1、DHCP服務器架設總結第一部份:DHCP概念介紹第二部份:DHCP工作原理第三部份:DHCP安裝第四部份:DHCP參數設定第五部份:DHCP啟動第六部份:DHCP安全相關第七部份:DHCP應用第八部份:DHCP客戶端命令詳解第九部份:範例第十部份:常見問題解答DHCP概念介紹 HYPERLINK /class/dhcp/ DHCP（Dynamicdanmk Host Configuration Protocol，動態主機配置 HYPERLINK / 協議），是從BOOTP（Bootstrap Protocol自舉協議）協議發展而來的，是IETF為實現IP的自動配置而設計的 HYPERLINK

2、/ 協議，它可以為客戶機自動分配IP地址、子網掩碼以及缺省 HYPERLINK /list/b/0474_1.shtml o 網關 t _blank 網關、 HYPERLINK /class/dns/ DNS HYPERLINK / o 服務器 t _blank 服務器的IP地址等 HYPERLINK /class/tcpandip/ TCP/IP參數。RFC 2131中進行定義。 HYPERLINK /class/dhcp/ DHCP HYPERLINK / 協議是基于 HYPERLINK /class/udp/ UDP層之上的應用。(DHCP和BOOTP相同點與區別相同點:2者服務端的端口

3、號都為67,客戶端端口號都為68區別：應用區別；BOOTP該協議主要用于有無盤工作站的局域網，DHCP除了具有他的應用,也應用到windows服務器和路由器中原理區別:BOOTP須事先獲得客戶端的硬件地址，而且，與 IP 的對應是靜態的，而DHCP是可以動態更新的)DHCP SERVER是在一個特定的網路中管理DHCP標準的一臺電腦。 HYPERLINK /view/1315093.htm DHCP伺服器的職責是當工作站登錄進來時分配IP位址，並且確保分配給每個工作站的IP位址不同，DHCP伺服器極大地簡化了以前需要用手工來完成的一些 HYPERLINK /view/325702.htm 網路

4、管理任務。DHCP工作原理單個網段DHCP客戶端獲取IP地址的工作原理DHCP客戶端通過和DHCP服務器的交互通訊以獲得IP地址租約。為了從DHCP服務器獲得一個IP地址，在標準情況下DHCP客戶端和DHCP服務器之間會進行四次通訊。如下圖:DHCP客戶端發送IP租用請求（DHCPDISCOVER租用請求報文）。當客戶端首次接入網絡、初始化TCP/IP連接。比如：主機系統啟動、新安裝了網卡以及啟用禁用的網絡連接時都會初始化TCP/IP連接。由于客戶端此時沒有IP地址。同時也不知道DHCP服務器的IP地址，因此會通過廣播發送一個DHCPDISCOVER消息，請求租用IP地址等參數。DHCPDIS

5、COVER消息中包含源IP地址（）、目的IP地址（55，廣播地址）、源端口號（UDP68客戶端用的）、目的端口號（UDP67服務端用的）以及DHCP客戶端的硬件地址和主機名（DHCP客戶端的標識）等信息。DHCP服務器提供IP地址（DHCPOFFER租用選擇報文）。網絡中所有收到客戶端發出的DHCPDISCOVER消息的合法DHCP服務器都會通過廣播發送一個DHCPOFFER，為客戶端提供IP地址等相關參數。DHCPOFFER消息中包含源IP地址（DHCP服務器IP地址）、目的IP地址（55，客戶端此時沒有IP地址）、源端口號（UDP67）、目的端口號（UDP68）、提供的IP地址和子網掩碼、

6、IP地址的租用時間、服務器標識（通常為服務器的IP地址）、以及DHCP客戶端的硬件地址和主機名等信息。在DHCP客戶端發出DHCPDISCOVER消息后，如果等待1S未收到任何DHCP服務器發出的DHCPOFFER，客戶機會分別以2S、4S、8S、16S的時間間隔重新廣播發送4次相同的DHCPDISCOVER消息。如果此時仍然沒有收到DHCPOFFER，則基于客戶端的操作系統不同，有以下3種情況：基于WINDOWS 2000的客戶端將會采用自動專用IP地址暫時作為自己的IP地址，仍可以與其它采用自動專用IP地址的主機進行臨時的通信。基于WINDOWS XP/WINDOWS SERVER 200

7、3/windows7等的客戶端它從微軟保留的B 類網段 中挑選一個 IP 地址作為自己的 IP 地址，子網掩碼為 ，所挑選的地址由DHCP客戶機利用ARP 廣播來確定自己所挑選的 IP 地址是否已被網絡上的其它設備使用，如果該 IP 地址已被使用，那么客戶機會再挑選另一個IP地址重新進行測試，而且最多可以重試十個IP 地址，直到成功獲取配置。在此之后，客戶機會在后臺繼續每隔 5 分鐘嘗試與DHCP服務器進行通信，一旦與服務器取得聯絡，則客戶機放棄自動設置的 IP 地址，而使用服務器分配的 IP 地址和其它配制信息。）基于其它操作系統的客戶端將無法TCP/IP網絡連接，無法進行正常網絡通信。但無

