本文以Redhat  Linux 9.0 為例，介紹如何建立一個(gè)完整和安全的DHCP 服務(wù)器。

        DHCP是動(dòng)態(tài)主機(jī)配置協(xié)議。用于向計(jì)算機(jī)自動(dòng)提供IP地址,子網(wǎng)掩碼和路由信息。網(wǎng)絡(luò)管理員通常會(huì)分配某個(gè)范圍的IP地址來(lái)分發(fā)給局域網(wǎng)上的客戶(hù)機(jī)。當(dāng)設(shè)備接入這個(gè)局域網(wǎng)時(shí)，它們會(huì)向 DHCP 服務(wù)器請(qǐng)求一個(gè) IP 地址，然后為每個(gè)請(qǐng)求的設(shè)備分配一個(gè)地址。

一、建立DHCP服務(wù)器配置文件

　　可以使用Redhat Linux 9.0自身攜帶rpm包安裝。安裝結(jié)束后, DHCP 端口監(jiān)督程序 dhcpd配置文件是/etc目錄中的名為dhcpd.conf的文件。下面手工建立/etc/dhcpd.conf文件。/etc/dhcpd.conf通常包括三部分：parameters、declarations 、option。

1.DHCP配置文件中的parameters（參數(shù)）：表明如何執(zhí)行任務(wù)，是否要執(zhí)行任務(wù)，或?qū)⒛男┚W(wǎng)絡(luò)配置選項(xiàng)發(fā)送給客戶(hù)。主要內(nèi)容見(jiàn)表1

參數(shù)解釋
ddns-update-style 配置DHCP-DNS 互動(dòng)更新模式。
default-lease-time 指定確省租賃時(shí)間的長(zhǎng)度，單位是秒。
max-lease-time 指定最大租賃時(shí)間長(zhǎng)度，單位是秒。
hardware 指定網(wǎng)卡接口類(lèi)型和MAC地址。
server-name 通知DHCP客戶(hù)服務(wù)器名稱(chēng)。
get-lease-hostnames flag 檢查客戶(hù)端使用的IP地址。
fixed-address ip 分配給客戶(hù)端一個(gè)固定的地址。
authritative 拒絕不正確的IP地址的要求。

2. DHCP配置文件中的declarations （聲明）：用來(lái)描述網(wǎng)絡(luò)布局、提供客戶(hù)的IP地址等。主要內(nèi)容見(jiàn)表2：

聲明解釋
shared-network 用來(lái)告知是否一些子網(wǎng)絡(luò)分享相同網(wǎng)絡(luò)。
subnet 描述一個(gè)IP地址是否屬于該子網(wǎng)。
range 起始IP 終止IP 提供動(dòng)態(tài)分配IP 的范圍。
host 主機(jī)名稱(chēng) 參考特別的主機(jī)。
group 為一組參數(shù)提供聲明。
allow unknown-clients;deny unknown-client 是否動(dòng)態(tài)分配IP給未知的使用者。
allow bootp;deny bootp 是否響應(yīng)激活查詢(xún)。
allow booting;deny booting 是否響應(yīng)使用者查詢(xún)。
filename 開(kāi)始啟動(dòng)文件的名稱(chēng)，應(yīng)用于無(wú)盤(pán)工作站。
next-server 設(shè)置服務(wù)器從引導(dǎo)文件中裝如主機(jī)名，應(yīng)用于無(wú)盤(pán)工作站。

3. DHCP配置文件中的option（選項(xiàng)）：用來(lái)配置DHCP可選參數(shù)，全部用option關(guān)鍵字作為開(kāi)始，主要內(nèi)容包括見(jiàn)表3：

選項(xiàng)解釋
subnet-mask 為客戶(hù)端設(shè)定子網(wǎng)掩碼。
domain-name 為客戶(hù)端指明DNS名字。
domain-name-servers 為客戶(hù)端指明DNS服務(wù)器IP地址。
host-name 為客戶(hù)端指定主機(jī)名稱(chēng)。
routers 為客戶(hù)端設(shè)定默認(rèn)網(wǎng)關(guān)。
broadcast-address 為客戶(hù)端設(shè)定廣播地址。
ntp-server 為客戶(hù)端設(shè)定網(wǎng)絡(luò)時(shí)間服務(wù)器IP地址。
time－offset 為客戶(hù)端設(shè)定和格林威治時(shí)間的偏移時(shí)間，單位是秒。

