《dhcp负载均衡》由会员分享,可在线阅读,更多相关《dhcp负载均衡(3页珍藏版)》请在金锄头文库上搜索。
1、DHCP 负载均衡RFC 2131 的工作机制如果冗余的 DHCP 工作不正常,它们必须能够同步地址租用信息,以便任何签约用户能用任一台服务器更新。为解决这个问题,RFC 2131 定义了三种类型的服务器到服务器的信号:服务器租用同步信号、操作状态信号(问候包)及“我回来了”信号(主服务器从死机状态恢复)。冗余 DHCP 服务器遵循 RFC 2131 DHCP 故障恢复草案,通过服务器租用同步信号彼此交流租用信息。当两台服务器工作正常时,主、次服务器间会有连续的信息流。用来交流租用信息的信号有三种:添加信号,当主服务器分发出一个新租约时,主服务器发送到次服务器的信号;刷新信号,当租约有变化时(
2、如更新/扩充),每台服务器发送的信号;删除信号,当租约期满,地址又成为可用的了,服务器发送的信号。在所有情况下,接收方服务器以肯定或否定的认可信号来响应。这些信号只有在请求 DHCP 客户处理完毕后才发送给另一台服务器。除了维护当前的租用信息数据库外,次服务器还必须留意主服务器,以便得知何时取代租用的分发。这一功能由监视两台服务器的 TCP 连接来实现。次服务器使用三个标准以确定它和主服务器的连接是否满意:一,必须能建立 TCP 连接;二,必须接收到主服务器发送的连接信号,并以连接认可响应;三,必须接收到主服务器发出的状态信号,用它来确定自己的操作状态。RFC 2131 故障恢复草案指定了一种
3、机制,让主服务器出故障后能够恢复。当主服务器复活了,想收回次服务器的控制权,它就启动三个信号序列:控制请求、控制恢复初始和控制恢复完成。主、次服务器之间交换的所有信号都以标准 DHCP 包编码。包的类型在 RFC 已定义,但包的约束信息还需要标准化。由于这个草案还没有完全批准,近期还不太可能看到能在多个厂家共同使用的 DHCP解决方案出台。部署冗余 DHCP目前,Cisco Systems 的 Cisco Network Registrar(CNR)的 3.0 版本就采用 RFC 2131,能够进行冗余 DHCP 服务器的部署。但在部署冗余 DHCP 解决方案之前,必须注意两个问题,以保证它能
4、正常工作。首先,如果路由器使用 BOOTP/DHCP 中继,那么备份服务器必须也加上 BOOTP/DHCP 中继,以代替主服务器。BOOTP/DHCP 中继是在路由器的以太网接口配置的,它作为此分部的主机或工作站的默认网关。BOOTP 中继从分部中取出 DHCP 广播包,并把它们推给 DHCP 服务器。当添加了备份服务器时,需要在每个以太网接口再加一个 BOOTP 中继。如果跳过这一步,得到的是不具容错性的网络。这样,当主服务器失效时,包就不会被推到第二个服务器。其次要注意的问题是需要在主、次服务器间手工同步范围信息。DHCP 故障恢复协议是针对租用信息而不是范围信息的。CNR 服务器只能同步
5、 DHCP 租用数据,略去了范围和其他配置数据。如果租用范围有变化,则必须手工改变两台服务器。幸好,Cisco 提供了一个程序,它能比较服务器的 DHCP 配置并对不同之处提出警告。如果网络里的范围多于 100 个,那么服务器同步的安装和维护将十分困难。然而,Cisco 还有一个非常有用的脚本,能够克隆 DHCP 服务器,在安装次服务器时使用,而在其他情况下禁止使用。思科 DHCP 服务解决方案对于有近千个信息点的内网来说,如果采用手工的地址分配方案将带有巨大的管理负担和维护成本,尤其是在网络实施用户身份认证及动态 VLAN 划分时,静态地址分配更不可行,因此大型的局域网一般采用DHCP 动态
6、地址分配方案,但传统的 DHCP 地址分配方案在安全性、可靠性、负载均衡能力等方面存在诸多问题,思科创新的 DHCP 地址分配方案 CNR(Cisco Network Register)可很好地解决上述问题,并支持 TFTP 和 DNS 等其它服务。1 ) DHCP Server 分布式设计在网络的两台核心交换机部署两个 Cisco DHCP CNR Server, 这两台 DHCP Server 通过双网卡连接上来,此外 Cisco DHCP CNR Server 可以实现负载分担和故障切换,将整个 IP 地址池的 80%由这两个 Server负责,20%的地址池由另外楼层的 2 个 DHC
7、P Server 负责。DHCP 分配的 80/20 规则:为了避免重复地址分配,通常采用了 80/20 的规则,本地部署一台 DHCP Server , 负责某一地址范围的80%,远程部署另外一台 DHCP Server 负责某一地址范围的 20%。假如分给某网段的地址范围是 10.1.1.0/24, 则 10.1.1.1-10.1.1.200 由本地的 DHCP Server 负责,10.1.1.201-10.1.1.253 由远程的 DHCP Server 负责80/20 规则的前提基于如下假设:当本地的 DHCP Server 发生故障时,因两组 DHCP 服务器地址分配数据库的实时同
