您现在的位置是:首页 > IT基础架构 > 网络与安全 >
注重点滴 让DHCP服务器工作效能更高
摘要如果DHCP服务器自身设置不当,或者局域网中同时存在多个DHCP服务器时,那么局域网中合法的DHCP服务器工作效能就会受到严重影响,甚至会造成整个局域网不能稳定工作。有鉴于此,本文就为各位朋友贡献下面几则管理DHCP服务器的私房秘籍,希望大家能从中获得启发。 ...
为了减轻网络管理、维护工作量,很多网络管理员都喜欢在局域网中安装、配置DHCP服务器,来自动为普通计算机系统提供上网设置服务;可是,如果DHCP服务器自身设置不当,或者局域网中同时存在多个DHCP服务器时,那么局域网中合法的DHCP服务器工作效能就会受到严重影响,甚至会造成整个局域网不能稳定工作。有鉴于此,本文就为各位朋友贡献下面几则管理DHCP服务器的私房秘籍,希望大家能从中获得启发!
1、合理设置地址池
不少规模较小的单位接入Internet网络时,都会利用一个帐户通过宽带路由器与交换机设备,进行共享局域网连接,这样不但能够降低上网费用,而且也能够通过局域网轻松实现文件和打印机的共享访问等等。时下,我们经常使用的宽带接入方式主要包括LAN方式与ADSL方式,只要将ADSL拨号设备或者宽带路由器连接到交换机上,就能轻松实现多用户共享局域网方式上网了。为了提高共享局域网上网的管理效率,网络管理员通常都会启用ADSL设备中的DHCP服务功能,如此一来局域网中的每一台工作站就能自动获取上网地址、网关地址以及DNS服务器地址等参数了。
不过,很多时候网络管理员都会忽视对DHCP服务器地址池的设置,这样一来就容易导致IP地址频繁发生冲突。在缺省状态下,大多数ADSL设备和宽带路由器设备,只要启用了DHCP服务功能,它就自动把本地子网中的所有IP地址全部设置到地址池中。比方说,ADSL设备默认使用的IP为192.168.1.1,一旦将该设备的DHCP服务成功启用之后,那么该设备就会自动将192.168.1.X子网的IP地址全部加入地址池,这么一来可能会发生什么问题呢?
大家知道,如果我们为Windows系统分配一个固定的IP地址,那么Windows系统的启动速度会更快一些。比方说,假设局域网中有5台工作站采用固定IP地址,它们分别使用192.168.1.2~192.168.1.6这五个IP地址。倘若使用了192.168.1.3这个静态IP地址的工作站有一段时间没有开机运行,而局域网中有另外一台工作站使用自动获取地址方式访问网络时,那么DHCP服务器会自动识别到192.168.1.3地址处于空闲状态,这时它就会自动把该IP地址分配给那台使用了自动获取地址方式的工作站,如果此时先前使用该地址的工作站再上线时,那么局域网就会出现IP地址冲突故障。在实际管理网络的过程中,这种冲突现象发生的概率还是非常大的。
事实上,避免上述地址冲突现象的方法很简单,我们只要在为DHCP服务器设置地址池参数的时候,事先保留一段IP地址不作为日后动态分配用。比方说,我们可以将DHCP服务器的地址池参数设置为192.168.1.80~192.168.1.254(如图1所示),将前面79个IP地址保留给固定上网参数的工作站使用,如此一来就井水不犯河水了,用自动获取地址方式访问网络的工作站,就不会随意抢占固定上网参数工作站的IP地址了,这样也就能够有效避免IP地址频繁发生冲突的故障了。
2、为多个子网服务
