Разработка стратегии DHCP-серверов

Разработка стратегии DHCP серверов

Службы DHCP

Каждому хосту, подключенному к сети на базе TCP/IP, должен быть назначен уникальный IP-адрес. Протокол DHCP (Dynamic Host Configuration Protocol, протокол динамической конфигурации хоста) был разработан как средство динамического выделения хостам IP-адресов. Протокол DHCP является открытым промышленным стандартом, упрощающим управление сетями на базе TCP/IP. Этот протокол может быть использован для централизованного управления процессом настройки стека протокола TCP/IP на клиентских машинах (речь идет о таких параметрах, как адрес шлюза по умолчанию или адрес DNS-сервера).

В спецификации протокола DHCP определяются два участника: DHCP-сервер и DHCP-клиенты. Служба клиента DHCP запрашивает у DHCP-сервера параметры для настройки стека протоколов TCP/IP. Служба сервера DHCP обрабатывает клиентские запросы, осуществляя выдачу в аренду IP-адреса из некоторого диапазона. Каждый адрес выделяется на определенный срок. По окончании этого срока хост должен либо продлить срок аренды, либо освободить адрес. Все удовлетворенные запросы пользователя фиксируются службой сервера DHCP в собственной базе данных. Подобное решение позволяет предотвратить выделение одного IP-адреса двум хостам. Одновременно с выдачей IP-адреса DHCP-сервер может также предоставить клиенту дополнительную информацию о настройках стека протоколов TCP/IP, такую как маска подсети, адрес шлюза и адреса серверов DNS и WINS.

Кажется совершенно очевидным, что поддержка этого протокола была реализована в операционной системе Windows Server 2003. В составе Windows Server 2003 реализован как DHCP-клиент (который устанавливается по умолчанию), так и DHCP-сервер (который может быть установлен и сконфигурирован администратором при необходимости). Реализованная в Windows 2000 Server поддержка протокола DHCP обладает характеристиками, перечисленными ниже.

· Интеграция с DNS. DNS-серверы обеспечивают разрешение имен для сетевых ресурсов и тесно связаны со службой DHCP. DHCP-серверы и DHCP-клиенты могут осуществлять динамическую регистрацию выдаваемых IP-адресов и ассоциированных с ними доменных имен в базе данных DNS-сервера. При этом в базе данных DNS-сервера создаются ресурсные записи типа PTR (указатель) и А (адрес).

· Улучшенное управление и мониторинг. Новая возможность обеспечивает уведомление об уровне использования пула IP-адресов. Оповещение производится при помощи соответствующего значка либо при помощи передачи сообщения. Сервер DHCP поддерживает SNMP и MIB, что обеспечивает графическое представление статистических данных. Это помогает администратору отслеживать состояние сети, например, число доступных и занятых адресов, число арендных договоров, обрабатываемых за секунду, и т. п.

· Распределение групповых адресов. DHCP-сервер может быть использован для выделения клиентам групповых (multicast) адресов. В последнее время появляется большое количество корпоративных приложений, требующих использования групповых адресов (например, видео- или аудио-конференции).

· Защита от подмены серверов. Одним из обязательных условий функционирования DHCP-сервера является требование его авторизации в каталоге Active Directory. При каждом запуске служба DHCP-сервера пытается обнаружить в каталоге запись, подтверждающую авторизацию службы. Если подобная запись не найдена, служба сервера не запускается.

· Автоматическая настройка клиентов. Служба DHCP-клиента в случае отсутствия в сети DHCP-сервера может выполнить необходимую настройку самостоятельно. Используя для работы временную конфигурацию стека протоколов TCP/IP, клиент продолжает попытки связаться с DHCP-сервером в фоновом режиме каждые 5 минут. При этом автоматическое назначение адреса всегда прозрачно для пользователей. Адреса для такого рода клиентов выбираются из диапазона частных сетевых адресов TCP/IP, которые не используются в Интернете.

· Новые специализированные опции и поддержка классов опций. Администратор может создавать собственные классы DHCP (используемые для конфигурации клиентов) в соответствии с необходимостью. Механизм пользовательских классов позволяет применять DHCP в заказных приложениях для сетей масштаба предприятия. Классы поставщиков (vendor classes) могут использоваться для настройки различных функций сетевого аппаратного обеспечения.