注意：如果客戶(hù)端使用的是視窗操作系統(tǒng)，不要選擇"host-name"選項(xiàng)，即不要為其指定主機(jī)名稱(chēng)。

　　下面是一個(gè)筆者使用的DHCP配置文件，這是一個(gè)Ｃ類(lèi)網(wǎng)絡(luò)，共126個(gè)IP地址可以分配的例子。讀者可以復(fù)制后使用。

ddns-update-style interim;   
ignore client-updates;  
 
subnet 192.168.1.0 netmask 255.255.255.0 {  
 
option routers 192.168.1.254;  
 
option subnet-mask 255.255.255.0;  
 
option broadcast-address 192.168.1.255;  
 
option domain-name-servers 192.168.1.3;  
 
option domain-name "www.cao.com";　#DNS名稱(chēng)#  
 
option domain-name-servers 192.168.1.3;  
 
 
option time-offset -18000;   
 
 
range dynamic-bootp 192.168.1.128 192.168.1.255;  
 
default-lease-time 21600;  
 
max-lease-time 43200;  
 
host ns  
 
 {  
 
hardware ethernet 52:54:AB:34:5B:09;#運(yùn)行DHCP的網(wǎng)絡(luò)接口的MAC地址#  
 
fixed-address 192.168.1.9;  
 
}  
 
}  

二、建立客戶(hù)租約文件

　　運(yùn)行DHCP服務(wù)器還需要一個(gè)名為 dhcpd.leases 的文件，保持所有已經(jīng)分發(fā)出去的 IP 地址。在Redhat Linux 發(fā)行版本中，該文件位于 /var/lib/dhcp/ 目錄中。如果您通過(guò) RPM 安裝 ISC DHCP，那么該目錄應(yīng)該已經(jīng)存在。dhcpd.leases的文件格式為：

Leases address ｛statement｝   

　　一個(gè)典型的文件內(nèi)容如下：

lease 192.168.1.255 { #DHCP服務(wù)器分配的IP地址#  
 
starts 1 2005/05/02 03:02:26; # lease 開(kāi)始租約時(shí)間#  
 
ends 1 2005/05/02 09:02:26; # lease 結(jié)束租約時(shí)間#   
 
binding state active;  
 
next binding state free;  
 
hardware ethernet 00:00:e8:a0:25:86; #客戶(hù)機(jī)網(wǎng)卡MAC地址#  
 
uid "%content%01%content%00%content%00\350\240%\206"; #用來(lái)驗(yàn)證客戶(hù)機(jī)的UID標(biāo)示#  
 
client-hostname "cjh1"; #客戶(hù)機(jī)名稱(chēng)#  
 
} 

　　注意lease 開(kāi)始租約時(shí)間和lease 結(jié)束租約時(shí)間是格林威治標(biāo)準(zhǔn)時(shí)間（GMT），不是本地時(shí)間。

　　第一次運(yùn)行DHCP服務(wù)器時(shí)dhcpd.leases是一個(gè)空文件，也不用手工建立。如果不是通過(guò) RPM 安裝 ISC DHCP，或者 dhcpd 已經(jīng)安裝，那么您應(yīng)該試著確定 dhcpd 將其 lease 文件寫(xiě)到何處，并確保該文件存在。也可以手工建立一個(gè)空文件：

#touch /var/lib/dhcp/dhcpd.leases   

三、啟動(dòng)和檢查DHCP服務(wù)器

　　使用命令啟動(dòng)DHCP服務(wù)器：

#service dhcpd start   

　　使用ps命令檢查dhcpd進(jìn)程：

#ps -ef | grep dhcpd  
root 2402 1 0 14:25 ? 00:00:00 /usr/sbin/dhcpd  
root 2764 2725 0 14:29 pts/2 00:00:00 grep dhcpd  

