a dhcp rejtett szépségei – i

7/23/2019 A DHCP rejtett szpsgei I.

1/32

NetAcademia-tudstr

Ez a dokumentum a NetAcademia Kft. tulajdona. Vltoztats nlkl szabadon terjeszthet. 2000-2003, NetAcademia Kft.

1

A DHCP rejtett szpsgei I.

Szinte minden TCP/IP hlzat rendelkezik DHCP szolgltatssal. Ez az alkalmazshttrbe hzdik, a felhasznlk sohasem tallkoznak vele, s ha jl mkdik, a

rendszergazdk is csak hbe-hba vetnek r pillantst. Itt is rvnyes az koriblcsessg: ami nem lthat, az fontosabb, mint ami lthat.

Az Internet elterjedse technikai rtelemben a TCP/IP protokollcsald szles kr alkalmazst jelenti. Szemben azonbanms protokollokkal, amelyek nem ignyelnek klnsebb konfigurlst, a TCP/IP negyedik verzija csak akkor nyeri elrobosztussgt, ha az zemeltetk precz belltsokat vgeznek rajta. Ha igen sok lloms dolgozik egy hlzatban, abelltsok sokszorosan terhelik a rendszergazdt. Kzzel kellene azokat vgezni, mghozz a helysznen, hiszen csak akonfigurci utn lehet hlzati kapcsolatot ltrehozni, msrszt a szabvny megkveteli, hogy minden lloms egyedi IP-cmmel rendelkezzk, - ezt csak precz s napraksz nyilvntartssal lehet biztostani. Az adatbzist folyton frisstenikellene, amikor egy j gp rkezik, vagy egy eszkzt az egyik hlzatbl a msikba kell kltztetni. A problmahalmazra avlasz a DHCP szolgltats kialaktsa. A Dynamic Host Configuration Protocol, vagyis a dinamikus cmkonfigurcis eljrskpes automatikusan az gyfelek szmra egyedi IP-cmeket osztani. A DHCP egy szabvny (RFC), brmely opercisrendszer hasznlhatja, ha ismeri. Ma mr taln nincs is olyan, amelyiket ne ksztettek volna fel a cmek automatikuskezelsre. Akr egy Windows for Workgroups 3.11, egy Linux, vagy egy OS/2 is lehet gyfl. A kliensek viselkedse

klnbz helyzetekben skonfigurcis ignyei eltrek lehetnek, ahogy ezt ksbb majd ltni fogjuk.

DHCP alapokA DHCP-szabvny megrtshez nhny TCP/IP alapfogalmat preczen ismerni kell. Ezek a kvetkezk: IP-cm, alhlzatimaszk, alaprtelmezett tjr, szrt zenet (broadcast), tvlaszt (router). Lakonikus tmrsggel nzzk, mi mit jelent.IP-cm:ngy szmjegybl ll, az adott llomst a hlzaton egyrtelmen azonost egyedi cm. A cm kt rszbl ll: ahlzati cmbl s az lloms cmbl. Rnzsre nem llapthat meg, hogy hol r vget az egyik, s hol kezddik a msik.Pl.: 172.16.3.14Alhlzati maszk:az a szm, amely meghatrozza, hogy az IP-cm mely rsze hlzati, s mely rsze llomscm. Enneksegtsgvel lehet megllaptani egy msik IP-cmrl, hogy az a mi hlzatunkba tartozik-e vagy sem. Pl: 255.255.0.0Alaprtelmezett tjr:ha egy olyan cmre kell csomagokat kldeni, amely nem a mi hlzatunkban van, az llomsok azalaprtelmezett tjr fel tovbbtjk az adatokat. A valsgban az alaprtelemzett tjrk tbbnyire tvlasztk (routerek) .Szrt zenet (broadcast):egy specilis csomag, amelyet minden lloms megkap, s fel is dolgoz. A szrt zenetek nem

jutnak t az tvlasztn, mivel ltalban loklis jelentsgk van. Ethernet hlzaton a szrt zenet MAC clcme FF-FF-FF-FF-FF-FF.

tvlaszt (router):egy olyan specilis lloms, amely kett vagy ennl tbb IP-alhlzatot kapcsol ssze, s rendelkezikazzal a kpessggel, hogy az egyik hlzatbl rkezett csomagot a megfelel tvonalat kivlasztva egy msik hlzatba

juttatja.Az alapvet TCP/IP fogalmak mellett meg kell bartkoznunk nhny specilis, a DHCP szabvnyra vagy kiszolglrajellemz defincival is.Scope: Egy folytonos cmtartomny (Pl.: 10.10.10.1-10.10.10.254), amelybl a DHCP kiszolgl cmeket oszt azgyfeleknek. (Egy vdr IP-cm a szerk.) Egyszerbb esetekben a scope egy alhlzatot reprezentl.Superscope:Tbb scope rendszergazdk ltal meghatrozott csoportja, amely kpes tbb logikai alhlzat kezelsre egyfizikai alhlzaton.Exclusion range:Azon cmek listja, tartomnya, amelyeket a DHCP kiszolgl nem fog kiajnlani az gyfeleknekpldulmert mr foglaltak.Address pool:A cmtartomny kioszthat rsze.Lease (brlet): a DHCP szerver ltal meghatrozott idszak, amely id alatt egy gyfl hasznlhatja a szervertl kapottcmet. A brletet meg kell jtani, klnben lejr s tovbb nem hasznlhat. A kiadott brlet aktv. Ha nem trtnik

megjts, a brlet aktv llapotbl felhasznlhat (szabad) llapotba kerl, vagyis egy msik lloms szmra kiadhatvvlik.Reservation (lefoglals):lland cm hozzrendelse egy gyflhez. Ezzel biztostani lehet, hogy egy adott eszkznekmindig ugyanaz marad az IP-cme.Option types:Az gyfeleknek tadand konfigurcis paramter. ltalban egy scope-hoz adunk meg opcikat, delteznek ms lehetsgek is.Option classes: Egy msik mdszer, hogy az gyfelek rszre konfigurcis belltsokat adjunk ki. Az IP-cmet ignylrendszerek tisztban vannak a sajt gyrtjukkal s egyb tulajdonsgaikkal, ezek alapjn specilis konfigurcisbelltsokat is megrtenek. Az adott osztlyba tartoz gyfelek rvnyesteni fogjk a belltsokat, msokra viszonthatstalan lesz.


2/32

NetAcademia-tudstr


2

A cmkioszts clja s elveiA DHCP szolgltats legfontosabb feladata, hogy egyedi cmekkel lssa el azokataz llomsokat, amelyek ezt ignylik. Acmeket egy elre kijellt cmtartomnybl, a scope-bl veszi. A folyamat szpsge abban rejlik, hogy megold egyparadoxont: miknt lehet egy llomssal TCP/IP szabvny szerint kommuniklni gy, hogy az nem rendelke zik IP-cmmel,ergo kptelen a kommunikcira. A megolds a szrt zenetek alkalmazsa. Ez az egyetlen csomagtpus, amelyet mindenlloms feldolgoz, s csak a csomag tartalma alapjn dnti el, az vajon neki szl-e vagy sem. Lssuk pontosan a folyamatot.

Az IP-cmkioszts menetrendjeEgy lloms indulsakorrzkeli, hogy az zemeltetk statikus IP konfigurci helyett dinamikus cm krsre lltottk. A68-as UPD-forrsportrl a 67-es UDP-clportra egy n. DHCP-Discover (DHCP-felfedezs) szrt zenetet indt a hln. Acsomag clja, hogy az lloms felhvja magra a figyelmet, s arra krje az ilyen csomagokat figyel DHCP -kiszolglkat,hogy ajnljanak fel szmra cmet.

Az gyfl s a DHCP szerver kezdeti csomagvltsai

A szerver vagy szerverek az zenetet feldolgozzk, s szintn broadcast mdszerrel elkldik felajnlsukat (feltve, ha vankioszthat cmk). Ezt a csomagot nevezzk DHCP-Offernek (DHCP ajnlat).

A berkezett ajnlatbl vagy ajnlatokbl az lloms kivlasztja a neki megfelelt, s mg mindig a szrt zenettpusthasznlva egy DHCP-Request (DHCP krs) csomagot kld el a hlzaton. A csomagban elhelyezi annak a szervernek azazonostjt, amelytl a cmet kri. A szrt zenet azrt hasznos, mert br az lloms mr tudja a kivlasztott szerver cmt,a broadcast csomaggal knnyen rtestheti a tbbi szervert a vlasztsrl, gy azok erre a szrt zenetre gy reaglnak,hogy korbbi ajnlatukat visszavonjk. A visszavons nem jr hlzati forgalommal, csupn a felajnlott cm kerl jrafelajnlhat sttuszba.Ha a DHCP-szerver elfogadja a krst, egy DHCP-Acknowledgement (DHCP-jvhagys) csomaggal nyugtzza az gyflfel, tovbbra is szrt zenettel. Ekkor kapja meg az gyfl az egyb DHCP -opcikat is. A kiszolgl rgzti klienselegfontosabb adatait az adatbzisban, tbbek kztt a host nevt, MAC-cmt, s a brlet lejratnak idpontjt.

Igen ritka esetben az is elfordulhat, hogy nem fogadja el a szerver a krst (pldul mert egy msik szmtgp gyorsabbvolt s elbb elhappolta a cmet), ekkor egy negative acknowledgement (DHCP-Nack) csomagot kap az IP-cmet kr gp,amely azutn jrakezdi az eljrst.Ltnunk kell, hogy nem igazn vagy nem csupn egy IP-cmet kap a szmtgpnk, inkbb egy engedlyt arravonatkozan, hogy egy meghatrozott ideig hasznlhat egy adott IP-cmet nhny tovbbi paramterrel egytt. Ebblkvetkezik, hogy nem a fenti az egyetlen kommunikci a DHCP-szerver s az gyfl kztt.

Kommunikci a DHCP-szerverrelAz IP-cm boldog tulajdonosa legkzelebb egy jraindtskor fog kapcsolatba lpni a cmkioszt szolgltatssal. Azt vrnnk,hogy a fentiekkel teljesen megegyez prbeszd zajlik majd le, de tvednk. Az gyfelek ugyanis eltroljk a brletrevonatkoz sszes informcit, vagyis tisztban vannak azzal, hogy ket megilleti egy cm. Ezrt indulskorDHCP-Discoverhelyett egy DHCP-Request csomagot kldenek, amelyben a korbban mr elnyert IP-cmet krik clzottzenet formjban,megsprolva kt csomagot, nmiidts svszlessget. A kiszolgl ezt rendesen DHCP-ACK zenettel nyugtzza, s azlet megy tovbb.Ha azonban a ki- s bekapcsols kztt fontos vltozsok trtntek, pldul a hordozhat gpnket egy msik telephelyenkapcsoltuk be, ms eredmnye lesz a csomagvltsnak. Az j alhlzatban a msik DHCP -szerver megkapja a DHCP-Request csomagot, mert a szrt zenetet fel kell dolgoznia. Mivel a krt cm nem az hlzatbl val, DHCP -Nackcsomaggal vlaszol a krsre. Az gyfl ezutn elfelejti a korbbi cmt, s egy szablyos IP -cm ignylsbe kezd. No, smi van, ha a notebook-ot az otthoni hlzatba kapcsoltam be, ahol nincs is DHCP szerver?

A szituciban a klnbz opercis rendszerek eltr mdon viselkednek. Ha a rendszer Windows 95, vagy Windows NT4.0, esetleg ezeknl korbbi vltozat, az gyflszoftver azt felttelezi, hogy nem vltozott a helyzete, csak a DHCP-szervernem rhetel!A vlasz nlkl maradt DHCP-Request csomag arra kszteti az gyfelet, hogy ellenrizze, rvnyes-e mg abrlete. Amennyiben a vlasz igen, a rendszer a korbban megkapott IP belltsokkal elindul. Ha a brlet mr nemrvnyes, a hlzati protokollt nem tlti be a szoftver.


3/32

NetAcademia-tudstr


3

Windows 98-tl felfel, valamint Windows 2000-nl s Windows XP-nl mr okosabbak az eszkzk. Ha nem jn vlasz aDHCP-Request csomagra, az opercis rendszer ksrletet tesz arra, hogy eldntse, vajon a helyn van -e mg s csak aDHCP-kiszolgl nem rhet el, vagy egy j hlzatban mkdik, ahol nincs DHCP-szolgltats. A trkk egyszer, egyICMP (ping) csomagot kld az alaprtelmezett tjr fel. Ha vlaszt kap, a rendszer ott bredt fel, ahol kikapcsoltk, s aDHCP-szolgltatssal van problma. Ellenkez esetben, teht ha az tjr sem vlaszol, a felttelezs az, hogy nem a sajthelyn indtottk a rendszert ekkor hasznlja a szoftver az APIPA kpessgt. Tegynk egy kis kitrt, s nzzk meg,mirl van sz.

Csinld magad DHCP: az APIPA

A rvidts az Automatic Private Internet Protocol Addressing kifejezs rvidtse, magyarul automatikus magn IP-cmkiosztsi eljrs. A Microsoft otthoni s kisebb irodai hlzatokhoz vezette be a mg csak draft formjban ltezAPIPA-t,olyan helyekre, ahol bizonyosan nincs kiszolgl, mert nem rn meg, s nincs szaktuds sem a hlzat konfigurlsra.

Az APIPA mkdse egyszer: ha indulskor az opercis rendszer nem tall DHCP kiszolglt, a draft ltal lefoglalt, B-tpus IP-cmtartomnybl (169.254.0.0, subnet mask: 255.255.0.0) vletlenszeren kivlaszt egy cmet, meggyzdik arrl,hogy azt ms nem hasznlja, majd elindul. A meggyzds annyit tesz, hogy egy ICMP csomagot indt a kivlasztott cmfel. Ha rkezik r vlasz, mr ltezik a cm a hlzatban, teht msikat kell keresni. Tzszer prbl gy cmhez jutni, stekintve, hogy 65535 a lehetsges cmek szma, kicsi az eslye, hogy nem tallja meg az igazit.

