Tìm hiểu về DHCP server

IGiới thiệu đề tài Ngày nay, sự phát triển công nghệ thông tin đang diễn ra mạnh mẽ, các máy tính càng cần thiết phải kết nối với nhau để thực hiện các công việc nội bộ, cũng như liên kết các cơ quan, xí nghiệp, cộng đồng người lại với nhau, phục vụ đời sống của con người hiệu quả cao. Mà hiện nay bộ giao thức TCP/IP là một bộ các giao thức truyền thông cài đặt chồng giao thức mà Internet và hầu hết các mạng máy tính thương mại đang chạy trên đó. Các máy tính trong mạng nhận ra nhau nhờ vào địa chỉ IP mà trước đó người quản trị mạng phải gán cho từng máy tính một. Mỗi thiết bị trên mạng cơ sở TCP/IP phải có một địa chỉ IP duy nhất để truy cập mạng và sử dụng các tài nguyên. DHCP tập trung việc quản lý địa chỉ IP ở các máy tính trung tâm chạy chương trình DHCP. Mặc dù có thể gán địa chỉ IP vĩnh viễn cho bất cứ máy tính nào trên mạng, DHCP cho phép gán tự động. Để khách có thể nhận địa chỉ IP từ máy chủ DHCP, ta khai báo cấu hình để khách "nhận địa chỉ tự động từ một máy chủ". Tùy chọn này xuất hiện trong vùng khai báo cấu hình TCP/IP của đa số hệ điều hành. Một khi tùy chọn này được thiết lập, khách có thể "thuê" một địa chỉ IP từ máy chủ DHCP bất cứ lúc nào. Phải có ít nhất một máy chủ DHCP trên mạng. Sau khi cài đặt DHCP, ta tạo một phạm vi DHCP (scope), là vùng chứa các địa chỉ IP trên máy chủ, và máy chủ cung cấp địa chỉ IP trong vùng này. DHCP là một thuận lới rất lớn đối với người điều hành mạng. Nó làm yên tâm về các vấn đề cố hữu phát sinh khi phải khai báo cấu hình thủ công. Hãy xem sự so sánh dưới đây để biết DHCP làm nhẹ bớt công việc như thế nào: Không có DHCP: Khi cấu hình thủ công, ta phải gán địa chỉ cho mọi máy trạm trên mạng. Người dùng phải gọi đến ta để biết địa chỉ IP vì ta không muốn phụ thuộc vào họ để cấu hình địa chỉ IP. Cấu hình nhiều địa chỉ IP có khả năng dẫn đến lỗi, rất khó theo dõi và sẽ dẫn đến lỗi truyền thông trên mạng. Cuối cùng ta sẽ hết địa chỉ IP đối với mạng con nào đó hoặc đối với toàn mạng nếu ta không quản lý cẩn thận các địa chỉ IP đã cấp phát. Ta phải thay đổi địa chỉ IP ở máy trạm nếu nó chuyển sang mạng con khác. Người dùng di động đi từ nơi này đến nơi khác, có nhu cầu thay đổi địa chỉ IP nếu họ nối với mạng con khác trên mạng. Có DHCP: Máy chủ DHCP tự động cho người dùng thuê địa chỉ IP khi họ vào mạng. Ta chỉ cần đặc tả phạm vi các địa chỉ có thể cho thuê tại máy chủ DHCP. Ta sẽ không bị ai quấy rầy về nhu cầu biết địa chỉ IP. DHCP tự động quản lý các địa chỉ IP và loại bỏ được các lỗi có thể làm mất liên lạc. Nó tự động gán lại các địa chỉ chưa được sử dụng. DHCP cho thuê địa chỉ trong một khoảng thời gian, có nghĩa là những địa chỉ này sẽ còn dùng được cho các hệ thống khác. Ta hiếm khi bị hết địa chỉ. DHCP tự động gán địa chỉ IP thích hợp với mạng con chứa máy trạm này. Cũng vậy, DHCP tự động gán địa chỉ cho người dùng di động tại mạng con họ kết nối. Trình tự thuê Địa chỉ IP DHCP là một giao thức Internet có nguồn gốc ở BOOTP (bootstrap protocol), được dùng để cấu hình các trạm không đĩa. DHCP khai thác ưu điểm của giao thức truyền tin và các kỹ thuật khai báo cấu hình được định nghĩa trong BOOTP, trong đó có khả năng gán địa chỉ. Sự tương tự này cũng cho phép các bộ định tuyến hiện nay chuyển tiếp các thông điệp BOOTP giữa các mạng con cũng có thể chuyển tiếp các thông điệp DHCP. Vì thế, máy chủ DHCP có thể đánh địa chỉ IP cho nhiều mạng con. Với sự cần thiết của DHCP như trên, đề tài DHCP server sẽ làm sáng tỏ ý nghĩa của việc dùng DHCP server và các vấn đề của dịch vụ DHCP server, cơ chế hoạt động, cách cài đặt cũng như sao lưu phục hồi hay bảo mật dịch vụ DHCP.

doc56 trang | Chia sẻ: lvcdongnoi | Ngày: 03/07/2013 | Lượt xem: 11313 | Lượt tải: 33download
Bạn đang xem nội dung tài liệu Tìm hiểu về DHCP server, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Phần 1 – Mở đầu PHẦN I: MỞ ĐẦU I.1. Giới thiệu đề tài Ngày nay, sự phát triển công nghệ thông tin đang diễn ra mạnh mẽ, các máy tính càng cần thiết phải kết nối với nhau để thực hiện các công việc nội bộ, cũng như liên kết các cơ quan, xí nghiệp, cộng đồng người lại với nhau, phục vụ đời sống của con người hiệu quả cao. Mà hiện nay bộ giao thức TCP/IP là một bộ các giao thức truyền thông cài đặt chồng giao thức mà Internet và hầu hết các mạng máy tính thương mại đang chạy trên đó. Các máy tính trong mạng nhận ra nhau nhờ vào địa chỉ IP mà trước đó người quản trị mạng phải gán cho từng máy tính một. Mỗi thiết bị trên mạng cơ sở TCP/IP phải có một địa chỉ IP duy nhất để truy cập mạng và sử dụng các tài nguyên. DHCP tập trung việc quản lý địa chỉ IP ở các máy tính trung tâm chạy chương trình DHCP. Mặc dù có thể gán địa chỉ IP vĩnh viễn cho bất cứ máy tính nào trên mạng, DHCP cho phép gán tự động. Để khách có thể nhận địa chỉ IP từ máy chủ DHCP, ta khai báo cấu hình để khách "nhận địa chỉ tự động từ một máy chủ". Tùy chọn này xuất hiện trong vùng khai báo cấu hình TCP/IP của đa số hệ điều hành. Một khi tùy chọn này được thiết lập, khách có thể "thuê" một địa chỉ IP từ máy chủ DHCP bất cứ lúc nào. Phải có ít nhất một máy chủ DHCP trên mạng. Sau khi cài đặt DHCP, ta tạo một phạm vi DHCP (scope), là vùng chứa các địa chỉ IP trên máy chủ, và máy chủ cung cấp địa chỉ IP trong vùng này. DHCP là một thuận lới rất lớn đối với người điều hành mạng. Nó làm yên tâm về các vấn đề cố hữu phát sinh khi phải khai báo cấu hình thủ công. Hãy xem sự so sánh dưới đây để biết DHCP làm nhẹ bớt công việc như thế nào: Không có DHCP: Khi cấu hình thủ công, ta phải gán địa chỉ cho mọi máy trạm trên mạng. Người dùng phải gọi đến ta để biết địa chỉ IP vì ta không muốn phụ thuộc vào họ để cấu hình địa chỉ IP. Cấu hình nhiều địa chỉ IP có khả năng dẫn đến lỗi, rất khó theo dõi và sẽ dẫn đến lỗi truyền thông trên mạng. Cuối cùng ta sẽ hết địa chỉ IP đối với mạng con nào đó hoặc đối với toàn mạng nếu ta không quản lý cẩn thận các địa chỉ IP đã cấp phát. Ta phải thay đổi địa chỉ IP ở máy trạm nếu nó chuyển sang mạng con khác. Người dùng di động đi từ nơi này đến nơi khác, có nhu cầu thay đổi địa chỉ IP nếu họ nối với mạng con khác trên mạng. Có DHCP: Máy chủ DHCP tự động cho người dùng thuê địa chỉ IP khi họ vào mạng. Ta chỉ cần đặc tả phạm vi các địa chỉ có thể cho thuê tại máy chủ DHCP. Ta sẽ không bị ai quấy rầy về nhu cầu biết địa chỉ IP. DHCP