所以,現(xiàn)在不少企業(yè)的網(wǎng)絡(luò)管理員都通過(guò)DHCP服務(wù)器來(lái)管理企業(yè)的IP地址。采用DHCP服務(wù)器網(wǎng)絡(luò)管理員可以只在DHCP服務(wù)器上配置一些公用參數(shù),如DNS地址等等,而不需要重復(fù)的給每臺(tái)電腦設(shè)置這些參數(shù);當(dāng)這些參數(shù)變更時(shí),也不需要一臺(tái)臺(tái)去更改,只需要在DHCP服務(wù)器上更改即可;DHCP服務(wù)器可以保證企業(yè)局域網(wǎng)內(nèi)IP地址的唯一,不會(huì)同時(shí)租借相同的IP地址給兩臺(tái)主機(jī)等等。DHCP的服務(wù)器功呢功能確實(shí)非常的強(qiáng)大,但是,其也不是萬(wàn)能的。DHCP服務(wù)器也有不少的缺陷。我們網(wǎng)絡(luò)管理員在設(shè)計(jì)DHCP服務(wù)器環(huán)境的時(shí)候,需要了解這些缺陷,并且在設(shè)計(jì)過(guò)程中盡量的避免。
下面筆者就自己所了解的DHCP服務(wù)器的運(yùn)行缺陷,談?wù)勛约旱目捶āg迎大家就這個(gè)問(wèn)題進(jìn)行補(bǔ)償與討論。
缺陷一:DHCP服務(wù)器不能夠跨路由與客戶機(jī)通信,除非路由器允許BOOTP轉(zhuǎn)發(fā)。
有些企業(yè)為了安全的考慮,可能會(huì)把企業(yè)的網(wǎng)絡(luò)進(jìn)行物理劃分,劃分成幾個(gè)獨(dú)立的網(wǎng)段,以控制他們之間彼此的訪問(wèn)。如有一家化工企業(yè),他們的研發(fā)部門是一個(gè)比較機(jī)要的部門。其他部門的主機(jī)都不能夠訪問(wèn)他們的網(wǎng)絡(luò)。而他們的網(wǎng)絡(luò)可以訪問(wèn)其他部門的網(wǎng)絡(luò)。這從技術(shù)上來(lái)說(shuō),很簡(jiǎn)單。可以通過(guò)IP地址分?jǐn)嗵匦园蜒邪l(fā)部門與公司的其他部門網(wǎng)絡(luò)劃分成相對(duì)獨(dú)立的兩個(gè)網(wǎng)絡(luò)。然后可以通過(guò)路由器把他們連接起來(lái),在路由器上控制他們相互之間的訪問(wèn)。
但是,若企業(yè)局域網(wǎng)中采取了DHCP服務(wù)器的話,則就可能會(huì)產(chǎn)生一些問(wèn)題。因?yàn)镈HCP協(xié)議不能夠跨路由于客戶機(jī)通信,除非路由器允許BOOTP轉(zhuǎn)發(fā)。也就是說(shuō),如果企業(yè)中進(jìn)行子網(wǎng)劃分,若在公司一個(gè)網(wǎng)段中設(shè)置了一個(gè)DHCP服務(wù)器,另外一個(gè)網(wǎng)段是不能夠從這個(gè)DHCP服務(wù)器中獲取IP地址的。
針對(duì)這種局限性,我們?cè)摬捎檬裁捶椒?
筆者最常用的方法,就是利用固定IP地址來(lái)解決。也就是說(shuō),網(wǎng)絡(luò)管理員雖然把企業(yè)的網(wǎng)絡(luò)劃分成不同的網(wǎng)段,但是,這純粹是出于安全的考慮。所以,有時(shí)候一個(gè)網(wǎng)段中的主機(jī)數(shù)量不會(huì)很多。如把一個(gè)研發(fā)部門劃分成一個(gè)子網(wǎng),則其最多就是十臺(tái)電腦。為此,我們也不要再去動(dòng)其他的腦子,就直接把這個(gè)子網(wǎng)的主機(jī)通過(guò)手工分配IP地址。而且其他的主機(jī)則都設(shè)置成DHCP服務(wù)器的客戶端,從DHCP服務(wù)器那邊取得IP地址。這是一個(gè)最簡(jiǎn)單的、最實(shí)用的處理方法。不用費(fèi)盡腦子,去想著配置DHCP服務(wù)器代理、開通路由器的BOOTP協(xié)議轉(zhuǎn)發(fā)功能等等。這些都是小題大做了。
若企業(yè)不是出于安全的考慮,則就需要另外考慮了。如有些企業(yè)比較大,是一個(gè)集團(tuán)企業(yè),下面有各個(gè)子公司。他們?cè)谠O(shè)計(jì)網(wǎng)絡(luò)的時(shí)候,就集團(tuán)一個(gè)DHCP服務(wù)器,然后給各個(gè)子公司一個(gè)子網(wǎng)。這種情況下,一個(gè)子網(wǎng)內(nèi)的主機(jī)數(shù)可能就會(huì)比較多,此時(shí),若采用手工分配IP地址也就不怎么現(xiàn)實(shí)了。為此,我們可以通過(guò)路由器中的BOOTP協(xié)議轉(zhuǎn)發(fā)功能,讓其他網(wǎng)段內(nèi)的主機(jī)也能夠從這臺(tái)DHCP服務(wù)器中獲多IP地址。
缺陷二:若網(wǎng)絡(luò)中有非DHCP的客戶機(jī),則DHCP服務(wù)器不能夠發(fā)現(xiàn)。
若企業(yè)的局域網(wǎng)中,即有DHCP客戶端電腦,又有不是DHCP客戶端的網(wǎng)絡(luò)設(shè)備,則DHCP服務(wù)器是不知道那些不是DHCP客戶端的網(wǎng)絡(luò)設(shè)備所采用的IP地址。若不小心把這些非DHCP客戶端所采用的IP地址分配給DHCP客戶端的話,則很可能造成網(wǎng)絡(luò)IP地址的沖突。
這種情況在一些網(wǎng)絡(luò)服務(wù)器比較多的企業(yè),遇到的情況特別多。如企業(yè)有時(shí)候可能會(huì)在企業(yè)中增加一臺(tái)網(wǎng)絡(luò)打印服務(wù)器,手工的給其配置IP地址為192.168.0.203。而企業(yè)DHCP服務(wù)器上原先的IP地址池為192.168.0. 020到192.168.0.200。后來(lái)因?yàn)榈刂凡粔颍桶堰@個(gè)地址池更改為192.168.0.020到192.168.0.220。可能網(wǎng)絡(luò)管理員疏忽了,192.168.0.203這個(gè)IP地址已經(jīng)分配給了一臺(tái)網(wǎng)絡(luò)打印機(jī)。此時(shí),在把這個(gè)IP地址放入到DHCP服務(wù)器的地址池中,若服務(wù)器把這個(gè)IP地址分配給其他網(wǎng)絡(luò)設(shè)備的話,那么就可能造成網(wǎng)絡(luò)地址的沖突,造成網(wǎng)絡(luò)通信的故障。
所以,往往手工分配地址與DHCP服務(wù)器自動(dòng)分配地址結(jié)合時(shí),這種情況特別容易發(fā)生。因?yàn)镈HCP服務(wù)器不能夠發(fā)現(xiàn)到底自己地址池中的哪些IP地址已經(jīng)給其他非DHCP服務(wù)器的客戶端所采用了。
#p#副標(biāo)題#e#
為此,若采取這種混合模式的話,筆者有如下建議。
一是對(duì)于非DHCP服務(wù)器的客戶端,其采用的IP地址最好能夠固定一給范圍之內(nèi)。如企業(yè)中的一些企業(yè)級(jí)的設(shè)備,如網(wǎng)絡(luò)打印機(jī)、路由器、網(wǎng)關(guān)、應(yīng)用軟件服務(wù)器等等,往往起采用的是固定的IP地址。這對(duì)這些網(wǎng)絡(luò)設(shè)備,其往往不是DHCP服務(wù)器的客戶端。為了使得這些服務(wù)器的IP地址跟DHCP服務(wù)器可分配的地址池區(qū)分開來(lái),企業(yè)在IP地址設(shè)計(jì)與管理的時(shí)候,最好能夠進(jìn)行區(qū)分。如可以規(guī)定前面的20個(gè)IP地址是用于這些固定設(shè)備的。從2到20一個(gè)個(gè)分配下去。而其余的IP地址都是自動(dòng)分配的。若中間要添加一些網(wǎng)絡(luò)設(shè)備,如某個(gè)部門要添加一個(gè)網(wǎng)絡(luò)打印機(jī)的時(shí)候,則為其配置IP地址的話,則直接從這2到20中選擇。而不能夠采用其他的IP地址。這就可以有效的避免固定IP地址與自動(dòng)分配的IP地址造成沖突。
二是合理規(guī)劃DHCP服務(wù)器地址池的空間。在DHCP服務(wù)器建立的時(shí)候,網(wǎng)絡(luò)管理員需要在服務(wù)器上指定,哪些IP地址可以被用來(lái)分配,在DHCP服務(wù)器中叫做地址池。同時(shí),也需要指定哪些地址不能夠用來(lái)被分配,這叫做例外。在DHCP服務(wù)器建立的時(shí)候,要考慮企業(yè)的網(wǎng)絡(luò)規(guī)模,合理的分配DHCP服務(wù)器地址池中的IP地址數(shù)量。一般來(lái)說(shuō),最好把一些例外的IP地址設(shè)置為連續(xù),這為后續(xù)的管理能夠提供一定的方便。另外,例外的IP地址不用很多,因?yàn)槠髽I(yè)用到固定的IP地址的網(wǎng)絡(luò)設(shè)備并不是很多。一般情況下,筆者覺(jué)得剩余20個(gè)固定的IP地址已經(jīng)足夠了。