Az automatikusan meghatrozott cmhez azutn nem ragaszkodik, s minden tdik percben kibocst egy DHCP-Discovercsomagot, htha meggondoltk magukat az zemeltetk s mkdkpes llapotba hoztak egy cmkioszt szolgltatst.

A DHCP s az APIPA azrt fr meg egyms mellett, mert azopercis rendszer el tudja dnteni, hogy milyen szitucibanvan. Ha korbban mr kapott IP-cmet, most pedig nem, ugyanakkor az alaprtelmezett tjr mkdik, vlheten a DHCP -szerver ll. Sebaj, a korbban kapott, s rvnyes brletet lehet hasznlni.Ha az alaprtelmezett tjr sem mkdik, gynincs is DHCP a kzelben. Sebaj, ad magnak cmet az APIPA eljrssal. gy vagy gy, de az gyfl IP -cmhez jut. Persze,ha olyan rgta nincs mr DHCP-szolgltats, hogy a brlet lejrt, a rendszergazdk szndka ellenre az APIPAsegtsgvel led fel a hlzat, de ez mr nem az opercis rendszer felelssge.

Tovbbi DHCP-zenetvltsokA brlet egy meghatrozott idtartamra vonatkozik, a brlet lejrati dtummal rendelkezik. Az idtartamba beletartozik akikapcsolt llapotban eltlttt id is. Ha eltelik a brleti id fele, az gyfl egy megjtsi krelmet kld annak a DHCP -kiszolglnak, amelytl a cmet kapta. Nincs szksg szrt csomagokra, az zenetvlts kzvetlen. Ha nincs vlasz, 4, 8,majd 16 msodperccel ksbb jra prblkozik az gyfl. A szerver egy DHCP-Ack csomaggal jelzi, hogy elfogadja a brletmeghosszabbtst.

Amennyiben egy szerencstlen vletlen miatt nem sikerl megjtani a brletet flidben, nem trtnik semmi, az gyfltovbbra iskommunikcikpes. Amikor a brlet idtartamnak 87,5%-a is eltelt, az ignyl jra prblkozik. Ha ezttal sem

jr szerencsvel, mr felbred benne a gyan, hogy valami gond van a kiszolglval, ezrt a unicast, vagyis direkt csomaghelyett ismt elveszi a rgi trkkt, szrt zenetet kld a hlzatra, htha van ott DHCP -szolgltats, csak egy msikszerveren. Ms kiszolglk persze DHCP-Nack csomagot kldenek, de sebaj, ekkor jraindul a cmignylsi eljrs, avgeredmny pedig egy j brlet kiadsa.

Ha minden jakaratunk ellenre 87,5%-nl sem sikerl a brlet megjtsa (mg az jra bevetett 4, 8, s 16 msodpercesjraprblkozs ellenre sem) a kvetkez krelem a brlet lejratakor esedkes. A sikertelensgnek mr kommunikciskvetkezmnyei vannak. Ha a rendszer ismeri az APIPA mdszert, azzal szerez cmet, de ha nem ismeri (Win95, NT4), cm(s hlzat) nlkl marad.

Nhny sz elljrban a DHCP megbzhatsgrlMiutn ttekintettk a lehetsges zenetvltsokat, vizsgljuk meg, hogy egyetlen kiszolglval, s nmi gyes belltssalmilyen rendelkezsre llst tudunk biztostani. A DHCP egy alapvet szolgltats, a legfontosabb krds mindenek elttteht az, vajon mennyire bzhatunk benne.Lttuk, brmely gyfl, amely kpes eltrolni a sajt brletre vonatkoz informcikat, a DHCP-kiszolgl nlkl is kpeshasznlni a brlett, st az sem problma egy darabig, ha a megjts nem sikerl. Egy egyszer jraindtst a felhasznlknem vesznek szre. Az is bizonyos, hogy a kiszolgl kiesst nem ugyanakkor szlelik majd a kliensek, hanem a brletklejratakor. Az albbi bra mutatja, hogy egy tlagos gyfl vlheten a brletid negyednl jr (de nem zrhat ki, hogyvan olyan delikvens, amely mr kitlttte a sajt idejt, pl. napokig nem volt bekapcsolva).


4/32

NetAcademia-tudstr


4

Az gyflszmtgpek eloszlsa az eltelt brletid fggvnyben

Mennyi ideig llhat egy DHCP-szolgltats? A hiba nem azonnal jelentkezik, hanem aprnknt. Elbb egy gp esik ki, majdmg egy, majd egyre tbb. Ha a brletid felnl tovbb ll a szerver, az gyfelek tbbsgt rinteni fogja. Ebbl viszont azkvetkezik, hogy a brletid nvelse a hiba eszkalldsnak sebessgt cskkenti. Ha teht csupn egyetlen szervernkvan, s vlheten csak lassan tudjuk megjavtani a DHCP -kiszolglt, nyugodtan nveljk meg a brleti id hosszt (perszemg a hiba eltt), gyvlheten nagyon kevs gp esik ki, amg a problmt elhrtjuk. Szegny ember statisztikai alaponbiztosthat magasabb rendelkezsre llst.No persze gp s gp kztt jelents klnbsglehet. Ha ne adj Isten pp a fnknk gpe, vagy az fnknek a PC-jenem mkdik, nincs mrlegelsi lehetsgnk, gyorsan kell cselekednnk s javtanunk. A jvbeli fejmossok elkerlserdekben pedig elbb-utbb gondoskodni kell valahogyan a kiszolgl tbbszrzsrl. Sokfle lehetsgnk van,

knyelmesek s drgk, olcsbbak s tbb beavatkozst ignylk. A kiszolgl funkciinak ismertetse utn visszatrnkmg a rendelkezsre lls krdsre, mr csak azrt is, mert sszetett DHCP belltsoknl nem is mindig knnymegoldani a problmt.

A DHCP rejtett szpsgei II.

A Windows-rendszerekben mkd DHCP-kiszolgl teleptse tbb, egymstlfggetlen lpsbl ll. A hitelests buktatinak ismertetse s az els cmtartomnyltrehozsa utn azt vizsgljuk, milyen integrcit lehet megvalstani a cmkioszt s

a nvfelold szolgltatsok kztt.

A DHCP-kiszolglteleptse magtlrtetd: a funkcit a Windows-komponensek hlzati szolgltatsai kztt talljuk. Ateleptssel azonban mg nem kapunk azonnal zemksz eszkzt. Ha tartomnyi krnyezetben, Active Directoryvaldolgozunk, el kell vgeznnk egy n. hitelestsi eljrst, s - krnyezettl fggen - be kell lltanunk, hogy milyen adatokatszeretnnk az gyfelek fel kzvetteni.

A DHCP hitelestseA hitelests biztonsgi okokbl szksges. Ha brki telepthet DHCP-kiszolglt, s azt konfigurlja, knnyen elfordulhat(s a funkci meglte azt mutatja, el is fordult), hogy helytelen paramtereket kapnak, majd furcsa, nehezen megfejthettneteket produklnaka munkallomsok. Elfordul, hogy nem kpesek a helyi hlzaton tli gpekkel kommuniklni (rosszaz alaprtelmezett tjr paramter), vagy mr a cmet is rossz tartomnybl veszik (nem megfelel a scope). A gondokatmegelzend a DHCP ellenrzi, hogy az Active Directory szmon tartja-e a neki helyet ad kiszolglt a hitelestett DHCP-szerverek listjn. Ha a megfelel bejegyzs hinyzik, a szolgltats lell, s az esemnynaplban elhelyez egy rvidmagyarzatot tartalmaz hibazenetet.

A hitelestst a DHCP-konzol segtsgvel vgezhetjk el, ha tagjai vagyunk a gykrtartomny Enterprise Administratorscsoportjnak. Ez egy meglehetsen fontos momentum. A klnbz magyarorszgi Windows 2000 eladsokon azthallhattuk, hogy a mi zleti letnkben elegend egyetlen tartomnyt ltrehozni. A ktsgtelen elnyk (egyszersg,tlthatsg, bizonyos bonyolult szitucik elkerlse) mellett azonban ez a szerkezet htrnyos is lehet. Egyetlentartomnyban, amely egyben a gykrtartomny is, a Domain Administrators csoport tagjai brmit megtehetnek. Ha el isvesznek tlk jogokat, azokat kpesek visszaszerezni, mg a restricted groups csoporthzirend-trkk sem akadlyozhatjaket.

A problmt gy lehet megoldani, ha az AD tervezsekor a gykrtartomnyt egy res domainnek tervezzk, s alattaptjk ki a valdi adminisztrcis egysgnket. A gykr adminisztrtorainak (szmbeli) korltozsval mr knnyednelrhetjk a clunkat, nevezetesen, hogy ne vgezhessen el akrmilyen mveletet egy rendszergazda, csak ha erre kln


5/32

NetAcademia-tudstr


5

engedlyt kapott. (Technikai rtelemben a hitelests egyetlen felttele, hogy az AD NetServices kontnerhez teljeshozzfrsi joggal rendelkezzen a felhasznl.)

A fenti sma a DHCP szerverek esetn nagyon ers kontrollt jelent. Tbb szz telephely megltekor is legfeljebb 2-3hozzrt kezben sszpontosul a cmkioszt szolgltats engedlyezse. (Tovbb a RIS szerverek is, ahogy ez majdksbb lthat.) Ezzel egytt a hitelests eljrsa deleglhat az AD delegcis mechanizmusn keresztl.s van let az AD-n kvl? Igen van: Novell, Linux, st NT4-es DHCP-kiszolglknem veszik figyelembe a Windows 2000cmtr korltozst, teht az igazn rosszakar tehet krt a kontrkodstl s figyelmetlen zemeltetktl azonban az ADmegvd.

Azt az eljrst, amely a hitelests megltt ellenrzi a Windows 2000 s 2003 szerverek rouge detection mveletnek

nevezik. A kiszolglk, amelyek az ellenrzst vgzik, eltr mdon viselkednek attl fggen, hogy tagjai -e egy ActiveDirectory tartomnynak, vagy sem. Ha AD-tagok (tagkiszolglk, vagy tartomnyvezrlk), egy LDAP-lekrdezstkezdemnyeznek, hogy megllaptsk, tagjai-e a hitelestett kiszolglk listjnak. Igenl vlasz esetn tovbb mkdnek,egybknt lellnak.Ha a Windows 2000 kiszolgl nem tagja AD-tartomnynak, hanem gynevezett stand-alone, vagyis munkacsoportzemmdban fut, vagy egy NT4 tartomny tagja, a DHCP-szerver indulsakor egy DHCP-INFORM szrt zenetet helyez ela hlzaton. Ez az zenettpus szmos gyrtspecifikust opcit tartalmaz. A csomaggal a kiszolgl ms DHCP-szervereketkeres, amelyek egy AD gykrtartomnyban helyezkednek el. A krt opcik alapjn a megclzott DHCP -szerverekinformcikat kldenek vissza a gykrtartomnyrl. A vlasz DHCPACK csomagban rkezik. Ezzel a mdszerrel egy (deakr tbb) gykrtartomnyrl is tudomst szerezhet az pp indul DHCP -szolgltats. Ha nincs AD a helyi hlzaton, aszolgltats elindul, de minden tdik percben DHCP-INFORM csomagot bocst ki, tovbb kutatva a Windows 2000 cmtrautn.Ha mr az els csomagra is rkezett vlasz, minden egyes felfedezett gykrtartomny fel egy lekrdezst indt a DHCP -kiszolgl, hogy ellenrizze, tagja-e a hitelestett szerverek csoportjnak. Amennyiben egyik listn sem tallja magt, aszolgltats lell. Ez azt jelenti, hogy nem kell felttlenl egy Windows 2000 szervernek tartomny tagnak lennie, hogyrvnyes legyen r a hitelestett szerverek listja!

SzerverkonfigurciMiutn szerencssen testnk a hitelestsi eljrson, igazn nekieshetnk az rdemi konfigurcinak.

Az els feladat a megfelel scope (brlettartomny) ltrehozsa. Ezt egy varzsl segti: meg kell adnunk a kezd- s avgs cmet, amelyet a scope-on bell a szolgltats kioszthat, az alhlzati maszkot, a brletidt s a kivteleket, vagyisazokat a cmeket a tartomnyon bell, amelyeket mgsem lehet kiosztani. Miutn vgeztnk, megjelenik egy scope a konzolbal oldaln. Akvetkez bra az ltalnos tulajdonsgokat mutatja.

A legproblmsabb krds a brletid meghatrozsa. A rendszer ht napot ajnl fel s ltalban ezt el is fogadhatjuk.Szmos megfontols azonban amellett szl, hogy gondoljuk t alaposan ezt az rtket. Elmletileg a hosszabb brletid azt

jelenti, hogy a gpek kevesebbet kommuniklnak a kiszolglval, vagyis nem terhelik azt. Htnapos brletid esetn hroms flnaponta kldenek brletmegjtsi krelmet, mg pldul 28 napos brlet esetn csak tizenngy naponta ltszlag eztiszta haszon.

A scope legfontosabb adatai

Csakhogy a megtakarts egyedl a soha ki nem kapcsolt gpekre vonatkozik, mert az indul DHCP gyfelek mindenkppkrnek cmet a szervertl. A nyeresg teht csekly. Ezen mg az sem segt, ha vgtelenre lltannk a brletidt stazzal csak rosszabbul jrunk. A brletid vgtelenre lltsa azt jelenti ugyanis, hogy a brletidnek nincs fele, teht nem kellkrni a meghosszabbtst sem. A vgtelen idre kiadott cm elvsz, nem hasznlhat jra. Ezrt azt javaslom, hogy sohaseadjunk meg vgtelen hossz brletet! A tl rvid id sem j, mivel sok gyfl esetn ez a reggeli cscs mellett is valbannagy forgalomhoz vezet.


6/32

NetAcademia-tudstr


6

A legclszerbb megbecslni az gyfelek s a kioszthat cmek arnyt. Ha sok gyflre jut relatve kevs cm, clszerrvid brletet megadni (pl.: 3 nap) Ha sok cmnk van s kevs gyfelnk,a cmkioszts szlhat akr 15, vagy 30 napra is.