tự động quản lý các địa chỉ IP và loại bỏ được các lỗi có thể làm mất liên lạc. Nó tự động gán lại các địa chỉ chưa được sử dụng. DHCP cho thuê địa chỉ trong một khoảng thời gian, có nghĩa là những địa chỉ này sẽ còn dùng được cho các hệ thống khác. Ta hiếm khi bị hết địa chỉ. DHCP tự động gán địa chỉ IP thích hợp với mạng con chứa máy trạm này. Cũng vậy, DHCP tự động gán địa chỉ cho người dùng di động tại mạng con họ kết nối. Trình tự thuê Địa chỉ IP DHCP là một giao thức Internet có nguồn gốc ở BOOTP (bootstrap protocol), được dùng để cấu hình các trạm không đĩa. DHCP khai thác ưu điểm của giao thức truyền tin và các kỹ thuật khai báo cấu hình được định nghĩa trong BOOTP, trong đó có khả năng gán địa chỉ. Sự tương tự này cũng cho phép các bộ định tuyến hiện nay chuyển tiếp các thông điệp BOOTP giữa các mạng con cũng có thể chuyển tiếp các thông điệp DHCP. Vì thế, máy chủ DHCP có thể đánh địa chỉ IP cho nhiều mạng con. Với sự cần thiết của DHCP như trên, đề tài DHCP server sẽ làm sáng tỏ ý nghĩa của việc dùng DHCP server và các vấn đề của dịch vụ DHCP server, cơ chế hoạt động, cách cài đặt cũng như sao lưu phục hồi hay bảo mật dịch vụ DHCP. Chúng em xin chân thành cảm ơn quá trình hướng dẫn, giảng dạy, giúp đỡ nhiệt tình của tiến sĩ Lê Anh Ngọc đã giúp chúng em hoàn thành đề tài này. Do kiến thức còn hạn chế nên đề tài không tránh khỏi sai sót, đầy đủ về dịch vụ DHCP server. Chúng em hi vọng qua đề tài này chúng em sẽ hiểu rõ về mạng máy tính nói chung và dịch vụ DHCP nói riêng. I.2. Cấu trúc báo cáo I. Giới thiệu về DHCP: + DHCP là gì? Ý nghĩa của việc sử dụng DHCP. + Một số thuật ngữ thường dùng trong DHCP. + Cơ chế hoạt động của DHCP. II. Cài đặt và cấu hình DHCP: + Cài đặt và cấp phép cho DHCP Server. + Cấu hình các thông số cho DHCP Server. + Cài đặt và cấu hình DHCP Relay Agent. III. Quản lý và giám sát DHCP: + Quản lý Database của DHCP Server. + Sao lưu và phục hồi trong DHCP. + Giám sát hoạt động của DHCP. I.3. Phân công công việc Đề tài: DHCP Server. Thực hiện: nhóm 8 lớp 47K-tin Các thành viên: Võ Trọng Trung (Nhóm trưởng)                Trần Thị  H. Nhung            Phan Thanh Thắng              Nguyễn Thành Luân             PHẦN II: NỘI DUNG CHI TIẾT 1. Giới thiệu về DHCP 1.1.DHCP là gì? 1.1.a. Khái niệm DHCP (viết tắt của từ Dynamic Host Configuration Protocol): là giao thức cấu hình Host động, được thiết kế nhằm làm giảm thời gian chỉnh cấu hình cho mạng TCP/IP bằng cách tự động gán địa chỉ IP cho các máy khách (client) khi tham gia vào mạng. DHCP được phát triển bởi tổ chức IETF (Internet Engineering Task Force) – tổ chức chuyên nghiên cứu về các giao thức được sử dụng trên Internet. 1.1.b. Ý nghĩa của việc sử dụng dịch vụ DHCP: - Tự động cấp phát địa chỉ IP phù hợp cho máy trạm khi vào mạng, tự dộng quản lý các địa chỉ IP và loại bỏ được các lỗi làm mất liên lạc như tình trạng nhầm lẫn hay trùng lặp địa chỉ IP, đồng thời giảm thiểu chi phí quản trị cho hệ thống mạng. - Phù hợp cho các máy tính thường xuyên di chuyển qua lại giữa các mạng. - Giúp cho các nhà cung cấp dịch vụ (ISP) tiết kiệm được số lượng địa chỉ IP thật (Public IP). - Kết hợp với hệ thống mạng không dây (Wireless) cung cấp các điểm Hotspot như: nhà ga, sân bay, trường học… 1.2. Một số thuật ngữ thường dùng trong DHCP: • DHCP Client - Máy trạm DHCP: là một thiết bị nối vào mạng và sử dụng giao thức DHCP để lấy các thông tin cấu hình như là địa chỉ mạng, địa chỉ máy chủ DNS. • DHCP Server - Máy chủ DHCP: là một thiết bị nối vào mạng có chức năng trả về các thông tin cần thiết cho máy trạm DHCP khi có yêu cầu. • DHCP Replay Agent: là một máy tính hoặc một Router được cấu hình để lắng nghe và chuyển tiếp các gói tin giữa DHCP Client và DHCP Server từ subnet này sang subnet khác. • DHCP Scope: là một khoảng IP hợp lệ mà ta đã xác định trên DHCP Server, dùng để cung cấp cho các client có yêu cầu thuê địa chỉ. • Scope Options: là các tùy chọn để cấu hình cho scope mà DHCP Server có thể bổ sung thêm vào thông tin đi cùng với địa chỉ IP cho thuê. Chẳng hạn, chúng ta có thể cấu hình một scope để cung cấp làm Default gateway. • Client Reservations: là các IP đặt trước mà DHCP Server thường xuyên cung cấp đến một máy cụ thể nào đó. Ví dụ như, chúng ta có thể giữ lại một IP address cho một máy và máy này cần có một địa chỉ IP cố định (như là DNS Server hoặc là Print Server chẳng hạn, lúc này các máy khác sẽ cấu hình để connect tới DNS server bằng địa chỉ của DNS server này). 1.3. Cơ chế hoạt động của DHCP DHCP là một giao thức có nguồn gốc từ BOOTP (Bootstrap Protocol), được dùng để cấu hình cho các máy trạm khởi động mà không cần đĩa cứng. BOOTP thi hành các công việc sau: + Tìm kiếm địa chỉ IP cho chính nó. + Tìm IP của BOOTP server. + Nạp một file khởi động từ server vào bộ nhớ. + Bắt đầu khởi động. DHCP khai thác ưu điểm của giao thức truyền tin và các kỹ thuật khai báo cấu hình được định nghĩa trong BOOTP, trong đó có khả năng tìm kiếm và gán địa chỉ IP cho nhiều mạng con. Giao thức DHCP làm việc theo mô hình client/server. Theo đó, quá trình tương tác giữa DHCP client và server diễn ra thông qua các gói tin: DHCP Discover. DHCP Offer. DHCP Request. DHCP Acknowledgement. Ta có thể nói ngắn gọn cơ chế hoạt động của DHCP là: Khi một DHCP client khởi động sẽ gửi cho server 1 thông điệp, DHCP server sẽ tìm 1 IP còn rỗi trong dãy IP để cấp cho client, sau đó đưa ra 1 thông điệp thông báo trên toàn mạng về địa chỉ IP của client đó. Cụ thể như sau: DHCP Discover: Đầu tiên máy client sẽ gửi đi 1 gói tin quảng bá tên là DHCP Discover, nhằm yêu cầu cho việc lấy các thông tin cấu hình như IP Address, Subnet Mask, Defaut Getway, Preferred DNS,… Lúc này, vì client chưa có địa chỉ IP cho nên nó sẽ dùng một địa chỉ source (nguồn) là 0.0.0.0, đồng thời nó cũng không biết địa chỉ của DHCP server nên client sẽ gửi đến một địa chỉ broadcast là 255.255.255.255 và sau đó gói tin DHCP Discover này sẽ quảng bá đi toàn mạng. Gói tin này chứa một địa chỉ MAC (Media Access Control) (là địa chỉ mà mỗi một network adapter (card mạng) được nhà sản xuất cấp cho và là mã số để phân biệt các card mạng với nhau). Ngoài ra nó còn chứa tên của máy client để server có thể biết được client nào đã gởi yêu cầu đến. DHCP Offer: Sau khi nhận được gói tin DHCP Discover của client, nếu có một DHCP Server hợp lệ (nghĩa