Следует также отметить функциональные возможности, которые были впервые добавлены в реализацию службы DHCP в Windows Server 2003.

· Возможность резервного копирования базы данных DHCP. В базе данных DHCP-сервера хранится информация о выданных клиентам IP-адресах, включая информацию о времени окончания аренды. Регистрация этой информации позволяет избежать повторного выделения уже выданных адресов. Повреждение этой базы данных может привести к тому, что работоспособность сети окажется под угрозой. Администратор может выполнять резервное копирование базы данных DHCP-сервера. Созданная резервная копия может использоваться впоследствии для восстановления работоспособности DHCP-сервера.

· Возможность задания альтернативной конфигурации DHCP-клиемта. Для DHCP-клиента может быть задана альтернативная конфигурация TCP/IP, что позволяет перемещать компьютер между различными подсетями.

Обзор DHCP

Протокол DHCP представляет собой развитие протокола ВООТР (RFC 951 и 1084), позволявшего динамически назначать IP-адреса (в дополнение к удаленной загрузке бездисковых станций). При этом служба DHCP предоставляет все данные для настройки стека протоколов TCP/IP и дополнительные данные для функционирования определенных серверов. Рассмотрим основные понятия протокола DHCP.

· Область DHCP (scope). Под областью DHCP понимается административная группа, идентифицирующая полные последовательные диапазоны возможных IP-адресов для всех DHCP-клиентов в физической подсети. Области определяют логическую подсеть, для которой должны предоставляться услуги DHCP, и позволяют серверу задавать параметры конфигурации, выдаваемые всем DHCP-клиентам в подсети. Область должна быть определена прежде, чем DHCP-клиенты смогут использовать DHCP-сервер для динамической конфигурации TCP/IP.

· Суперобласти (superscope). Множество областей, сгруппированных в отдельный административный объект, представляет собой суперобласть. Суперобласти полезны для решения различных задач службы DHCP.

· Пул адресов (address pool). Если определена область DHCP и заданы диапазоны исключения, то оставшаяся часть адресов называется пулом доступных адресов (в пределах области). Эти адреса могут быть динамически назначены клиентам DHCP в сети.

· Диапазоны исключения (exclusion range). Диапазон исключения -- ограниченная последовательность IP-адресов в пределах области, которые должны быть исключены из предоставления службой DHCP.

· Резервирование (reservation). Резервирование позволяет назначить клиенту постоянный адрес и гарантировать, что указанное устройство в подсети может всегда использовать один и тот же IP-адрес.

· Период аренды (lease). Под периодом аренды понимается отрезок времени, в течение которого клиентский компьютер может использовать выделенный IP-адрес. В момент истечения половины срока действия аренды клиент должен возобновить аренду, обратившись к серверу с повторным запросом. Следует помнить о том, что продолжительность периода аренды влияет на частоту обновления аренды (другими словами, на интенсивность обращений к серверу);

· Опции DHCP (option DHCP). Опции DHCP представляют собой дополнительные параметры настройки клиентов, которые DHCP-сервер может назначать одновременно с выделением IP-адреса. Сервер DHCP поддерживает более 30 опций DHCP согласно RFC 2132. В качестве примера опции DHCP можно привести следующие параметры: IP-адреса шлюза по умолчанию, WINS-сервера или DNS-сервера. Опции могут быть определены как для каждой области отдельно, так и глобально для всех областей, размещенных на DHCP-сервере. Кроме стандартных опций, описанных в спецификации протокола DHCP, администратор может определять собственные опции.

Как работает DHCP

Когда новый DHCP-клиент подключается к сети, он запрашивает уникальный IP-адрес у DHCP-сервера. DHCP-сервер выделяет клиенту один адрес из пула адресов. Этот процесс состоит из четырех шагов: 1) клиент DHCP запрашивает IP-адрес (DHCP Discover, обнаружение), 2) DHCP-сервер предлагает адрес (DHCP Offer, предложение), 3) клиент принимает предложение и запрашивает адрес (DHCP Request, запрос) и 4) адрес официально назначается сервером (DHCP Acknowledgement, подтверждение). Адрес клиенту предоставляется на определенный срок, называемый периодом аренды. По истечении половины этого срока клиент должен возобновить аренду. В противном случае, по истечении срока аренды, выделенный клиенту адрес возвращается в пул для повторного использования. В этой ситуации клиент должен инициировать процедуру получения IP-адреса с самого начала.