A cmtartomny kijellsvel s ltrehozsval azonban mg korntsem kapunk mkd szolgltatst. Egy Windowsoskrnyezetben meg kell adnunk nhny nagyon fontos opcit (konfigurcis paramtert) is, amely az gyfeleket eligaztja. Akvetkez bra egy ilyen listt mutat be.

Az t kritikus opci Windows krnyezetben

Mindenekeltt tudatni kell az gyfelekkel az alaprtelmezett tjr cmt az opci szma 003, s magyarul az tvlasztnevet kapta a keresztsgben, ami esetleg kiss flrevezetheti a kezd rendszergazdkat.Windows 2000 krnyezetben kritikus, egybknt is mind fontosabb a DNS kiszolglk adatainak pontos belltsa. A 006opci teszi lehetv akr tbb kiszolgl megadst is. A fontossgot a sorrend jelzi.

A tartomnyi gyfelek szmra meg kell adni, hogy a hostnevkhz milyen DNS suffix-et, vagyis tartomnyi kiegsztstbiggyesszenek. Ha a gp hostneve mal-001, mostantl az gyfl tisztban lesz a teljes nevvel: mal-001.mal.priv.(Egy klns hibval tallkoztam nem is olyan rgen. A jelensg az volt, hogy a kliensnk mindenron a proxy szervernketakarta hasznlni egy bels weblap elrshez is, holott nem ez volt a kvnatos. Kiderlt, hogy egy elvigyzatlan kollgnkegy hibs DNS suffixet adott meg kzzel ami fellrta a DHCP belltsokat. A Helyi intranet cmek esetn a proxyfigyelmen kvl hagysa bellts ezrt nem mkdtt. A paramter trlse s egy jraindts segtett. Tanulsg: semmit sekonfigurljunk az gyflgpeken az IP belltsok kztt!!)

A DNS kiszolglk mellett termszetesenmeg kell adni a WINS szerverek cmt a 044-es opciban. Vgezetl a 046-osparamterre is szksg van, ezzel definiljuk, hogy a NetBIOS szabvnyt hasznl gyfelek milyen stratgit folytassanak anvfeloldshoz. A legelterjedtebb a hibrid-node zemmd, ennek a kdja a 0x8. A lersunk keretein tlmutat a NetBIOSnvfeloldsi stratgik ismertetse, de egy korbbi technet cikkben ez fellelhet, esetleg a Q119493 -as cikk tisztzza azidetartoz NetBIOS fogalmakat.(Ha ragaszkodunk a technikai rszletekhez,el kell mondanunk, hogy tulajdonkppen szinte minden adat DHCP-opciknt jutel az gyfelekhez, mg akkor is, ha a kezeli felleten mshol lltottuk is be. Az alhlzati maszk a 001 -es, a brlethossz a051-es, a megjtsi id a 058-as, ez alaprtelmezetten 50%, s a cmkrsi id, 059-es, amely ltalban 87,5%. AWindows-gyfelek a fenti opcikon kvl mst nem vesznek figyelembe.)

A DNS s a DHCP egyttmkdseA scope tulajdonsgai kz tartozik a DNS-sel val egyttmkds definilsa is. Windows 2000 s AD krnyezetben ez

nagyon fontos paramtercsoport. Lssuk rszletesen, mirl van sz.Engedlyezhetjk, vagy tilthatjuk, hogy a DHCP-kiszolgl automatikusan frisstse az gyfelei DNS znarekordjait.Amennyiben engedlyezzk a frisstst, vlaszthatunk, hogy csak az gyfl krsre trtnjen a regisztrci, vagymindenkpp vgezze el a DHCP-szolgltats. Hogyan mkdik mindez?

A Windows 2000 s Windows XP a sajt DHCPREQUEST csomagjban hasznl egy 81-es opcis szmmal rendelkez,Fully Qualified Domain Name nev mezcsoportot, amelyben meghatrozza, hogy a DHCP -kiszolgl mikpp regisztrlja amegfelel rekordokat a DNS adatbzisban. Szmunkra a mezcsoport harmadik tagja rdekes, amely a kvetkez rtkeketveheti fel:0az gyfl regisztrlja a sajt hostrekordjt.1az gyfl azt szeretn, hogy a DHCP-szerver regisztrlja a hostrekordot3a DHCP szerver frissti a hostrekordot az gyfl belltstl fggetlenl.


7/32

NetAcademia-tudstr


7

A DHCP s a DNS szolgltatsok egyttmkdnek, ha ez mi belltjuk

A rtkek kztt nem tallhat olyan, amely a PTR rekordokra vonatkozna. Azt minden esetben a DHCP-kiszolgljegyezteti be, kivve, ha a DHCP-szerver nem ismeri a 81-es opcit. A Windows 2000 s XP kliensek ezt felismerik, s kvgzik rekordfrisstst a DNS-szolgltats megfelel reverse lookup znjban.

A opci rtknek belltst a TCP/IP konfigurcis paneljben lehet elvgezni, mg ha ez elsre nem is tnik fel.

A titokzatos 81-es opci a kezelfelleten

A bekarikzott jellngyzet bekapcsolt llapotban gondoskodik arrl, hogy az gyfl a DHCP-Request csomagban a 81-esopciban 1-es rtket kldjn a szervernek.Vajon mikor rdemes az gyflre s mikor a kiszolglra bzni a rekordfrisstst? Nos, ltalban mindegy, hogy a feladatot kivgzi el. Ha azonban olyan DHCP-gyfelnk is van, amely tbb hlzati krtyval is rendelkezik (multihomed), a kliensekrekell hagyni a regisztrcit pp gy, ahogy a korbbi brn lthattuk. A DHCP-szolgltats ugyanis egy gyflhez csakegyetlen A rekordot jegyez be, illetve fellr minden korbbi bejegyzst, ami a tbblb gpeknl nem elnys. Szintn nem ajnlott a DHCP-kiszolglkra bzni a DNS-rekordfrisstst, ha a DNS csak biztonsgos rekordfrisstst vr el(secure update). Ebben a szituciban a bejegyzsnek a DHCP-szolgltats vlna a tulajdonosv, ami gondot jelenthet. Ha

pldul egy NT4-es gyfl DNS rekordjnak bejegyzst a DHCP-szerver vgzi el, majd a gpet frisstjk Windows 2000-re,az j rendszer nem lesz kpes a sajt rekordjnak a kezelsre, mert nem a tulajdonosa. Hasonl helyzet alakulna ki, hakt (egymsnak tartalk) DHCP kiszolgl kzl az egyik meghibsodik. Ugyanazt a hostcmet a tartalk DHCP-szerver nemfrisstheti, mert nem tulajdonosa. Summa summrum: biztonsgi frisstskor ajnlatos megfontoltan hasznlni a DHCP s aDNS ilyen irny integrcijt.s mi trtnik, ha az gyfl nem is ismeri a 81 -es opcit? Ilyen kliensek a Windows NT4, Win95, Win98. Szmukra is kpesa regisztrci elvgzsre a DHCP, haa zna tulajdonsgai kztt az utols jellngyzetet bekapcsoljuk.Vgezetl addik a krds: mirt van szksg a DHCP-n keresztli dinamikus frisstsre? Mirt kell a dinamikusan vltozgyfelek cmt regisztrlni? Egyszer: korbban a Microsoft gyfeleket szrt csomagokkal, ksbb a dinamikus regisztrcitlehetv tv WINS nvfelold szerverek segtsgvel lehetett megtallni. Ha egy munkallomson mkdik egy megosztott


8/32

NetAcademia-tudstr


8

nyomtat, arrl a szolgltatsrl a WINS-adatbzis tartalmazott egy bejegyzst, a browser szolgltats egy erforrslistbantrolta, s egy WINS-hez cmzett nvfeloldsi krelem utn knnyedn fel lehetett venni a kapcsolatot azzal a bizonyosmunkallomssal. A NetBIOS-szabvnyok eliminlsval azonban a fenti mechanizmusbl semmi sem marad: nincsbroadcast, sem WINS, sem browser szolgltats. Van viszont Active Directory az erforrs nyilvntartsra, LDAP-lekrdezs a megltnek ellenrzsre, dinamikus kpessgekkel felvrtezett DNS a nvfeloldshoz st az j kliensekesetn mg dinamikusan frisstett DNS-bejegyzsek is. A rgebbi opercis rendszerek viszont mit sem tudnak az j idk jszeleirl, s k bizony nem kpesek a DNS-bejegyzs frisstsre. Ha azonban valami ezt elvgzi helyettk, a korbbiNetBIOS-funkcionalits minden vonatkozsban megmarad, csak j szabvnyokkal. Egyszer taln alaposan vgig kellenegondolni, hogy a klnbz NetBIOS-funkcikat s szolgltatsok mi mdon cserlte fel a Microsoft natr TCP/IP

megoldsokkal szigoran ragaszkodva a meglv RFC-khez. De ez mr egy msik trtnet.

Q119493 NetBIOS over TCP/IP Name Resolution and WINSQ191290 Description of How DHCP Integrates Dynamic DNSQ289583 DHCP Server Does Not Update the A Record on the DNS Server If Option 81 Is Received with the S Bit Set

A DHCP rejtett szpsgei III.

Elz alkalommal teleptettnk s cmtartomnnyal szereltnk fel egy DHCP-kiszolglt, majd elkalandoztunk a DNS- s DHCP-integrci terletre. Most mg egyrvid idre visszatrnk a scope-okhoz, s alaposan szemgyre vesszk, milyenrszei vannak, s milyen lehetsgekkel rendelkeznk a cmtartomnyokkiterjesztsre.

A scope kzponti fogalom a DHCP-szolgltats kialaktsakor. Miutn a varzsl segtsgvel ltrehoztunk egyet, rdemesalaposan megvizsglni a kezelfelletet, hogy lssuk, hogyan finomthatjuk mg a belltsokat.

DHCP-kiszolgl egy scope ltrehozsa utn

A cmtartomny bellrlA scope tulajdonsgairl s a legfontosabb opcikrl mr rtekeztnk, de a kizrt s lefoglalt cmekkel (reservations),valamint a specilis scope tulajdonsgokkal mg nem foglalkoztunk.

A fenti brn lthat, hogy a cmtartomny definilsa mellett azonnal meg kell adni azokat a cmeket vagy cm-intervallumokat, amelyeket a teljes cmtartomnyon bell szeretnnk kizrni a kiadhat IP-cmek kzl. A kizrs perszenem ktelez, de nha kifejezetten hasznos. Ha pldul vannak lland, statikus IP-cmet ignyl kiszolglk vagy egyb

aktv eszkzk, switchek, nyomtat-szerverek, s azok cmei bekeldnek egy rvnyes cmtartomnyba, a kizrsmdszervel megakadlyozhatjuk, hogy a DHCP-szerver egy msik gyfl rendelkezsre bocsssa az ominzusazonostt. Jobb helyeken, ahol ezek az eszkzk eleve egy elklnlt cmtartomnybl rszeslnek, vagy lefoglalt cmeketkapnak a hostok, erre kln nincs szksg. A kizrs funkci ott is hasznlhat, amikor kt DHCP-szolgltatssal magasabbrendelkezsre llst szeretnnk biztostani, de errl majd ksbb.

A kiadott cmek listjaNem elhanyagolhat haszonnal jr, ha szeretnnk bepillantani az pp kiadott cmek listjba. Ha egy lloms MAC -cmtszeretnnk megtudni, vagy csak egyltaln az IP-cmre vagyunk kvncsiak, a kiadott cmek listjnak tblzatt kelltbngsznnk. A konzol informcikat is szolgltat a brletek kiadsrl s lejrati idejrl is. Ha szksges, trlni is lehetegy rekordot, m ez csak nagyon krltekint mdon ajnlott. Egy cm trlse hasonl hatssal van a hlzatra, mint amikor


9/32

NetAcademia-tudstr


9

egy brlet vglegesen lejr, azzal a klnbsggel, hogy a brletet hasznl gyfl aktv maradhat, s hasznlhatja a cmet, hisz semmifle rtestst a rekordtrlsrl nem kap. A cm radsul felszabadul, amit les krnyezetben egy msik llomsmegkaphat,ezltal kt lloms is ugyanazzal a cmmel rendelkezhet. Csak akkor javaslom teht brlet trlst, ha az IP -cmet szeretnnk felvenni a kizrt vagy a lefoglalt cmek kz. Az utbbi esetben az gyfl oldaln mindenkpp el kell vgezni egy ipconfig /renew mveletet is.

A lefoglalt cmek listjaGyakran sszekeverik a kizrt s a lefoglalt cmeket, holott ez utbbiak ms clt szolglnak. Ha szeretnnk minl tbbgyfelet a DHCP-szolgltats kliensei kztt tudni, de nhny esetben bizonyosan ugyanazt az IP-cmet kellene kiadnunkegy-kt llomsnak, a lefoglalt cmek kz kell felvennnk az gyfl adatait, s mindkt kvnsgunk teljeslt. A lefoglaltcmek funkci azrt mkdik, mert a DHCP kpes a cmignyl csomagbl megllaptani az adott lloms hardver-cmt(Ethernet hlzat esetn ez a MAC address), s ha tall ehhez a bejegyzshez egy lefoglalt cmet, azt fogja minden esetbenkiajnlani. A reservations mkdsi elvbl kvetkezik, hogy ha egy cmet kizrtunk, akkor az ne m lehet egyben lefoglaltcm, s fordtva, a lefoglalt cmeket nem szabad kizrni. Br ltszlag trivilis dologrl van sz, mgis nagyon gyakorikonfigurcis hiba, hogy a lefoglalt cmeket megprbljk kizrni, nehogy vletlenl is ms kapja meg, vagy mert alefoglalt cm nem jtszik, az msra nem hasznlhat, teht ki kell zrni. Mindez a fogalmak pontatlan ismeretbl fakad. Ahrom cmtpus egymshoz val viszonyt egy brn is megjelentettem, hogy az olvas mr soha tbb ne tartozzon azilyen hibkat elkvetk kz.