là nó có khả năng cung cấp địa chỉ IP cho client) thì nó sẽ trả lời lại bằng một gói tin DHCP Offer, gói tin này chứa một địa chỉ IP đề nghị cho thuê trong một khoảng thời gian nhất định (mặc định là 8 ngày, sau một khoảng thời gian là 50% (tức là 4 ngày) nó sẽ tự động thu hồi IP address đã cấp nếu như client không sử dụng), kèm theo là địa chỉ MAC của client được cấp, một subnet mask và địa chỉ IP của DHCP Server đã cấp phát. Trong thời gian này server sẽ không cấp phát địa chỉ IP vừa đề nghị cho một client nào khác. DHCP Request: Máy client sau khi nhận được những lời đề nghị là các gói tin DHCP Offer trên mạng (trường hợp trong mạng có nhiều hơn 1 DHCP server) sẽ tiến hành chọn lọc một gói tin phù hợp và sau đó phản hồi lại bằng một gói tin là DHCP Request (bao gồm thông tin về DHCP Server cấp phát địa chỉ cho nó) để chấp nhận lời đề nghị đó. Điều này giúp cho việc các gói tin còn lại không được chấp nhận sẽ được các Server rút lại và dùng đề cấp phát cho Client khác. DHCP Acknowledgement: Khi DHCP Server nhận được gói tin DHCP Request, nó sẽ trả lời lại DHCP client bằng một gói tin là DHCP Ack nhằm mục đích thông báo là đã chấp nhận cho DHCP client đó thuê địa chỉ IP. Gói tin này bao gồm địa chỉ IP và các thông tin cấu hình khác (DNS Server, WINS Server,...). Cuối cùng client nhận được gói tin DHCP Ack thì cũng có nghĩa là kết thúc quá trình thuê và cấp phát địa chỉ IP. Và địa chỉ IP này chính thức được client sử dụng. Lưu ý: Tất cả việc trao đổi thông tin giữa một DHCP server và DHCP client sẽ sử dụng giao thức UDP để truyền các gói tin (User Datagram Protocol) tại 2 cổng là 67 và 68 dành cho việc truyền dữ liệu đến server và client. 1.4. Cơ chế tự động refresh lại thời gian đăng ký (lease time) Bây giờ ta coi như là DHCP client đã đăng ký được một IP address rồi. Theo mặc định của DHCP server thì mỗi IP lease chỉ được có 8 ngày. Nếu theo như mặc định (8 ngày) thì một DHCP client sau một khoảng thời gian là 50% (tức là 4 ngày) nó sẽ tự động xin lại IP address với DHCP mà nó đã xin ban đầu. Nó DHCP client lúc này sẽ gởi một sẽ gởi một DHCPREQUEST trực tiếp (unicast) đến DHCP server mà nó đã xin ban đầu. Nếu mà DHCP server đó "còn sống", nó sẽ trả lời bằng một gói DHCPACK để renew (cho thuê mới lại) tới DHCP client, gói này bao gồm thông các thông số cấu hình mới cập nhật nhất trên DHCP server. Nếu DHCP server "đã chết", thì DHCP client này sẽ tiếp tục sử dụng cấu hình hiện thời của nó. Và nếu sau 87.5% (7 ngày) của thời gian thuê hiện thời của nó, nó sẽ broadcast một DHCPDISCOVER để update địa chỉ IP của nó. Vào lúc này, nó không kiếm tới DHCP server ban đầu cho nó thuê nữa mà nó là sẽ chấp nhận bất cứ một DHCP server nào khác. Nếu thời gian đăng ký đã hết, thì client sẽ ngay lập tức dừng lại việc sử dụng IP address đã đăng ký đó. Và DHCP client sau đó sẽ bắt đầu tiến trình thuê một địa chỉ như ban đầu. Chú ý: khi chúng ta khởi động (restart) lại DHCP client thì nó sẽ tự động renew lại IP address mà trước khi nó shut down. Vậy nếu khi ta có một sự thay đổi về cấu hình trên DHCP server mà ta muốn nó có tác dụng đến các client ngay lập tức thì ta có thể renew một IP lease "bằng tay" đối với DHCP client như sau: vào run, đánh command --> đánh lệnh là ipconfig /renew. Khi đó nó sẽ gởi một DHCPREQUEST đến DHCP server để update thông tin về cấu hình, và thời gian đăng ký mới. Và ngược lại, nếu ta không muốn đăng ký cái IP address này nữa ta có thể đánh lệnh ipconfig /release. Lúc này, nó sẽ gởi đến DHCP server một DHCPRELEASE. Sau lệnh này, client sẽ không còn liên lạc với network bằng TCP/IP nữa. 1.5.DHCP Replay Agent 1.5.1.DHCP Replay Agent là gì? DHCP Replay Agent là một máy tính hoặc một Router được cấu hình để lắng nghe và chuyển tiếp các gói tin giữa DHCP Client và DHCP Server từ subnet này sang subnet khác. DHCP Relay Agent là bộ trung chuyển DHCP Discover (hoặc DHCP Request) đến DHCP Server. DHCP Relay Agent cho phép forward các truy vấn của DHCP Client đến DHCP server và trả lại IP cho Clients (làm nhiệm vụ như Proxy) Trong trường hợp DHCP Client và DHCP Server không nằm cùng subnet và được kết nối qua bộ định tuyến (router) thì cần phải có giải pháp cho phép truy vấn từ DHCP Client vượt qua router để đến DHCP Server. DHCP Relay Agent (tác nhân chuyển tiếp DHCP) được dùng cho mục đích này. DHCP Relay Agent là một thực thể trung gian cho phép chuyển tiếp (relay) các DHCP Discover (hoặc DHCP Request), mà thường bị chặn ở ngay router, từ DHCP Client đến DHCP Server. Dịch vụ Routing & Remote Access của Windows Server 2003 hỗ trợ tính năng cấu hình như một DHCP Relay Agent nên chúng ta không cần cài thêm chương trình khác, mà chỉ cần kích hoạt tính năng này trong Routing & Remote Access. Để hiểu lý do phải sử dụng DHCP Relay Agent Microsoft đưa ra các chiến lược sau: • Nếu mỗi mạng chúng ta dựng lên 1 DHCP Server thì tốn kém và không cần thiết, việc bảo trì cũng như quản lý rất khó khăn. • Có thể cấu hình Router để các tín hiệu Broadcast đi qua nhưng việc này sẽ gây những rắc rối khi hệ thống mạng gặp trục trặc. Thêm nữa là lưu lượng các gói tín Broadcasd quá nhiều sẽ làm tắt nghẽn hệ thống mạng. 1.5.2.DHCP Relay Agent hoạt động như thế nào? Client Broadcasts gói tin DHCP Discover trong nội bộ mạng. DHCP Relay Agent trên cùng mạng với Client sẽ nhận gói tin đó và chuyển đến DHCP server bằng tín hiệu Unicast. DHCP server dùng tín hiệu Unicast gởi trả DHCP Relay Agent một gói DHCP Offer DHCP Relay Agent Broadcasts gói tin DHCP Offer đó đến các Client Sau khi nhận được gói tin DHCP Offer, client Broadcasts tiếp gói tin DHCP Request. DHCP Relay Agent nhận gói tin DHCP Request đó từ Client và chuyển đến DHCP server cũng bằng tín hiệu Unicast. DHCP server dùng tín hiệu Unicast gởi trả lời cho DHCP Relay Agent một gói DHCP ACK. DHCP Relay Agent Broadcasts gói tin DHCP ACK đến Client. Đến đây là hoàn tất quy trình tiếp nhận xử lý và chuyển tiếp thông tin của DHCP Relay Agent. 