校园网中DHCP的部署研究

文/朱宝林 沈富可

校园网中DHCP的部署研究

文/朱宝林 沈富可

对于有大量主机的校园网内网，一般采用DHCP动态地址分配方案。本文描述了三种常见的DHCP实施方案，并比较了其优缺点，同时结合校园网的实际情况找出一种最适合的方案。

DHCP冗余备份的实现方式

早期的保障服务器稳定运行方案是配置两台以上的DHCP服务器，保证有一定的冗余度，假如其中的一台DHCP服务器出现故障，另外一台DHCP服务器就会承担分配IP地址的任务，但用户并不会察觉到DHCP服务器的变化。部署另一台服务器来提供不重复的IP地址服务，如果一台服务器出了故障，用户可以从另一台服务器接收地址。在这种方案下，可以设定主次服务器地址范围比80：20或者50：50。DHCP协议有一种内在的冗余格式：如果IP地址租用12天，那么与服务器的连接每6天验证一次。这样，如果服务器出了故障，客户还有至少6天的时间使设备恢复正常，以保证租用不受影响。故障只会影响新部署工作站的IP地址。

这种解决方案使得地址范围增加，并且由于服务器之间没有交流，因此也不能预测从哪一台服务器上指派地址租用。由此引入改进的冗余备份实现方式是：安装一台次服务器指派与原服务器地址范围相同。任何添加或迁移只需从次服务器获得地址。当暂时租用时限过半时，将更新到主服务器。另外，还有一台在主服务器失效时启动的DHCP备用服务器，减少主服务器宕机带来的影响。

采用DHCP冗余备份会存在以下问题：第一，IP地址空间不足。当有一个DHC服务器发生故障时，只有另外一个服务器的地址空间提供服务，但是为了防止IP地址冲突，两个服务器地址池一定不一样，因此另外一个地址空间只能分配给一个网段的一半。第二，主机的连接不能永远提供在线连接，可能会中断后再连接。当有一个DHCP服务器发生故障后，当从此服务器获的客户端的IP地址到期时，它不能得到新的I P地址续用，就会中断连接，重启动DISCOVERY 过程，造成一定时间的网络连接中断。

由此可见，简单的DHCP冗余解决服务器安全运行的问题的代价是付出较多的资源。随着时间的发展，出现的针对服务器运行安全的DHCP故障恢复草案（RFC2131），允许两台或多台服务器指派相同的地址范围，定义了主次服务器之间的交流信号，有效地解决了IP地址浪费的问题。

故障恢复草案

DHCP服务器故障恢复最新草案是相对于方案一的DHCP冗余备份进步，使主服务器和备份服务器之间有了更多的交流。本方案允许两台或多台服务器指派相同的地址范围。主服务器分发租用，次服务器监视主服务器的状态。两台服务器在所有时间彼此共享租用信息。为防止复制IP地址的可能性，次服务器有自己的地址库，以备主服务器失效时使用。主服务器和次服务器使用同步，以保证冗余度。

DHCP故障恢复草案定义了三种类型的服务器到服务器的信号：服务器租用同步信号、操作状态信号及“我回来了”信号来同步地址租用信息，以便任何签约用户能用任一台服务器更新。服务器租用同步信号用于主次服务器间交流主服务器地址池内地址租用状况；操作状态信号，是主次服务器间传送的问候包；“我回来了”信号是在主服务器死机恢复后向接管主服务器分发地址的次服务器发出的信号，用于协调收回地址分发角色。这些信号都以标准DHCP包编码。

冗余DHCP服务器遵循DHCP故障恢复草案，通过服务器租用同步信号彼此交流租用信息。当两台服务器工作正常时，主次服务器间会有连续的信息流用来交流租用信息：当有客户端请求IP地址租用时，由主服务器分发出一个新租约，主服务器发送添加信号到次服务器，当租用期到达更新状态时，租约会有变化，服务器发送刷新信号；当租约期满，服务器收回地址，地址又成为可用的了，服务器发送删除信号。在所有情况下，接收方服务器以肯定或否定的认可信号来响应。这些信号只有在请求DHCP客户处理完毕后才发送给另一台服务器。

除了和主服务器同步维护当前的租用信息数据库外，次服务器通过监视两台服务器的TCP连接来实现来留意主服务器，以便得知何时取代租用的分发。次服务器使用三个标准以确定它和主服务器的连接是否满意：一，必须能建立TCP连接；二，必须接收到主服务器发送的连接信号，并以连接认可响应；三，必须接收到主服务器发出的状态信号，用它来确定自己的操作状态。

当主服务器出故障复活了，想收回次服务器的控制权，只需要向次服务器发送信号，启动三个信号序列：控制请求、控制恢复初始和控制恢复完成。

DHCP负载平衡算法

DHCP负载平衡算法（RFC3074）最初用来支持特定的DHCP失败请求协议的负载平衡优化，后来推广到用来优化多个合作的DHCP服务器。

由于客户机采用UDP广播来联系DHCP 服务器，客户机的DHCPDISCOVER报文可以被多台服务器接收到。所有接收到这条广播的服务器会对客户机做出响应，于是客户机会收到多个服务器发送DHCPOFFER报文，每个响应报文都带有客户配置信息，以及服务器向客户提供的IP地址，由客户端决定选择接受哪一台服务器提供的响应。