A cmtartomny, a lefoglalt cmek s a kizrt cmek viszonya

Visszatrve a lefoglalt cmekhez: ismernnk kell, miknt viselkedik a kiszolgl, ha olyan cmek kzl foglalunk le egyet,amely korbban a cmtartomny norml cmei kz tartozott, s amelyet esetleg egy msik lloms mr ignybe vett.Ilyenkor vagy meg kell vrnunk a brlet vgt, vagy az adott gyfelet r kell szortanunk, hogy engedje el a cmet.NT/2000/XP rendszereknl az ipconfig /release paranccsal rhetjk el ezt, a Win9x vilgban pedig a winipcfg nvrehallgat kis grafikus program siet a segtsgnkre. Egybknt a brlet kiadsa szintn nem automatikus, vagyis attl, hogya lefoglalt cmet rgztettk, mg nem kapta meg azt az gyfl. A kliensgpen kiadott ipconfig /renew parancs azonbanltalban meghozza gymlcst: a friss lefoglalt cmet.

A lefoglalt cm nagyon hasznos szolgltats. Egy hlzatban rengeteg olyan lloms mkdhet, amely lland IP-cmetignyel. Hromszz munkallomshoz mr akr fltucat switch, 10-20 hlzati nyomtat, tbb szerver tartozhat, amelyeketmind-mind lland cmmel kell elltni. Egy IP-cm vagy hlzati maszk-vlts rengeteg munkval jr, ha statikus cmekkeldolgozunk. A manulis munka ugyanakkormindig magban rejti a hibzs lehetsgt is. Knnyen kimaradhat egy DNS-cmvagy az id-szerverek megadsa, s mris megjsolhatatlan hibk tnnek fel a rendszerben. A lefoglalt cmekkel mindezelkerlhet, a vltozsok bizonyosan rvnyre jutnak. Hasonl mdon lehet leszerelni azokat a megoldsszlltkat, akik egymonitoroz, tarifikl vagy egyb berendezst szlltanak, s ktik az ebet a karhoz a statikus IP -cmrt. Bven megtesziegy lefoglalt cm is. Egy tkletes hlzatban szinte csak a WINS s DHCP-kiszolglk rendelkeznek statikus cmekkel.

Mveletek a cmtartomnnyalAhhoz, hogy egy scope ellssa feladatt, aktivlni kell. Csak aktv scope bocst ki IP-brleteket. A mvelet rendkvlegyszer, csupn a jobboldali egrgombbal kell kattintani a cmtartomnyon, majd az aktivlst vlasztani. A scopedeaktivlsval megsznik a korbbi funkcija. Csak nem aktv cmtartomnyt lehet trlni.

A cmtartomny krl a legnagyobb felhajts akkor keletkezik, amikor a rendelkezsre ll cmek elfogynak. A brletidrvidtsvel lehet mg orvosolni a cmhsget, a hossz tv megolds azonban mindenkppen a scope talaktsa.

Elsre azt gondolhatnnk, hogy knyelmesen tlltjuk a cmtartomny tulajdonsglapjn a kezd s a vgs cmet, st akraz alhlzati maszkot, s mr kszen is vagyunk. Sajnos, ez egy jrhatatlan t. A szabvny szerint nem nagyon lehetnenyomon kvetni, hogy melyik brletet milyen cmtartomny-paramterekkel adtuk ki. Sok kiadott cm kikerlhetne azrvnyes brletintervallumbl, esetleg rvnytelen lenne az alhlzati maszk, egyszval kavarods lenne. Hromlehetsgnk maradt a problma megoldsra:- a scope kiterjesztse- az alhlzat jrakonstrulsa (resubnetting)- Superscope-ok alkalmazsa (multinetting)

A cmtartomny kiterjesztse

Cmtartomny

Kizrt

cmekLefoglaltcmek


10/32

NetAcademia-tudstr


10

A scope megvltoztatsnak egyetlen jrhat tja a kiterjeszts. Ha az eredeti cmtartomny kisebb, mint az alhlzatimaszkja alapjn az lehetsges lenne, akkor md van a tartomny vgs cmnek kitolsra. Pldul a 192.168.0.1 -192.168.0.100 cmtartomnyunkat 255.255.255.0 maszkkal, kiterjeszthetjk 192.168.0.254-ig mindenfle kroskvetkezmny nlkl. A kiterjeszts lehet tbblpcss is, s az alhlzat elmleti hatrig tarthat. Korbban (a Windows NT4.0 szervernl) csupn 32-esvel lehetett a tartomnyt kiterjeszteni, vagyis 100-rl 132-re kellett volna nvelni a tartomnyhatrt. A SP6-tl kezdve ez a ktttsg mr nem ltezik. Amennyiben eleve belefoglaltuk a scope -ba az alhlzat engedtesszes cmet, ezt a mdszert nem alkalmazhatjuk.

Az alhlzat jrakonstrulsa (resubnetting)

Ha egy subnet maskot gy alaktunk t, hogy az egyre kisebb szmokat tartalmaz, akkor az alhlzatban rendelkezsre llcmek szma megn. Nagyszer, pp ezt szeretnnk. Csakhogy ennek komoly ra van. Az alhlzati maszk meghatrozzaaz alhlzatot, vagyis: j maszk, j hlzat. Ezt az j hlzatot meg kell ismertetni valamennyi tvlasztnkkal, t kelllltanunk az sszes statikus IP-cmmel rendelkez llomsunkat, tovbb el kell dobnunk a mr ltez scope -ot s azsszes brletet, ltre kell hozni egy jat. Erre azrt van szksg, mert egy scope az alhlzati maszkja alapjn csak egyetlenlogikai alhlzatnak szolgltat cmet, kettnek nem. Ha sok gppel dogozunk, s nem kivitelezhet a mvelet rvid id alatt,akkor biztostani kell a kt hlzat kztti kommunikcit az alaprtelmezett tjrk tkonfigurlsval. Summa summarum,az alhlzati maszk megvltoztatsa hatkony ugyan, de nem stagalopp.

Superscope-ok alkalmazsaA superscope a Windows NT4 SP2 verzija ta ismert fogalom, lnyegben a cmtartomnyok egybefogst jelenti.

Kt cmtartomny alkotta superscope

Ha szeretnnk egyetlen fizikai alhlzaton tbb logikai (IP) alhlzatot zemeltetni, azt csupn scope -ok segtsgvel nemknny megvalstani. A DHCP-kiszolgl minden gyflnek a legelszr aktivlt cmtartomnybl hajland cmet adni.

Csupn azt tehetnnk, hogy egy msodik hlzati krtyt is zembe helyeznnk, majd elltnnk az j alhlzatbl szrmazcmmel, vgl ltrehoznnk a msodik scope-ot is. Minden tovbbi (logikai) alhlzat egy tovbbi hlzati krtyt ignyelne.Ettl a barkcsolstl kml meg minket a superscope.Tegyk fel, hogy van egy hlzatunk, ahol minden aktv eszkz egyben DHCP -gyfl is. Szeretnnk elklnteni az aktvelemeket cm szerint is a munkallomsoktl. Mivel a switchekkel csak a hlzati adminisztrtorok kommuniklnak az IP -cmeken keresztl, a nem tlsgosan nagy forgalom miatt az elklnts utn nem keletkezik szk keresztmetszet. Asuperscope segtsgvel a feladat megoldsa knny.Elszr ltre kell hoznunk egy 192.168.0.11-192.168.0.254 cmtartomnyt a megfelel alhlzati maszkkal s egybopcikkal. Ezutn elkell kszteni egy msodik scope-ot is, amely a 172.16.0.0/24 hlzatot foglalja magban, m rgtnvalamennyi cmet ki kell zrni, az els hrmat kivve. Ez utbbiakat mint elre lefoglalt cmet kell rgzteni a hlzatikapcsolk MAC cmvel egytt. Vgezetl ltre kell hozni egy superscope -ot, majd a kt korbbi cmtartomnyt asuperscope tagjv kell tenni.


11/32

NetAcademia-tudstr


11

DG.

IP Address1: 172.16.0.245

IP Address2: 192.168.0.254

DHCP-kiszolglScope1: 172.16.0.0/24

Scope2:192.168.0.0/24

192.168.0.12

192.168.0.11

192.168.0.13

192.168.0.14

172.16.0.1

172.16.0.2

172.16.0.3

Egy alhlzat kt logikai IP-hlzattal

Ezzel kszen is vagyunk. A kt alhlzat kztti kommunikcit az alaprtelmezett tjrn felvett tvonalbejegyzssegtsgvel lehet biztostani, szksg esetn szrve az tvonalat hasznl llomsok szmt, cmt. (Csak zrjelben

jegyzem meg, hogy a superscope-ok nem csak a helyi hlzatokon tmogatjk a tbb logikai alhlzatot, hanem tvoli routereken tli - hlzatokon is. Ezeket a kpessgeket a DHCP Relay Agent trgyalsakor mg rintjk. A fenti172.16.0.0/24 jells a tovbbiakban tbbszr szerepel majd. Azt jelenti, hogy az alhlzati maszkban 24 -db 1-es szerepel,ami decimlisan 255.255.255.0-t jelent.)

A superscope-ok fenti kpessgei hasznosak a cmtartomnyok kiterjesztsekor. Elegend egy msodik cmtartomnytdefinilni, majd az els scope-pal egy superscope-ot alkotni, a cmtartomny kiterjesztse mris megtrtnt.

A cmtartomnyok sszefogsa az alhlzat jrakonstrulsakor is j szolglatot tesz. Az j alhlzat bevezetse egy

superscope segtsgvel a legegyszerbb. Bele kell foglalni az j s a rgi cmintervallumokat, a rgi scope -ot pedig gy kellmdostani, hogy valamennyi cmt ki kell zrni. Az gyfelek jraindulsakor mindegyik az j intervallumbl kap majdcmeket. A statikus llomsok, valamint az tvlasztk konfigurlst nem lehet megszni.

Superscoping, multinetting, supernettingMCP vizsgra kszl szakrt-jelltek tapasztalhattk, hogy nhny vizsgakrds elszeretettel prbl zavart kelteni a fentifogalmakkal kapcsolatban a vizsgzk fejben. Az alhlzatok kialaktsa s a superscope fogalmnak ismeretben mostmegragadom az alkalmat, s amennyire lehetsges, tisztzom az egymssal rszben sszefgg kifejezseket.

A multinetting azt a szitucit jelenti, amikor egy fizikai alhlzaton tbb logikai (IP) hlzatot hozunk ltre. A multinettingelmletileg nem ktdik a DHCP fogalmakhoz, gy a superscope-hoz sem, elkpzelhet ugyanis multinet DHCP nlkl.Gyakorlatilag azonban ilyen szituci csak kivteles esetekben fordulhat el, gy a multinetting szinte mindig a superscopefogalmval egytt jelenik meg, hisz a superscope a multinet DHCP-tmogatst takarja.

A superscoping s a supernetting sszehasonltsnak az az alapja, hogy lnyegben ugyanazt a clt szolglja mindkteljrs, habr teljesen eltr mdon kzeltik meg a problmt.

A superscoping alapvet clja a DHCP-gyfelek ltal felhasznlhat cmek szmnak nvelse az alhlzati maszkvltoztatsa nlkl.Ennek rdekben jabb IP-alhlzatokat alkalmaz, s egy kzs superscope -ot hoz ltre. A megoldselnye, hogy viszonylag gyors s egyszer mdszer, a meglv IP-cmek nem vltoznak, s ignytelen megolds,amennyiben nem szksgszer, hogy a cmtartomnyok egybefggek legyenek. A 192.168.0.0/24 -hez hozz lehet fzni a192.168.3.0/24-et, de akr a 172.16.0.0/24-et is. A mdszer htrnya, hogy szk keresztmetszetet hoz ltre, hiszen a klnbz alhlzatok kztt az adatforgalom az alaprtelmezett tjrn keresztl ramlik, tovbb az llomsoknak nincskzs broadcast cme.

A supernetting clja ugyancsak a kioszthat cmek nvelse, de a fenti megoldstl eltren az alhlzati maszkvltoztatsval. Minl kisebb szmok szerepelnek a maszkban, annl tbb host-cm ll rendelkezsre. A 255.255.255.0maszk 254 lehetsges llomscmet jelent, mg a 255.255.252.0 mr tbb mint ngyszer ennyit. Ha az eredeti cmtartomny192.168.0.0/24 volt, az j pedig 192.168.0.0/22, akkor a 192.168.0.1-192.168.0.254 cmintervallum 192.168.3.254-ig bvl.

A supernetting egy folytonos cmtartomnyt eredmnyez, a DHCP tmogatsa pedig megoldhat egyetlen scope-pal. Nemkeletkezik szk keresztmetszet, s van kzs broadcast cm is. Htrnya a mdszernek, hogy minden cm megvltozik, mgakkor is, ha egy host nvlegesen ugyanazt a cmet kapja vissza. A 192.168.0.100/24 ms jelent, mint a 192.168.0.100/22.sszegzsl azt mondhatjuk, hogy a superscoping s a supernetting ugyanazt a clt (felhasznlhat cmek nvelse) eltrmdszerekkel, elnykkel s htrnyokkal valstja meg. A konkrt szituci s preferencik hatrozzk meg, hogy melyikmdszer a clravezetbb.

Lepenye Tams, MCSE [email protected]

Fontosabb forrsok s ajnlott irodalom:

Q161571 Using DHCP "Superscopes" to Serve Multiple Logical SubnetsQ163055 DHCP Client May Fail with WinNT 4.0 SP2 Multinetted DHCP ServerQ169140 Using DHCP to Assign IP Addresses to Secondary Networks
mailto:[email protected]:[email protected]:[email protected]


12/32

NetAcademia-tudstr


12

Q174051 DHCP Server Fails to Lease Addresses for New ScopeQ255999 Increasing the Number of IP Addresses on a Subnet

A DHCP rejtett szpsgei IV.

Egy vgs lendlettel megbirkzunk a DHCP utols nagy fogalomkrvel, vagyis azosztlyokkal s opcikkal. A cikksorozat msodik rszben mr megemltettk alegfontosabbakat, de tlsgosan nem merltnk el a rszletekben. Most viszont ppezt fogjuk tenni, hogy megrtsk, milyen eszkzeink vannak az gyfelekfinomhangolsra, s egyltaln: mi mindenre kpes a DHCP...