8、步操作,很多已经得到 IP 地址的主机的租期并没有过期,无需申请地址,只有少数新连接的主机需要申请 IP 地址,由远程DHCP Server 赋予。2) DHCP Server 的 冗余与负载分担传统方式的 简单 DHCP 冗余措施通常的设计的情况时在中心放置 2 个 DHCP Server, 两个 DHCP Server 没有任何冗余协议,为了防止不同的 Client 得到重复的 IP 地址,为这两个 Server 分配不同的地址池。简单的 DHCP 冗余存在的问题:上述的简单的 DHCP 冗余存在如下问题: IP 地址空间不足当有一个 DHCP Server 发生故障时,只有另外一个 Se
9、rver 的地址空间提供服务,但是为了防止 IP 地址冲突,两个 Server 地址池一定不一样,因此另外一个地址空间只能分配给一个网段的一半。 PC 的连接不能永远提供在线连接,可能会中断后在连接当有一个 DHCP Server 发生故障后,当从此 Server 获的 client 的 IP 地址到期时,它不能得到新的 IP地址续用,它就会中断连接,重启动 DISCOVERY 过程,引起网络连接中断一段时间。Cisco DHCP Failover 协议为了解决上述不足,Cisco 向 IETF 提交了一份草案并申请 IETF 考虑作为标准,目前 Ciscos failover protoco
10、l 已经成为 IETF DHCP 工作组构建标准 DHCP Redundcy 协议的基础。草案 draft-ietf-dhc-failover-12.txt 的作者 Cisco Syetems 的杰出工程师,他目前是 IETF DHCP 工作组主席。在此工作组模型中,分为 Primary DHCP Server 和 Secondary DHCP Server,Primary DHCP Server 和Secondary Server 存在协议交互,Secondary Server 平时轮询 Primary Server 以确认其是否工作,如果工作正常,Seconday Server 并不对 C
11、lient 发出的 DHCP 请求作出响应,Primary Server 会将它的DHCP 数据库同步更新给 Secondary Server.Cisco Network Registrar 6.2 软件采用了 Cisco DHCP Safe Failover Protocol 实现了 DHCP Server 的冗余。DHCP Server 的 负载均衡RFC 3074 定义了根据 MAC 地址实现一种 DHCP Server 负载分担的算法,它能够将不同的 MAC 地址的DHCP 请求发送给不同的 DHCP Server, 因此实现了 DHCP Server 的负载分担,Cisco DHCP
12、 Server 支持 RFC3074, 因此能够实现在冗余切换和负载分担。3) DHCP Server 安全性设计DHCP 安全性面临三个问题:A) DHCP Server 冒用当某一个恶意用户再同一网段内也放一个 DHCP 服务器时,PC 很容易得到这个 DHCP server 的分配的IP 地址而导致不能上网。B) 恶意客户端发起大量 DHCP 请求的 DDos 攻击恶意客户端发起大量 DHCP 请求的 DDos 攻击,则会使 DHCP Server 性能耗尽、CPU 利用率升高。C) 恶意客户端伪造大量的 MAC 地址恶意耗尽 IP 地址池解决方案:防 DHCP Server 冒用Cis
13、co Switch 可采用 DHCP Snooping VACL, 只允许指定 DHCP Server 的服务通过,其它的 DHCP Server 的服务不能通过 Switch。VACL 是应用于一个 Vlan 的 ACL,它的配置很简单,但是实际上已经将 ACL 应用到 VLAN 内的所有端口上了,它能够对 DHCP 的协议进行分析,因此只允许有效的 DHCP Server 的信息通过。假定正式目标 DHCP 服务器的 IP 地址为 1.2.3.4。VACL 配置将仅允许目标服务器的响应被交换到客户机。当和不是真正的 dhcp Server 同一网段的 PC 通过 DHCP 获得 IP 地址
14、时,Cisco Catlyst Switch 的VACL 功能将只能让合法的 DHCP Server 的 DHCP-offer、ACK 通过,非法的 DHCP Server 的信息将被过滤掉,因此保证了 PC 能够从真实的 DHCP Server 获得地址防止恶意客户端发起大量 DHCP 请求的 DDos 攻击Cisco Switch 能够对 DHCP 请求作流量限速,因此能够防止恶意客户端发起大量 DHCP 请求的 DDos 攻击,防止 DHCP Server 的 CPU 利用率升高。恶意客户端伪造大量的 MAC 地址恶意耗尽 IP 地址池RFC 3046 定义了使用 DHCP option 82 来防止恶意客户端伪造大量的 MAC 地址恶意耗尽 IP 地址池,其基本原理是: Switch 截断 DHCP 的请求,插入交换机的标识,接口的标识等发送给 DHCP Server DHCP Server 接到后,根据标识制定策略,如针对此标识来的请求只分配 1-2 个 IP 地址等。Cisco 交换机支持 DHCP option 82, Cisco DHCP Server CNR 支持 DHCPoption 82,因此可以防止此种恶意攻击。