2. Cài đặt và quản lý dịch vụ DHCP 2.1. Cài đặt và cấp phép cho DHCP Server: Tấc cả các phiên bản Windows Server từ 2000 trở lên đều có thể làm một DHCP server. Trước khi tiến hành cài đặt dịch vụ DHCP, ta phải bảo đảm một vài yêu cầu sau đây: + Server cài đặt DHCP Service phải có IP cố định (static IP) đồng thời có subnet mask và defaut gateway tương ứng. + Sử dụng User account có quyền cấu hình trên DHCP Server.. + Một range (dãy) các địa chỉ IP hợp lệ để cho client thuê (lease). DHCP service được cài đặt như sau: Vào Control Panel chọn mục Add/Remove Programs → chọn tab Add/Remove Windows Components → Networking Services → nhấp vào nút Details… hoặc nhấn tổ hợp phím ALT+D → trong hộp thoại hiện ra, đánh dấu ở mục Dynamic Host Configuration Protocol (DHCP) và chọn OK → nhấn Next để bắt đầu cài đặt (quá trình cài đặt sẽ yêu cầu trỏ đến source của bộ cài Windows Server). Cấp phép (authorize) một DHCP service: Chúng ta phải cấp phép (hay còn gọi là ủy quyền) một DHCP server trước khi nó có thể thực hiện việc cho DHCP client thuê địa chỉ IP. Việc yêu cầu cấp phép cho các DHCP server sẽ ngăn chặn việc các DHCP server có khả năng cung cấp các địa chỉ IP không hợp lệ cho các client (hay còn gọi là DHCP giả mạo) trong nội bộ domain của chúng ta. Để thực hiện được việc này chúng ta phải logon bằng user nằm trong group Enterprise Admins. Theo mô hình trên, giả sử chúng ta có 2 Server chùng chạy dịch vụ DHCP (tạm gọi đó là DHCP Server1 và DHCP Server2) trong nội bộ domain của mình. Nhưng chỉ có duy nhất DHCP Server1 là được cấp phép chạy dịch vụ này. Đầu tiên khi dịch vụ DHCP trên Server1 được kích hoạt (start) thì Server1 sẽ kiểm tra xem dịch vụ DHCP của mình có được Domain Controller cấp phép hoạt động hay không? Bằng cách gửi một yêu cầu đến máy chủ Domain Controller nhờ kiểm tra dùm mình có được phép cấp IP động cho nội bộ domain hay không? Sau khi nhận được yêu cầu kiểm tra này từ phía DHCP Server1, Domain Controller sẽ tiến hành kiểm tra xem Server1 có được cấp phép hoạt động dịch DHCP hay không? Vì Server1 đã được cấp phép hoạt động dịch vụ DHCP nên Server1 được phép cung cấp địa chỉ IP động cho các DHCP client trong nội bộ domain. Ngược lại với Server1, Server2 sau khi khởi động dịch vụ DHCP cũng tiến hành nhờ Domain Controller kiểm tra. Do không được cấp phép hoạt động dịch vụ, cho nên mặc dù dịch vụ đã được start nhưng Server2 vẫn không được phép cung cấp địa chỉ IP động cho nội bộ domain. Nếu DHCP server là không được authorize thì DHCP service sẽ log (ghi lại) một error trong system log (chúng ta có thể tìm thấy trong Administrative Tools/Event log). Cuối cùng DHCP Client xin được IP từ DHCP Server1. 2.2. Cấu hình các thông số cho DHCP Server: Để cấu hình DHCP Server, chúng ta phải có đủ quyền Admin trên máy chạy DHCP Service, xu hướng của chúng ta là làm việc từ xa bằng cách Remote với quyền Admin nên ta sẽ sử dụng công cụ MMC và AdminPak để làm việc. Vào MMC à Chọn Add Snap in DHCP: Connect to và gõ địa chỉ IP của DHCP Server: Nếu ta đang ngồi trên máy Local, thì không cần gõ IP của Local vào. Việc làm này nhằm tạo thói quen làm các công việc Admin trên một máy từ xa. Nếu sâu hơn nữa, ở đây chúng ta sẽ phải sử dụng một User thường, và sau đó phải Run as… với quyền Admin và cấu hình DHCP. Nhấp phải chuột vào Server, chọn New Scope … Hộp thọai New Scope Wizard hiện ra, điền những thông số cần thiết vào cho Wizard: IP Address Range – khoảng IP dùng để cấp cho mạng LAN, mỗi Scope có một IP Range khác nhau, đây là phần chính, không thể thiếu trong một Scope: Ở đây chúng ta gõ 192.168.1.10 – 192.168.100. Khoảng IP này sẽ cấp cho toàn bộ các máy tính có trong mạng. Exlusion – khoảng loại trừ. Trong khoảng IP từ 192.168.1.10 – 192.168.100 chúng ta sẽ cấp cho các máy con, trong đó cũng có những IP cố định, thông thường đặt cho các Servers. Các số IP cố định này nằm trong khoảng 10-100 nên sẽ mất thời gian để Client kiểm tra và cập nhật thông tin lên DHCP rằng số IP được cấp đã tồn tại trên mạng rồi. Server của chúng ta sử dụng khoảng IP từ 50-60, nên ta sẽ đưa vào 1 khoảng loại trừ 192.168.1.10 – 192.168.1.60 → Click Add Bước tiếp theo, cấu hình Leased Duration. Phần này ta nên để mặc định. Leased Duration quy định về khoảng thời gian tối đa Client có thể thuê số IP. Sau khoảng thời gian này nến Client không tương tác được với DHCP Server, số IP đó sẽ không còn tác dụng. Khi DHCP cấp IP cho Client, DHCP Server sẽ lưu lại thông tin trong phần Address Leases rằng IP đó đã cấp cho Client tên PCName và MAC Address xx xx xx xx xx xx. Số IP này sẽ không cấp cho ai khác trong suốt thời gian Leased Duration. Lưu ý: Nếu chúng ta chọn Leased Duration là Unlimited thì chuyện gì sẽ xảy ra? Liệu IP Range của Scope có bị quá tải hay không? Hiện tại, chúng ta chỉ mới cấu hình phần chính của cấu hình IP, tức là địa chỉ IP, Subnet Mask. Tiếp theo, cấu hình thông số Default Gateway, DNS, WINS cấp cho DHCP Client. Những thông số này gọi là DHCP Options. Chọn cấu hình DHCP Options: Default Gateway Xác định cho Client biết Gateway của hệ thống là IP bao nhiêu. Gateway là cổng ra của LAN để qua một Subnet khác. Gateway là IP của một Interface trên Router, Firewall… Click Next qua bước tiếp theo - cấu hình thông số Domain Name và DNS cho Client. Server Name: không cần thiết phải điền tham số này vào. Server Name được sử dụng để Resolve thành IP vào mục IP Address (trong trường hợp Admin không nhớ IP Address của DNS Server là bao nhiêu). Parent Domain: các Client khi nhận cấu hình IP từ DHCP sẽ được cấu hình PCName thành tên DNS dạng PCNAME.Athenavn.com và đăng ký Records của mình vào DNS Server 192.168.1.3 Click Next cấu hình WINS cho Scope (thông số này sẽ cấp cho DHCP Clients): IP 192.168.1.3 – trên máy này đang chạy dịch vụ WINS có trách nhiệm phân giải tên NetBIOS Name sang IP mà không phải sử dụng BroadCast. WINS tăng tính Performance cho hệ thống sử dụng tên PC dạng NetBIOS Name (hệ thống sử dụng Legacy Clients – Win 9x, NT4…) Một DHCP Server có thể tạo nhiều Scope, Admin muốn sử dụng Scope nào chỉ việc Activate Scope đó lên, khi không cần có thể De-activate Scope: Click FINISH để kết thúc quá trình cấu hình DHCP Server: Chúng ta có thể dạo qua DHCP Consol sau khi cấu hình xong để làm quen với các thành phần bên trong Console này. CHỨNG THỰC DHCP TRONG ACTIVE DIRECTORY: Nếu máy tính Windows Server 2003 chạy dịch vụ DHCP trên đó lại làm việc trong một domain (có thể là một Server thành viên bình thường hoặc là một máy điều khiển vùng), dịch vụ muốn có thể hoạt động bình thường thì phải được chứng thực bằng Active Directory. Mục đích của việc chứng thực này là để không cho các Server không được chứng thực làm ảnh hưởng đến hoạt động mạng. Chỉ có những Windows 2003 DHCP seRver được chứng thực mới được phép hoạt động trên mạng. Giả sử có một nhân viên nào đó cài đặt dịch vụ DHCP và cấp những thông tin TCP/IP không chính xác. DHCP Server của nhân viên này không thể hoạt động được (do không được quản trị mạng cho phép) và do đó không ảnh hưởng đến hoạt động trên mạng. Chỉ có Windows 2003 DHCP Server mới cần được chứng thực trong Active Directory. Còn các DHCP server chạy trên các hệ điều hành khác như Windows NT, UNIX, … thì không cần phải chứng thực. Trong trường hợp máy Windows Server 2003 làm DHCP Server không nằm trong một domain thì cũng không cần phải chứng thực trong Active Directory. Chúng ta có thể sử dụng công cụ quản trị DHCP để tiến hành việc chứng thực một DHCP Server. Các bước thực hiện như sau: Để chứng thực DHCP ta làm theo bước sau: Click chuột phải vào tên server cần chứng thực sau đó ta chọn Authorize: CẤU HÌNH CHO CLIENT SỬ DỤNG IP ĐỘNG: Mở Properties của Network connection → Properties của Internet Protocol (TCP/IP) → xuất hiện hộp thoại, chọn tab General → click chọn Obtain an IP address automatically. Nếu chúng ta muốn cấp một địa chỉ DNS server bằng DHCP thì click chọn Obtain DNS server address automatically: Trên Client, cấu hình Obtain IP xong, chúng ta thực hiện nhanh bằng cách sử dụng lệnh ipconfig /renew trong cmd để xin cấu hình IP mới. Clients phải mất một khoảng thời gian để tìm và xin IP từ DHCP Server. Cuối cùng , để kiểm tra lại cấu hình IP sau khi được cấp phát ta sử dụng lệnh ipconfig /all. CẤU HÌNH DHCP OPTIONS, SCOPE OPTIONS VÀ RESERVATION: Cấu hình DHCP Reservations bằng cách lấy địa chỉ MAC của một vài Clients, tạo Reservations mới. Reservations phục vụ cho mục đích lựa chọn IP và cấp IP cố định cho một Client nào đó. Ví dụ nhân viên 1 trong công ty sử dụng LAPTOP có địa chỉ MAC Address 00002F 1ABF6D và Admin muốn nhân viên này mỗi khi xin IP từ DHCP Server đều mang duy nhất địa chỉ IP 192.168.1.99 và có DNS Server chỉ định trực tiếp ra ISP 210.245.31.130. Muốn thực hịên chức năng này trên một máy đơn lẻ, Admin có thể sử dụng Reservation trên DHCP Server Console. Cấu hình các tham số trong cửa sổ Reservation Chú ý phải điền đúng địa chỉ MAC Address của Client cần cấp Reservation. Địa chỉ MAC Address được viết liên tục không có khoảng trắng hoặc dấu ngang (-) Bước tiếp theo, Admin phải cấu hình cho PC Reservation này chỉ định trực tiếp ra DNS của ISP 210.245.31.130 tức là cấu hình Reservation Options của riêng PC này. Reservation Options nếu không cấu hình, PC được cấp Reservation sẽ sử dụng Scope và DHCP Options. Chọn các Option muốn cấu hình riêng biệt cho Client này, và điền thông số cho Options đó. Ở đây, theo yêu cầu đưa ra, Admin chỉ càn cấu hình DNS chỉ định về 210.245.31.130 Quan sát kỹ trong phần OPTIONS của Reservation sẽ thấy DNS Server đã đổi, biểu tượng cũng đổi ; nhưng những thành phần khác như Router, DNS Domain Name vẫn không đổi? Những OPTIONS nào không cấu hình Reservation sẽ được lấy từ Scope Options đưa xuống. Quan sát qua Scope Options chúng ta sẽ thấy rõ hơn Scope Options sử dụng chung cho tất cả các Client trong Scope. Như vậy Reservation Options và Scope Option cái nào được ưu tiên hơn? Câu hỏi nhỏ này cho Admin tự trả lời. Kiểm chứng lại quá trình cấu hình Reservation bằng cách RELEASE và RENEW xin IP mới trên máy tính mang địa chỉ MAC Address 00002F 1ABF6D. Nếu cấu hình IP xin được 192.168.1.99 và DNS chỉ định ra ISP 210.245.31.130 là đúng Tạo và cấu hình một Scope: Để bắt đầu cấu hình một New Scope wizard, mở DHCP từ Administrative Tools, right click vào tên của DHCP server mà chúng ta muốn tạo ra New Scope và click New Scope. Ta sẽ có mô tả bảng thông số khi chúng ta tạo một new scope bằng New Scope Wizard như sau: + Name: Tên của scope. + Description: sự mô tả hay là nói rõ về cái scope chúng ta định tạo + Start IP address và End IP address: xác định một range của các địa chỉ mà DHCP server có thể cấp cho từ scope này. Để ngăn chặn các vấn đề duplicate (trùng) địa chỉ IP, không nên dùng cùng một địa chỉ IP trong hơn một scope. (ví dụ: Start IP address: 192.168.1.1, End IP address: 192.168.1.254) + Length hoặc Subnet mask: subnet mask để cấp cho DHCP client. Để cấu hình thông số này, nhập vào số bít mà nó làm subnet mask, hoặc là IP address của subnet mask (ví dụ: ứng với Start IP address bên trên thì Length là 24, hoặc subnet mask là: 255.255.255.0) + Exclussion address range (optional): chúng ta có thể xác định một hoặc nhiều hơn các range để loại ra từ scope. Những địa chỉ IP loại trừ này là không được cấp cho các DHCP client và dùng để tránh việc trùng IP address của các máy đóng vai trò như là một print server. + Lease duration: như đã đề cập ở trước đó là khoảng thời gian mà DHCP client được thuê trong khoảng thời gian là ngày, giờ, phút. Giá trị mặc định của nó là 8 ngày. Để có thể sửa lại được khoảng thời gian cho thuê là unlimited (vô thời hạn), chúng ta phải cấu hình scope properties sau khi đã tạo ra new scope bởi vì wizard không cung cấp option để cấu hình một unlimited scope. (chú ý: sau khi tạo scope, chúng ta không thể thay đổi subnet mask mà chúng ta đã định. Để thay đổi thông tin scope, chúng ta phải delete scope và tạo lại scope mới với thông tin chính xác) Các thuận lợi và trở ngại của việc thay đổi một khoảng thời gian thuê mặc định (8 ngày) + Giảm bớt thời gian thuê (< 8 ngày chẳng hạn): việc làm giảm thời gian thuê này cũng có cái hay là chúng ta sẽ cập nhật được thông tin cấu hình một khi có sự thay đổi một cách thường xuyên. Nhưng bên cạnh đó, nó cũng phát sinh ra vấn đề như sau, đó là sẽ dễ dẫn tới sự network traffic, và nếu DHCP server này "chết tạm thời" rồi thì sẽ ra sao, không được cấp IP khác cho nó chứ sao nữa. + Tăng thời gian thuê(>8 ngày chẳng hạn): nó sẽ ngược lại với việc giảm thời gian thuê, có nghĩa là nó sẽ làm giảm network traffic, sẽ tiếp tục hoạt động nếu DHCP server "chết" trong khoảng thời gian dài (down xuống để sửa chữa chẳng hạn). Nhưng việc này sẽ làm cho việc cập nhật sự thay đổi các thông tin sẽ không thường xuyên. + Không giới hạn thời gian thuê (unlimited): việc unlimited sẽ giúp cho mạng của ta chỉ bị network traffic ngay khi máy khởi động và cũng có nghĩa là nó chỉ cập nhật thông tin cấu hình lại mỗi khi nó được khởi động lại mà thôi. Kích hoạt một scope (Activating): Sau