Az opcikrl ltalbanAz opcik lnyegket tekintve paramterek, amelyeket az gyfl megkap, feldolgoz vagy ppensggel elvet. A szabvnytgy alkottk meg, hogy a DHCP-csomagokban opcik tmkelege, egszen pontosan legfeljebb 312 byte (oktet) vndorolhata kiszolglrl a klienshez. Csoportostsukkal vilgos kpet alkothatunk, hogy mikor kell belltani egyet-egyet, s mikornem.

Tbbfle rendezs is elkpzelhet. Technikai rtelemben lteznek informciopcik (information options) sprotokollopcik (protocol options).Az informciopcikat explicit mdon be kell lltani, hogy rvnyre jussanak. Azalbbiak mind ennek a csoportnak tagjai:

3 Router

6 DNS kiszolgl15 DNS domain nv44 WINS kiszolglk46 WINS/NetBIOS node tpus47 NetBIOS Scope ID stb.

A protokollopcikat ezzel szemben csak implicit mdon lehet megadni a brlettartomny ltrehozsval s konfigurlsval,vagyis egy scope ltrehozsa rszben DHCP-opcik megadsa, mg ha ezt el is rejti a felhasznli fellet.

A brletid megadsval az 51-es, 58-as s 59-esopcit is belltjuk. A subnet mask opciszma 1.

Az albb felsoroltak mind a protokollopcik kz tartoznak:

51 Brletid53 DHCP-zenettpus55 Ignyelt paramterlista


13/32

NetAcademia-tudstr


13

58 Megjtsi id (Renewal time)59 Cmkrsi id (Rebind time)

Ltezik msfajta csoportosts is, ekkor az alapvet jellemz az a hatkr, amelyben a paramter felhasznlhat. Ez alapjnmegklnbztethetnk:

1. Szerver avagy default global opcikat2. Scope opcikat3. Class opcikat, amelyek lehetnek User class s Vendor class opcik4. Kliens opcikat, amiket lefoglalt (reserved client) opciknak is hvnak.

Mindez persze nem jelent pontos egymsba gyazdst. A szerver-scope-client opcik mg jl kvethetk a konzolon is, ma user class s a vendor class opcik a szp egymsba gyazdst keresztlszelik, mert elvileg brhol elfordulhatnak.

A szerver, a scope s a client opcik egymsba gyazdnak

Az ersorrendet ezzel egytt nem nehz fellltani. A leggyengbb opci-csoport a szerverhez ktdik. Ezek mindenbrlettartomnyban rvnyre jutnak, hacsak a scope-ban definiltak fell nem rjk ket.

A brlettartomnyhoz rendelt opcik a leggyakoribbak. Minden gyfl megkapja ket, s amennyiben rti, fel is dolgozzaazokat. Mit is jelent ez pontosan? Nos, elfordul, hogy egy gyfl olyan paramtert is kap, amely t nem rdekli. Pldul egyWindows for Workgroups 3.11-es gyfelet egyltaln nem foglalkoztatja a hlzatban fellelhet NIS szerverek IP -cme(Option 41), ugyanakkor egy Linux rendszer szmra meghatroz informcirl lehet sz. A WfW 3.11.-be egyszeren nemprogramoztk bele valamennyi opci feldolgozst, gy az csak a szmra relevnsakat fogja megrteni. S melyek ezek?Ezt mr szintn rintettk korbban, de nem rt ismtelni. A Microsoft gyfelek ltal hasznlt paramterek a kvetkezk:

01 Subnet mask

03 Router

06 DNS Servers15 Domain Name

44 WINS/NBNS Servers

46 WINS/NBT Node Type

47 NetBIOS Scope ID

51 Lease Time

58 Renewal Time (T1)

59 Rebinding Time (T2)

Inverz szedssel jelltem a protokollopcikatezeket a rendszer mindenkpp kiadja, ahogy azt mr kicsit korbban lttuk.Visszatrve az ersorrendhez: a szerveropcikat fellrhatjk a scope-opcik, azokat pedig a kliensopcik. Ezt a sortsznestik nmikpp az opciosztlyok.

Opciosztlyok (option classes)Az osztlyokat azrt hoztk ltre, hogy tovbbi finomtsokat vgezhessnk a cmkiosztsi rendszernkn. Nem ktelezen,de ltalban a scope-on bell definiljuk azokat a belltsokat, amelyeket egy meghatrozott osztlyhoz szeretnnkrendelni.

Aki figyelmesen megnzi a brlettartomnyhoz tartoz paramterek rszletes listjt, lthatja, hogy az oszlopok kzttszerepel egy vendor (szllt) s egy class (osztly) elnevezs is. Egy htkznapi opci, pldul a 15-s szlltjastandard, osztlya pedig none.Ebbl az kvetkezik, hogy egy opcihoz rendelhetnk szlltt s osztlyt is, st akr mindkettt egyszerre. Az albbi brnlthat, hogy a 002-es a Microsoft Options kategriba tartozik,a 051-es pedig a Default Routing and Remote Accessosztlyba.


14/32

NetAcademia-tudstr


14

Szlltk s osztlyok alkalmazs az opcik kztt

Mi is a fenti konfigurci rtelme? A 002-es opci rvnyre jut minden Microsoft Options szllti kategriba es gyflnl.Melyek ezek? A Windows 98 s annl frissebb, valamint a Windows 2000 s annl frissebb MS rendszerek. Az NT4 mirtnem? Mert a szabvny, amely az osztlyokat s a szllti opcikat definilta 1997-es keltezs, teht az NT4 megjelenseutn alkottk. s honnan tudja egy Windows 2000-es gyfl, hogy ebbe a szllti kategriba tartozik? Ezt egyszerentudja, mert a szlltja beleprogramozta. Brmely szllt (Pl. Xerox, Cisco, Motorola, Ericsson stb. , stb.) definilhat sajtopcikat s sajt szllti osztlyokat, amelyeket azutn a DHCP szolgltats ki tud osztani a megfelel szlltazonostvalrendelkez gyfelek szmra.Nzzk meg mindezt egy fiktv m mgis lehetsges pldn. Tegyk fel, hogy hlzati nyomtatk gyrtsra szntuk elmagukat, a cg mrkanevl pedig a nem tl fantziads, m jl cseng HunPrint nevet adtuk. A nyomtatnkat felksztettkarra, hogy egy DHCP kiszolgl segtsgvel tvolrl konfigurlni lehessen azt az idt, ami utn, ha hasznlaton kvl van agpnk, automatikusan energiatakarkos zemmdba (standby) vlt. A nyomtat opercis rendszerbe begyaztuk amegfelel kdot, s tudattuk vele, hogy a HUNPRNT szllti osztly tagja. Ezek utn ezt az osztly ltre kell hoznunk aDHCP kiszolgln is. A konzolon kattintsunk a jobbegrgombbal a szerveren, majd vlasszuk a Define Vendor classespontot. A hrom, elre definilt osztlyt lthatjuk, ezt a listt kell kiegszteni a sajtunkkal.

Szlltosztly ksztse

Ezutn a fenti context-ment jra elcsalogatva definilhatunk egy j belltst a Set Predefinied Options funkci

segtsgvel, st, mg alaprtelmezett rtket is adhatunk neki.

Definiltunk egy sajt opcit a nyomtatinkhoz

Ha a fenti opcit kiajnljuk egy brlettartomnyban, minden eszkz, amely a szllti osztlynak tagja (vagyis a nyomtatink),gond nlklalkalmazni fogja.Persze mi nem fogunk nyomtatgyrtsba kezdeni, de lehetsges, hogy a fenti neves gyrtk egyike -msika lni fog alehetsggel, hogy preczebb belltsokkal lssa el a gyrtmnyait a DHCP szolgltats segtsgvel.

A fenti pldval analg mdon lehetsges user class s user class option ltrehozsa is, m ekkor alkalmazhatunk egytovbbi trkkt is.

A belltsnl az Advanced flre kattintva kivlaszthatjuk, hogy melyik szllti osztlybl szeretnnk opcit belltani.


15/32

NetAcademia-tudstr


15

Elre belltott User class opci alkalmazsa

Az opcik tbbsge a DHCP standard Options szllti osztlyba tartozik. Az azonban, hogy mely user classba soroljuk,rajtunk mlik. gy lehetsges, hogy egy opcit msik user classba sorolunk, mint az alaprtelmezett. Melyikbe sorolhatjuk? AWindows 2000 DHCP implementcija 3 elre definilt user classt ismer:

Default user class

Default remote access class

Default BOOTP classAz elsbe tartozik minden gyfl, aki nem definilt magnak user classt. A msodikba tartoznak a Microsoft gyfelek, habetrcsznak, a harmadikba pedig a BOOTP gyfelek.Ezek kvl termszetesen magunk is ltrehozhatunk user classt. Ha pldul szeretnnk, hogy minden gp, amely ahumnpolitikai osztlyon mkdik, egy alternatv alaprtelmezett tjrt hasznljon, akkor ltre kell hoznunk egy HUMANuser classt, be kell lltanunk egy 03-as opcit hozz, vgl konfigurlnunk kell valamennyi gpet a humnpolitikai osztlyon.Ezt a rgi ismers ipconfig paranccsal vgezhetjk el

P:\>ipconfig /setclassid "Local Area Connection" human

Windows IP konfigurci

Az adapter (Local Area Connection) osztlyazonostnak belltsa sikeresen megtrtnt.

P:\>

Sajnos jelenleg egy adott host csak egyetlen user classnak lehet tagja, mivel a szabvny csak egyetlen ASCII stringethasznl az gyfelek azonostsra. Ezrt ha van egy human osztlyunk s egy mobil osztlyunk, a mindkt osztlybatartoz gpekhez egy kln osztlyt kell definilnunk, pldul human-mobil nven.

A szllti s a user class kztti klnbsget jl szemllteti a fenti kt plda. Br mindkt mdszer az gyfelek szelektv

konfigurlsra szolgl, az egyik a gyrtspecifikus konfigurcis paramterek tovbbtsra terveztk, mg a msik arendszergazdk ltal valamilyen kritrium szerint fellltott ad-hoc csoportok elklntett paramterezst segti.Az brkon egybknt nem vletlenl szerepelt tbbszr is a Default Routing and Remote Access Class. Ennek azosztlynak a segtsgvel elrhetjk, hogy az RRAS gyfelek csak rvidebb ideig kapjanak DHCP cmeket gy, hogy a 051 -es opci segtsgvel lervidtjk a brletidt.Miutn ttekintettk mindazt, amit az opcikrl tudni rdemes, egy elmleti krdst meg kell vlaszolnunk: Vajon mirt nemalkalmaz szlesebb krben opcikat a Microsoft az opercis rendszereiben? A user class azonostkkal pldul LPRnyomtatkat lehetne megadni egy-egy osztlynak, vagy be lehetne lltani egy id -kiszolglt stb. stb.Ehelyett a vilgelsszoftvercg ismt letr az Internetes jrt trl s csoporthzirendeket fabrikl (ahol pldul ppgy meg lehet mr adni azalaprtelmezett tjrt, a DNS szervereket, a DNS prefixet s lehetne mg sorolni).

A vlasz kzenfekv: a DHCP szabvny 312 bjtnyi adatot (paramtert) tovbbthat. Ez bizony egy tisztessges hzirendhezkevs. Radsul bonyolult adatstruktrk sem kzvetthetk a DHCP segtsgvel. A testreszabhatsga, az gyfelekmegklnbztetse sem tlsgosan kifinomult (pl. az Active Directoryhoz kpest.) Summa summra: a csoporthzirendnekvan helye a nap alatt.s akkor hossztvon DHCP-re nem lesz szksg? Ht, hossz tvon ott van ugye az IPv6, ami sokkal inkbb kpes

konfigurlni magt, mint az IPv4, teht a DHCP slya valamennyire cskken majd. Az IPv4 vilgban azonban vrhatanmindig is megmarad, mert az eredeti funkcijra, vagyis az IP cmek kiosztsra tovbbra is ez a legalkalmasabb mdszer.

Ami pedig a Microsoft gyflrendszereket illeti, egyre tbb DHCP-opcit fogadnak el, s mire beksznt az IPv6-korszak,taln mindet ismerni fogjk de addigra kihal a DHCP.Szerveroldalon ugyanakkor vrhat, hogy az jabb verzik kvetni fogjk a DHCP szabvnyok vltozst, hiszen nemcsakMicrosoft gyfeleket kell kiszolglniuk, s ms rendszerek esetn ha nincs hzirend marad a DHCP.



16/32

NetAcademia-tudstr


16

Felhasznlt s ajnlott irodalom

Q240247 - How to Create a New DHCP User or Vendor ClassQ298844 - DHCP Server Handles the Global User Class Lease Option IncorrectlyQ266675 - Microsoft DHCP Vendor and User ClassesWindows 2000 Resource KitTCP/IP Core Networking Guide

A DHCP rejtett szpsgei V.

A cmkioszt szolgltats zembehelyezsekor klnsen fontos jl megvlasztani ahelysznt. Egyszer krnyezetben, ha nincs is tbb telephely, ez nem problma, maazonban mr egyre tbb sszetett hlzat mkdik. Lehet a topolgia brmilyenbonyolult, a DHCP szervereknek megfelelen kell mkdnik.

Az egyszer nagyszer?Tudjuk mr, hogy a DHCP-rendszerek a szrt zenetekre ptenek. Nincs is ms lehetsgk, hiszen a mindeninformciramls alapjt jelent egyedi IP-cm kiosztsa a feladatuk. Egy kommunikcikptelen gyfllelkommuniklnak, s vgl alkalmass teszik ket az adatcserre.

A szrt zenetek azonban a helyi hlzat foglyai, az tvlasztk nem engedik t a broadcast csomagokat ezltalcskkentve a WAN vonalak s a tbbi LAN terhelst.