在DHCP负载平衡算法中建议了一种实现服务器的负载均衡方法：它让多个合作的服务器使用散列算法，根据服务器端散列存储的客户机MAC 地址，将不同的MAC地址的DHCP请求发送给不同的DHCP服务器，由算法决定哪一个服务器来为客户提供IP地址，而不必在初始设置时作任何信息交换。本方案中，参与服务的服务器都拥有一个SID（可以是服务器的IP地址或者DNS名字），通过散列算法找出响应服务器，直接将客户端的请求报文送达响应服务器，这种一对一的响应协商，减少了客户端选择服务器的步骤，进而提高了DHCP工作效率。

DHCP负载平衡算法能够在现有多个服务器之间实现请求的合理分配，避免服务器处理来自客户端请求的不均衡。为了在主次服务器之间实现负载均衡算法，两个服务器都必须能够决定响应哪些客户端的DHCPDISCOVER，因此要求服务器能够通过客户端的请求报文快速决定是否为此客户端服务。此外，DHCP负载平衡算法还能够配置主次服务器服务客户端数量的百分比，由于客户机请求的随机性难以预测，对短期而言，实际的客户机得到的请求百分比会偏离期望的百分比，但是随着请求次数的增加，服务器的负载百分比就会达到设定值，因此很好地实现了DHCP服务器的负载均衡。随后将使用支持DHCP负载平衡算法和故障恢复草案的CNR7.1来进行部署实验。

比对测试实验

我们准备了两个装有CNR7.1的Linux主机当作拓扑中的服务器，一个交换机和四台客户机。

具体测试过程如下：

第1步，为两个服务器设置IP地址Click DHCP ， then Failover to open the List DHCP Failover Pairs page.创建 。服务器1的地址192.168.27.2；服务器2的地址192.168.27.102，两服务器地址池范围相同：192.168.27.10-192.168.27.100

第 2步，用CNR提供的负载均衡功能配置 DHCP 负载均衡对：CNR提供了配置负载均衡对的功能，需要服务器的地址、登录用户名及密码，设置服务器负载百分比为50：50，在网络连接通畅的情况下，所设置成负载均衡对的服务器之间就可以使用CNR进行交流，从而由CNR经过DHC负载平衡算法，决定将客户端的请求送给哪个DHCP服务器。

客户端PC1和PC4从服务器2（IP地址为：192.168.27.102）获得地址，PC2和PC3从服务器1（IP地址为：192.168.27.2）获得地址，这里可以看到服务器负载百分比正好是50：50和设定值一样，但是由于前面所提到的客户机请求的随机性，DHCP负载平衡算法并不能保证少量客户端请求的正确性，但是这个结果可以证明在使用DHCP负载平衡算法的CNR上进行服务器的负载平衡设置是可行的。

第3步，设置故障转移服务器对，主DHCP服务器地址为Server 1，次服务器为Server 2。当主服务器从网络断开是，通过CNR的，次服务器会收到主服务器宕机消息，快速接管主服务器的角色，为其它主机分配地址。

在主次服务器故障转移中，主服务器宕机后，次服务器（IP地址为：192.168.27.102）能够快速顺利地为环境中的四个客户机分配地址。由此可见，采用负载均衡算法的CNR7.1能够很好地将来自客户端的请求分布到两个或者多个DHCP服务器上，实现了地址分配的负载均衡。

当一个DHCP工作不正常的时候，次服务器能够快速、正确地为所有客户端分配地址，提高了DHCP服务器的工作可靠性。由此可见，故障恢复草案能实现快速的故障转移，减少了校园网络中DHCP服务器非正常停机带来的危害。

由实验结果可以发现故障恢复草案的优点是，它更好地解决了大量IP地址浪费问题。在多个承担相同任务的服务器之间的交流信号的定义，让服务器之间联系更加紧密。主次服务器地址租用的同步，使得次服务器在主服务器出现故障时能够安全快速接管工作，已经分配IP地址的客户机，可以在需要的时候直接续租地址，从而减轻租用新地址带来的网络负担。

DHCP负载平衡算法的优点是能够在多台对等的服务器之间实现自定百分比的负载平衡，可自由设定服务器负载百分比，也保障了校园网中DHCP安全可靠运行。同时使用故障恢复草案和DHCP负载平衡算法，可以最好地保障校园网的DHCP服务器的安全运行。

对于高校来说，下一步的工作要从IPv6下的校园网DHCP分配和无线AP与控制器的快速联系两个方面入手，寻找建立安全、快速的校园网动态地址分配方法。

(作者单位为华东师范大学)