khi chúng ta tạo một scope, nó vẫn chưa hoạt động (chưa thể cấp IP address) chúng ta phải kích hoạt nó. Để kích hoạt một scope, trong DHCP, right click vào cái scope mà chúng ta vừa mới tạo và click Activate. (chú ý: để chắc rằng tấc cả các máy client nhận đúng thông tin cấu hình, chúng ta phải thiết lập các scope option cho đúng trước khi kích hoạt nó). Cấu hình một scope với các option: Chúng ta có thể cấu hình một scope để cung cấp các dạng thông tin cho DHCP lease. Ví dụ như là cấu hình một DHCP server và cung cấp cho nó địa chỉ của router để cho phép các client liên lạc được với nhau thông qua một subnet. Như bên trên, khi tạo một New Scope Wizard sẽ có các option để chọn như là router (Default Gateway), Domain name, DNS và WINS server. Các option được hỗ trợ bởi DHCP: + Địa chỉ IP của router: để cung cấp thông tin này, ta chỉnh 003 Router với IP address của một router mặc định. Router này thông thường được coi là một default gateway. + Địa chỉ IP của một hoặc nhiều tên DNS của các server có hiệu lực tới các client. Để cung cấp thông tin này, ta cấu hình 006 DNS Servers với IP address của một hoặc nhiều DNS server. + Tên miền của DNS: một tên miền DNS định nghĩa miền mà máy đó thuộc về. Các máy client có thể sử dụng thông tin này để update một DNS server. Để cung cấp thông tin này, cấu hình 015 DNS Domain Name với tên miền DNS đó. + Địa chỉ IP của một hay nhiều WINS server có hiệu lực tới các client: các client sử dụng một WINS server cho việc giải tên NETBIOS (Network Báic Input/Ouput System). Để cung cấp thông số này, cấu hình 044 WINS/NBNS Servers với một địa chỉ IP của một hay nhiều WINS server. + Sự giải tên từ NetBIOS qua TCP/IP: để đưa ra thông tin này, cấu hình 046 WINS/NBT node type với kiểu NetBIOS thích hợp. Kiểu giải tên xác định yêu cầu của các client sử dụng các server tên NetBIOS và sẽ broadcast đẻ giải tên từ tên NetBIOS sang IP address. Cấu hình việc thêm vào một scope option: + Mở DHCP từ Administrative Tools. Trong console tree, click vào tên của DHCP server mà chúng ta muốn thêm vào scope options. + Trong phần mở rộng của console tree, click vào Scope Options, và click Configure Options. + Trong hộp thoại Scope Options, trên General tab, trong hộp Available Options, chọn check box đến bên trái option mà chúng ta muốn. + Trong hộp Data entry, xác định thông tin cấu hình thích hợp cho option.  Cấu hình một địa chỉ cố định cho một client: Tại sao cần phải cố định một IP address cho một client? Điều này là cần thiết? Chúng ta cấu hình một địa chỉ cố định cho các client để giữ lại một địa chỉ xác định cho một máy DHCP client để mà các máy clien thường xuyên có cùng một địa chỉ. Ví dụ, chúng ta muốn cố định một IP address cho một máy làm Printer server hay là web server chẳng hạn. (chú ý: nếu mà trong mộ hình mạng của mình có nhiều hơn một DHCP server thì chúng ta phải cấu hình địa chỉ cố định đó cho DHCP client đó ở mỗi DHCP server. Điều này ngăn chặn việc client nhận được địa chỉ IP khác từ một DHCP server khác.) Cấu hình như sau: + Mở DHCP từ Administrative Tools menu. Trong nhánh console, mở rộng server mà chúng ta muốn config, mở rộng scope mà chúng ta muốn thêm vào đó một địa chỉ cố định và sau đó click và Reservations + Right click vào Reservation và click vào New Reservation. Trong hộp thoại New Reservation, trong Reservatopm name, nhập tên để xác nhận client đó (tên gì cũng được, nhatrangriver chẳng hạn). + Trong hộp IP address. đánh vào địa chỉ IP mà chúng ta muốn giữ lại cho một client. (ví dụ: 192.168.1.111 chẳng hạn) + Trong hộp MAC address, đánh vào địa chỉ MAC (Media Access Control) của card mạng của client mà mình muốn giữ lại IP cho client đó. (cái này mình đã đề cập trong phần 2 rồi, nhưng nhớ là bỏ mấy đấu "-" đi, ví dụ địa chỉ MAC là: 00a024e2b01a, và nhớ đánh chính xác MAC address nếu muốn giữ lại IP address cho đúng client) + Trong hộp Comment, đánh một lời chú thích cho client đó (ví dụ: This is Web server) + Trong hộp Supported types, click chọn phương pháp mà client sử dụng, và sau đó click vào Add. (ở đây BOOTP được dùng khi các client không thuộc về dòng hệ điều hành của Microsoft, ví dụ như khi chúng ta muốn Remote Installation Services (RIS) (cài đặt các dịch vụ từ xa) thì chúng ta sẽ phải sử dụng BOOTP thay vì DHCP). 2.3.Cấu hình DHCP Relay Agent: DHCP Relay Agent trong hệ thống mạng có 2 subnet : Mô hình: Hệ thống mạng bao gồm : + Một DHCP Server, có IP là 192.168.1.1, nối với Switch 1. Có nhiệm vụ cấp IP động cho 2 subnet A và B. Quản lý 2 scope là 192.168.1.x và 10.10.10x + Các client ở subnet A được cấp IP trong dãy 192.168.1.x + Một DHCP Relay, có 2 card mạng, card mạng thứ 1 có IP là 192.168.1.2 nối với Switch 1 ( nối với subnet A). Card mạng thứ 2 có IP là 10.10.10.1 nối với Switch 2 (nối với subnet B). + Các client ở subnet B được cấp IP trong dãy 10.10.10.x Cấu hình : * Trên DHCP Server - Ta chỉ cần cấu hình 2 scope. - Trong phần Scope option của Scope dành cho subnet A ta cấu hình mục thêm 003Router là 192.168.1.2 ( địa chỉ của DHCP Relay). * Trên DHCP Relay Agent : - Ta cần Enable Routing and Remote Access : + Start/ Program/ Administrator Tool/ Rounting and Remote AccessClick phải vào tên máy, chọn Configure and Enable Routing and Remote Access + Chọn Next, chọn Custom Configuration, chọn tiếp LAN Routing. Chọn Next làm các bước tiếp theo, sau đó click Finish để hoàn thành. Chọn IP Routing / General/ Click phải chọn New Routing Protocol/ Trong New Routing Protocol chọn DHCP Relay Agent - Chọn DHCP Relay Agent/ Click phải chọn New Interface - Chọn card mạng nối với subnet muốn cấp, ở đây là card mạng nối với Switch 2 Tiếp theo, click phải vào DHCP Relay Agent, chọn Propertives. - Tại ô Server address, gõ IP của DHCP Server. Chọn OK để hoàn thành. * DHCP Relay Agent trong hệ thống mạng có 3 subnet : Mô hình: Hệ thống mạng bao gồm : + Một DHCP Server, có IP là 192.168.1.1, nối với Switch 1. Có nhiệm vụ cấp IP động cho 3 subnet A, B và C. Quản lý 3 scope là 192.168.1.x, 10.10.10x và 172.16.16.x + DHCP Relay 1, có 2 card mạng, card mạng thứ 1 có IP là 192.168.1.2 nối với Switch 1 ( nối với subnet A). Card mạng thứ 2 có IP là 10.10.10.1 nối với Switch 2 (nối với subnet B). + DHCP Relay 2, có 2 card mạng, card mạng thứ 1 có IP là 10.10.10.2 nối với Switch 2 ( nối với subnet B). Card mạng thứ 2 có IP là 172.16.16.1 nối với Switch 3 (nối với subnet ). + Các client ở subnet A được cấp IP trong dãy 192.168.1.x + Các client ở subnet B được cấp IP trong dãy 10.10.10.x + Các client ở subnet C được cấp IP trong dãy 172.16.16.x Cấu hình : * Trên DHCP Server - Ta chỉ cần cấu hình 3 scope. - Trong phần Scope option của Scope dành cho subnet A ta cấu hình mục thêm 003Router là 192.168.1.2 ( địa chỉ của DHCP Relay 1) . - Trong phần Scope option của Scope dành cho subnet B ta cấu hình mục thêm 003Router là 10.10.10.2 ( địa chỉ của DHCP Relay 2) . * Trên DHCP Relay Agent : - Cấu hình trên 2 máy chạy DHCP Relay Agent 1 và DHCP Relay Agent 1 cũng giống như cách cấu hình DHCP Relay Agent trong hệ thống mạng có 2 subnet ở trên. - Bên cạnh đó, ta cần phải cấu hình trong mục Static Routes. 