A fenti kt lltsbl az kvetkezik, hogy minden DHCP-kiszolgl a sajt LAN-jnak csapdjban kellene vergdnie, s brhelyben nagyszer, tvoli hatsa nincs. A huszros megolds, amely a hlzat aktv tagjaiv teszi az llomsokat, csdtmond, ha ki kellene terjeszteni. Hacsak nincs a tarsolyban egy jabb trkk. Nos, van ilyen.

A DHCP tovbbt gynkk (Relay Agent)A Windows NT4, Windows 2000 s Windows 2003 rendszereknek van egy specilis, a DHCP-szervereket tmogatszolgltatsa, ezek a tovbbt gynkk. Az NT4-ben mg kln szolgltatsknt telepthet (gyakran sszekevertk aDHCP kiszolglval s teleptettk is), a Windows 2000-ben az RRAS szolgltats rsze.

A tovbbt gynk az RRAS szolgltats egyik funkcija

Egy tovbbt gynk feladata borzasztan egyszer: elkapja a helyi hlzatban kszl DHCP -kiszolglknak sznt

csomagokat, majd azokat a belltsai szerint egy vagy tbb ms alhlzaton mkd DHCP szerver fel tovbbtja.Egybl rthet a trkk: a szrt zenetek az gynk kezei kzt egyszer unicast csomagokk vlnak, gy knnyedn, akrtbb tvlasztn is thaladhatnak. Mindezt azrt tudja megtenni a Relay Agent, mert a DHCP szabvny, egszen pontosanaz RFC 1542, a DHCP csomagban definil egy Relay IP Address mezt (Ezt ismerik gy is, mint Gateway IP Address,vagy GIADDR). Az gynk ide rja bele a sajt cmt, ettl egy csapsra minden DHCP kiszolgl unicast csomagokkal kezdel kommuniklni vele. A DHCP szerver az gynk krstkirtkeli, mghozz az IP-cme alapjn. Azt vizsglja, hogy az IP-cmhez, amelyrl a krs rkezett, tartozik-e egy scope. Ha pldul az gynk cme 10.1.0.10/16, van-e olyanbrlettartomny a szerveren, amelynek akr ez a cm is tagja lehetne. Ha igen, a szolgltats kiad egy brletet. A megrkezvlaszokat gy kldi tovbb a Relay Agent az gyfeleknek, mintha csak egy valdi cmkezel lenne.


17/32

NetAcademia-tudstr


17

Az egyszer mkdshez egyszer konfigurls tartozik. A bellts csupn ngy paramtert rint. Meg kell adnunk azt azinterfszt (hlzati krtyt), amelyre a szolgltats mkdni kezd, s fel kell sorolnunk azokat a DHCP-kiszolglkat,amelyeket az gynk rtest, ha helyi cmkrelmet fog el.

Az gynkkonfigurls nem rdngssg

Ezen fell meg lehet vltoztatnunk az un. Hop-count threshold rtket. A paramternek igazi jelentsge nincs.Tulajdonkppen az IP csomag TTL rtkhez hasonl mezrl van sz, de attl kln kezelik. Azt jelenti, hogy maximumennyi Relay Agenten keresztl jhet a csomag. Azrt nincs a gyakorlatban jelentsge, mert br a szabvny szerint egygynk az elkapott cmet broadcast, multicast vagy unicast cmre tovbbthatja, s gy elmletileg elkpzelhet, hogy tbb

Agentnl is megfordul a DHCP-Discover csomag, gyakorlatilag kizrlag unicast cmeket hasznlnak az gynkk,kzvetlenl a kiszolglkat megcmezve, teht szinte sohasem kap ez a mez 1 -nl magasabb rtket.

A Boot threshold paramter mr hasznosabb. Ennek segtsgvel kt kln hlzatban lv DHCP kiszolglt (egybkonfigurcis trkkk mellett) egyms tartalkv tehetjk mghozz gy, hogy a helyi kiszolgl lesz a preferlt. A bootthresholdban meghatrozott msodpercig vr ugyanis az gynk, mieltt tovbbtan az zenetet a (tvoli) kiszolglnak.

Amennyiben van helyi DHCP szervernk, s az gynkt csak arra hasznljuk, hogy a tvoli kiszolglt , mint tartalkotelrje, a ngy msodperc bven elegend a helyi cmkiosztnak az IP-cm alloklshoz, teht a kvnatos rendszerthasznltk az gyfelek. Amennyiben a helyi DHCP-kiszolgl nem mkdik, az gynk elvgzi a rbzott munkt stovbbtja a tartalk rendszer fel a krelmeket. A DHCP rendelkezsre llsnak nvelst szolgl technikkismertetsekor erre a felptsre mg visszatrnk.

A hlzat-topolgia s a DHCPMost, hogy az gynkkkel a cmkioszt szolgltats olyan, akr a brtnbl szabadult sas, nzzk sorra a kiszolglkelhelyezsnek alapeseteit. Szeretnm elrebocstani, hogy az albbiaknl sokkal bonyolultabb elrendezsek is lteznek,amelyeket ksbb majd trgyalunk is, most csak a leglnyegesebbeket tekintjk t.

A teljesen egyrtelm krnyezet, amikor nincs is tvlasztnk, csupn egy LAN-unk, rajta gyfelek s egyetlen DHCP-szerver. Elegend egyetlen scope, habr korbban lthattuk, hogy nem lehetetlen tbb cm-intervallum hasznlata sem.

A klyha: egy DHCP kiszolgl, egy alhlzat

Az elz esetnl egy icipicit bonyolultabb, amikor tbb LAN-t egy tvlaszt kt ssze. Ekkor a tvolabbi helyi hlzatgyfelei csak akkor kaphatnak IP-cmet, ha a router maga futtat egy DHCP tovbbt gynki funkcit. Ma mr aztvlasztk tbbsge kpes errecsupn annyit kell tennnk, hogy a megfelel belltsokat elvgezzk.

Egy cmkioszt szerver tbb alhlzattal


18/32

NetAcademia-tudstr


18

A fenti brn lthat konfigurciazonban sok esetben csak illzi. Elszr is ritka eset, amikor egy helyi hlzatot egyetlenrouter vlaszt el egy msiktl. Egyetemi hlzatokon, egy-egy nagyobb vros hlzatban elkpzelhet, ezzel egytt nem

jellemz. Msrszt a topolgia azt felttelezi, hogy az tvlaszt konfigurlsa a kisujjunkban van.Kis magyar valsgunk nem ilyen. Ha vannak routerek, azt tbbnyire a kls szllt felgyeli (sokszor is birtokolja). Ha a cmkiosztst ilyen krlmnyek kztt a magunk kezben akarjuk tudni, gy szksgnk lesz egy sajt tovbbt gynkre.Ekkor mr mindegy, hogy hny eszkz vlasztja el egymstl a helyi hlzatokat, s hogy azok milyen messze vannakegymstl. A kvetkez bra modellezi azt a szitucit, amelyben a leginkbb elkl a tovbbt gynk. Knny elkpzelni,hogy a bal oldali hlzathoz, a kzponthoz, tbb olyan LAN kapcsoldik, mint a jobb oldalon lthat, vagyis egyetlen DHCPszolgltatst akr tbb tucat telephelyet is ellthat. Tovbbt gynkk krdse az egsz.

Ha nem mi felgyeljk az tvlasztkat

A sklzhatsgrl csak annyit, hogy a Microsoft ajnlsa szerint ne rakjunk egy DHCP-kiszolglra 1000-nl (!) tbbbrlettartomnyt. sszesen pedig ne legyen tbb, mint 10000 gyfele egy szervernek. Ha valaki takarkoskodni szeretne acmkioszt szerverekkel, akr a legnagyobb kiterjeds magyar LAN is nhny szerverrel elzemel. Ugye, hogy brtnblszabadult a DHCP?

A tovbbt gynknek mg egy nagyon fontos szerep jut, ugyanis a betrcszskor is hrul re feladat. Ezt a szitucitbrzolja a kvetkez kp.

Betrcszs s DHCP

Ahhoz, hogy megrtsk, milyen szerepe van a Relay Agent-nek, meg kell vizsglnunk az RRAS s a DHCP viszonyt. Ltnifogjuk, hogy nemcsak a tovbbt gynk tetszeleg nha a DHCP tulajdonsgaival, hanem az RRAS is.

A Routing And Remote Accessahogyan a nevben is mutatja, tbbek kztt tvlasztssal s betrcszssal kapcsolatosszolgltatsokat nyjt. Amikor egy tvoli, telefonos kapcsolattal rendelkez gyfl betrcsz, tulajdonkppen egy tvlasztkel letre, amelynek egyik lba egy hlzati krtya, a msik pedig egy modem. A DHCP gy kerl a kpbe, hogy az RRAS -nak valamilyen mdon gondoskodnia kell a tvoli szmtgp modemes lbnak IP-cmmel val elltsrl.Tbbfle lehetsg is ltezik. Elvileg bellthat kzzel egy IP-cm a kliensnl, mgegy modemes kapcsolathoz is. Na de adinamikus cmek korban? s ha egy msik hlzathoz szeretnk csatlakozni? Vagy egy nagy hlzat msik alhlzatn

keresztl lpek be? A statikus cm nem igazn jrhat.Egy msik megolds lehet(ne), ha a felhasznl kap egy IP-cmet. Ezt megadhatjuk az ADUC felletn keresztl, de azeredmny hasonl lenne az elzekhez. Knytelenek lesznk az RRAS-ra bzni a cm tadst. Ekkor kezd egy routerDHCP tollakkal keskedni.

Az RRAS kiszolgl tulajdonsgai prbeszdpanelenegy kln fl foglalkozik az IP-cmek kezelsvel. me, az albbi kpregondolok.


19/32

NetAcademia-tudstr


19

Az RRAS-t s a DHCP-t ezen a panelonlhetjk ssze

A cm kiosztsra kt lehetsg is adott. A legegyszerbb, ha mindent az alaprtelmezett rtken hagyunk. Ekkor az RRAScmeket kr (elre) a DHCP kiszolgltl, mghozz 10 darabot. Egyet lefoglal magnak, a tbbit pedig szksg szerintkiosztja a betrcsz gyfeleknek. Ha mind a tz cm elfogyna, akkor kr jabb tizet s gy tovbb. Az albbi cmenegybknt a kikrt cmek szma mdosthat:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RemoteAccess\Parameters\Ip\InitialAddressPoolSize

A cmkrs az RRAS indulsakor trtnik. Amennyiben ekkor nem rhet el DHCP szolgltats, az RRAS az APIPA ltalmeghatrozott cmek kzl oszt ki majd az gyfeleknek. Ha valaki 169.254.x.x cmeket lt , s azt panaszolja, hogy nemtudja elrni a bels hlzatot, az gyanakodjon a DHCP s az RRAS kztti kommunikcis zavarra, s legalbb egyszerindtsa jra a betrcsz szolgltatst gy, hogy meggyzdtt a DHCP helyes mkdsrl.

A fenti brn az is lthat, hogy meghatrozhatjuk azt az adaptert, ahonnan a RAS a klnbz opcikat veszi. Ez krem ittegy csapda. Az igaz, hogy az RRAS cmeket kr a cmkiszolgltl. Egyb opcikat azonban nem kr! A most emlegetettsor teht azt mutatja meg, hogy az RRAS melyik hlzati krtyjnak belltst veszik t majd a betrcsz gyfelek. Azels s legfontosabb dolog teht a RRAS LAN krtyjnak nagyon korrekt belltsa. Egy rvid tblzat arrl, milyen IPkonfigurcis rtket honnan vesz az RRAS

Opci Forrs

IP address DHCP kiszolgltl az RRAS-on keresztl

WINS server RRAS LAN adapter belltsa

DNS server RRAS LAN adapter belltsa

Subnet mask Az IP-cmalapjn, automatikusan Class A,B vagy C subnetet kap az gyfl

NetBIOS scope ID Nem tovbbtdik

Node type Ha az RRAS-nak nincs WINS szervere, akkor a kliens b-node lesz, egybknt h-node akapcsolat ideje alatt.

No s a korbban emlegetett DHCP RRAS opcikat sem kldi t az RRAS? Nem, azokkal sem foglalkozik. Viszont azgyfelek a kapcsolat ltrejtte utn kldhetnek egy DHCPINFORM csomagot, amelyben a megfelel opcikat krik. Itt jn atovbbt gynk jabb feladata. Amennyiben az IP-cmeket DHCP kiszolgltl kapta az RRAS is, az gynkautomatikusan tovbbtja az gyfelek csomagjait ennek a cmkiosztnak. Ha viszont statikus cmlistval dolgoztunk azRRAS-on, akkor csak abban az esetben mkdik a tovbbts, ha az gynkt kln konfigurltuk, vagyis megmondtuk,hogy mely cmkioszt rendszerrel vegye fel a kapcsolatot.

A betrcsz gyfelek persze mit sem tudnak arrl, hogy a cmeket nem kzvetlenl egy cmkioszt szervertl kaptk.Szmukra csak az a lnyeges, hogy megkapjk a hn htott IP-cmet, hozz a megfelel paramtereket s vgrekommuniklhassanak. Neknk rendszergazdknak azonban nem rt tisztban lennnk, hogy ez a tbbnyireproblmamentes sszekapcsolds valjban igencsak sszetett s kacifntos mdon jn ltre.


20/32

NetAcademia-tudstr


20



Windows 2000 Server Internetworking Guide Chapter 3: IP Unicast Chapter 7: Remote Access Server

Windows 2000 TCP/IP Core Networking GuideWindows 2000 HelpRRASWindows 2000 HelpDHCP

A DHCP rejtett szpsgei VI.

Azt mr korbban is lthattuk, hogy a DHCP szolgltats nem ll nmagban, szmosms komponenssel egyttmkdik. A DNS, az Active Directory, az RRAS s a DHCP

viszonyt mr tisztztuk. A cmkioszt szerver azonban egyb funkcikkal is szorosanintegrlt, st nha sajt maga tartalmazza ezeket az alkalmazsokat. Ezttal a BOOTP,a MADCAP, a RIS s a DHCP kzti sszefggseket vizsgljuk.