大家知道,DHCP服务器中的每一个作用域只能“服务”于一个特定的虚拟子网,而一个虚拟子网中包含的计算机数量最多有253台,如此说来,DHCP服务器难道只能为253台计算机提供IP地址动态分配服务吗?事实上,很多规模比较大的单位,常常包含若干个虚拟子网,那么我们是否要在每一个虚拟子网中安装、架设DHCP服务器呢?我们能否采取措施,让相同的一台DHCP服务器同时为多个不同的虚拟子网提供IP地址动态分配服务呢?其实很简单,我们只要在DHCP服务器中巧妙创建超级作用域,将多个虚拟工作子网中的有效地址相对集中在一起,并且对外使用一个作用域名称提供IP地址动态分配服务,下面就是具体的设置步骤:
为了让不同的虚拟子网同时使用一个域名称对外提供服务,我们首先需要以系统管理员权限登录进入DHCP服务器所在主机系统,之后进入该系统的DHCP控制台窗口,为每一个虚拟工作子网创建一个合适的作用域,并确保每一个作用域能正确为对应的虚拟工作子网提动地址分配服务;
下面我们需要创建一个超级作用域,以便将各个不同的子作用域相对集中在一起,日后DHCP服务器只要通告超级作用域名称就能同时为多个不同的虚拟工作子网提供地址分配服务了;在创建超级作用域时,我们可以在DHCP服务器控制台界面的左侧显示区域,找到该服务器的主机名称,用鼠标右键单击该主机名称,从弹出的快捷菜单中点选“新建超级作用域”命令,打开创建超级作用域的向导对话框,依照向导对话框的提示单击“下一步”按钮,随后创建向导会建议我们为超级作用域设置一个合适名称,假设我们将该名称设置为“多网服务”;
继续单击“下一步”按钮,此时系统屏幕上将会出现一个如图2所示的设置界面,此时我们会在这里看到所有的虚拟子网作用域,将每一个作用域名称依次选中,再单击“完成”按钮,这样的话所有子作用域全部被集中到超级工作域中了。日后,DHCP服务器就会自动以超级作用域名称对外集中提供地址服务了,而不是每一个子作用域单独为某一个虚拟子网服务,如此一来DHCP服务器就实现同时为多个不同虚拟子网提供地址分配服务的目的了。
3、对DHCP进行保护
一般来说,安装在局域网中普通计算机的操作系统几乎都为Windows操作系统,在这种局域网系统环境下,我们可以巧妙借助域管理模式来保护有效DHCP服务器的工作稳定性,谨防一些不合法的DHCP服务器对其造成冲击,从而避免影响有效DHCP服务器正确为普通计算机分配动态IP地址。我们可以在域控制器所在的主机系统中,先将有效的DHCP服务器添加到局域网指定域的活动目录中,确保指定域中的所有普通计算机都可以从局域网有效的DHCP服务器那里自动申请获得IP地址,而指定域之外的DHCP服务器则被自动过滤掉了;这是由于指定域中的普通计算机向局域网网络发送广播信息,申请动态IP地址时,位于相同工作域中的有效DHCP服务器,会优先对这些普通计算机的上网请求进行自动应对,要是指定工作域中的有效DHCP服务器遇到意外不能正常工作时,那些位于指定域之外的其他DHCP服务器才会对普通计算机的上网请求进行应对。在将有效DHCP服务器添加到特定工作域中时,我们不妨依照下面的操作来进行设置:
首先以系统特权身份登录进入指定域控制器系统,从该系统桌面中点击“开始”按钮,再从弹出的“开始”菜单中逐一单击“程序”/“管理工具”/“DHCP”命令,打开控制器系统的DHCP控制台界面;
其次在该DHCP控制台界面的左侧子窗格中,找到目标DHCP服务器所对应的主机名称,并用鼠标右键单击该名称,并执行右键菜单中的“添加服务器”命令,此时系统屏幕上会出现一个如图3所示的设置窗口,单击该窗口中的“浏览”按钮,当系统屏幕上弹出选择计算机设置窗口时,我们可以从中将有效的DHCP服务器对应主机名称选中,当然也可以将该主机名称直接输入到“此服务器”文本框中,最后单击“确定”按钮 退出设置对话框。那样的话,局域网特定工作域中的普通计算机日后连接到局域网网络上时,就会优先从该作用域中的有效DHCP服务器那里自动申请得到IP地址以及其他上网参数了。此时,局域网中不管有多少其他的DHCP服务器存在,也不会影响和干扰指定作用域里面的DHCP服务器稳定进行工作了。