3. Quản lý dịch vụ DHCP: 3.1. Quản lý Database của DHCP Server: Cài đặt cấu hình dịch vụ DHCP là một phần của giải pháp mạng. Vì môi trường làm việc của dịch vụ DHCP là động, thay đổi liên tục. Vậy nên việc theo dõi hoạt động này là cần thiết tránh những sự cố có thể xảy ra trong hệ thống mạng. Cấu hình mặc định của Windows Server 2003 thì cơ sở dữ liệu của DHCP được lưu theo đường dẫn : %SystemRoot% \ System32 \ DHCP Đồng bộ dữ liệu: thông thường khi có một số thay đổi về thông tin trong hệ thống mạng hoặc sau khi phục hồi dữ liệu của DHCP thì sự đồng bộ diễn ra chưa kịp thời nên gây ra những sai sót. Để khắc phục ta tiến hành đồng bộ trên hệ thống. Khi đi tiến hành đồng bộ dữ liệu dịch vụ DHCP sẽ tổng hợp 2 thông tin từ Registry và trong cơ sở dữ liệu để tổng hợp chính xác các thông số cấu hình hiện tại. Ta có thể thấy trong Console quản lý. 3.2. Sao lưu và phục hồi dịch vụ DHCP: Backup Database DHCP: Người thực hiện : Domain Admin, DHCP Admin, Local Admin, Backup Operator. Vào Start à Run gõ lệnh dhcpmgmt.msc Chuột phải vào DHCP Server --> Chọn Backup Chỉ đường dẫn để lưu trữ Database của DHCP Server Nhấn OK để hoàn tất backup. Restore Database DHCP: Người thực hiện : Domain Admin, DHCP Admin, Local Admin, Backup Operator. Vào Start --> Run gõ lệnh dhcpmgmt.msc Chuột phải vào DHCP Server --> chọn Restore Chỉ đường dẫn đến thư mục đã backup dhcp trước đó --> OK Hệ thống sẽ yêu cầu stop và sau đó sẽ restart lại dịch vụ DHCP --> OK Refesh lại DHCP, tiếp đến chuột phải vào DHCP Server chọn Reconcile All Scopes để đồng bộ hóa giữa Database và Registry. Ok, đến đây công việc khôi phục Database trên DHCP đã hoàn thành 3.3. Giám sát hoạt động của DHCP: Chúng ta có thể sử dụng công cụ Event Viewer nằm trong thư mục Administrative Tools để giám sát hoạt động của DHCP. Event Viewer lưu trữ các sự kiện của system, application và security. Tất cả các sự kiện giám sát hoạt động của DHCP được ghi nhận trong security log. Các thông tin này ghi nhận cả hoạt động của dịch vụ DHCP và DHCP Server, ví dụ như DHCP Server được start và stop vào lúc nào, dãy IP cấp cho client gần cạn kiệt vào lúc nào, database của DHCP bị lỗi vào lúc nào. Dùng các file log theo dõi sự hoạt động hàng ngày. Các File Log ghi nhận mỗi 24 giờ : a) Khi DHCP Server vừa khởi động hoặc qua ngày mới (sau 12h đêm) DHCP Server sẽ ghi nhận sự kiện mới lên File Log. Có 2 trường hợp có thể xảy ra : + Nếu File Log đang có cũ hơn 24h thì DHCP Server sẽ ghi đè lên dữ liệu này. + Nếu File Log ghi nhận sự kiện chưa quá 24h thì DHCP Server sẽ ghi nối tiếp. b) Sau khi các dữ liệu bắt đầu ghi nhận thì ta nên kiểm tra xem sự hoạt động các File Log có kích hoạt chưa, dung lượng các file log có tăng đột biến hay không, kiểm tra chính xác ngày giờ hệ thống, dung lượng đĩa cứng có đủ để lưu File Log hay không. + Ở trạng thái mặc định thì các File Log chỉ lưu 50 sự kiện. + Nếu dung lượng ổ cứng không đủ nhu cầu tối thiểu là 20 megabytes thì các File Log dừng lại không ghi tiếp. + Trong Registry cũng quy định không cho các File Log ghi quá 1/7 dung lượng trống trên Server (không quá 10MB nếu dung lượng trống trên Server là 70MB).Trong trường hợp này DHCP Server sẽ đóng các File Log đang có và từ chối ghi nhận sự kiện tiếp theo. Mỗi một sự kiện trong log được đánh một mã số (ID number) riêng biệt với nhau. Sau đây là một vài ID sự kiện thường gặp trong system log của DHCP : Event ID 1037 (Information): cho biết DHCP Server đã xóa sạch cơ sở dữ liệu. Event ID 1044 (Information): cho biết DHCP Server được ủy quyền (authorized) để có thể cung cấp địa chỉ IP cho client. Event ID 1042 (Warning): cho biết dịch vụ DHCP đang chạy trên hệ thống thì phát hiện có dịch vụ DHCP khác cũng được chạy trên mạng (tức là có 2 máy tính chạy dịch vụ DHCP trong hệ thống). Event ID 1056 (Warning): cho biết dịch vụ DHCP được chạy trên máy chủ Domain Controller nhưng nó không được cấu hình để cập nhật DNS động. Event ID 1046 (Error): cho biết dịch vụ DHCP chạy trên Server này chưa được ủy quyền (authorized) để có thể cung cấp IP động cho client. 4. Bảo mật trong dịch vụ DHCP 4.1. Bảo mật cơ bản cho DHCP Server: Bảo mật về mặt vật lý cho các máy chủ DHCP (physically secure) Nên sử dụng hệ thống file NTFS để lưu trữ dữ liệu hệ thống. Triển khai và ứng dụng các giải pháp anti-virus mạnh cho hệ thống. Thường xuyên cập nhật các bản vá lỗi cho các phần mềm và Windows. Các dịch vụ hay các phần mềm không sử dụng thì nên xóa hoặc uninstall đi. Thực hiện việc quản lý DHCP với user có quyền hạn tối thiểu nhất. DHCP Server phải được đặt phía sau firewall. Đóng tất cả các port không sử dụng đến. Để tăng thêm tính bảo mật cho DHCP Server, ta có thể sử dụng VPN tunnel để bảo mật traffic DHCP. Sử dụng filter MAC Address. Giám sát hoạt động của DHCP bằng cách xem qua các file log và xem thông tin thống kê của hệ thống trên DHCP Server. 