BOOTPa flig lenyelt eldA DHCP szolgltats nem volt elzmnyek nlkli, isteni fejbl kipattant szikra. 1985-ben Bill Croft a Stanford egyetemrl sJohn Gilmore a Sun Microsystemtl ksztettek egy szabvnytervet, amely RFC 951 -es szmmal s Bootstrap Protocol(BOOTP) cmmel vonult be a trtnelembe. Az megoldsuk sok tekintetben hasonlan mkdtt, mint a mai DHCPkiszolglk, br nem pontosan ugyangy. Az eltrsek az alkotk indtkaibl, az elttk ll feladatokbl fakadtak. A fentikt riember a lemez nlkli munkallomsok elindulsi folyamatt szerette volna automatizlni. gy a BOOTP szabvny egyktfzis indtst definilt. (Az RFC az elst rta le rszletesen.)

Az els fzisban a munkallomsok UDP 67 (szerver) s UDP 68 (kliens) portokon keresztl kommuniklnak. A szerver egyIP cmet biztost a lemez nlkli gpnek, tovbb nhny paramtert, amelyet k gyrti kiegsztseknek (vendorextensions) neveztek. Azt az informcit, hogy a munkalloms melyik kiszolglrl, milyen nev boot llomnyt tlthet le az

indulshoz szintn a BOOTP kiszolgl adja meg. A msodik fzisban a lemez nlkli rendszer TFTP protokollon keresztlfelveszi a kapcsolatot a korbban megadott szerverrel, lemsolja a boot llomnyt, majd azt betltve elindtja a szksgesopercis rendszert.Tulajdonkppen az RFC szerzi oldottk meg a tyk -tojs problmt, amit mi korbban paradoxonknt emlegettnk, vagyisk javasoltk a szrt zenetek alkalmazst. Lthatjuk, hogy az els fzis igen-igen hasonlt a DHCP mkdsi elveihez.Kzponti cmkezelsrl van sz mindkt esetben, ugyanazokat az UDP kapukat hasznljk a BOOTP s DHCP kiszolglk,kliensek, tovbb az zenetvltsnl a csomagszerkezet is megegyezik, egy kivteltl eltekintve: a BOOTP csomagok csak64 oktetnyi helyet biztostanak a gyrti kiegsztseknek, mg a DHCP 312 oktetet rtelmez, amelyben a klnbz opcikutaznak. (A kt fogalom opci s gyrti kiegszts - gyakorlatilag ugyanazt takarja.)Ezek a hasonlsgok arra ksztettk a DHCP kiszolglt megalkot programozkat, hogy lehetv tegyk a BOOTPgyfelek tmogatst. A Microsoft a Windows NT 4.0 SP2 ta tmogatja az idsebb testvr klienseit.

A hasonlsgok mellett szlni kell a meglv klnbsgekrl is. J kiindulsi alap a szllti kiegsztsek felsorolsa.

Kd Lers

1 Subnet Mask3 Router

4 Time Server

5 Name Server

9 LPR Server

12 Computer Name

15 Domain Name

17 Root Path


21/32

NetAcademia-tudstr


21

42 NTP Servers

44 WINS Server

45 NetBIOS over TCP/IP Datagram Distribution Server

46 NetBIOS over TCP/IP Node Type

47 NetBIOS over TCP/IP Scope

48 X Window System Font Server

49 X Window System Display Manager

69 SMTP Server

70 POP3 Server

A fenti lista lnyegesen rvidebb, mint a DHCP opcik teljes tblzata, radsul nhny nagyon fontos paramter ishinyzik. Nincs sehol sz brletidrl (51-es opci) megjtsi idrl (renewal time, 58-as opci, rebind time 59-es opci).Ezek szerint egy BOOTP kliens nem jtja meg a brlett? Nos, nem jtja meg, mivel az IP cm krst nembrletviszonynak fogja fel. S me, ez a legnagyobb klnbsg egy DHCP s egy BOOTP gyfl kztt. Egy BOOTP klienskr ugyan IP cmet a rendszerindulskor, s minden jabb indulskor is, m onnantl a cmet sajt magnak rzi. Nincstovbbi kapcsolata a BOOTP kiszolglval! Hogyanlehet gycmeket kezelni? Hiszen az egyszer kiadott cmrl azutn mrnem rendelkezhetnk, nem vonhatjuk vissza.

A BOOTP vilg mskpp mkdik, mint a DHCP. A cmek kiadsa ugyanis a szabvny szerint egy tblzat alapjn trtnik,amelyben elzleg rgztik a leend gyfl azonost adatait, tbbek kztt a MAC cmt is. Ha analgit keresnk, a DHCPlefoglalt cmeihez hasonlthatjuk az eljrst a brletidtl eltekintve. Vagyis sz sincs ellenrizetlen folyamatokrl, ppellenkezleg. A BOOTP vilg nem is kaphatcmet olyan lloms, amelyrl a rendszergazda nem tud. Kizrlag a BOOTP

tblzatba felvett hostok nyernek bebocstst a hlzatba.No persze ez nem is olyan knyelmes megolds, mint a DHCP, mivel elzetesen be kell gyjteni legalbb a MAC cmeket, aboot llomnyneveket, a TFTP szerver cmeket, kzzel frissteni a tblt stb., stb. Mai szemmel nzve meglehetsen fura, aszabvny megalkotsakor azonban mg nem kellett naponta tucatjval telepteni s kivonni gpeket a hlzatbl, vagyis afenti megolds iskielgt volt. Arrl nem beszlve, hogy a DHCP -hez kpest a BOOTP vilg mg biztonsgosabbnak istekinthet, hiszen kizrlag a rendszergazdk explicit engedlye utn kaphat egy host cmet, ami azrt erteljesebb kontroll,mint egy scope aktivlsa. A DHCP biztonsgrl azonban ksbb mg lesz sz, most nzzk, hogyan is fest a konkrtBOOTP implementci.

A Windows NT 4.0-ban a tmogats azt jelentette, hogy a szerver elfogadta a BOOTP csomagokat, majd a lefoglalt cmeket(reserved addresses) kezdte el vizsglni. Amennyiben tallt olyan MAC-cmet, amely a csomagban szerepl gyfllelmegegyezett, a brletet kiosztotta. Amikor teht korbban a lefoglalt cmek mkdshez hasonltottuk a BOOTPmegoldsait, egyltaln nem jrtunk tvol az igazsgtl, mert a DHCP BOOTP emulcija pp ezt a lehetsget hasznljaki.

A Windows 2000-ben tovbbfejlesztettk a BOOTP tmogatst, s a fenti megolds megtartsa mellett bevezettk adinamikus BOOTP gyfelek fogalmt. Ez azt jelenti, hogy mr nem kell a lefoglalt cmek kz felvenni elre a BOOTPgyfeleket, azok ppen gy egy aktv brlettartomnybl kapnak cmet, mint a kznsges gyfelek. Csupn kt dologra kellfigyelni. A brlettartomny tulajdonsgai prbeszdpanelen az Advanced lapon engedlyezni kell a BOOTP gyfelekdinamikus kiszolglst, tovbb meg kell hatrozni, hogy mennyi idre kapjk meg kiadott IP-cmet.

A BOOTP gyfeleknek 30 napra szl az alaprtelmezett brlet

A 30 napos brletid elgg veszlyes dolog. Attl, hogy egy DHCP kiszolgl DHCP gyflknt szeretn kezelni a BOOTPklienseket, a szabvny mg nem vltozik meg. Mrpedig a BOOTP gyfelek nem fogjk megjtani a brletket. Ha teht 30napon tl sem indtjuk jra ket, a DHCP kiszolgl msnak is kiadhatja a cmket. Blcs rendszergazda teht ezt az rtketlegalbb 100 napra, vagy mg inkbb 365 napra mdostja. Manapsg ugyanis a BOOTP gyfelek elgg sokig kpesek


22/32

NetAcademia-tudstr


22

zemelni egyhuzamban. A dinamikus tmogatsnak van mg egy fontos felttele: az gyfelek csak IP cmet krjenek. Haszksgk van a boot llomny nevre, TFTP szerver cmre stb., akkor a dinamikus BOOTP gyfl mint megolds nem

jhet szba. Valamilyen mdon ugyanis hozz kell rendelni a fenti adatokat is a klienshez. Marad a korbban felvillantottreserved address alap megolds. Felvesszk a BOOTP gyfeleket a lefoglalt cmek kz megadva a MAC cmt, nevtstb. s bejellve, hogy BOOTP krs rkezik majd.Ezutn be kell lltani kt specilis opcit, a 66 s 67 szmt. Az els TFTP kiszolgl nevt, a msodik a bootfjl nevttartalmazza.Vgl a szerver tulajdonsgai lapon bekapcsolhatjuk a BOOTP tbla mappt. Ha ezt megtettk, lehetsgnk van hromadattal elltni a BOOTP gyfeleket. Az els s a harmadik mr ismers, itt azonban megadhatjuk mg a teljes elrsi u tat is

a boot llomnyhoz. A klienshez felvett rtkek alapjn a tbla bejegyzshez egyrtelmen hozzrendelhet a BOOTPgyfl is. Ugye nem bonyolult?

A Windows 2000 ennl tovbb nem megy. A sgban azt a fura mondatot olvashatjuk, hogy a TFTP szervernek egyharmadik gyrttl kell szrmaznia, mert a Windows 2000 nem rendelkezik ilyen kiszolglval.

A BOOTP szabvnyt kvet prbeszdpanel

A fenti llts egy kicsit sntt, hiszen a RIS kiszolglhoz dukl egy TFTP is. A pontos megfogalmazs teht az lehetne,hogy a Windows 2000-et nem szlltottk olyan TFTP kiszolglval, amely a BOOTP gyfeleket is kiszolgln. (Kr, hiszen aPXE kliensek nagyon kzeli rokonai a BOOTP-t hasznl llomsoknak.)

A BOOTP szolgltatsrl sszessgben annyit mondhatunk, hogy a szabvny h kvetse, m nem teljes megolds.Amennyiben azonban az IP-cm kiosztst tekintjk feladatnak, gy a DHCP kiszolgl megfelel tmogatst nyjt a BOOTPgyfeleknek is.

MADCAPHa a BOOTP szabvny a mlt, akkor a Multicast Address Dynamic Client Allocation Protocol (MADCAP) egy kicsit taln a

jv. Nem azrt, mintha a multicast szabvny nem lenne legalbb olyan ids, mint nmely mai kzpiskols (1986-ban jelentmeg az RFC 988, amelyben elszr definiltk), hanem inkbb azrt, mert a r pl alkalmazsok, mint a vide-

konferencia, azonnali zenetklds, e-learning megoldsok, stb. mg csak most kezdik meg hdt tjukat.A MADCAP megrtshez minimlis szinten rteni kell a multicast vilgot is. Az mr kzismert, hogy a gpeknek egyedi IPcmmel kell rendelkeznik, amelyek A, B, C osztlyba sorolhatk, esetleg osztly nlkliek. Lteznek azonban D osztlycmek is, ezeket onnan lehet felismerni, hogy a IP cm els ngy bitje 1110, vagyis egy multicast cm a 224.0.0.0 s239.255.255.255 tartomnyba esik. A multicast cmekre a kvetkez szablyok vonatkoznak:1. Egy llomsnak rendelkeznie kell legalbb egy unicastcmmel, mieltt egy multicastcmet kap.2. Egy multicast cmet tbb llomsis megkaphattulajdonkppen ez az rtelme. Egyedi cmeknl ez tilos. A szabvny

szerint az azonos multicast cmmel rendelkez llomsok halmazt nevezik multicast csoportnak, amelynek nulla vagyannl tbb tagja lehet. Egy csoport nem csak egy logikai alhlzatbl fogadhat tagokat, s a hlzat tudja, hogy melyllomsok tagok, s azok hol helyezkednek el. A csoport dinamikusan vltozhat. Brmely lloms brmikorcsatlakozhat, vagy elhagyhatja a csoportot. (Ennl mlyebbre nem megynk, habr a tma izgalmas.)

3. Egy llomsnak tbb multicast cme is lehet egyidejleg.Tudni kell mg, hogy bizonyos cmek foglaltak, vagy specilis tulajdonsgokkal brnak. Nhny plda:

1. A 224.0.0.0-224.0.0.255 cmek csak a helyi alhlzaton rvnyesek, az tvlasztk semmikpp sem tovbbtjkket.

2. A 239.0.0.0-239.255.255.255 cmtartomny olyan alkalmazsok szmra van fenntartva, amelyek elrhetsgt(vagy inkbb sugrzsi tvolsgt) szablyozni lehet.

3. A fenti cmtartomnyon bell a 239.192.0.0 255.252.0.0 alhlzati maszkkal nagyjbl hasonl s zerepet jtszik amulticast vilgban, mint a 10.0.0.0/8 az unicast forgalomnl. Bels hasznlatra ajnlott cmtartomny, idelis aMADCAP kiszolglk szmra. Ez a cmtartomny 262144 cmet jelent, ami risi szm, ha meggondoljuk, hogyegyetlen cmet akrtbb ezer lloms is hasznlhat.

4. 224.0.0.1minden lloms a helyi hlzaton.5. 224.0.0.2minden tvlaszt a helyi hlzaton6. 224.0.0.5OSFPv2 tvlasztk a hlzatban7. 224.0.0.6OSFPv2 tvlasztk a hlzatban8. 224.0.0.9RIPv2


23/32

NetAcademia-tudstr


23

9. 224.0.1.1Network Time Protocol

A 224.0.1.0 238.255.255.255 szabadon felhasznlhat multicast-ra pl alkalmazsok szmra, legyenek akr azInterneten is. Persze a cmeket ugyangy meg kell ignyelni, de taln itt nincs olyan cmhsg, mint az egyedi cmekesetben.Fontos tisztzni, hogy a multicast cmek fggetlenek az egyedi IP azonostktl, teht a MADCAP szerver sem fgg a DHCPcmtartomnyok meglttl. Ha egy kiszolgln csak multicast brlettartomny tallhat, akkor azt MADCAP szervernekmondjuk. m ksbb itt is ppgy lehet normlis scope-okat ltrehozni, jl megfrnek egyms mellett.

