很多企業都意識到DHCP是一項非常主要的服務。沒有它,基於IP的網絡和應用將會陷入癱瘓。但是,很多機構仍然在服務器上使用結合了ad-hoc的軟件來部署DHCP,結果就是,不知不覺的,他們犯了常見的導致網絡可用性和安全嚴重降低的錯誤。
下面我們列出了部署DHCP服務中常見的錯誤:
DHCP的租約時間設置的太長或者太短
建議的租約時間依賴於網絡中變化的程度。無線網絡、客戶網絡有一個高的變化程度,這不僅僅是由租約過期引起的。設備會從網絡中不斷插拔,有時間隔非常短。這種情況下設置過長的租約會阻止他人在租約過期前使用這些地址。
未能監測租約池中IP地址的使用情況
管理員會創建足夠多的地址范圍供當前使用,而且會預留一些為了將來的擴展,但是他們往往會忽略跟蹤每個子網的增長速度。技術人員安裝使用IP的新設備的速度可能會比預期的要快,這會用盡所有的IP地址,結果新的設備就不能夠使用網絡了。這會導致新設備安裝時間延長,通常都會打開一個向IT部門求助的一個ticket(譯者著:在很多公司中,當日常工作中遇到網絡、設備等方面的問題,可以向企業內部IT系統創建一個問題描述的主題ticket,IT部門會根據ticket來尋求問題的解決辦法)。
遺忘的或者錯誤的可選配置
記住:除了IP地址以外,其他的一切對於DHCP來說都是可選配置。每台設備都需要一個子網掩碼、默認路由、優先路由。但是如果管理員忘記去設計這些可選配置,DHCP就不會將這些信息提供給客戶。
未能確定DHCP服務器是否是認證的
明白“認證”和“分歧”的含義對於一個DHCP服務器來說是至關重要的。忽視這項設置將導致網絡中的重大問題,包括:DHCP沖突(沖突的DHCP服務器阻止了客戶獲得IP地址,或者獲得地址是錯誤的),丟失重要數據(比如,Novell網絡使用INFORM包,這種包只有當你授權的情況下才會回復),而微軟系統中出現的問題則是長期占有IP地址,即便當他們不再有效。
UDP/BOOTP/DHCP轉發丟失或不可用
因為DHCP是基於廣播方式的,需要在路由器上使能UDP轉發功能來轉發DHCP包到DHCP服務器上。如果實際上沒有這樣設置,或者配置的不正確,你就會遇到很多問題:客戶沒有收到地址和廣播風暴。
未知的IP地址重疊覆蓋
當管理員在多個服務器上配置了同一地址段,而這些服務器上並沒有使用DHCP失效機制,這就可能導致同一個網絡中復制的IP地址。DHCP服務器之間並不共享有關已被分發的地址的信息,這樣它們就可能分配同一個地址給不同的客戶。
錯誤使用共享網絡
盡管現在使用三層交換機、路由器支持的VLAN都很常見,你也可能遇見使用二次IP地址的網絡設計。換言之,一個路由接口(不管是實際的還是虛擬的)包含多個網絡的IP地址。在過去,這就是被稱為單臂路由(“one armed routing”,或者是“router on a stick”)。在這種情況下,你必須使用一個共享網絡將所有的網絡整合成一個網絡。如果你未能正確的使用該共享網絡,用戶最終會得到錯誤網路的地址,因此不能和其他網絡通信。