Понятие области действия

Множество IP-адресов, предназначенных для распределения между DHCP-клиентами одной подсети, рассматривается как единый административный блок, получивший название области действия (scope). Когда DHCP-клиент нуждается в получении адреса, он рассылает по сети широковещательный запрос. Получая этот запрос, DHCP-сервер просматривает имеющиеся области действия, определяя -- имеется ли область действия для данной подсети. Если необходимый пул адресов имеется, сервер вступает с клиентом во взаимодействие.

Приступая к настройке службы DHCP, администратор должен создать отдельную область действия для каждой физической подсети. Если в сети имеется несколько DHCP-серверов, необходимо распределить имеющиеся диапазоны адресов между ними. Как правило, для каждой подсети должно быть как минимум два DHCP-сервера, способных выдать необходимый IP-адрес. Для этого имеющиеся диапазоны адресов делятся между двумя DHCP-серверами в некотором соотношении. При этом рекомендуется следующая схема. Для каждой подсети на ближайшем DHCP-сервере размещается 80 процентов имеющихся адресов. Остальные 20 процентов размещаются на одном из оставшихся DHCP-серверов. Этот сервер возьмет на себя обязанности по выдаче адресов для рассматриваемой подсети, если основной сервер выйдет из строя. Применение подобной схемы позволяет гарантировать, что ни один запрос клиента не останется без ответа.

Суперобласти

В службе DHCP, реализованной в рамках Windows Server 2003, разработчиками была реализована возможность создания суперобластей (superscope). Суперобласть представляет собой административное объединение стандартных областей. Использование суперобластей действия оправдано в ситуации, когда для одной подсети имеется несколько несмежных диапазонов IP-адресов. При этом каждый диапазон реализуется в виде отдельной области действия. Суперобласть действия выступает в качестве средства объединения получившихся областей действия.

Суперобласти используются для реализации в пределах одной физической подсети нескольких логических подсетей. Каждая логическая подсеть создается подмножеством адресов, заданных в рамках некоторой области, являющейся частью суперобласти. Согласно терминологии DHCP, в этом случае принято говорить о мультисетях (multinets).

Если физическая подсеть, для которой задается суперобласть, соединяется с другой подсетью при помощи маршрутизатора, внутренний интерфейс маршрутизатора должен быть определен в качестве шлюза по умолчанию для всех хостов всех логических подсетей, входящих в суперобласть. При этом для интерфейса маршрутизатора, подключенного к физической подсети, поделенной на логические подсети, необходимо выделить по одному IP-адресу с каждой из логических подсетей. В противном случае хосты, принадлежащие к логическим подсетям, не смогут взаимодействовать с другими подсетями через данный маршрутизатор.

Понятие опций

На уровне областей действия происходит управление процессом выдачи IP-адресов. Для решения задачи однообразного конфигурирования клиентов DHCP-сервер использует механизм опций (options). Опции позволяют предоставить DHCP-клиентам различную информацию о настройках компонентов стека протоколов TCP/IP. Каждая опция идентифицируется посредством уникального 8-разрядного кода, определяющего назначение опции. В спецификации DHCP определено несколько десятков разнообразных опций, в дополнение к которым корпорация Microsoft предложила несколько собственных.

Опции могут быть определены на уровне всего сервера, отдельной области действия, класса и отдельного клиента. В последнем случае требуется, чтобы на DHCP-сервере для клиента был зарезервирован некоторый адрес. Опции, определенные на уровне сервера, позволяют однообразно конфигурировать всех клиентов, обслуживаемых сервером. Опции, определенные на уровне отдельной области действия, будут использованы для настройки клиентов из одной подсети. Администраторы часто используют такую возможность для того, чтобы снабдить клиентов одной подсети информацией о существующих маршрутизаторах.

Отдельно стоит сказать о возможности объединения DHCP-клиентов в специальные классы. Класс рассматривается в данном случае, как некая логическая группа компьютеров, объединенных по некоторому признаку. Например, в один класс можно объединить компьютеры, имеющие доступ к Интернету. Сетевые компоненты этих компьютеров могут требовать расширенной настройки. Чтобы отнести хост к некоторому классу, администратор должен использовать утилиту командной строки Ipconfig с ключом /setclassid.