Az sem szksges, hogy az gyfl unicast cme egy DHCP kiszolgltl szrmazzon s fordtva: egy DHCP gyfl nem

csak a MADCAP ltal adott multicast cmmel kapcsoldhat olyan csoporthoz, amely tbbi tagja viszont MADCAP gyfl.

A MADCAP kezelfelleteEgy multicast cmtartomny ltrehozsa pp olyan knny, mint egy kznsges brlettartomny, st, ha lehet, mgegyszerbb. A MADCAP kiszolglk ugyanis szinte kizrlag cmtartomnyokat definilnak, opcikat azonban nem ennyivel egyszerbb az let.

A varzsl, amely a scope-ot ltrehozza, csupn a cmtartomny nevt, kezd- s vgcmt, a kizrt cmeket s a brletidtkrdezi meg. Mindezt azonban ksbb is bellthatjuk a scope tulajdonsgai kztt, ahogy a kvetkez bra mutatja.

A multicast cmtartomnyokkal nem bnik olyan finnysan a kiszolgl. A tulajdonsgok lapon knnyedn mdosthatjuk akezd s vgs cmet is, ha ez szksges.Kln emltst ignyel a TTL rtk. Az tvlasztk szmt jelenti, amelyeken mg thaladhat a multicast forgalom. Ezegyszeren szablyozza, hogy milyen messzirl rhet el az adott mult icast alkalmazs (pl. egy e-learning tanfolyam).

Egyszeren konfigurlhatmulticast cmtartomny

A multicast vilgnak van egy klns sajtossga, az illkonysg. Egy videokonferencia zros idn bell vget r, akrcsakegy tanfolyam, vagy egy l kzvetts. A cmeket hipp -hopp elhagyjk a munkallomsok, st akr az egsz cmtartomnyis feleslegess vlhat. A Windows 2000 kszti szmoltak ezzel a szitucival. A multicast brlettartomny tulajdonsgaikztt a msodik lapon bellthatjuk, hogy a scope meddig ljen, szakszval: mikor jrjon le. Ha eljtt az id, t a scoperja. Elillan, mintha sohasem lett volna.

Amilyen sszetett s bonyolult tud lenni egy multicast forgalmat lebonyolt hlzat, olyan egyszer a MADCAP letrekeltse ez most kiderlt. Egy valamit azonban rdemes fejben tartani: a MADCAP csupn egy elemea hlzatnak, amelya fenti alkalmazsokat biztostja. Szksges, de nem elgsges felttele multicast alkalmazsok bevezetsnek. Nemkerlhet el az tvlasztk alapos fellvizsglata s alkalmass ttele e specilis forgalom lebonyoltsra.

A DHCP s a RISMg 2001 vgn indult e lap hasbjain egy t rszbl ll sorozat, amelynek keretben az Olvas rszletekbe menenmegismerkedhetett a RIS, vagyis a Remote Installation Services rejtelmeivel. Most csak rviden szlunk a RIS s a DHCPkapcsolatrl.

A RIS s a DHCP kztt nha rejtlyes kapcsolat van. Elszr is minden RIS szervert fel kell venni az Active Directoryhitelestett DHCP kiszolglinak listjra. Vagyis a Windows 2000 bizonyos szempontbl a DHCP kiszolglkhoz hasonlanbnik az automatikus szoftverdisztribcis feladatokat vgz RIS szerverekkel. Mirt is? A RIS kiszolglk feladata a PXEgyfelek kiszolglsa, s csodlatos mdon a PXE gyfelek DHCP csomagok segtsgvel kommuniklnak a RISszerverekkel. Ezrt szksges a hitelests.Lssuk a tnyleges forgalmat. Felttelezzk, hogy mind a DHCP, mind a RIS kiszolgl az PXE klienssel azonosalhlzatban van.


24/32

NetAcademia-tudstr


24

1. A PXE gyfl kibocst egy DHCP-DISCOVER csomagot, amelyben IP cmet s PXE boot szerver cmet kr.2. DHCP-OFFER csomag rkezik a DHCP kiszolgltl egy IP cmmel.3. DHCP-OFFER csomag rkezik a RIS kiszolgl BINLSVC komponenstl a PXE szerver cmmel.4. A PXE kliens DHCP-REQUEST csomagot kld a DHCP szervernek, IP cmet kr.5. A DHCP kiszolgl DHCP-ACK csomaggal nyugtzza a krelmet.6. A PXE gyfl egy jabb DHCP-DISCOVER csomagot bocst ki.7. DHCP-OFFER csomag rkezik a DHCP kiszolgltl az elz IP cmmel.8. DHCP-OFFER csomag rkezik a RIS (BINLSVC) kiszolgltl a PXE szerver cmmel.9. A PXE kliens DHCP-REQUEST csomagot kld a RIS szervernek, s a PXE boot szerver cmt kri.10. A RIS (BINLSVC) egy DHCP-ACK csomagot kld, amely a szerver IP cmt, nevt, valamint annak az llomnynak a

nevt tartalmazza, amelyet a TFTP kiszolgltl kell krnie az gyflnek (Ez a startrom.com).

Lthat, hogy a harmadik s hetedik csomag felesleges. A harmadik csomagra sohasem fog vlaszolni a PXE gyfl, mertnem tartalmaz IP cmet, mg a hetedik azrt felesleges, mert IP cmmel mr rendelkezik a delikvens. Mindez azonban aszabvnybl kvetkezik. DHCP-OFFER csomagra minden DHCP kiszolgl vlaszol. (A BINLSVC konfigurlhat ennlfinnysabb mdon is. A RIS-nl bellthat, hogy csak az ismert gyfeleknek vlaszoljon. Ha a PXE gyfl nem tud ismertGUID-ot felmutatni, a BINLSVC egyszeren hallgat, nem kld vlaszokat.)Ha a RIS s a DHCP egy kiszolgln dolgoznak, lnyegesen egyszerbb prbeszd zajlik a szerver s az gyfl kztt.Csupn az albbi:

1. DHCP-DISCOVER csomagot bocst ki az gyfl (IP cmet s PXE boot szerver nevet keres).2. DHCP-OFFER csomagot kld a kiszolgl IP-cm ajnlattal s PXEboot szerver nvvel.3. DHCP-REQUEST krs indul az gyfltl a kivlasztott IP cmmel.4. DHCP-ACK nyugtzza a cm kiadst. A csomag tartalmazza az IP cmet, a RIS szerver cmt, s az els

letltend llomny nevt.A trkk annyi, hogy a DHCP megkrdezi a BINLSVC szolgltatst, hogy kvnja-e hozzadni a maga informciit a DHCPcsomagokhoz. A PXE kliens egybknt az utbbi forgalmat szereti. Ha kt DHCP kiszolgltl is kap csomagot, akkor aztfogja minden esetben preferlni, amelyik egyben RIS szerver is. ARIS kiszolglk terhelselosztsnl ezt figyelembe kellvenni.

A fenti forgalomnl feltteleztk, hogy a hrom szerepl (PXE gyfl, DHCP s RIS kiszolgl) egy alhlzaton mkdik. Azlet azonban lehet ennl bonyolultabb, megeshet, hogy akr az egyik, akr mindkt szerver egy msik alhlzaton dolgozik.Ekkor termszetesen DHCP Relay Agentekre van szksg, amelyeknek tbb helyre is tovbbtani kell az elkapott DHCP -DISCOVER csomagot: a cmkiszolglk mellett a RIS szervereknek is rteslnie kell a PXE gyfl indulsrl.

A Q259670 cikk egy rdekes, de a Microsoft ltal nem tmogatott eljrst r le. Ennek lnyege, hogy hrom opcit be kelllltani egy adott scope-hoz (ezek kzl egyet netsh felleten keresztl), amelynek nyomn a DHCP kiszolgl rgvestelvgzi a BINLSVC munkjt is, mert megadja a RIS szerver nevt, cmt s a boot llomny nevt. A megolds htrnya,hogy a RIS szervert a scope-hoz kti, radsul kicselezi a BINLSVC fent emltett biztonsgi mechanizmust is. Viszont amegolds teljesenhasonlatos egy BOOTP indulshoz. Mi kell egy BOOTP kliensnek? IP cm, TFTP szerver cm, boot fjlnv. s mi kell egy PXE kliensnek? Ugyanez. Noht, noht. Akkor mirt kellett megalkotni egy j szabvnyt, a PXE -t,

ahelyett, hogy az reg motoros BOOTP-t hasznltk volna?A vlasz nem trivilis, de valamennyire rthet. A BOOTP egy kihalban lv szabvny, mra mr alig hasznljk,legfkppen pedig nem dinamikus. A DHCP ugyan dinamikus, de alaprtelmezetten nem tartalmaz olyan adatokat akliensekrl, amilyenek egy PXE hostnak szksge van. (Lttuk, megoldhat, de nem tl szerencss). Kell teht egy olyanszabvny, amely IP cmet oszt, TFTP szerver nevet s boot image elrhetsget s dinamikus. Ilyen nem volt, ezrtmegalkottk a PXE-t.Nem lehetett volna ezt a funkcit mgis a DHCP-be gyrni? Taln lehetett volna, ki tudja. Az mindenesetre rulkod, hogy aPXE nem egy RFC szabvnyon alapul, vagyis nem IETF alkots. Ki tudja? Egyszer taln sszeolvasztjk a kt eljrst olyan sok kzs vonsuk van. Egyelreazonban ez csak tallgats. Volt a BOOTP, van a DHCP s a PXE, neknk pedigmindegyiket tudni kell alkalmazni a maga helyn.



Windows 2000 Server Internetworking GuideChapter 3: IP UnicastWindows 2000 TCP/IP Core Networking GuideRFC-951 BOOTP ProtocolRFC-1930 "Guidelines for creation, selection, and registration of an Autonomous System (AS)."RFC-2365 "Administratively Scoped IP Multicast."Q244036 Description of PXE Interaction Among PXE Client, DHCP, and RIS ServerQ259670 Using Dynamic Host Configuration Protocol Options 60, 66, 67 to Direct PXE Clients to RIS Servers May Fail


25/32

NetAcademia-tudstr


25

A DHCP rejtett szpsgei VII.

A cikksorozat befejez rszben hrom fontos tmakrt elemznk. Megvizsgljuk,milyen lehetsgeink vannak a DHCP-szolgltats rendelkezsre llsnak nvelsre,

ttekintjk a beptett monitoroz eszkzket, vgl nhny hasznos fogstismertetnk, amelyek a DHCP-adatbzis karbantartst segthetik.

A rendelkezsre lls nvelseAkik figyelemmel ksrtk a tech.net magazin DHCP-cikksorozatt, pontosan tudjk, hogy a cmkioszt szolgltats kritikusfunkci, s br nem kell minden msodpercben mkdnie, a hibs szerver lassan, de biztosan megbntja az egsz hlzatlett. Szerencsre szmos lehetsg van a keznkben, hogy a rendelkezsre llst nveljk. Az albbi pr mdszer kzla vkonyabb pnztrcj s a professzionlis szolgltatk is megtallhatjk a nekik megfelel megoldst.

Rendelkezsre lls nvelse jzan sszelSzr mentn mr emltettk, most jra elvesszk az egyik legegyszerbb s legkzenfekvbb megoldst, amellyel akrnapokat is nyerhetnk a DHCP helyrelltshoz. A cmkrs mdszerbl, valamint az Windowsos gyfelek alaprtelmezettbelltsbl kvetkezik, hogy a szolgltatst csak rvid idre ignylik az IP-cmmel dolgoz eszkzk. Egy gyfl akkorkerl kapcsolatba a DHCP-szerverrel, amikor elszr cmet kr, jraindul, amikor meg kell jtani a brletet a brletid

felnl, sikertelensg esetn a hromnegyednl, vgl a brlet tnyleges lejratakor. A kontaktusok kzl csak az els saz utols kritikus, vagyis ha a kliensnek eleve nem volt cme, vagy vgleg lejrt a brlete. Minl hosszabb a kt idpontkztti id vagyis a brletid, annl nagyobb a valsznsge, hogy nem ilyen kritikus helyzet ll fenn.Vagyis a brletid nvelse nmagban a rendelkezsre llst nvel tnyez.Persze csak statisztikai alapon. A brletidfggvnyt vizsglva azt tapasztalhatnnk, hogy az gyfelek legtbbje a brlet egynegyednl jr. Mirt? Mert ha jlmkdik a DHCP-szolgltats, akkor a gpek tlnyom tbbsge flidben megjtja a brlett, vagyis a brletid 0 s 50%-a kztt egy normlis jelleg eloszls jellemzi a gpek cmbrleteit.

A gyflszmtgpek eloszlsa az eltelt brletid fggvnyben

Tkletes normlis eloszlsrl azrt nem beszlhetnk, mert mindig lesznek olyan gpek, amelyek kikapcsolt llapotbantalusszk a flidt, s megjsolhatatlan, hogy mikor brednek. Ezzel egytt egy kevs gpbl (20-60) ll hlzatban,naponta hasznlt llomsokkal a normlis eloszls nagyon j kzelts. Belthat, hogy egy 90 napos brletperidus esetnmajdnem 45 nap ll rendelkezsre a DHCP-szolgltats megjavtshoz megint csak statisztikai alapon. Akkor javasoltehhez a taktikhoz folyamodni, ha: Egyetlen szervernk van. Viszonylag kicsi, jl tlthat hlzattal dolgozunk. Stabil a krnyezetnk, teht nem konfigurljuk t gyakran a DHCP -kiszolglt, nem vsrolunk ppen most gpeket,

nem adunk j IP-cm tartomnyt a hlzatnak. Nincsenek olyan gyfeleink, amelyek egy msik hlzatban is rendszeresen megfordulnak, s ott cmet ignyelnek. Nincsenek BOOTP gyfeleink. (k jraindulskor mindenkpp ignyelnek IP-cmet.) Nem konfigurltuk gy az gyfeleket, hogy lellskor engedjk el a cmket.

Br kemny korltok a fe

a dhcp rejtett szépségei – i

Documents