第5章linuxDHCP服务

1、1第5章 DHCP 服务本章要点：本章要点： DHCP租借过程租借过程 IP/MAC地址绑定地址绑定 基于类别基于类别DHCP服务服务 DDNS服务服务2351 DHCP概述概述511 DHCP的工作机制的工作机制1DHCP租借过程租借过程（1）DHCP发现发现DHCP DISCOVER（2）DHCP提供提供DHCP OFFER（3）DHCP请求请求DHCP REQUEST（4）DHCP确认确认DHCP ACK42DHCP租期更新（1）RENEW更新更新（2）REBIND更新更新5512 DHCP的安装的安装 单独安装DHCP服务器的示例。rootserver1 rpm -ivh dhcp-4

2、.2.5-27.el7.x86_64.rpm 执行如下命令来找到该样板文件。# rpm -ql dhcp | grep example/usr/share/doc/dhcp-4.2.5/dhcpd.conf.example/usr/share/doc/dhcp-4.2.5/dhcpd6.conf.example 652 DHCP服务器端配置服务器端配置521 基本配置基本配置对dhcpd.conf稍作修改后，保留下一些最基本的选项成为相对简单的配置文件。请看下面示例：subnet netmask /设置子网及其参数，即作用域设置子网及其参数，

3、即作用域 option routers ; /指定网关指定网关ip地址地址 option domain-name ;/指定域名后缀指定域名后缀 option domain-name-servers 02; /指定指定DNS服务器的服务器的IP地址地址 default-lease-time 3600; /指定默认租期指定默认租期 range 1 9; /设置地址池，即可分配设置地址池，即可分配IP地址的范围地址的范围7说明：利用以上的配置可以实现一个最基本的说明：利用以上的配置可以实现一个最基本的DHCP服务

4、器。服务器。以上基本配置即可正常工作，请执行如下指令来以上基本配置即可正常工作，请执行如下指令来启动启动DHCP服务：服务：#service dhcpd start#ps aux | grep dhcpd dhcpd 31904 0.0 0.2 107356 18484 ? Ss 14:20 0:00 /usr/sbin/dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcpd -group dhcpd -no-pid8522 配置配置IP地址与地址与MAC地址绑地址绑定定 请看下面示例： /此处省略同前面基本配置 subnet net

5、mask /设置子网及其参数 /此处省略同前面基本配置 host myweb /针对主机单独做设置 hardware ethernet 00:06:5b:e6:58:1a; /与下一行共同实现IP-MAC地址绑定 fixed-address 60; /为上面的MAC地址保留该IP地址 9523 配置超级作用域配置超级作用域 超级作用域（super scope）是在共享同一共享同一个物理网络个物理网络环境下为不同的逻辑子网不同的逻辑子网动态分配IP地址的解决方案。 简单地说，在一个物理网络中如果存在多个不同的网段（例如多个多个VLAN），如果要为

6、这些网络的机器动态分配IP地址，那么应该采用超级作用域。10 DHCP实现超级作用域的指令是shared-network 请看如下配置：ddns-update-style interim;ignore client-updates;option routers ; /服务器选项服务器选项option subnet-mask ;option domain-name ;option domain-name-servers ;option time-offset -18000;default-lease-time 21600;ma

7、x-lease-time 43200;11shared-network mysuper /定义共享网络定义共享网络超级作用域，超级作用域，其中内嵌了三个子网其中内嵌了三个子网 subnet netmask option domain-name-servers 00; /作用域选项 range 70 79; subnet netmask option domain-name ; /作用域选项 option domain-name

8、-servers 00; range 0 9; option routers 54; subnet netmask option domain-name-servers 00; /作用域选项 range 0 9; option routers 54; 1253 DHCP客户端配置客户端配置 先将DHCP服务器运行起来：rootserver1 service dhcpd

9、start531 Windows客户端配置客户端配置（1） “网上邻居网上邻居”单击属性单击属性双击双击“本地连接本地连接”单击单击“属性属性”双击双击“Internet协议协议”选中选中“自动获得自动获得IP地地址址”。 1314（2）查看是否获得了IP地址。请单击“开始”菜单单击“运行”输入“cmd”输入ipconfig /all， 图图5-2 查看查看 DHCP客户端获得的客户端获得的IP地址地址图图5-2 查看查看 DHCP客户端获得的客户端获得的IP地址地址15（3）DHCP服务器的租期文件lease 3 /一个租期 starts 3 2014/10/15 08

