部署DHCP常犯的錯誤

很多企業(yè)都意識到DHCP是一項非常主要的服務。沒有它，基于IP的網(wǎng)絡和應用將會陷入癱瘓。但是，很多機構仍然在服務器上使用結(jié)合了ad-hoc的軟件來部署DHCP，結(jié)果就是，不知不覺的，他們犯了常見的導致網(wǎng)絡可用性和安全嚴重降低的錯誤。
    下面我們列出了部署DHCP服務中常見的錯誤：
    DHCP的租約時間設置的太長或者太短
    建議的租約時間依賴于網(wǎng)絡中變化的程度。無線網(wǎng)絡、客戶網(wǎng)絡有一個高的變化程度，這不僅僅是由租約過期引起的。設備會從網(wǎng)絡中不斷插拔，有時間隔非常短。這種情況下設置過長的租約會阻止他人在租約過期前使用這些地址。
    未能監(jiān)測租約池中IP地址的使用情況
    管理員會創(chuàng)建足夠多的地址范圍供當前使用，而且會預留一些為了將來的擴展，但是他們往往會忽略跟蹤每個子網(wǎng)的增長速度。技術人員安裝使用IP的新設備的速度可能會比預期的要快，這會用盡所有的IP地址，結(jié)果新的設備就不能夠使用網(wǎng)絡了。這會導致新設備安裝時間延長，通常都會打開一個向IT部門求助的一個ticket(譯者著：在很多公司中，當日常工作中遇到網(wǎng)絡、設備等方面的問題，可以向企業(yè)內(nèi)部IT系統(tǒng)創(chuàng)建一個問題描述的主題ticket，IT部門會根據(jù)ticket來尋求問題的解決辦法)。
    遺忘的或者錯誤的可選配置
    記住：除了IP地址以外，其他的一切對于DHCP來說都是可選配置。每臺設備都需要一個子網(wǎng)掩碼、默認路由、優(yōu)先路由。但是如果管理員忘記去設計這些可選配置，DHCP就不會將這些信息提供給客戶。
    未能確定DHCP服務器是否是認證的
    明白“認證”和“分歧”的含義對于一個DHCP服務器來說是至關重要的。忽視這項設置將導致網(wǎng)絡中的重大問題，包括：DHCP沖突(沖突的DHCP服務器阻止了客戶獲得IP地址，或者獲得地址是錯誤的)，丟失重要數(shù)據(jù)(比如，Novell網(wǎng)絡使用INFORM包，這種包只有當你授權的情況下才會回復)，而微軟系統(tǒng)中出現(xiàn)的問題則是長期占有IP地址，即便當他們不再有效。
    UDP/BOOTP/DHCP轉(zhuǎn)發(fā)丟失或不可用
    因為DHCP是基于廣播方式的，需要在路由器上使能UDP轉(zhuǎn)發(fā)功能來轉(zhuǎn)發(fā)DHCP包到DHCP服務器上。如果實際上沒有這樣設置，或者配置的不正確，你就會遇到很多問題：客戶沒有收到地址和廣播風暴。
    未知的IP地址重疊覆蓋
    當管理員在多個服務器上配置了同一地址段，而這些服務器上并沒有使用DHCP失效機制，這就可能導致同一個網(wǎng)絡中復制的IP地址。DHCP服務器之間并不共享有關已被分發(fā)的地址的信息，這樣它們就可能分配同一個地址給不同的客戶。
    錯誤使用共享網(wǎng)絡
    盡管現(xiàn)在使用三層交換機、路由器支持的VLAN都很常見，你也可能遇見使用二次IP地址的網(wǎng)絡設計。換言之，一個路由接口(不管是實際的還是虛擬的)包含多個網(wǎng)絡的IP地址。在過去，這就是被稱為單臂路由(“one armed routing”，或者是“router on a stick”)。在這種情況下，你必須使用一個共享網(wǎng)絡將所有的網(wǎng)絡整合成一個網(wǎng)絡。如果你未能正確的使用該共享網(wǎng)絡，用戶最終會得到錯誤網(wǎng)路的地址，因此不能和其他網(wǎng)絡通信。