Все четыре уровня различаются по приоритетам. Это дает возможность реализовать переопределение опций, что, в свою очередь, позволяет повысить гибкость и удобство конфигурирования клиентов. Для настройки клиентов будут использоваться опции, имеющие наиболее высокий приоритет. Самый низкий приоритет имеют опции, определенные на уровне сервера. Опции, определенные на уровне клиента, обладают наибольшим приоритетом.

Агент-ретранслятор DHCP/BOOTP

Отдельно следует сказать о специальном агенте ретрансляции ВООТР/ DHCP. Работа протоколов ВООТР и DHCP основана на механизмах широковещания. Маршрутизаторы по умолчанию обычно не ретранслируют широковещательные рассылки, что может создать трудности для получения IP-адресов клиентами, находящимися в другой подсети. Передача широковещательных рассылок DHCP/BOOTP выполняется агентом ретрансляции. Под агентом ретрансляции DHCP понимается хост, который прослушивает подсети на наличие широковещательных сообщений DHCP/BOOTP и переадресовывает их на некоторый заданный DHCP-сервер. Использование агентов ретрансляции избавляет от необходимости устанавливать сервер DHCP в каждом физическом сегменте сети. Агент не только обслуживает прямые локальные запросы клиента DHCP и перенаправляет их на удаленные DHCP-серверы, но также возвращает ответы удаленных DHCP-серверов клиентам.

Установка и настройка DHCP-сервера

Для установки службы DHCP-сервера необходимо воспользоваться процедурами, описанными в разд. "Установка дополнительных сетевых компонентов" главы 12. После установки сервера в меню Administrative Tools (Администрирование) будет добавлен новый инструмент: оснастка DHCP. Эта утилита используется для настройки DHCP-сервера. Непосредственно после установки службы DHCP-сервера необходимо запустить ее при помощи оснастки Services (Службы). В случае если DHCP-сервер подключен к нескольким сетям, необходимо отключить привязку службы к тем подключениям, которым не требуется поддержка DHCP.
Компьютер, выбранный на роль DHCP-сервера, должен быть сконфигурирован со статическим IP-адресом.

Авторизация DHCP-сервера

Прежде чем DHCP-сервер сможет приступить к процессу выделения адресов DHCP-клиентам, он предварительно должен быть авторизован. Авторизация DHCP-сервера является обязательным условием его нормального функционирования. Иными словами, в каталоге Active Directory должен быть создан объект, соответствующий установленному DHCP-серверу. Только после этого клиенты смогут работать с данным сервером. Все обязанности по осуществлению контроля над авторизацией DHCP-серверов возложены непосредственно на сами DHCP-серверы. Осуществляется это следующим образом. Служба DHCP-сервера при запуске обращается к Active Directory, чтобы просмотреть список IP-адресов авторизованных серверов. Если она не обнаруживает свой адрес в этом списке, она останавливает свою работу.

Для авторизации DHCP-сервера необходимо запустить оснастку DHCP и в контекстном меню объекта, расположенного в корне пространства имен утилиты, выбрать пункт Manage authorized servers (Управление авторизованными серверами). Система покажет список уже авторизованных DHCP-серверов. Нажмите кнопку Authorize (Авторизовать) и укажите имя авторизуемого DHCP-сервера или его IP-адрес. Выбранный сервер будет немедленно добавлен в список авторизованных серверов.

Создание области действия

Приступим к настройке службы DHCP. Для начала определим необходимые области действия. Запустите оснастку DHCP, которая находится в меню Administrative Tools (Администрирование). В результирующей панели оснастки вызовите контекстное меню объекта, ассоциированного с конфигурируемым DHCP-сервером, и выберите пункт New Scope (Новая область действия). Будет запущен мастер конфигурирования области действия.

Первое окно мастера традиционно предоставляет информацию о его назначении. Поэтому необходимо сразу же перейти во второе окно, в котором требуется определить имя для создаваемой области действия и дать ей краткое описание. В качестве имени можно использовать IP-адрес подсети. Это поможет вам легко ориентироваться в ситуации, когда на DHCP-сервере создано множество областей действия. В этом случае вы всегда сможете точно идентифицировать необходимую область.

В третьем окне мастера следует определить пул IP-адресов, для которых создается область действия. Пул задается путем указания начального и конечного адреса диапазона. Потребуется также предоставить информацию о маске подсети.