10、:42:01; /租期开始时间 ends 3 2014/10/15 09:42:01; /租期结束时间 cltt 3 2014/10/15 08:42:01; binding state active; /绑定状态为活动的 next binding state free; rewind binding state free; hardware ethernet 00:0c:29:50:7d:62; /该客户机的MAC地址 uid 001000014)Pb;/该客户机的标识符 client-hostname winxp-lb01;/该客户机的主机名16532 Linux客户端配置客户端配置 用v

11、i编辑器修改/etc/sysconfig/network-scripts/ifcfg-eno16777736文件，修改后的内容如下: DEVICE=eth0BOOTPROTO=dhcpONBOOT=yes 说明： /etc/sysconfig/network-scripts/ifcfg-eno16777736是设置网卡IP地址的配置文件。 其中DEVICE=eth0用来指定网卡的名称，BOOTPROTO=dhcp用来设置采用动态IP地址分配，ONBOOT=yes用来设置在开机引导时激活该设备。 修改完该文件后，再将该文件改名：#cd /etc/sysconfig/network-scripts

12、#mv ifcfg-eno16777736 ifcfg-eth0 可以执行如下命令使配置生效：#service network restart1718 接着，可以执行如下命令来获得IP地址：rootclient 1 dhclient eth0 再执行ifconfig查看是否已经获得了IP地址。root client 1 ifconfig eth019通过DHCP客户机的租期文件/var/lib/dhclient/dhclient.leases来查看租期内容。请看如下示例：lease interface eno16777736; /网卡eno16777736即eth0 fixed-address

13、 2; /分配IP地址 option subnet-mask ; /掩码 option routers ; /网关为 option dhcp-lease-time 3600; /租期时间 option dhcp-message-type 5; /DHCP消息类型5DHCPACK option domain-name-servers 02; /DNS服务器为02 option dhcp-server-identifier ; /DHCP服务

14、器标识符为 option domain-name ;/域名后缀 renew 3 2014/10/15 06:40:29; /renew的时间点 rebind 3 2014/10/15 07:06:48; /rebind的时间点 expire 3 2014/10/15 07:14:18; /过期时间20 可以通过执行如下命令来释放IP地址：rootclient1 # dhclient -r2154 配置基于类别的配置基于类别的DHCP服务服务 基于类别的DHCP服务分为两部分： 一是一是DHCP服务器服务器的配置； 二是二是DHCP客户机客户机的配置。 22541 基于类别

15、的基于类别的DHCP服务器服务器端的配置端的配置 将一个完整的配置文件都写在此处并做相应解释。ddns-update-style interim;ignore client-updates;option routers;option subnet-mask;option domain-;option domain-name-servers;option time-offset -18000;default-lease-time 21600;max-lease-time 43200;23class myras-clients

16、/定义类别myras-clients match if option dhcp-client-identifier = RAS; /如果客户标识符为RAS，则属于此类class myclass-1 /定义类别myclass-1 match pick-first-value (option dhcp-client-identifier,hardware); /取客户标识符中的MAC地址作为本类的依据class myclass-2 /定义类别myclass-2 match pick-first-value (option dhcp-client-identifier,hardware); /取客户

17、标识符中的MAC地址作为本类的依据24subclass myclass-1 1:00:06:5b:e6:58:10; /定义此MAC地址的主机属于myclass-1类别subclass myclass-1 1:50:16:b3:06:0a:2c; /定义此MAC地址的主机属于myclass-1类别subclass myclass-2 1:00:06:5b:e6:58:1b; /定义此MAC地址的主机属于myclass-2类别25subnet netmask /定义子网 pool /定义地址池 allow members of myclass-

18、1; /设置只有myclass-1中客户可获得该地址池中的IP range 50 59; /设置地址池范围 pool /定义地址池 allow members of myclass-2;/设置只有myclass-2中客户可获得该地址池中的IP range 60 69; /设置地址池范围 option domain-name ;/设置该类别的域名后缀为 pool /定义地址池 allow members of myras-clients;/设置只有myras-clients中客户可获得该地址池中的IP ran

19、ge 70 79; /设置地址池范围 option domain-name ;/设置该类别的域名后缀 26542 基于类别的基于类别的DHCP客户端客户端的配置的配置1Windows客户端客户端 方法：将方法：将Windows XP客户端的客户端的网卡网卡MAC地址地址写入写入dhcpd.conf中的中的subclass命令中命令中即可完成配置。即可完成配置。 测试测试时将其时将其IP地址设置为动态获得，当得地址设置为动态获得，当得到相应的到相应的IP地址后，可地址后，可在在DHCP服务器服务器端端查看租期文件，执行如下命令：查看租期文件，执行如下命