　　使用檢查dhcpd運(yùn)行的端口：

# netstat -nutap | grep dhcpd  
udp 0 0 0.0.0.0:67 0.0.0.0:* 2402/dhcpd  

四、配置DHCP客戶(hù)端

　　通常網(wǎng)管員使用選擇手工配置 DHCP 客戶(hù)，需要修改 /etc/sysconfig/network 文件來(lái)啟用聯(lián)網(wǎng)；并修改 /etc/sysconfig/network-scripts 目錄中每個(gè)網(wǎng)絡(luò)設(shè)備的配置文件。在該目錄中，每個(gè)設(shè)備都有一個(gè)叫做 ifcfg-eth？ 的配置文件，eth？是網(wǎng)絡(luò)設(shè)備的名稱(chēng)。 如eth0等。如果你想在引導(dǎo)時(shí)啟動(dòng)聯(lián)網(wǎng)，NETWORKING 變量必須 被設(shè)為 yes。 除了此處之外/etc/sysconfig/network 文件應(yīng)該包含以下行：

NETWORKING=yes 
DEVICE=eth0 
BOOTPROTO=dhcp 
ONBOOT=yes 

#p#

五、DHCP配置常見(jiàn)錯(cuò)誤排除

　　通常配置DHCP 服務(wù)器很容易，不過(guò)，在這里有一些技巧可以幫助您避免出現(xiàn)問(wèn)題。對(duì)服務(wù)器而言，要確保網(wǎng)卡正常工作，并具備廣播功能。對(duì)客戶(hù)機(jī)而言，還要確?？蛻?hù)機(jī)的網(wǎng)卡正常工作。最后，要考慮網(wǎng)絡(luò)的拓?fù)?，并考慮客戶(hù)機(jī)向 DHCP 服務(wù)器發(fā)出的廣播消息是否會(huì)受到阻礙。另外如果dhcpd進(jìn)程沒(méi)有啟動(dòng)，那么可以瀏覽 syslog 消息文件來(lái)確定是哪里出了問(wèn)題。這個(gè)消息文件通常是 /var/log/messages。

　　典型故障：

　　1.DHCP服務(wù)器配置完成，沒(méi)有語(yǔ)法錯(cuò)誤。但是網(wǎng)絡(luò)中的客戶(hù)機(jī)卻沒(méi)辦法取得IP地址。

　　通常是Linux DHCP服務(wù)器沒(méi)有辦法接收來(lái)自255.255.255.255 的 DHCP 客戶(hù)機(jī)的Request 封包造成的。一般是Linux DHCP服務(wù)器的網(wǎng)卡沒(méi)有設(shè)置具有MULTICAST功能。為了讓dhcpd(dhcp程序的守護(hù)進(jìn)程)能夠正常的和DHCP客戶(hù)機(jī)溝通，dhcpd必須傳送封包到255.255.255.255這個(gè)IP地址，但是有些Linux系統(tǒng)里255.255.255.255這個(gè)IP地址被用來(lái)做為監(jiān)聽(tīng)區(qū)域子網(wǎng)域（local subnet）廣播的 IP地址，所以需要在路由表（routing table）里加入255.255.255.255以激活MULTICAST功能；

　　使用命令：

route add -host 255.255.255.255 dev eth0  

　如果報(bào)告錯(cuò)誤消息：255.255.255.255：Unkown host

　　那么請(qǐng)先修改/etc/hosts加入一行：

　　255.255.255.255 dhcp  

　　2. DHCP客戶(hù)端程序和DHCP服務(wù)器不兼容

　　由于Linux有許多發(fā)現(xiàn)版本，不同版本使用DHCP客戶(hù)端程序和DHCP服務(wù)器也不相同。Linux提供了四種DHCP客戶(hù)端程序：pump, dhclient, dhcpxd, 和dhcpcd。了解不同Linux發(fā)行版本的服務(wù)器端和客戶(hù)端程序?qū)τ诔Ｒ?jiàn)錯(cuò)誤排除是必要的。筆者曾經(jīng)遇到過(guò)使用SuSE Linux 9.1 DHCP服務(wù)器和使用Mandrake Linux 9.0客戶(hù)機(jī)不兼容的情況。此時(shí)就必須更換客戶(hù)端程序。方法是先停止客戶(hù)機(jī)的網(wǎng)絡(luò)服務(wù)，卸載原程序，安裝和服務(wù)器端兼容程序。附表：主要Linux發(fā)行版使用的DHCP客戶(hù)端。