当然,这种保护DHCP服务器的方法虽然效果很好,可是在实际情况下,多数小单位架设的局域网几乎都采用了工作组模式,而不是域工作模式,这样一来有效DHCP服务器的工作稳定性自然就很难得到安全保护了。
4、定义DHCP用户ID
考虑到局域网中有的计算机自身带有病毒,要是随意让其从DHCP服务器那里得到上网地址的话,那么整个局域网很可能都被感染网络病毒,那么我们能否只让合法、安全的计算机从DHCP服务器那里得到上网地址,而不合法的计算机禁止从DHCP服务器那里得到上网地址呢?答案是肯定的,我们只要为合法的计算机定义用户ID,以后DHCP服务器会依照ID来判断局域网中的计算机究竟是否合法了,下面就是具体的设置步骤:
首先在DHCP服务器中,依次单击“开始”菜单中的“程序”、“管理工具”、“DHCP”命令,在弹出的DHCP控制台界面中,用鼠标右键单击目标DHCP服务器主机名称,并执行右键菜单中的“定义用户类别”,此时系统屏幕上会出现一个新建类别向导对话框;依照向导屏幕的提示,我们先定义一个DHCP用户的ID为“aaaa”,再在ASCII列表下设置好由普通计算机系统提供的ID,目标DHCP服务器日后会通过该ID信息来匹配类ID,这里我们假设输入的ASCII字符也为“aaaa”,再单击“确定”按钮完成DHCP用户ID的定义操作;
其次我们需要为ID为“aaaa”的用户设置合适的上网参数,在进行这种设置操作时,我们可以先在目标DHCP服务器所在主机下面选中“作用域选项”,并右击该选项,点选右键菜单中的“配置选项”选项,单击其后选项设置界面中的“高级”选项卡,打开如图4所示的选项设置页面,我们可以在这里为ID为“aaaa”的普通计算机用户集中设置路由地址、DNS参数、IP地址租约期限以及其他上网参数等,确保合法、安全的计算机日后直接从DHCP服务器那里获得一切需要的上网参数;
下面我们就要将合法、安全的DHCP客户端系统的DHCP类ID串设置为“aaaa”了,日后DHCP服务器会自动对客户端系统的这类信息进行验证的,如果验证通过DHCP服务器就会认为该普通计算机系统是合法的、安全的,于是该计算机就能从它那里申请得到正确的上网参数,那样的话这类普通计算机系统就可以顺利地连接到局域网网络中了;相反要是验证不通过的话,那么DHCP服务器就会拒绝为之提供动态分配服务,这样一来非法的、不安全的普通计算机自然就无法随意连接到局域网网络中了。在设置DHCP客户端系统的DHCP类ID信息时,我们只要进行以下设置就可以了:
首先在普通计算机系统中依次单击“开始”/“运行”命令,在其后的系统运行框中输入“cmd”命令,单击回车键后,进入DOS命令行工作窗口;在该窗口下,执行“ipconfig /setclassid Local Connection aaaa”字符串命令,就能将对应计算机系统本地连接的DHCP类ID名称设置为“aaaa”了;要是目标客户端系统中只存在一个网络连接,那么我们还可以执行“ipconfig /setclassid * aaaa”字符串命令,将对应计算机系统本地连接的DHCP类ID名称设置为“aaaa”。