В следующем окне мастера администратор может определить исключения из только что определенного диапазона. Могут иметься различные причины для этого. Администратор может исключать как отдельные адреса, так и целые диапазоны. Для исключения одиночного IP-адреса необходимо указать его в поле Start IP address (Начальный IP-адрес). Поле End IP address (Конечный IP адрес) необходимо оставить в этом случае пустым. После нажатия кнопки Add (Добавить) введенный адрес будет добавлен в список исключенных из диапазона адресов.

Перейдя к следующему окну мастера, необходимо определить для создаваемой области действия время аренды IP-адресов. Время аренды может быть определено на уровне дней, часов и даже минут. Хотя в стандарте протокола DHCP определена возможность аренды адреса на неопределенный срок (бесконечная аренда), реализация службы протокола в Windows Server 2003 не допускает сдачу адреса в бесконечную аренду.

Определив время аренды, администратор фактически заканчивает конфигурирование области действия. В ходе работы мастера, однако, администратор может сразу определить опции DHCP для создаваемой области действия: будет задан вопрос -- требуется ли определить опции непосредственно в ходе работы мастера или это будет сделано администратором впоследствии.

Если вы решили воспользоваться помощью мастера в определении опций, вам будет предложено определить несколько наиболее важных опций DHCP.

· Адрес шлюза по умолчанию. Шлюз по умолчанию используется для маршрутизации пакетов, адресованных хостам в других подсетях. Если хост не располагает информацией о шлюзе по умолчанию, он не будет способен взаимодействовать с подобными хостами. В данной опции требуется определить адрес маршрутизатора, который будет осуществлять доставку пакетов хостам в других подсетях

· DNS-имя домена и адреса DNS-серверов. Эти опции используются для определения DNS-имени домена и DNS-серверов всех хостов, конфигурируемых посредством данной области действия. DNS-сервер может быть представлен как именем, так IP-адресом. Опция допускает указание нескольких DNS-серверов, что позволит обеспечить гарантированное разрешение имен в случае, если один из серверов выйдет из строя.

· Адреса WINS-серверов. WINS-серверы используются для организации процесса разрешения NetBIOS-имен хостов в IP-адреса этих хостов. Данная опция позволяет снабдить клиента адресами всех действующих в сети WINS-серверов. Так же, как и в случае с DNS-серверами, можно указать адреса нескольких WINS-серверов.

Создаваемые мастером опции определяются на уровне конкретной области действия. Мастер не может создавать опции на других уровнях.

Разумеется, определяемая мастером информация является только малой частью того, что может быть определено посредством механизма опций. После создания области действия администратор может при необходимости вручную создать дополнительные опции.

На заключительном этапе работы мастера нужно решить, будет ли область действия активизирована сразу после ее создания или нет. Активизация области действия приводит к тому, что IP-адреса, определенные в рамках области, могут быть по требованию сданы в аренду. Поэтому если, например, требуется определить ряд дополнительных опций, процесс активизации области действия следует отложить.

При использовании нескольких областей опции по умолчанию могут быть определены на уровне сервера. В этом случае данные опции будут унаследованы всеми областями. Для этого в контекстном меню контейнера Server Options (Опции сервера) необходимо выбрать пункт Configure Options (Настроить опции) и определить требуемые опции.

Настройка механизма динамической регистрации доменных имен

Если нужно, чтобы регистрация доменных имен выполнялась непосредственно на уровне DHCP-сервера, необходимо в окне свойств объекта, ассоциированного с сервером, перейти на вкладку DNS и установить флажок Enable DNS dynamic updates according to the settings below (Разрешить динамические обновления в DNS в соответствии со следующими настройками). Дополнительно нужно выбрать условия регистрации доменных имен в базе данных DNS. Сервер DHCP будет посылать сообщение службе DNS каждый раз, когда клиенту выдается IP-адрес.

Мониторинг DHCP-сервера

После того как DHCP-сервер настроен и функционирует, следует периодически осуществлять мониторинг его состояния. Для получения необходимого аналитического материала администратор может активизировать режим протоколирования событий. Для этого на вкладке General (Общие) окна свойств DHCP-сервера нужно установить флажок Enable DHCP audit logging (Разрешить запись журнала DHCP). После этого вся информация, связанная с функционированием сервера DHCP, будет заноситься в текстовый файл журнала.