六、DHCP服務(wù)器的安全

　　1. 在指定網(wǎng)絡(luò)接口啟動(dòng)DHCP服務(wù)器

　　如果你的Linux系統(tǒng)連接了不止一個(gè)網(wǎng)絡(luò)界面，但是你只想讓 DHCP 服務(wù)器啟動(dòng)其中之一，你可以配置 DHCP 服務(wù)器只在那個(gè)設(shè)備上啟動(dòng)。在 /etc/sysconfig/dhcpd 中，把界面的名稱(chēng)添加到 DHCPDARGS 的列表中：

DHCPDARGS=eth0  

　　或者直接使用命令：

Echo "DHCPDARGS=eth0" >> /etc/ sysconfig/dhcpd   

　　這樣對(duì)于帶有兩個(gè)網(wǎng)卡的防火墻機(jī)器，更加安全：一個(gè)網(wǎng)卡可以被配置成 DHCP 客戶(hù)來(lái)從互聯(lián)網(wǎng)上檢索 IP 地址；另一個(gè)網(wǎng)卡可以被用作防火墻之后的內(nèi)部網(wǎng)絡(luò)的 DHCP 服務(wù)器。僅指定連接到內(nèi)部網(wǎng)絡(luò)的網(wǎng)卡使系統(tǒng)更加安全，因?yàn)橛脩?hù)無(wú)法通過(guò)互聯(lián)網(wǎng)來(lái)連接它的守護(hù)進(jìn)程。

　　2. 讓DHCP服務(wù)器在監(jiān)牢中運(yùn)行

　　所謂"監(jiān)牢"就是指通過(guò)chroot機(jī)制來(lái)更改某個(gè)軟件運(yùn)行時(shí)所能看到的根目錄，即將某軟件運(yùn)行限制在指定目錄中，保證該軟件只能對(duì)該目錄及其子目錄的文件有所動(dòng)作，從而保證整個(gè)服務(wù)器的安全。這樣即使出現(xiàn)被破壞或被侵入，所受的損失也較小。

　　將軟件chroot化的一個(gè)問(wèn)題是該軟件運(yùn)行時(shí)需要的所有程序、配置文件和庫(kù)文件都必須事先安裝到chroot目錄中，通常稱(chēng)這個(gè)目錄為chroot jail（chroot"監(jiān)牢"）。如果要在"監(jiān)牢"中運(yùn)行dhcpd，而事實(shí)上根本看不到文件系統(tǒng)中那個(gè)真正的目錄。因此需要事先創(chuàng)建目錄，并將dhcpd復(fù)制到其中。同時(shí)dhcpd需要幾個(gè)庫(kù)文件，可以使用ldd（library Dependency Display縮寫(xiě)）命令，ldd作用是顯示一個(gè)可執(zhí)行程序必須使用的共享庫(kù)。

ldd dhcpd  
 
libc.so.6 =>   
 
/lib/tls/libc.so.6 (0x42000000)  
 
/lib/ld-linux.so.2   
 
=> /lib/ld-linux.so.2 (0x40000000)  
style='font-family:宋體'> 

　　這意味著還需要在"監(jiān)牢"中創(chuàng)建lib目錄，并將庫(kù)文件復(fù)制到其中。手工完成這一工作是非常麻煩的，此時(shí)可以用jail軟件包來(lái)幫助簡(jiǎn)化chroot"監(jiān)牢"建立的過(guò)程。

　　(1)Jail軟件的編譯和安裝

　　Jail官方網(wǎng)站是：http://www.jmcresearch.com/ ，最新版本：1.9a。

#Wget http://www.jmcresearch.com/stati ... il/jail_1.9a.tar.gz   
#tar xzvf jail.tar.gz; cd jail/src  
#make; make install  