4.2. Ngăn chặn một số kiểu tấn công đối với DHCP: Như chúng ta đã biết, hầu hết dịch vụ DNS và DHCP mặc định không được bảo mật. Lợi dụng điều này, các attacker có thể tiến hành tấn công các máy chủ chạy dịch vụ DNS và DHCP. Đối với dịch vụ DHCP thì các kiểu tấn công mà attacker có thể thực hiện đó là : Tấn công từ chối dịch vụ bằng cách “vét cạn” tất cả các giá trị mà DHCP có thể cấp cho client Khi DHCP Server nhận được một DHCP request từ client, DHCP Server sẽ cung cấp cho client đó một địa chỉ IP nằm trong dãy IP mà nó được phép cấp. Vì không có cơ chế chứng thực trong quá trình này, các attacker có thể dễ dàng tấn công làm ngưng dịch vụ này trên DHCP Server. Attacker có thể thực hiện được việc này bằng cách gửi một lượng lớn DHCP request với các giá trị MAC address thay đổi liên tục đến DHCP Server. Khi DHCP Server nhận được các request với các MAC address khác nhau, DHCP sẽ cấp một giá trị IP ứng với mỗi request đó. Vì số lượng địa chỉ IP có giới hạn nên chỉ cần một lượng request tương đối là attacker có thể đăng ký hết số lượng IP này trên DHCP. Kết quả là các request hợp lệ của client sẽ không được DHCP Server cung cấp IP vì lúc này dịch vụ DHCP sẽ không còn phục vụ cho người đến sau. Đây là kiểu tấn công từ chối dịch vụ DHCP dễ dàng nhất mà attacker có thể thực hiện. Điều đáng nói ở đây là kẻ tấn công chỉ cần rất ít thời gian và bandwidth là có thể thực hiện được việc tấn công này. Tuy nhiên, kiểu tấn công này có thể khắc phục được bằng cách sử dụng các switch có tính năng bảo mật của Cisco. Các switch này sẽ giới hạn số lượng MAC address có thể sử dụng trên một port. Mục đích là để ngăn chặn việc trong một khoản thời gian giới hạn, một port của nó có quá nhiều MAC address được phép sử dụng. Nếu vượt qua quy định này, port đó sẽ shutdown ngay lặp tức. Thời gian để port này có thể hoạt động lại tùy thuộc vào giá trị mặc định hoặc do người quản trị mạng thiết lặp. Bằng cách này, thiết bị này có thể ngưng kiểu tấn công vét cạn đối với dịch vụ DHCP. Tấn công theo kiểu Man-in-the-middle bằng việc sử dụng DHCP Server giả mạo Như chúng ta đã biết, DHCP không yêu cầu chứng thực trong quá trình cấp phát IP cho client và DHCP client không biết địa chỉ IP của DHCP Server trong quá trình xin cấp IP. Lợi dụng việc này, attacker có thể xây dựng một DHCP Server giả mạo (Rogue DHCP Server), mục đích là cung cấp địa chỉ Default Gateway giả mạo (địa chỉ IP này là của attacker hoặc một máy tính nào đó được đặt dưới sự kiểm soát của attacker) cho DHCP client. Việc này cho phép attacker có thể xem trộm nội dung gói tin. Các bước tiến hành như sau : 1. Đầu tiên, attacker xây dựng một DHCP giả mạo với đầy đủ các thông số để cấp cho client. 2. Khi một DHCP client broadcast một gói tin DHCPDISCOVERY, cả hai DHCP hợp lệ và DHCP giả mạo cùng gửi gói tin DHCPOFFER đến client. 3. Client sẽ tiếp nhận gói tin nào đến trước, nếu gói tin của DHCP Server hợp lệ đến trước thì quá trình tấn công theo dạng này sẽ thất bại. Do đó để chắc chắn rằng client sẽ nhận được gói tin do DHCP Server giả mạo cấp, attacker thường tiến hành tấn công từ chối dịch vụ theo kiểu “vét cạn” đối với DHCP Server thật. 4. Trong gói tin response đến client, địa chỉ Default Gateway lại chỉ về máy tính cho attacker kiểm soát. 5. Sau đó, khi nào client gửi gói tin cho mạng bên ngoài (thường là internet). Gói tin này sẽ được chuyển tiếp đến cho máy tính có địa chỉ Default Gateway giả mạo và nội dung bên trong bị xem trộm. Sau khi xem trộm nội dung, gói tin sẽ được forward đến Default Gateway thật. Nhưng khuyết điểm của kiểu tấn công này là, attacker chỉ có thể xem trộm gói tin theo chiều từ client gửi đi mà thôi, chiều ngược lại từ bên ngoài gửi đến client thì attacker hoàn toàn không biết. Để khắc phục kiểu tấn công này, các thiết bị switch của Cisco cung cấp tính năng bảo mật dành cho DHCP. Tính năng này được gọi là DHCP snooping, bằng cách chỉ cho kết nối đến DHCP trên một hoặc một số port nhất định mà thôi. Các port này được gọi là trusted port, chỉ có những port này mới cho phép gói tin DHCP response hoạt động. Port này được người quản trị mạng kết nối đến DHCP Server thật trong mạng. Mục đích là ngăn chặn không cho DHCP giả mạo hoạt động trên những port còn lại. Tấn công man-in-the-middle bằng cách sử dụng DHCP Server giả mạo Tấn công theo kiểu DNS redirect bằng cách sử dụng DHCP Server giả mạo Đây là kiểu tấn công rất thông dụng của phương pháp man-in-the-middle. Thay vì giả mạo địa chỉ Default Gateway, DHCP Server giả mạo sẽ cung cấp địa chỉ IP của DNS Server giả. Trên DNS Server này chứa các thông tin phân giải tên đã bị “nhiễm bẩn” (DNS Server nằm trong sự kiểm soát của attacker). Khi người dùng muốn phân giải tên địa chỉ First Place - Your First Place on the Internet. DNS Server giả mạo sẽ dẫn client đến địa chỉ 99.99.99.99 là website giả được dựng lên bởi attacker. Bằng cách giả mạo trang chủ giống y website thật là First Place - Your First Place on the Internet. Attacker có thể capture các thông tin nhạy cảm như user id và mật khẩu. Sau khi nhận được thông tin này, website giả mạo sẽ thông báo đăng nhập sai, sau đó sẽ redirect đến website First Place - Your First Place on the Internet thật. Tấn công theo kiểu DNS redirect bằng cách sử dụng DHCP Server giả mạo 4.3. Một số vấn đề cần lưu ý: Có các trường hợp Client tự cài dịch vụ DHCP trong hệ thống mạng(DHCP Server giả mạo) điều này gây ảnh hưởng đến các Client muốn được cấp IP nhưng nằm xa vị trí DHCP Server thật sự. Do tính hiệu xin và cấp địa chỉ IP là Broadcast nên sẽ có trường hợp Client nhận không đúng thông số IP do DHCP Server giả mạo cấp. Ta cần rà soát kỹ trong hệ thống mạng của mình. Các thiết bị phần cứng như Router ADSL,Wireless.. cũng có khả năng cấp địa chỉ IP, do đó cần tắt chức năng cấp IP động trên các thiết bị trước khi đưa vào sử dụng. Chỉ có thành viên của nhóm DHCP Administrators mới cấu hình và sử đung các tính năng trong dịch vụ DHCP. Chỉ cần cung cấp đủ quyền cho các đối tượng liên quan đến quản lý duy trì hoạt động của dịch vụ này. PHẦN III: Kết luận và kiến nghị Qua đề tài tìm hiểu về DHCP server chúng em biết được khái niệm DHCP, cách thức mà DHCP hoạt động, cấu hình đơn giản trên hệ thống nhỏ. Cũng qua đề tài này chúng em biết được cách thức quản lý dịch vụ DHCP và các kiểu tấn công vào dịch vụ này của các hacker … Nhờ đề tài này mà chúng em biết được dịch vụ DHCP đang được sử dụng hàng ngày trong đời sống. Qua đó thấy được sự hữu ích của DHCP, nhờ nó mà người quản trị mạng, người dùng không cần thiết phải mất thời gian, ghi nhớ để cấu hình để truy cập được vào internet, nối các máy trong mạng LAN. Nó được ứng dụng ngay trong cuộc sống xung quanh: Nối máy tính trực tiếp với modem, các mạng LAN trong quán Net, trường học, công ty … Phần IV: Tài liệu tham khảo 1. Nguyễn Thanh Sang - Tìm hiểu DHCP (thegioimang.org) 2. Cài đặt và cấu hình DHCP 3. Triển khai DHCP 4. Lý thuyết DHCP 5. www.wikipedia.org

Các file đính kèm theo tài liệu này:

  • docDHCP Server.doc