20、令：rootcontroller dhcp# cat /var/lib/dhcpd/dhcpd.leases# The format of this file is documented in the dhcpd.leases(5) manual page.# This lease file was written by isc-dhcp-4.2.5server-duid 000001000001033275323000014) 0178;lease 50 /获得特定类别中指定网段地址池中的获得特定类别中指定网段地址池中的IP地址地址 starts 3 2014/10/1

21、5 12:29:38; ends 4 2014/10/16 00:29:38; cltt 3 2014/10/15 12:29:38; binding state active; next binding state free; rewind binding state free; hardware ethernet 00:0c:29:50:7d:62; /关注此关注此MAC地址地址 uid 001000014)Pb; client-hostname winxp-lb01;从租期文件中可以看到，该从租期文件中可以看到，该Windows XP客户端正是按照相应的类别获得了客户端正是按照相应的类别

22、获得了指定地址池中的地址。指定地址池中的地址。27282Linux客户端配置客户端配置 将一台运行将一台运行RHEL 7.0的的Linux主机配置为基于类主机配置为基于类别别DHCP客户端，示例实现了按客户端，示例实现了按客户端标识符客户端标识符配置配置IP地址的方法。地址的方法。29（1）关闭）关闭NetworkMananger服务，开启服务，开启network服务服务 在在RHEL 7.0中默认采用中默认采用NetworkMananger服务服务对网络进行配置与管理，需要将其对网络进行配置与管理，需要将其关闭关闭并并开启开启“旧的旧的”网络管理机制网络管理机制network服务。服务。#

23、systemctl stop NetworkManager.service# systemctl disable NetworkManager.servicerm /etc/systemd/system/multi-user.target.wants/NetworkManager.servicerm /etc/systemd/system/dbus-org.freedesktop.NetworkManager.servicerm /etc/systemd/system/dbus-org.freedesktop.nm-dispatcher.service# chkconfig network o

24、n 接下来接下来编辑编辑DHCP客户端的配置文件客户端的配置文件/etc/dhcp/dhclient.conf。示例示例如下：如下：interface eno33554960 send host-name myRHEL7-00; send user-class RAS;说明：interface “eno33554960”指明指明网卡的名称网卡的名称；花括号中的第一条指令用于将花括号中的第一条指令用于将客户机的主机名客户机的主机名“myRHEL 7-00”通过通过DHCP广播包发送给广播包发送给DHCP服务器；服务器；第二条指令用于设置本机的第二条指令用于设置本机的“用户类别用户类别”为为“RA

25、S”，这个这个“用户类别用户类别”也会随着也会随着DHCP广播包发送给广播包发送给DHCP服务器服务器。30 在在DHCP服务器端通过服务器端通过tcpdump来捕获来捕获DHCP租借过程，需要注意该命令必须在客户端执行租借过程，需要注意该命令必须在客户端执行dhclient之前执行，命令如下：之前执行，命令如下：# tcpdump -i eth1 -vv tcpdump.01031 在修改完客户端配置文件在修改完客户端配置文件/etc/dhcp/dhclient.conf之后，可以通过如下之后，可以通过如下命令来启动客户进程。命令来启动客户进程。rootclient1 # dhclient

26、如果只有一块网卡直接执行如果只有一块网卡直接执行dhclient即可，如果即可，如果有多块网卡则需要增加参数来指明是哪一块网有多块网卡则需要增加参数来指明是哪一块网卡卡，如下：，如下：rootclient1 # dhclient eno3355496032 在执行在执行dhclient获得获得IP地址后，从地址后，从两个方面两个方面可以验证客户端是可以验证客户端是通过通过“基于类别的基于类别的DHCP服务服务”获得的获得的IP地址，地址， 一是：可以通过一是：可以通过DHCP服务器的租期文件查看租期的具体内容服务器的租期文件查看租期的具体内容；lease 79 /租借出去

27、的租借出去的IP地址地址79 starts 5 2014/10/17 17:22:11; ends 5 2014/10/17 23:22:11; cltt 5 2014/10/17 17:32:11; binding state active; next binding state free; rewind binding state free; hardware ethernet 00:0c:29:ea:e7:5e; client-hostname myRHEL7-00; /客户端的主机名为客户端的主机名为myRHEL 7-00;33二是：通过二是：通过查看前面查看前面

