送一个确认，而所有其它DHCP服务器撤回各自的响应消息。(6)客户机完成TCP/IP协议的初始化和绑定。配置完成后，客户机就可以使用所有TCP/IP服务和应用。(7)客户机在成功获取IP地址后随时可以通过发送DHCPRELEASE报文释放自己的IP地址，DHCP服务器收到DHCPRELEASE报文后会回收相应的IP地址，重新分配。,在客户机重新启动或租期达到50%时，都需要更新租约。DHCP客户机更新租约的过程是：(1)客户机直接向提供租约的服务器发送请求，要求更新及延长现有地址的租约。(2)如果DHCP服务器收到请求，它发送DHCP确认信息给客户机，更新客户机的租约。(3)如果客户机无法与提供租约的服务器取得联系，则客户机一直等到租期达到87.5%时，重新进入申请状态，它向网络上所有的DHCP服务器广播DHCPDISCOVER消息以更新现有的地址租约。,(4)如有服务器响应客户机的请求，那么客户机使用该服务器提供的地址信息更新现有的租约。(5)如果租约过期或无法与其他服务器通信，客户机将无法使用现有的地址租约。(6)客户机返回到初始启动状态，利用前面所述的步骤重新获取IP地址租约。,3.2 Windows 2000 中的DHCP服务器,Windows 2000中的DHCP服务器有以下两种情况：(1)网络是工作组的模式(没有活动目录存在)。DHCP服务器被添加后，就处于运行状态。(2)网络中部署了活动目录。添加DHCP服务器后必须进行授权，DHCP才能处于活动状态。,3.2.1 安装并配置DHCP服务器,1.安装DHCP服务器启动“Windows组件向导”，选择“网络服务”选项，在“详细信息”中选择“动态主机配置协议(DHCP)”选项。2 启动和停止DHCP服务在Windows 2000上启动DHCP服务：(1)启动【管理工具|服务】，然后在右侧窗格中右击“DHCP Server”选择启动/停止。(2)在命令窗口中执行以下命令：net start dhcpnet stop dhcp,3.2.1 安装并配置DHCP服务器,3.添加DHCP服务器在有Active Directory的网络中添加和授权DHCP服务器的方法：(1)在“Active Directory用户和计算机”控制台树中，选中“DHCP”，选择【操作|添加服务器】菜单，选择一个将连接的授权DHCP服务器，在“选择该服务器”文本输入框中输入要作为服务器的计算机名（如SRV11）。(2)单击“DHCP”选项，选择“管理授权的服务器”。在“管理授权的服务器”窗口中单击“授权”按钮，在“授权DHCP服务器”对话框中输入要授权的DHCP服务器的IP地址或名称。,3.2.1 安装并配置DHCP服务器,4.创建作用域(1)单击【管理工具|DHCP】，启动“DHCP控制台”。(2)在“DHCP控制台”窗口中右击新建的DHCP服务器，选择“新建作用域”选项，启动“新建作用域向导”。,3.2.1 安装并配置DHCP服务器,(3)在“作用域名”页，输入作用域的名称（“Local-area”）和说明（“本地址作用域-1”），单击“下一步”。(4)在“IP地址范围”页，输入作用域的起始和结束IP地址以及子网掩码。,3.2.1 安装并配置DHCP服务器,5.配置服务器和作用域选项(1)右击“服务器选项”节点，选择“配置选项”，打开“服务器选项”对话框，配置共同的DHCP选项。选项包括:默认网关、DNS服务器、WINS服务器等配置信息。相关的选项有：003路由器（默认网关）、006DNS服务器、015DNS域名、044WINS/NBNS服务器、046WINBS/NBT节点类型。,3.2.1 安装并配置DHCP服务器,根据需要为DHCP客户提供路由器的IP地址为192.168.1.2，DNS服务器的IP地址为192.168.1.11和DNS域名为。,3.2.1 安装并配置DHCP服务器,(2)配置作用域选项。右击作用域中的“作用域选项”节点，选择“配置选项”，打开“作用域选项”对话框。根据需要为DHCP客户提供指定的配置。,3.2.2 配置DHCP客户机,(1)在客户机的TCP/IP属性中，设置自动获取IP地址和DNS服务器地址，并重启客户机（Windows9X）。(2)在DHCP控制台，单击目录树中的“地址租约”，右侧窗格中将显示IP地址被租用的情况，如下图所示。单击【操作|显示统计信息】显示作用域的IP地址租用情况的统计信息。,3.2.3 为客户机分配固定IP,(1)在DHCP控制台中选中当前作用域的“保留”节点，右击并选择“新建保留”，弹出“新建保留”对话框，如右图所示。(2)在“新建保留”对话框中，键入客户保留所需的信息。,3.2.3 为客户机分配固定IP,(3)单击“添加”将客户保留地址添加到该作用域。添加其他客户保留地址，请重复前两项步骤，然后单击“关闭”。(4)单击“DHCP控制台图”工具栏中的刷新按钮，若步骤(2)中添加的客户机正在运行，则该客户的地址租约信息中的“租约截止日期”一栏将显示“保留（活动的）”。,3.2.3 为客户机分配固定IP,如果客户机客户机使用的仍然是以前的地址，可利用以下方法进行更新：（1）在Windows NT/2000中用命令：ipconfig/release 释放现有IP地址ipconfig/renew 更新IP地址。（2）在Windows95/98中用Winipcfg.exe程序中的释放、更新选项进行更新。每一块网卡都有一个惟一的号码（物理地址），这就是MAC地址。在Windows NT/2000中可利用ipconfig/all 或net config workstation命令获得该地址（包含在Physical Address一行中）；在Windows 95/98计算机中可利用Winipcfg.exe程序查看。,3.2.4 DHCP服务器疑难解答,(1)DHCP 服务器已停止。可能原因：此DHCP服务器未授权在网络上运行；详细配置信息可能不正确或不在服务器上；DHCP 服务器已停止运行。解决方法：授权DHCP服务器在网络中运行；检查DHCP服务器配置；检查系统事件日志和DHCP服务器审核日志文件；,(2)DHCP服务器不能为客户机提供服务。可能原因：此服务器为多宿主计算机而且不在一个或多个网络连接上提供服务；要使用的DHCP服务器上的作用域或超级作用域或者没有配置或者没有激活；服务器与它的一些客户机在不同的子网上并且不为远程子网上的客户机提供服务；使用的作用域已满而且不能再将地址租用给请求的客户机；由DHCP服务器提供的IP地址范围与由网络上另一个 DHCP 服务器提供的地址范围冲突。解决方法：检查Windows 2000 DHCP服务器对网络连接的默认绑定关系；添加作用域并确保这些作用域已经与指派给客户机使用的任何DHCP作用域选项一起正确配置；为当前的作用域增加“结束IP地址”来扩大地址范围，创建新的附加作用域和超级作用域，新建作用域或扩大范围，降低租约期限。,(3)DHCP服务器显示有某些数据损坏或丢失。可能原因：DHCP服务器数据库已损坏或丢失服务器数据解决方法：使用DHCP服务器数据恢复选项来还原数据库并修正任何报告的错误。,3.2.5 DHCP客户机疑难解答,(1)DHCP 客户机没有配置 IP 地址或指出它的 IP 地址是 0.0.0.0。原因：此客户机不能与DHCP服务器联系并获得IP地址租约，原因是网络硬件故障或 DHCP服务器不可用。解决方法：检查客户机是否有有效的网络连接。(2)DHCP 客户机显示出已它已被自动指派对于当前网络不正确的 IP 地址。原因：Windows 2000或Windows 98 DHCP客户机未找到DHCP服务器并且已使用自动专用IP寻址(APIPA)功能配置其IP地址。解决方案：使用Ping命令测试从客户机到服务器的连接性；检查或手动尝试续订客户机租约。,(3)DHCP 客户机显示正丢失某些详细网络配置信息或不能执行相关的任务，如解析名称。原因：客户机可能丢失其租用的配置中的DHCP选项，原因是DHCP服务器没有进行配置以分配这些客户机，或者客户机不支持由服务器分配的选项。解决方案：对于Microsoft DHCP客户机，检查它是否在选项指派的服务器、作用域、客户机或类别层次上已配置最通用和受支持的选项。,(4)DHCP 客户机有不正确或不完整的选项，如不正确或缺少针对其所在的子网而配置的路由器（默认网关）。原因：客户机已指派完整和正确的DHCP选项集，但是其网络配置看上去不能正常工作。解决方案：针对相应DHCP作用域和服务器上的路由器（默认网关）选项更改IP地址列表。如果在受影响的DHCP服务器上将路由器选项配置为“服务器选项”，请在此处删除它并在为服务于此客户机的相应DHCP作用域的“作用域选项”节点中设置正确的值。,(5)许多DHCP客户机不能从DHCP服务器取得IP地址。原因：更改了DHCP服务器的IP地址且当前DHCP客户机不能获得IP地址。解决方案：DHCP服务器只能对和它的IP地址具有相同网络ID的作用域请求服务。,3.3 Linux中的DHCP服务器,3.3.1 安装DHCP服务器(1)装载CD-ROM。#mount/dev/cdrom/mnt/cdrom(2)复制RPM文件。#cd/mnt/cdrom,3.3.1 安装DHCP服务器,(3)安装dhcpcd-1.3.22pl1-7.i386.rpm。#cd/tmp(4)安装dhcp-2.0p15-5.i386.rpm。,3.3.1 安装DHCP服务器,(5)安装完成后，查看DHCP的文件组成。#rpm-ql dhcp|more/etc/rc.d/init.d/dhcpd/etc/sysconfig/dhcpd/usr/sbin/dhcpd/usr/sbin/dhcrelay/var/lib/dhcp/dhcpd.leases其中/usr/sbin/dhcpd是DHCP的主程序，/etc/rc.d/init.d/dhcpd 是它的脚本文件。,3.3.1 安装DHCP服务器,(6)准备配置文件#cp/usr/share/doc/dhcp-2.0pl5/dhcpd.conf.sample/etc/dhcpd.conf用/etc/rc.d/init.d/dhcpd 来控制服务器的行为，如:启动:/etc/rc.d/init.d/dhcpd start 停止:/etc/rc.d/init.d/dhcpd stop 重新启动:/etc/rc.d/init.d/dhcpd restart 观察运行状况:/etc/rc.d/init.d/dhcpd status,3.3.2.配置DHCP服务器,DHCP的配置主要是针对DHCP服务器的配置文件/etc/dhcpd.conf 进行的。根据本章开始的案例要求，作如下配置:subnet 192.168.1.0 netmask 255.255.255.0#设置子网号，子网掩码option routers 192.168.1.1;#设置默认网关option subnet-mask 255.255.255.0;#设置子网掩码option nis-domain;#设置域名,域名服务器option domain-;#指定要分派哪几台 DNS 服务器来提供服务，多个服务器用逗号相隔。option domain-name-servers192.168.1.11;option time-offset-18000;#Eastern Standard Time,#指定一个WINS服务器#option netbios-name-servers192.168.1.1;#option netbios-node-type 2;range dynamic-bootp 192.168.1.50 192.168.1.149;#设置动态IP地址范围default-lease-time 21600;#默认租用时间(秒)max-lease-time 43200;#最大租用时间（秒）host ns#设置固定地址租用next-server;#指定域名hardware ethernet 00:40:CA:C0:24:AD;#租用IP地址的主机的MAC地址fixed-address 192.168.1.5;#固定租用的IP地址,3.3.2.配置DHCP服务器,设置固定地址租用可以用下面的形式：host Tom hardware ethernet 00:a0:c9:a6:96:53;fixed-address 192.168.1.112;也可为某台机器指定不同的网关地址，域名服务器等：host Tom hardware ethernet 00:a0:c9:a6:96:53;fixed-address 192.168.1.112;option routers 192.168.11.15;,3.3.2.配置DHCP服务器,硬件地址（MAC）地址可以用ifconfig 命令获取，执行ifconfig后，屏幕显示如下：eth0 Link encap:Ethernet HWaddr 00:40:CA:C0:24:AD UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:1466 errors:0 dropped:0 overruns:0 frame:0 TX packets:4484 errors:0 dropped:0 overruns:0 carrier:0 collisions:288 txqueuelen:100 RX bytes:442112(431.7 Kb)TX bytes:343743(335.6 Kb)Interrupt:10 Base address:0 x4800 第一行信息“HWaddr 00:40:CA:C0:24:AD”中的后一部分“00:40:CA:C0:24:AD”就是该主机以太网卡的MAC地址。,3.3.3 启动DHCP,1.启动服务器方法一：/etc/rc.d/init.d/dhcpd start 方法二：service dhcpd start或通过/usr/sbin/dhcpd调试DHCP。用法：/usr/sbin/dhcpd d-f2.指定DHCP运行的物理设备DHCP默认启动在eth0设备上，如果要在eth1设备上启动DHCP，则用：#/usr/sbin/dhcpd eth1 或修改/etc/rc.d/init.d/dhcpd 文件，将:daemon/usr/sbin/dhcpd 改为:daemon/usr/sbin/dhcpd eth1,3.3.4 客户机使用Linux DHCP服务器,1.Linux 客户机配置运行netconfig命令，在“Configure TCP/IP”对话框中将“Use dynamic IP configuration(BOOTP/DHCP)”（使用动态主机配置协议）选中。执行/etc/sysconfig/network-scripts/ifdown eth0和/etc/sysconfig/network-scripts/ifup eth0命令使修改生效。2.Windows 客户配置配置Windows客户机的TCP/IP属性，使用“自动获得IP地址”和“自动获得DNS服务器地址”。,3.3.4 客户机使用Linux DHCP服务器,3.测试客户机的TCP/IP配置用ipconfig命令测试本机IP地址、子网掩码、DNS服务器的配置情况（Linux 下用ifconfig命令）.以下是Windows2000下工作正常的测试结果：Windows 2000 IP ConfigurationEthernet adapter 本地连接:Connection-specific DNS Suffix.:,3.3.5 DHCP安全问题,DHCP协议虽然可以实现为客户机动态分配地址，但它的安全性有致命的弱点:(1)由于DHCP 服务器无法控制客户的行为，无法识别客户机的真假，因此DHCP 服务器的安全性较差，很容易遭到非法用户的恶意攻击。(2)无法发现非法用户仿冒其他用户的IP地址、MAC地址的情况。,黑客采用的主要攻击方法：(1)重复执行ipconfig release/all(2)先执行一次正常的DHCP过程调用NetXRay，把报文截取下来再修改MAC地址，把报文按顺序发出去。(3)黑客在方法2的基础上再加一条ARP广播，就可以骗过DHCP Relay，申请到的IP地址不会被释放。,