三是若DHCP服務(wù)器已經(jīng)建立好之后,才發(fā)現(xiàn)固定IP地址不夠的話,由于DHCP服務(wù)器分配IP地址的順序是從小到大。所以在設(shè)置例外的IP地址時(shí)候,最好能夠從后面開始。只有如此,再不夠的時(shí)候,才能夠改變DHCP的服務(wù)器地址池,從后面空閑的IP地址中抽出幾個(gè)給非DHCP的客戶端使用。如此的話,即使后續(xù)對(duì)這個(gè)服務(wù)器的地址池進(jìn)行調(diào)整,也能夠保證給非DHCP客戶端使用的IP地址是連續(xù)的。這對(duì)于我們后續(xù)的管理很有幫助。
缺陷三:若企業(yè)網(wǎng)絡(luò)中存在多個(gè)DHCP服務(wù)器,可能會(huì)產(chǎn)生IP地址的沖突。
若企業(yè)網(wǎng)絡(luò)中,存在多個(gè)DHCP服務(wù)器的話,由于某臺(tái)服務(wù)器并不能夠了解其他的DHCP服務(wù)器把哪些IP地址租借出去了。所以,由此就可能導(dǎo)致某個(gè)IP地址,兩臺(tái)DHCP服務(wù)器同時(shí)把他們租借給別人,從而造成網(wǎng)絡(luò)地址沖突的發(fā)生。
一般來(lái)說(shuō),這種情況往往是由于網(wǎng)絡(luò)管理員疏忽所造成的。如現(xiàn)在某些路由器或者交換機(jī)其默認(rèn)開啟了DHCP服務(wù)器的功能。當(dāng)某個(gè)路由器后者交換機(jī)出現(xiàn)故障,我們把他連接到企業(yè)的網(wǎng)絡(luò)中去的時(shí)候,若沒(méi)有及時(shí)關(guān)閉掉這個(gè)路由器或者交換機(jī)的DHCP服務(wù)的話,則在企業(yè)網(wǎng)絡(luò)中可能就會(huì)存在兩個(gè)DHCP服務(wù)器。此時(shí),由于這兩個(gè)DHCP服務(wù)器之間沒(méi)有代理關(guān)系,這就可能造成他們同時(shí)把一個(gè)IP地址給租借過(guò)去。
所以,網(wǎng)絡(luò)管理員在DHCP服務(wù)器的管理時(shí),應(yīng)該盡量避免出現(xiàn)多個(gè)獨(dú)立的DHCP服務(wù)器的情況。若為了提高性能的考慮,要設(shè)置多個(gè)DHCP服務(wù)器的時(shí)候,則最好在分配各自的地址池的時(shí)候,把各個(gè)DHCP服務(wù)器的Ip地址池獨(dú)立出來(lái),不要有重復(fù)的IP地址出現(xiàn)。如此的話,即使同時(shí)存在多個(gè)DHCP服務(wù)器的話,也不會(huì)出現(xiàn)IP地址沖突的問(wèn)題。
缺陷四:可能會(huì)使得一些網(wǎng)絡(luò)管理策略失效。
筆者在前面一篇文章中也談到過(guò),若采用DHCP服務(wù)器管理企業(yè)的IP地址的話,則可能會(huì)造成IP地址動(dòng)態(tài)的改變。而且要有些網(wǎng)絡(luò)管理策略,如郵件過(guò)濾策略、網(wǎng)絡(luò)訪問(wèn)控制策略等等,是通過(guò)IP地址來(lái)實(shí)現(xiàn)的。此時(shí),若主機(jī)的IP地址經(jīng)常發(fā)生改變的話,則很難根據(jù)網(wǎng)絡(luò)IP地址來(lái)執(zhí)行網(wǎng)絡(luò)管理策略。
所以,現(xiàn)在有兩種方法來(lái)對(duì)待這個(gè)缺陷。
一是采用租約無(wú)限制的策略。如此的話,在IP地址夠用的情況下,可以保證IP地址是固定的。二是改變網(wǎng)絡(luò)管理策略,通過(guò)MAC地址來(lái)執(zhí)行策略,而不是通過(guò)IP地址來(lái)控制網(wǎng)絡(luò)行為。不過(guò)采用MAC地址的話,就是管理起來(lái)比較麻煩一點(diǎn)。因?yàn)镸AC地址沒(méi)有IP地址那么直觀。
具體如何處理,則需要網(wǎng)絡(luò)管理員根據(jù)自己企業(yè)的實(shí)際情況作出明智的判斷了。