28、tcpdump捕获的数据包文件捕获的数据包文件tcpdump.010，以下是相，以下是相应的部分：应的部分：17:21:20.042392 IP (tos 0 x10, ttl 128, id 0, offset 0, flags none, proto UDP (17), length 328) .bootpc 55.bootps: udp sum ok BOOTP/DHCP, Request from 00:0c:29:ea:e7:5e (oui Unknown), length 300, xid 0 x9c2d8d5c, Flags none (0

29、 x0000) Client-Ethernet-Address 00:0c:29:ea:e7:5e (oui Unknown) Vendor-rfc1048 Extensions Magic Cookie 0 x63825363 DHCP-Message Option 53, length 1: Discover /DHCP第第1个数据包个数据包discover Parameter-Request Option 55, length 13: Subnet-Mask, BR, Time-Zone, Classless-Static-Route Domain-Name, Domain-Name-S

30、erver, Hostname, YD YS, NTP, MTU, Option 119 Default-Gateway CLASS Option 77, length 3: RAS /自定义类别自定义类别RAS343555 配置配置DDNS服务服务551 DDNS服务的概念服务的概念 DDNS（Dynamic DNS） 动态动态DNS更新服务是更新服务是DHCP服务与服务与DNS服服务相结合，实现务相结合，实现动态更新动态更新DNS区域数区域数据库据库文件内容的一项综合服务。文件内容的一项综合服务。 要求必须在ISC开发的BIND 9.0和DHCP 3.0以上版本中才可以实现 36 实现DD

31、NS服务的步骤可以分为3部分： 一是生成动态更新密钥生成动态更新密钥； 二是配置配置DNS服务支持动态更新服务支持动态更新； 三是配置配置DHCP服务支持动态更新服务支持动态更新。下面分别讲述3部分的实现过程。37552 生成动态更新密钥生成动态更新密钥 为了实现为了实现DDNS必须生成一个必须生成一个动态更新密钥动态更新密钥，此密钥作为此密钥作为DHCP与与DNS相互操作的安全凭据。相互操作的安全凭据。 以以root身份在身份在/var/named/dynamic目录下执目录下执行如下命令来生成动态更新密钥。行如下命令来生成动态更新密钥。38#cd /var/named/dynamic#dn

32、ssec-keygen -a HMAC-MD5 -b 128 -n USER mydhcp_updaterKmydhcp_updater.+157+38386 说明：参数参数-a指定加密算法，本例选择的算法是HMAC-MD5； 参数参数-b指定密钥的位数，对于HMAC-MD5密钥来说其值应在1512bit之间； 参数参数-n指定密钥所有者类型，本例选择的是USER类型；本例密钥的名称是mydhcp_updater。39 上述命令在/var/named/dynamic目录下生成了一对密钥文件：# ll Kmydhcp_updater.+157+38386.*-rw- 1 root root 56

33、 10月月 19 18:19 Kmydhcp_updater.+157+38386.key-rw- 1 root root 165 10月月 19 18:19 Kmydhcp_updater.+157+38386.private 查看这两个密钥文件的内容：查看这两个密钥文件的内容：# cat Kmydhcp_updater.+157+38386.key mydhcp_updater. IN KEY 0 3 157 VnuVLuRLAz4nPy5lxXykAA= #cat Kmydhcp_updater.+157+38386.private Private-key-format: v1.3Alg

34、orithm: 157 (HMAC_MD5)Key: VnuVLuRLAz4nPy5lxXykAA=Bits: AAA=Created: 20141019101934Publish: 20141019101934Activate: 20141019101934 修改密钥文件的属主为named，如下：# chown d /var/named/dynamic/Kmydhcp_updater.+157+38386.*4041553 配置配置DNS服务支持动态更新服务支持动态更新 新增加或修改的配置如下：1编辑编辑named.conf文件文件#vi /etc/named.conf/

35、在根域之前在根域之前zone “.”输入输入key mydhcp_updater /定义实现定义实现DDNS时采用的时采用的key algorithm hmac-md5; /指定采用的算法为指定采用的算法为hmac-md5 secret VnuVLuRLAz4nPy5lxXykAA=; /前面通过前面通过dnssec-keygen产生的密钥产生的密钥;422编辑编辑named.rfc1912.zones文件文件修改文件zone “”配置段和zone 1.168.192.配置段后，内容如下：#vi /etc/named.rfc1912.zoneszone IN type

36、master; file slaves/.hosts; /注意区域数据库的存放位置发生了变化 allow-update key mydhcp_updater; ; /设置该区域允许动态更新并指定动态更新时采用的密钥的名为mydhcp_updater。;zone 1.168.192. IN type master; file slaves/.rev; allow-update key mydhcp_updater; ;/设置该区域允许动态更新并指定动态更新时采用的密钥的名为mydhcp_updater。;43 说明：编辑/etc/named.conf文件的目的主要有两点：

37、 一是设置动态更新时采用的密钥动态更新时采用的密钥，该密钥是DHCP与DNS交换信息的关键，因此DHCP服务器配置中也要有相应的密钥服务器配置中也要有相应的密钥； 二是设置哪个区域可以被动态更新。44554 配置配置DHCP服务支持动态更新服务支持动态更新编辑/etc/dhcp/dhcpd.conf文件，使得DHCP具有动态更新DNS的功能。请看如下配置：#vi dhcpd.confddns-update-style interim; /指定动态更新指定动态更新DNS的方法为的方法为interimsubnet netmask option r

38、outers 50; option subnet-mask ; option domain-name ; /分配给客户机的域名后缀 option domain-name-servers ; option time-offset -18000; range dynamic-bootp 50 99;/分配给客户机的地址池 default-lease-time 21600; max-lease-time 43200;45key mydhcp_updater /定义密钥，此处与named.

39、conf中定义的名称、内容要相同 algorithm hmac-md5; /指定采用的算法为HMAC-MD5 secret VnuVLuRLAz4nPy5lxXykAA=; /前面通过dnssec-keygen产生的密钥zone . /定义要更新正向区域 primary ; /指明该区域主DNS服务器的IP地址 key mydhcp_updater; /指明更新时采用的密钥为mydhcp_updaterzone 1.168.192.. /定义要更新反向区域1.168.192.. primary ; /指

40、明该区域主DNS服务器的IP地址 key mydhcp_updater; /指明更新时采用的密钥为mydhcp_updater46555 测试测试DDNS服务服务（1）运行）运行DNS服务服务#service named start（2）运行）运行DHCP服务服务#service dhcpd start（3）启动一台）启动一台DHCP客户端（客户端（Linux DHCP客户端或客户端或Windows DHCP客户端均可）客户端均可）如在Windows下，可执行ipconfig /all命令查看获得的IP地址情况。47（4）在）在DDNS服务器上，查看租期情况服务器上，查看租期情况#more /

41、var/lib/dhcpd/dhcpd.leaseslease 50 /租期 starts 0 2014/10/19 11:12:03; /租期开始时间 ends 0 2014/10/19 23:12:03; /租期结束时间 cltt 0 2014/10/19 11:12:03; binding state active; /当前绑定状态为激活 next binding state free; /下一次绑定状态为任意 rewind binding state free; hardware ethernet 00:0c:29:50:7d:62; /拥有该租期的MAC地址 u

42、id 001000014)Pb;/客户机的标识符 set ddns-rev-name = 92..; /DHCP服务器向DNS服务器发出的请求创建反向资源记录的信息 set ddns-txt = 31802c1c869e70e03a8339ad00ce34b494;/DHCP服务器向DNS服务器发出的请求创建txt类型资源记录的信息 set ddns-fwd-name = winxp-;/DHCP服务器向DNS服务器发出的请求创建正向资源记录的信息 client-hostname winxp-lb01;/客户机的主机名，也被发送到DNS服务器上48

43、（5）在）在DDNS服务器上，查看区域数据库文件的变化服务器上，查看区域数据库文件的变化首先，执行如下命令：# ll /var/named/slaves/-rw-r-r- 1 named named 509 10月月 19 19:26 .hosts-rw-r-r- 1 named named 821 10月月 19 19:12 .hosts.jnl-rw-r-r- 1 named named 449 10月月 19 19:23 .rev-rw-r-r- 1 named named 791 10月月 19 19:12 .rev.jnl49 测试是否已经在DNS服务器动态创建相应的正、反向资源记录

44、，请执行如下命令：# nslookup 50Server:Address:#5392.name = winxp-. winxp-Server:Address:#53Name:winxp-Address: 5050 需要说明的是：需要经过大约15min的时间才能正式写入到区域数据库文件中。 为了及时查看区域数据更新的状况，可以执行如下命令：rootserver3 # rndc freeze rootserver3 # rndc freeze 1.168.192.in-