8、論出現上述哪種情況，DHCP客戶端都會每隔五分鐘再次廣播發送DHCPDISCOVER消息，同樣，無論出現上述哪種情況，都說明DHCP末正常工作。DHCP客戶端進行IP租用選擇（DHCPREQUEST租用選擇報文），。由于DHCP客戶端用于IP租用請求的DHCPDISCOVER消息是通過廣播發出的。而網絡中可能存在不止一臺的DHCP服務器，因此所有合法的DHCP服務器在收到請求后都會廣播發出自己的DHCPOFFER消息，為客戶端提供IP地址。客戶端收到后會選擇第一個收到 的DHCPOFFER中提供的IP地址，然后廣播發送一個DHCPREQUEST消息，告知自己所選擇的IP地址，并等待被選擇服務器

9、發來的用于確認的DHCPACK消息。DHCPREQUEST消息中包含源IP地址（，客戶端此時沒有IP地址）、目的IP地址（55，廣播地址）、源端口號（UDP68）、目的端口號（UDP67）、選擇的IP地址和提供該地址的服務器標識符以及DHCP客戶端的硬件地址和主機名等信息。DHCP服務器進行IP租用確認（DHCPACK確認報文）。所有曾經發出的DHCPOFFER消息的DHCP服務器都將收到由DHCP客戶端發出的DHCPREQUEST消息。那些未被選擇的DHCP服務器將收回它們曾提供的IP地址；而被選擇的DHCP服務器則會通過廣播發送一個DHCPACK消息，確認接受客戶端的選擇，正式告知客戶端可

10、以使用其所提供的IP地址。DHCPACK包含源IP地址（被選擇DHCP服務器本身的地址）、目的IP地址（55，廣播地址）、源端口號（UDP67）、目的端口號（UDP68）、DHCP服務器提供的IP地址和其它相關TCP/IP參數、提供地址租用的服務器標識符，以及DHCP客戶端的硬件地址和主機名等等。最後：DHCP客戶端收到服務器發出的DHCPACK消息后，會將消息中提供的IP地址和其它相關TCP/IP參數與自己的網卡綁定。開始網絡中通信。DHCP跨網段分配IP地址原理DHCP服務器如何可以確定并準確地將作用域網段的地址分給PC2而把作用域網段的地址分給PC3呢？以子網2中的主機PC2為例，DHC

11、P 客戶機PC2在子網2 上廣播 DHCP/BOOTP discover 消息 (DHCPDISCOVER),廣播是將消息以 UDP (User Datagram Protocol用戶數據報協議)數據包的形式通過 67 端口發出，當中繼代理（relay agent）主機A接收到這個消息后,它檢查包含在這個消息報頭中的網關IP 地址，如果網關IP 地址為 ,則用 relay agent主機A的接口二的IP地址替換它，然后將其轉發到 DHCP 服務器所在的子網1上（主機A還擔任路由器功能）。當在子網1中的 DHCP服務器收到這個消息后，它開始檢查消息中的網關IP地址，然后判斷該網關地址是否包含在D

12、HCP的某一個作用域范圍內，從而決定它是否可以使用相應的作用域的地址來提供IP地址租約，當然，本例中DHCP服務器將會從作用域054選取一個地址來配置PC2；也就是說DHCP客戶機的請求地址消息中的網關IP地址 (GIADDR) 將是DHCP服務器用來確定從那個DHCP 范圍中挑選IP地址來配置客戶機的依據DHCP客戶端持續在線時進行IP租約更新原理獲得IP租約后，DHCP客戶端必須定期更新租約，否則當租約到期時，將不能再使用此IP地址。每當租用時間到達租約的50%到87.5%時，客戶端就必須發出DHCPREQUEST消息，向DHCP服務器請求更新租約。當租約使用50%時，DHCP客戶端將以單

13、播方式直接向為其提供IP地址的DHCP服務器發送DHCPREQUEST消息，如果客戶端接收到該服務器回應的DHCPACK消息報，則客戶端就根據DHCPACK消息中所提供的新的租期以及其它已經更新的TCP/IP參數，更新自己的配置，IP租用更新完成；如果沒收到該服務器的回應，則DHCP客戶端繼續使用現有的IP地址，因為當前租約還有50%。如果在當前租約已使用50%時未能成功更新，則客戶端將在當前租約已使用87.5%時以廣播方式發送DHCPREQUEST消息，如果仍未收到服務器回應，則客戶端他可以繼續使用現有的IP地址。如果直到當前租約到期仍未能得到DHCP服務器回應而成功更新IP租約，則DHCP