其次将目标计算机系统的上网参数修改成从局域网DHCP服务器那里申请IP地址,我们只要从系统的“开始”菜单中依次点选“设置”/“网络连接”选项,用鼠标右击网络连接列表界面中的“本地连接”图标,执行快捷菜单中的“属性”命令,进入目标本地连接的属性设置对话框,选中其中的“常规”选项卡,并在对应选项设置页面中点选“Internet协议(TCP/IP)”选项,再单击“属性”按钮,打开TCP/IP协议属性窗口,从中选择“自动获得IP地址”、“自动获得DNS服务器地址”等选项,最后点击“确定”完成上述设置任务。
这样的话,ID为“aaaa”的普通计算机日后要上网访问时,会先向局域网网络发送广播信息申请上网地址,DHCP服务器收到请求信息后,对其ID信息进行自动验证,验证通过之后会自动将合适的上网参数,包括路由地址、DNS参数、IP地址租约期限以及其他上网参数等,自动分配给目标普通计算机,如此一来普通计算机就能安全访问局域网了。
5、让专人进行管理
在规模较大的单位中,可能有多个网络管理员,如果每一位网络管理员都可以随意管理DHCP服务器,那么该服务器的工作稳定性可能就会受到破坏,从而会影响整个局域网的运行稳定性。为了提高局域网的工作稳定性,我们需要让专人管理DHCP服务器;例如,如果我们只希望让“aaa”用户管理DHCP服务器时,可以先以系统管理员权限登录进入DHCP服务器所在主机系统,打开该系统的“开始”菜单,从中依次点选“设置”/“控制面板”选项,在其后出现的控制面板界面中双击“管理工具”,进入对应系统的管理工具列表界面,之后用鼠标双击其中的“Active Directory 用户和计算机”图标,在其后出现的设置窗口中单击“Users”选项卡,再在对应选项设置页面中右击“DHCP Administrators”选项,并点选右键菜单中的“属性”命令,进入“DHCP Administrators”属性设置对话框;在该设置对话框中单击“成员”选项卡,再单击“添加”按钮,当系统屏幕上出现帐号选择框时,我们需要选中并导入“aaa”帐号,再单击“确定”按钮保存好上述设置操作,这样的话“aaa”用户日后就可以管理、维护DHCP服务器了。
当然,如果我们不小心将恶意用户帐号加入到DHCP管理组时,那么DHCP服务器的运行安全性就容易受到非法破坏,如此一来局域网网络的工作稳定性自然也就会受到一定程度的影响。其实,我们可以对DHCP管理组帐号进行更严格的限制,以防止网络管理员出现误操作,影响局域网的运行稳定性;现在我们可以依照下面的设置,来指定DHCP管理组下面的某一个特定用户才有权限对DHCP服务器进行管理维护,其他任何人都能随意对之进行管理维护:
首先以系统管理员权限登录进入DHCP服务器所在主机系统,打开该系统桌面中的“开始”菜单,从中逐一点选“设置”、“控制面板”选项,在其后的控制面板界面中双击“管理工具”,进入对应系统的管理工具列表界面,之后用鼠标双击其中的“域安全策略”图标,进入安全策略控制台窗口;
其次在该控制台窗口的左侧子窗格中,用鼠标选中“Windows设置”节点选项,从该节点下面依次展开“安全设置”/“受限制的组”子项,在“受限制的组”子项对应的右侧子窗格中,用鼠标右键单击其中的空白区域,并点选右键菜单中的“添加组”命令,然后将新创建的组名称设置为“DHCP Administrators”;
选中之前新添加的“DHCP Administrators”组帐号,同时用鼠标右击该帐号,再单击右键菜单中的“安全性”命令,进入配置成员身份设置对话框,单击其中的“添加”按钮,将我们希望授权的指定帐户名称加入到成员列表中,最后单击“确定”按钮保存好上述设置操作,这样的话DHCP administrators组中只有我们授权的特定帐户才可以管理维护DHCP服务器了,其他人是不能随意对它进行管理的。(责任编辑:杨春晖)
(本文不涉密)
责任编辑: