为了提高局域网的管理效率,不少网管员都在自己单位的局域网中架设了DHCP服务器,并利用该服务器自动为终端分配上网地址。尽管DHCP服务器在局域网工作环境中每天为上网用户默默提供服务 ,可是它的作用常常不被人重视,许多人会认为DHCP服务与自己无关,只有网管员才会利用到它;事实上,巧妙的利用好局域网中的DHCP服务器,能够有效提升网络运行稳定性。现在,本文就从实战角度出发,来为各位朋友贡献几则DHCP服务保障局域网稳定运行的案例,希望下面的内容能给大家带来帮助!
一、预防地址抢用现象
在规模比较大的单位的实际网络环境中,往往同时存在着许多小型工作子网,这些小型工作子网可能是一个单位的下属部门网络,里面最多同时拥有十几台终端,这些终端全部使用普通的网络双绞线集中连接到一台交换机或HUB设备上;而且,很多时候这些小型的工作子网中,可能还会存在一台打印服务器,以便为对应工作子网的用户提供网络打印服务。
在类似上面的组网环境中,网管员通常会为规模较小的工作子网中的终端分配一段连续的静态IP地址,同时在上联的防火墙设备或路由器设备上采用NAT技术来实现网络访问目的,不过就是在这样一些规模不大的工作子网中特别容易发生IP地址抢用的故障现象,这种故障发生的原因主要就是某个上网用户在重装系统后由于忘记了以前使用的那个IP地址是多少了,于是就任意设置了一个,或者某用户随意将自己的笔记本电脑带到单位接入网络后,自由为自己的电脑分配了一个IP地址,结果当然可能会引起IP地址抢用现象。发生这种故障现象时,我们往往很难快速找到引起地址抢用故障的终端,一是网络环境比较差,网管员不方便使用专业的监控工具寻找被抢用的IP地址,二是上网用户自己也不是很配合。为了保证网络的稳定运行,我们可以尝试将工作子网中的打印服务器设置成一台DHCP服务器,毕竟打印服务器持续工作的时间最长,能够确保DHCP服务稳定运行。
大家知道,DHCP服务在工作的时候,终端首先以广播方式向网络发送一条DHCP发现消息,DHCP服务器接受到这样的广播消息后,会自动向终端反馈一条消息,这条消息中主要包含终端所在工作子网的IP地址;之后,终端会自动判断消息的准确性,同时会再向DHCP服务器发出上网连接请求消息,这则消息中包含的内容主要有IP地址信息,网络掩码信息、默认网关地址信息、域名服务器信息等等。随后,DHCP服务器会根据终端提出的请求,从DHCP服务地址池中任意挑选一个处于空闲状态的IP地址,同时将它自动分配给目标终端,终端在得到正确的IP地址后,它就能利用该地址访问局域网了,DHCP服务器会将该IP地址默认租用给这个终端使用8天;倘若DHCP服务器无法在地址池中选到空闲的IP地址租用给目标终端时,那么客户端就无法进行TCP/IP初始化操作,自然它也就不能正常访问局域网了。
因为DHCP服务器可以将一定范围内处于空闲状态的IP地址自动分配给终端使用,如此一来每台终端都能确保得到唯一的IP地址,那样的话IP地址抢用现象就能得到有效预防。在具体实现的时候,我们可以把局域网中某个规模不大的工作子网地址段配置到DHCP服务器的特定作用域上,这样就能实现DHCP服务器同时为局域网中多个工作子网服务的目的,下面就是具体的实现步骤:
首先检查打印服务器所在的系统是否启用了DHCP服务功能,要是该功能还没有被启用运行时,我们可以依次单击“开始”/“设置”/“控制面板”命令,通过其后窗口的“添加/删除程序”功能,安装、架设DHCP服务器;
其次打开DHCP服务控制台窗口,在该窗口中我们可以将特定范围的IP地址分配给目标工作子网;比方说,我们要是为目标工作子网分配的IP地址段为10.168.1.22-10.168.1.58,为打印服务器分配的IP地址为10.168.1.26,网络掩码地址分配为255.255.255.0,网关为10.168.1.22,只要用鼠标右键单击DHCP服务器所在主机选项,从弹出的快捷菜单中执行“新建作用域”命令,在其后弹出的创建作用域对话框中,单击“常规”标签,打开如图1所示的标签设置页面,在该页面的起始IP地址位置处输入“10.168.1.22”,在结束IP地址位置处输入“10.168.1.58”;
接着将租约期限、添加排除这两个参数都设置为默认值,当向导窗口提示我们是否“配置DHCP选项”时,我们只要选“否,我想稍后配置这些选项”(如图2所示),如此做的目的主要是排除刚刚配置DHCP服务器时由于对一些术语理解的不清楚,而引起参数配置出现问题;
为了完成网关、DNS等参数的配置任务,我们只要返回到DHCP服务控制台窗口,用鼠标右键单击刚刚创建的作用域选项,从弹出的快捷菜单中执行“配置选项”,打开配置选项对话框,点选其中的“高级”标签,弹出如图3所示的标签设置页面;在这里,我们要重点配置两个选项,一个是“003路由器”选项,通过该选项将目标工作子网的网关地址10.168.1.22分配给终端,另外一个是“006DNS服务器”选项,通过该选项将DNS服务器地址分配给终端;
完成上面的设置操作后,DHCP服务器还不能为目标工作子网提供服务,我们还需要执行服务器“激活”操作,以便启用DHCP服务器的运行状态;要“激活”DHCP服务器时,我们只要在目标作用域上点鼠标右键,从弹出的快捷菜单中执行“激活”命令就可以了。
为了让终端能从DHCP服务器那里获得有效的上网参数,我们还需要对终端进行设置,让其自动获得IP地址;在进行这种设置操作时,依次单击“开始”/“设置”/“网络连接”命令,右击目标本地连接图标,并执行快捷菜单中的“属性”命令,打开目标本地连接属性设置窗口,选中其中的TCP/IP协议选项,再单击“属性”按钮,展开如图4所示的设置对话框,选中这里的“自动获得IP地址”选项,再正确输入DNS服务器地址,最后单击“确定”按钮保存好上述设置操作;
接下来我们在本地终端中进行一下上网测试,看看对应系统能不能从DHCP服务器那里获取到IP地址、网关地址及DNS服务器地址;在进行测试时,我们可以依次单击“开始”/“运行”命令,在弹出的系统运行框中执行“cmd”命令,将系统切换到DOS命令行工作窗口,在命令行提示符下执行“ipconfig /all”命令,看看返回后的结果参数与DHCP服务器中的相关参数是否匹配,如果匹配的话,那就意味着DHCP服务器能够正常为终端提供动态地址服务了;在这个小规模工作子网成功启用了DHCP服务器后,IP地址抢用现象基本上就绝迹了。
二、解决上网不稳故障
当DHCP服务器被成功启用运行后,局域网中一部分终端可以采用自动获取IP地址方式进行上网,另外一部分终端仍然可以采用原来静态IP地址的方式上网,这两种上网方式完全可以和平共处。
不过有一天,笔者遇到了一则奇怪的故障现象,某个用户突然不能正常上网,赶到故障现场进行仔细勘察之后,发现这个故障很常见,更改故障终端的上网地址后,就能暂时通一会,但是一会又不通了,很明显这可能是局域网中存在ARP地址欺骗病毒。然而,当笔者尝试在故障终端中执行“arp –a”字符串命令时,却又不能发现感染ARP地址欺骗病毒的具体终端;于是,笔者想从Internet网络中下载安装ARP防火墙程序或360安全卫士软件,可是这个时候故障客户端网络连接不正常啊。在毫无头绪的情况下,笔者查看了该故障终端的网络配置参数,发现它使用的是静态IP地址,难怪ARP地址欺骗病毒专门“欺骗”它;这时,笔者突然想起来局域网中安装、架设了DHCP服务器,为什么不用它来为故障终端提供地址服务呢?想到做到,笔者立即打开故障终端的本地连接属性设置窗口,点选TCP/IP协议选项,单击“属性”按钮,进入网络参数配置对话框,选中“自动获得IP地址”选项,再单击“确定”按钮,结果发现故障终端竟然可以顺利上网访问了,而且再也没有发生网络连接不稳定的故障现象了。
三、控制恶意接入问题
在局域网中,一些感染了网络病毒的终端,一旦偷偷使用了合法上网参数后,它就能顺利地连接到局域网中,如此一来整个局域网都可能感染到网络病毒。为了控制恶意网络连接,我们可以对DHCP服务器中的合法上网参数进行绑定操作,禁止普通终端在盗用了合法用户上网参数的情况下,也无法自由连接到局域网中,下面就是具体的实现方法:
首先登录进入合法用户的终端,依次单击“打开”/“运行”命令,打开对应系统的运行对话框,在其中输入“ipconfig /all”字符串命令,单击回车键后,获得并记下该系统的IP地址和MAC地址;
其次以管理员权限登录DHCP服务器所在主机系统,打开该系统的“控制面板”窗口,双击该窗口中的“管理工具”图标,再从管理工具列表中双击“DHCP”图标,打开DHCP控制台界面,展开指定作用域节点,选中目标节点下面的“保留”选项,同时用鼠标右键单击该选项,再点选右键菜单中的“新建保留”命令,弹出如图5所示的设置窗口;
下面在这里的“保留名称”位置处输入好对应选项的名称,在“IP地址”位置处输入合法终端使用的IP地址,在“MAC地址”位置处输入网卡MAC地址,再将“支持类型”参数选择为“两者”选项,最后添加好上述设置记录,这么一来合法终端的上网参数就被成功绑定在DHCP服务器中了。日后,即使有恶意用户采用手工更改的方式,强行使用合法终端的上网参数,它也不能顺畅地接入到局域网中去,那么局域网感染病毒的机率就大大下降了。