14、客戶端將以廣播方式發送DHCPDISCOVER消息，重新開始4個階段的IP租用過程。DHCP客戶端重新啟動時進行IP租約更新 注意：如果將DHCP客戶端網卡禁用再重新啟用，則將不會進行IP租約更新，而是直接廣播發送DHCPDISCOVER消息，重新開始IP租用過程。DHCP安裝首先查看linux下是否有安裝1.第一種方法:輸入命令:rpm ql dhcp 則會有提示是否安裝dhcp server 服務2.第二章方法:rpm qa | grep dhcp 該命令意思就是將rpm qa 的輸出結果中截取dhcp這個關鍵字.-q：僅查詢，後面接的軟體名稱是否有安裝.rpm -qa 意思(常用)列出所

15、有的，已經安裝在本機 Linux 系統上面的所有軟體名稱RPM 在查詢的時候，其實查詢的地方是在 /var/lib/rpm/ 這個目錄下的資料庫檔案rpm ql意思(常用)列出該軟體所有的檔案與目錄所在完整檔名 (list)-qi ：列出該軟體的詳細資訊 (information)，包含開發商、版本與說明等；-qc ：列出該軟體的所有設定檔 (找出在 /etc/ 底下的檔名而已)(常用)-qd ：列出該軟體的所有說明檔 (找出與 man 有關的檔案而已)-qR ：列出與該軟體有關的相依軟體所含的檔案 (Required 的意思)-qf ：由後面接的檔案名稱，找出該檔案屬於哪一個已安裝的軟體；查

16、詢某個 RPM 檔案內含有的資訊找到安裝包安裝(共2種安裝方式)第一種方式.從光盤安裝.掛載光盤掛載光盤有以下2種方式:1.mount /dev/cdrom 意思是掛載光盤內容.他默認的掛載點為/media/cdrom下面,然後直接到/media/cdrom下面可以查看光盤內容.取消掛載命令:umount /dev/cdrom2.mount /dev/cdrom /mnt/cdrom 意思是掛載光盤內容,掛載點路徑在/mnt/cdrom下面.注意:要自行先在/mnt下面建立cdrom目錄 否則無法掛載.取消掛載命令:umount /mnt/cdrom或彈出光盤cd;eject(備註:用完光盤，

17、如果無法取消掛載,則可能是你在光盤的目錄下正使用，或者是你用ls al查看光盤內容,沒完全查看完,就直接用ctrl +z 停止.則是無法用umount取消掛載的.此事你應該用kill 命令殺掉進程或者用fuser ku /mnt/cdrom(這裡注意用fuser時,後面接的是你掛載的路徑) 殺掉進程后,然後用umount /mnt/cdrom溫馨提示:如果此方法還不行,請用exit退出帳號在進去重複操作即可正常取消光盤掛載)(小提示:mount t iso9660 /dev/cdrom /mnt/cdrom 是可以指定掛載光盤的文件系統.（如果是mount -t auto /dev/cdrom

18、 /mnt/cdrom 則自動選擇一個文件系統）這是光盤所使用的一種文件系統（為國際標準格式），與swap，vfat，NFS一樣被linux支持。它可以提供對光盤的讀寫，也支持對光盤的刻錄。 ISO9660標準內有三層透通性(Interchange)，只有第一層支援大多數的操作系統，第一層要求每個檔案的資料必須是連續不中斷的方式存放於CD上，每個檔案內容不可分開存放或與其他檔案交錯，檔名必須符合英文 A 到 Z，數字 0 到 9 和底線_所組成的字集，而且格式必須依照DOS的規定，8 個字元的主檔名與 3 個字元的副檔名。第二層則是可以采用任何的字元作為檔名，包括使用超過 8+3 個字的長檔名

19、，但是檔案的內容亦不可中斷，交錯或是分開存放。在第叁層則是不受任何的限制。在所有的叁層規定中，ISO9660檔案系統規定均不可使用超過8層的目錄結構。)查找安裝盤DHCP的RPM安裝包并安裝.首先將RHELU2的第四張光盤放入光驅,在掛載點/RedHat/RPMS/路徑下找到dhcp-3.0.1-12_EL.i386.rpm (DHCP服務器安裝包)dhclient -3.0p12-6.14.i386.rpm(DHCP客戶端安裝包這用不到)dhcp-devel-3.0.1-12_EL.i386.rpm （包含DHCP服務器編譯安裝時頭文件，這用不到）(注意:dhcp-devel-3.0.1-1

20、2_EL.i386.rpm，這個包中包含了 dhcp 服務編譯時所需要頭文件信息，若其他軟件編譯的時候需要加入 dhcp 服務的支持，則需要 用到這個dhcp 服務的頭文件)然後輸入命令rpmivh 絕對路徑/dhcp-3.0.1-12_EL.i386.rpm例如我的包放在/rpmserver/dhcp下則執行rpm ivh /rpmserver/dhcp/dhcp-3.0.1-12_EL.i386.rpm-i ：install 的意思-v ：察看更細部的安裝資訊畫面-h ：以安裝資訊列顯示安裝進度從yum安裝（暫不介紹很簡單）red hat企業版若沒有授權（要收費），是不能使用yum的DHC

21、P參數設定主要設定文檔介紹/etc/dhcpd.conf #dhcp的主配置文件(其他發行版可能路徑有所不同)/usr/share/doc/dhcp-3.x/dhcpd.conf.sample(DHCP的主配置文件樣板文件,如果能自行設定，是完全不需要此樣板文件)/etc/rc.d/init.d/dhcpd#dhcp啟動腳本/etc/rc.d/init.d/dhcrelay # dhcp中繼啟動腳本/etc/sysconfig/dhcpd#指定那塊網卡提供DHCP服務(如果未指定則默認給所有網卡提供DHCP功能)/etc/sysconfig/dhcrelay#dhcp中繼的配置文件/var/l

22、ib/dhcpd/dhcpd.leases#dhcp租約文件，是保持dhcp的租約的數據庫/etc/sysconfig/network-scripts/ifcfg-eth0 #網卡配置文件(DHCP所在服務器需要設定一個固定IP)etc/sysctl.conf 設定dhcp中繼代理的路由功能各個設定檔參數配置介紹 (此以redhat4ua2版本，其他linux發行版的設定檔存放位置會有所不同)dhcpd.conf (DHCP主配置文件)rpm ql dhcp查詢dhcpd.conf.sample(sample樣本) 這個dhcp主要設定檔的範例檔案的路徑,然後執行命令: 默認從/usr/sha

23、re/doc/dhcp-3.x/dhcpd.conf.sample拷貝cp 絕對路徑/dhcpd.conf.sample /etc/dhcpd.conf意思就是:複製絕對路徑下面的dhcpd.conf.sample的檔案到/etc下，并把複製好的檔案名稱修改為dhcpd.conf(如果你對dhcp特別熟練，可以自行建立dhcpd.conf文件,用範例的文件,比較容易設定好)dhcp.conf從設定範圍看可以分為全局設置和局部設置二部分，基中大部分全局設置 HYPERLINK javascript:; 選項都可以在局部設置中重新 HYPERLINK javascript:; 定義。只能用於全局設

24、置的參數ddnsupdatestyle interim(dhcp-dns互動更新) 定義所支援的dns動態更新類型定義所支持的DHCP動態更新類型，可供選擇有none(不支持), interim(交互式), ad-hoc(特殊的)。必須在全局設置中定義，通常可設為none。ignore clientupdates（常用）忽略客戶機更新dns記錄default-lease-time 21600;（也可用於局部設置）6小時 默認租約期限6小時max-lease-time 43200;（也可用於局部設置）12小時 最大租約期限12小時局部設置: subnet netmask 定義子網段， optio

25、n routers ; 定義默認網關(路由)地址 option subnet-mask ; 定義子網掩碼，與subnet語句有一定重復，可以省略。option nis-domain ; 定義nis域名 option domain-name ; 定義domain域名(為客戶端指定DNS名字) option domain-name-servers ; 定義DNS服務器地址Rangedynamic-bootp 0 54; 可以用range定義不同的子網范圍，以滿足不同主機的管理要求，本例中將20以前的ip全部保留。只分配20以后的地址 default-lease-time 21600; max-le

26、ase-time 43200; 可在這里靈活設定不同子網的租約時間。 host DHCP hardware ethernet 12:34:56:78:AB:CD; fixed-address ; 上述四行定義固定ip，主機名為DHCP，通過mac地址可以將其ip固定下來。dhcpd.conf從設定的主要選項參數看dhcpd.conf通常包括三部分：parametersprmitz(參數)、declarationsdeklrein(聲明) 、option(選項)。(介紹前先介紹檔案中幾個符號# 後面跟的是註釋語句.括號裏面設定的內容是局部有效.沒有用括號括起來的是全局生效.; 除了括號那一行,其

27、餘選項參數必須以;結尾)declarations (聲明) 用于定義網絡布局、提供給客戶端的ip地址等 主要設定如下:shared-network 名稱 .定義超級作用域 範例:當一個網段的作用域可分配地址使用完時，又不能立即在現有網段上劃分一個VLAN，則可以暫時使用超級作用域.例如:假如公司的一個B類子網可分配的IP地址範圍為-53 netmask 為。如果IP地址全部用完。此時我們無需改動網絡，只需要用超級作用域即可解決該子網地址分配不夠的情況。我們再在該子網中增加一個作用域,然後用shared-network 括起來，這樣該子網就可以得到2個作用域的地址。示例: Shared-netw

28、ork testSubnet netmask Option routers Option netmask Range dynamic-bootp 53Subnet netmask Option routers Option netmask Range dynamic-bootp 53設定完成后，則當原IP地址範圍為-53的地址全部分配出去后，則開始給這個子網分配-53這段範圍的IP地址。這樣的話，這個子網內就出現2個不同網段的IP地址，此時則就需要設定為網關配置多個IP地址，并在每個作用域中設置對應的網關IP地址，就可以使客戶機通過網關與其他不在同一網段的計算機進行通信，如下圖，eth0為網關

29、，為其配置多個IP地址，通過設置虛擬網卡來實現：Ifconfig網卡名：虛擬網卡ID ip地址 netmask子網掩碼我們查看一下設置后的效果Ifconfig eth0:0 0 netmask 只是暫時設定虛擬網卡地址，如果使用 service network restart命令后 則虛擬網卡地址丟失，這樣我們就必須設定一個永久的虛擬網卡地址。按一下操作Cp /etc/sysconfig/network-scripts/ifcfg-eth0/etc/sysconfig/network-scripts/ifcfg-eth0:0 然後編輯Ifcfg-eth0:0 設定IPADDR地址，再設定DEV

30、ICE=eth0:0 然後再用ifconfig查看就可以看到這個虛擬網卡的地址了。將dhcp server 開啟路由轉發功能。Vi /etc/sysctl.confNet.ip4.ip_forward = 1Sysctl p 生效。這樣分配的2個不同作用域的電腦就可以互相訪問了。subnet 網絡號 netmask 子網掩碼 .定義作用域（或ip子網） range 起始ip地址 終止ip地址定義作用域（或ip子網）地址範圍group 為一組參數(優先於subnet)提供聲明group參數聲明例如:給多個DHCP綁定的電腦設定同一組參數，方便管理，以後修改參數修改一項，下面全部修改。host 主

31、機名 .給一個特定的計算機指定一個ip地址.範例:host hchp1606dn hardware ethernet f4:ce:46:43:69:e0; 指定計算機本身MAC地址 fixed-address ; 指定的IP地址 allow unknown-cl HYPERLINK /office/ie/ ients ；deny unknown-client是否動態分配IP給未知的使用者（可用於全局設置）allow bootp; （是否響應激活查詢。也就是支持boottp協議不支持改為deny bootp）allow booting;(是否響應使用者查詢，也就是支持PXE啟動)next-ser

32、ver; 這個next-server 語句用來指定初始啟動文件存放的主機地址 (filename指定的文件)。Server-name 是一個數字的IP地址或者是域名。如果沒有next-server參數傳送給客戶端，就使用DHCP服務器的地址。(是否響應使用者查filename filename;這個filename語句可以用來指定客戶端啟動要載入的初始啟動文件（該文件必須符合PXE規範）（以上4個參數用在網絡啟動,平時不需要）PXE規範類的啟動文件)local-port語句local-port port;這個語句使DHCP 服務器在指定的UDP端口偵聽DHCP 請求，而不一定是默認的67。pa

33、rameters參數 控制dhcp服務器行為的值 dDHCPupdatestyle 類型 定義所支持的DHCP動態更新類型（ad-hoc（特殊的-動態升級）、interim（過渡性dhcp-DHCP互動更新）、none不支持） 只用全局 allow/ignore clientupdates允許/忽略客戶機更新DHCP記錄 只用全局 defaultleasetime 數字指定默認的租約期限（秒） maxleasetime 數字指定最大租約期限hardware 硬件類型 MAC地址指定網卡接口類型和mac地址servername 主機名通知客戶機DHCP服務器的主 機名稱。get-lease-ho

34、stnames flag檢查客戶端使用的IP地址authoritative（常用）拒絕不正確的IP位址的要求(authoritative指示此DHCP服務器應該回應DHCPNAK信息。如果沒有做這些，客戶端在改變子網后就不能得到正確的IP地址，除非它們舊的租約已經到期，這可能需要相當長的時間)Authoritative語句 authoritative; not authoritative; 對于一個指定的網段配置信息，DHCP 服務器通常不知道自己是否是合法和權威的。因此，如果一個天真的用戶安裝了DHCP服務器，也不知道如何配置它，它就不會為收到的DHCP請求發送假的DHCPNAK信息。 網絡

35、管理員為他們的網絡設置權威的DHCP服務器，需要在配置文件的頂層添加authoritative語句，來指示此DHCP服務器應該回應DHCPNAK信息。如果沒有做這些，客戶端在改變子網后就不能得到正確的IP地址，除非它們舊的租約已經到期，這可能需要相當長的時間。 通常，在配置文件的頂部標明authoritative應該是足夠的，但是如果一個DHCP服務器知道它在一些子網中是權威的服務器，而在另一些子網中不是，它就需要在需要的網段聲明自己是權威的。 注意，這個權威的概念更多的存在于物理網絡中，不管是多子網環境還是單子網環境。指定一個服務器在某個多子網環境中的單個子網中是權威的而在別的子網中不是權威

36、的是沒有意義的。fixedaddress ip地址分配給客戶端一個固定的ip地址option選項配置dhcp客戶端的可選參數。全部用option關鍵字作為開頭 功能 subnetmask 子網掩碼為客戶端指定子網掩碼 domainname “域名”為客戶端指定DNS域名 domainnameserver ip地址 為客戶端指定DNS服務器的ip地址 hostname“主機名” 為客戶端指定主機名 routers ip地址 為客戶端指定默認網關 broadcastaddress 廣播地址 為客戶端指定廣播地址 netbiosnameservers ip地址為客戶端指定wins服務器的ip地址 n

37、etbiosnodetype 節點類型為客戶端指定節點類型 ntpserver ip地址 為客戶端指定網絡時間服務器的ip地址 nisservers ip地址 為客戶端指定nis域服務器的ip地址 nisdomain “名稱” 為客戶端指定所屬的nis域的名稱 timeoffset 偏移差 為客戶端指定與格林尼治時間的偏移差 以上選項即可以用于全局也可以用于局部/etc/sysconfig/dhcpd 配置DHCP服務器使用哪一張網卡(CentOS 5.x以後的新版本已不重要)dhcpd這個執行檔設定他監聽的網絡介面卡，而不是針對所有的網絡介面卡都監聽,例如:我們現在的設定是 /24 這個在

38、eth1 上頭的網域，假設你還有一個介面 eth2 在 /24 好了， 那萬一你的 DHCP 同時監聽兩塊介面的話，想一想，如果 /24 網域的用戶端發送出 dhcp 封包的要求時， 他會取得什麼 IP ？當然是 192.168.100.X ！所以囉，我們就得要針對 dhcpd 這個執行檔設定他監聽的介面， 而不是針對所有的介面都監聽啊！你想使用其他的網路裝置時,你就需要在這裡特別來指定DHCPDARGS=“eth0”不過這個動作在 CentOS 5.x 以後的版本上面已經不需要了，因為新版本的 dhcp 會主動的分析伺服器的網段與實際的 dhcpd.conf 設定， 如果兩者無法吻合，就會有

39、錯誤提示，人性化多了/etc/sysconfig/dhcrelay DHCP中繼代理配置文件的設定Dhcrelay(開啟中繼代理功能)vim /etc/sysconfig/dhcrelay 執行命令后后顯示#command line options hereInterfaces=“eth0 eth1 eth2”監聽哪幾個網卡Dhcpservers=”ip”輸入DHCP服務器IP地址臨時開啟方法:/usr/sbin/dhcrelay -i eth0 -i eth1 -i eth2 （填入dhcp服務器地址），重啟dhcrelay服務就會失效。/proc/sys/net/ipv4/ip_forwa

40、rd 將這臺中繼的計算機的路由功轉發能開啟。echo “1” /proc/sys/net/ipv4/ip_forward或者直接vi編輯輸入1.默認是0不開啟(直接生效)。或編輯vi /etc/sysctl.conf 修改一行就可以了。net.ipv4.ip_forward =1 /默認為0，是關閉的sysctl -p /使配置生效。在這裡生效后的效果其實就是修改上面的/proc/sys/net/ipv4/ip_forward注意:設置DHCP服務器必須和中繼代理服務器在同一個網段中（路由器上可以直接開啟中繼代理，則不需要再設置上述提到的中繼代理文件:DHCP客戶使用IP廣播來尋找同一網段上的

41、DHCP服務器。當服務器和客戶段處在不同網段，即被路由器分割開來時，路由器是不會轉發這樣廣播包的。因此可能需要在每個網段上設置一個DHCP服務器，雖然DHCP只消耗很小的一部分資源的，但多個DHCP服務器，畢竟要帶來管理上的不方便。為了讓路由器可以幫助轉發廣播請求數據包，使用ip help-address命令,開啟路由器上的中繼代理。通過使用該命令，路由器可以配置為接受廣播請求，然后將其以單播方式轉發個指定IP地址。缺省情況下ip help-address轉發以下8種UDP服務：1.Time 2.Tacacs 3.DNS 4.BOOTP/DHCP服務器5. BOOTP/DHCP客戶 6.TFT

42、P 7.NetBios名稱服務 8. NetBios數據報服務)網卡設定/sysconfig/network-scripts/ifcfg-eth0DEVICE=eth0 （網卡名稱）ONBOOT=yes (開機啟動這塊網卡)IPADDR=172.16.8.x （你要設定的網卡IP地址）NETWORK=（網絡地址）NETMASK=(子網掩碼)BOOTPROTO=static （靜態，不需要DHCP分配）如果是DHCP客戶端的linux ,這裡需要設定為BOOTPROTO=dhcp 由DHCP服務器分配地址。HWADDR=xx:xx:xx:xx:xx:xx (網卡的MAC地址)/usr/sbin/

43、dhcpd啟動整個 dhcp daemon(動態主機配置協議的守護進程) 的執行檔啊！其實最詳細的執行方式應該要使用 man dhcpd 來查閱一番的呢！_/etc/rc.d/init.d/dhcpd這個/etc/rc.d/init.d/資料夾下是存放各種服務的管理腳本。故在這裡的dhcpd是DHCP SERVER 系統服務的啟動腳本(啟動DHCP服務腳本/etc/rc.d/init.d/dhcpd restart)/etc/rc.d/init.d/dhcrelayDhcp中繼啟動腳本(啟動Dhcp中繼服務腳本/etc/rc.d/init.d/dhcrelay restart)/var/lib

44、/dhcp/dhcpd.leases(此文件如果沒建立，則無法啟動DHCP服務。)DHCP伺服器端與用戶端租約建立的啟始與到期日就是記錄在這個檔案當中記錄著客戶(client)端IP租用情況.dhcpd.leases是DHCP客戶租約的數據庫文件，默認目錄在/var/lib/dhcpd/，文件包含租約聲明，每次一個租約被獲取、更新或釋放，它的新值就被記錄到文件的的末尾。在DHCPd第一次安裝后，并不會生成這個文件。但的運行需要這個文件，所以可以建立一個空的文件一個典型的文件內容如下：lease 55 #DHCP服務器分配的IP地址#starts 1 2006/08/02 03:02:26;#

45、lease 開始租約時間#ends 1 2006/09/02 09:02:26; # lease 結束租約時間#binding state active;next binding state free;hardware ethernet 00:00:e8:a0:25:86;#客戶機網卡MAC地址#uid 010000350240%206; #用來驗證客戶機的UID標示#lease 開始租約時間和lease 結束租約時間是格林威治標準時間（GMT），不是本地時間/var/log/messages存放著客戶(client)端向dhcp daemon要求IP的封包請求互動過程.cat /var/lo

46、g/message | grep DHCPJul 6 21:52:06 unsvr dhcpd: DHCPDISCOVER from 00:02:b3:af:b2:82 via eth0Jul 6 21:52:06 unsvr dhcpd: DHCPOFFER on 0 to 00:02:b3:af:b2:82 via eth0Jul 6 21:52:08 unsvr dhcpd: DHCPREQUEST for 0 () from 00:02:b3:af:b2:82 via eth0Jul 6 21:52:08 unsvr dhcpd: DHCPACK on 0 to 00:02:b3:af

47、:b2:82 via eth0DHCP服務器啟動方法輸入命令立即啟動的幾種方式service dhcpd start立即啟動dhcp服務器(restart重啟服務,stop停止)/etc/init.d/dhcpd start立即啟動dhcp服務器輸入ntsysv,然後再彈出的對話框中勾選 dhcpd，這樣dhcpserver 可以在current level 開機時啟動.:輸入chkconfig 功能說明：檢查，設置系統的各種服務rootbenjr #chkconfig dhcpd onrootbenjr # chkconfig -list dhcpddhcpd 0:off 1:off 2:o

48、n 3:on 4:on 5:on 6:offdhcpd option interfaceoption-cf config-file指定 config-file 來代替預設 /etc/dhcpd.conf 系統組態檔lf lease-file指定 lease-file 來代替預設的 /var/lib/dhcp/dhcp.lease 日誌可讓 dhcp server 可以在run level 2,3,4,5開機時啟動chkconfig命令主要用來更新（啟動或停止）和查詢系統服務的運行級信息。謹記chkconfig不是立即自動禁止或激活一個服務，它只是簡單的改變了系統各種服務的啟動類型,是在電腦開機

49、啟動還是關機啟動等等,把chkconfig理解為開關，不過這個開關主要是用來設置系統啟動時，各服務在0-6運行級別下的開啟狀態的chkconfig -add-del-list系統服務 或 chkconfig -level 系統服務on/off/reset等級代號:-add 增加所指定的系統服務，讓chkconfig指令得以管理它，并同時在系統啟動的敘述文件內增加相關數據。-del 刪除所指定的系統服務，不再由chkconfig指令管理，并同時在系統啟動的敘述文件內刪除相關數據。-level 指定讀系統服務要在哪一個執行等級中開啟或關畢。等級0表示：表示關機等級1表示：單用戶模式等級2表示：無網

50、絡連接的多用戶命令行模式等級3表示：有網絡連接的多用戶命令行模式等級4表示：不可用等級5表示：帶圖形界面的多用戶模式(即進入視窗模式時)等級6表示：重新啟動需要說明的是，level選項可以指定要查看的運行級而不一定是當前運行級。對于每個運行級，只能有一個啟動腳本或者停止腳本。當切換運行級時，init不會重新啟動已經啟動的服務，也不會再次去停止已經停止的服務。on和off分別指服務被啟動和停止，reset指重置服務的啟動信息，無論有問題的初始化腳本指定了什么。on和off開關，系統默認只對運行級3，4，5有效，但是reset可以對所有運行級有效。使用范例：chkconfig -list #列出所

51、有的系統服務chkconfig -add httpd #增加httpd服務chkconfig -del httpd #刪除httpd服務chkconfig -level httpd 2345 on #設置httpd在運行級別為2、3、4、5的情況下都是on（開啟）的狀態chkconfig -list #列出系統所有的服務啟動情況chkconfig -list mysqld #列出mysqld服務設置情況chkconfig -level 35 mysqld on #設定mysqld在等級3和5為開機運行服務，-level 35表示操作只在等級3和5執行，on表示啟動，off表示關閉chkconf

52、ig mysqld on #設定mysqld在各等級為on，“各等級”包括2、3、4、5等級如何增加一個服務：1.服務腳本必須存放在/etc/ini.d/目錄下；2.chkconfig -add servicename 在chkconfig工具服務列表中增加此服務，此時服務會被在/etc/rc.d/rcN.d中賦予K/S入口了；3.chkconfig -level 35 mysqld on 修改服務的默認啟動等級。DHCP客戶端啟動命令client 端需要使用的程式dhcpcd option interfaceinterface 預設值為eth0option-d 輸出除錯訊息,dhcpcd使用

53、syslog local0.所以必須在/etc/syslog.conf 加入local0.* /var/log/dhcpcd.log ,然後重新啟動 syslog 的service, 下次就可以看到錯誤訊息紀錄至 dhcpcd.log. 關於 syslog可以參考 HYPERLINK http:/benjr.tw/node/138 系統日誌檔-k 釋回IP位址給DHCP-n 重新向DHCP要求IP第五部份:實例假設有兩塊網卡eth0（對內網）和eth1（對外網），現在要對內網設置dhcp服務器，要求為：網段為 /24，且 router 為 ，此外， DHCP 主機的 IP為 6，0 每個使用者

54、預設租約為 3 天，最長為 6 天； 想要分配的地址池為：0-0和00-00，其它的 IP 則保留下來； 靜態主機1， MAC 是 00:40:95:30:43:B4 ，分配的主機名稱為hello1 ，且 IP 為 靜態主機2， MAC 是 00:40:95:30:55:C9 ，分配的主機名稱為hello2 ，且 IP 為 1、# vi /etc/dhcpd.confdDHCP-update-style interim; ignore client-updates; default-lease-time 259200;max-lease-time 518400;option domain-na

55、me“ ;option domain-name-servers 6,0;subnet netmask range 0 0; range 00 00; option broadcast-address 55; option routers ; host hello1 hardware ethernet 00:40:95:30:43:B4; fixed-address ; option broadcast-address 55; option routers ; host hello2 hardware ethernet 00:40:95:30:55:C9; fixed-address ; opt

56、ion broadcast-address 55; option routers ; 2、指定eth0（內網）監聽dhcp服務。# vi /etc/sysconfig/dhcpd DHCPDARGS=eth0“主要應用于在多網絡接口的系統中指定網絡接口啟動DHCP服務。客戶端驗證Window: ipconfig /release釋放IPipconfig /renew獲得IPLinux： netconfig /設置IP為動態獲取service network restart以下 未總結！DHCP安全相關在指定網絡接口啟動DHCP服務器 如果你的Linux系統連接了不止 HYPERLINK /z/

57、Search.e?sp=S%E4%B8%80%E4%B8%AA%E7%BD%91&ch=link 一個網絡界面，但是你只想讓DHCP服務器啟動其中之一，你可以配置DHCP服務器只在那個設備上啟動。在/etc/sysconfig/dhcpd中，把界面的名稱添加到DHCPDARGS的列表中： DHCPDARGS=eth0 或者直接使用命令： Echo“DHCPDARGS=eth0”/etc/sysconfig/dhcpd 這樣對于帶有兩個網卡的 HYPERLINK /z/Search.e?sp=S%E9%98%B2%E7%81%AB%E5%A2%99&ch=link 防火墻機器，更加安全：一個網卡

58、可以被配置成DHCP客戶來從互聯網上 HYPERLINK /z/Search.e?sp=S%E6%A3%80%E7%B4%A2&ch=link 檢索IP地址；另一個網卡可以被用作防火墻之后的 HYPERLINK /z/Search.e?sp=S%E5%86%85%E9%83%A8%E7%BD%91&ch=link 內部網絡的DHCP服務器。僅指定連接到內部網絡的網卡使系統更加安全，因為用戶無法通過互聯網來連接它的守護進程。 讓DHCP服務器在監牢 HYPERLINK /z/Search.e?sp=S%E4%B8%AD%E8%BF%90&ch=link 中運行 所謂“監牢”就是指通過chroot

59、(CHROOT就是Change Root，也就是改變程式執行時所參考的根目錄位置)機制來更改某個軟件運行時所能看到的根目錄，即將某軟件運行限制在指定目錄中，保證該軟件只能對該目錄及其 HYPERLINK /z/Search.e?sp=S%E5%AD%90%E7%9B%AE&ch=link 子目錄的文件有所動作，從而保證整個服務器的安全。這樣即使出現被破壞或被侵入，所受的損傷也較小。 將軟件chroot化的一個問題是該軟件運行時需要的所有程序、配置文件和 HYPERLINK /z/Search.e?sp=S%E5%BA%93%E6%96%87%E4%BB%B6&ch=link 庫文件都必須事先安

60、裝到chroot目錄中，通常稱這個目錄為chrootjail（chroot“監牢”）。如果要在“監牢”中運行dhcpd，而事實上根本看不到 HYPERLINK /z/Search.e?sp=S%E6%96%87%E4%BB%B6%E7%B3%BB%E7%BB%9F&ch=link 文件系統中那個真正的目錄。因此需要事先 HYPERLINK /z/Search.e?sp=S%E5%88%9B%E5%BB%BA%E7%9B%AE%E5%BD%95&ch=link 創建目錄，并將dhcpd復制到其中。同時dhcpd需要幾個庫文件，可以使用ldd（libraryDependencyDisplay縮寫）