　　(2)用jail創(chuàng)建監(jiān)牢

　　jail軟件包提供了幾個(gè)Perl腳本作為其核心命令，包括mkjailenv、addjailuser和addjailsw。

　　mkjailenv：創(chuàng)建chroot"監(jiān)牢"目錄，并且從真實(shí)文件系統(tǒng)中拷貝基本的軟件環(huán)境。addjailsw：從真實(shí)文件系統(tǒng)中拷貝二進(jìn)制可執(zhí)行文件及其相關(guān)的其它文件（包括庫(kù)文件、輔助性文件和設(shè)備文件）到該"監(jiān)牢"中。addjailuser：創(chuàng)建新的chroot"監(jiān)牢"用戶(hù)。

　　首先停止目前dhcpd服務(wù)，然后建立chroot目錄：

#/sbin/service dhcpd start  
#mkjailenv /chroot/  
mkjailenv  
 
A component of Jail (version 1.9 for linux)  
 
http://www.gsyc.inf.uc3m.es/~assman/jail/  
 
Juan M. Casillas   
 
 
Making chrooted environment into /chroot  
 
Doing preinstall()  
 
Doing special_devices()  
 
Doing gen_template_password()  
 
Doing postinstall()  
 
Done.  

　　下面的例子展示為"監(jiān)牢"添加dhcpd程序的過(guò)程：

# addjailsw /chroot/ -P /usr/sbin/dhcpd  
addjailsw  
 
A component of Jail (version 1.9 for linux)  
 
http://www.gsyc.inf.uc3m.es/~assman/jail/  
 
Juan M. Casillas   
 
 
Guessing dhcpd args(0)  
 
Warning: file /chroot//lib/tls/libc.so.6 exists. Overwritting it  
 
Warning: file /chroot//lib/ld-linux.so.2 exists. Overwritting it  
 
………  
Done.  

　　不用在意那些警告信息，因?yàn)閖ail會(huì)調(diào)用ldd檢查dhcpd用到的庫(kù)文件。而幾乎所有基于共享庫(kù)的二進(jìn)制可執(zhí)行文件都需要上述的幾個(gè)庫(kù)文件。接下來(lái)將dhcpd的相關(guān)文件拷貝到"監(jiān)牢"中：

# mkdir -p /chroot/dhcp/etc  
# cp /etc/dhcpd.conf /chroot/dhcp/etc/  
# mkdir -p /chroot/dhcp/var/state/dhcp  
# touch /chroot/dhcp/var/state/dhcp/dhcp.leases   

　　重新啟動(dòng)dhcpd：

[root@www root]# /chroot/usr/sbin/dhcpd  

　　使用ps命令檢查dhcpd進(jìn)程：

#ps -ef | grep dhcpd  
root 2402 1 0 14:25 ? 00:00:00 /chroot/usr/sbin/dhcpd   
root 2764 2725 0 14:29 pts/2 00:00:00 grep dhcpd  

　　注意此時(shí)進(jìn)程名稱(chēng)已經(jīng)改變，使用檢查dhcpd運(yùn)行的端口：

# netstat -nutap | grep dhcpd  
udp 0 0 0.0.0.0:67 0.0.0.0:* 2402/dhcpd  

　　端口號(hào)沒(méi)有改變?，F(xiàn)在dhcpd已經(jīng)成功運(yùn)行在"監(jiān)牢"中。

        到此為止一個(gè)這樣，一個(gè)完整和安全的 DHCP服務(wù)器就完成了。

【編輯推薦】

1. 協(xié)議基礎(chǔ)：Linux DHCP服務(wù)器配置
2. Linux DHCP服務(wù)器當(dāng)中H3C的AC注冊(cè)
3. Linux DHCP服務(wù)器測(cè)試的具體過(guò)程
4. Linux DHCP服務(wù)器的設(shè)置
5. Linux DHCP服務(wù)器安裝的簡(jiǎn)單方法
6. Linux DHCP服務(wù)器的測(cè)試和建立
7. Suse Linux DHCP的設(shè)定過(guò)程
8. 教會(huì)你Suse Linux DHCP服務(wù)器配置詳解
9. RedHat Linux DHCP服務(wù)器中繼