DHCP服务在宽带网络运营中的应用

　　1 前言

　　建设宽带网络只是进入宽带领域的开始，随着城域网规模的扩大和用户的迅猛增加，国内电信运营商从两年前以城市宽带网络建设为重点逐步转向对宽带网的运营和管理。基于以太网技术的宽带接入网，使大量用户享受到了10/100 Mbit/s以太端口直接连接的高速接入服务，也使很多以前无法开展的宽带应用有了实现的可能。但是由于以太网本身不具备用户认证、计费、带宽管理等功能，因此将以太网技术应用到公用的商业接入网环境时，需要引入一种接入认证机制实现对用户的管理控制。DHCP+Web和PPPoE是目前可提供的宽带用户认证方式。由于DHCP+Web方式具有无需安装客户端软件，支持组播业务，可通过三层网络，在城域网内部署方便的优点，在宽带运营中应用越来越广。

　　如同固话的电话号码，IP地址是宽带网中的一种宝贵资源，是提供宽带业务的基础。DHCP+Web认证采用DHCP来分配用户地址，DHCP系统成为宽带网络运营的基础网络设施。本文着重探讨DHCP服务在基于以太网技术的宽带网络中的应用。

　　2 城域网用户地址管理的问题

　　随着宽带数据业务的发展，尤其是在基于IP以太网技术的增值业务的飞速发展过程中，用户IP地址管理问题日渐突出，主要表现在：

　　(1)缺乏电信级的地址管理平台，系统稳定性较差

　　有些城域网采用PC机加装DHCP软件来实现DHCP功能，PC机本身性能的不稳定(如Windows NTDHCP)，极易导致DHCP服务的中断，用户无法得到IP地址，宽带接入业务将无法提供。有些城域网地址分配在城域网的网络节点设备上进行，由于不是专用的DHCP服务器，功能有限，而且增加了网络设备的处理负担，极易造成城域网网络设备的安全隐患。如有的城域网在Cisco6509上启用DHCP服务，经常会出现以下几种情况导致地址不能分出去(实际上地址并没有分完)：出现地址冲突时，Cisco 6509便会将冲突的地址记录在DHCP Conflict表中，只要不去手工地清除该表，冲突的地址，便无法再分配出去；由于其自身的Bug，Cisco 6509上的DHCP的地址租约到期而不能释放，也需要手工清除，工作量非常大； 由于用户量不停地增长，Cisco 6509要处理大量的DHCP请求，负荷过大而导致有时无法作出响应。

　　(2)IP地址分散管理，地址利用率低

　　由于城域没有统一的IP地址管理平台，有一部分城域网通过在每个小区设置DHCP服务器的方式实现用户的地址分配。分散的DHCP服务不但不利于管理，更不利于有限的地址资源的统计复用，从而降低地址的利用率。同时，分散的、非专业DHCP服务器无法提供统一的LOG日志，无法配合公安部门进行用户上网的跟踪分析。

　　(3)多种业务采用多种IP地址分配平台，地址规划策略难以实施

　　随着宽带业务的不断推出，城域网中没有统一的IP地址管理平台，多种业务采用多个地址分配系统，如WLAN、宽带电话、小区宽带接入等都维护各自的DHCP服务器，公有地址、私有地址不能统一规划，地址管理策略难以实施。

　　这些地址管理方面的问题不仅造成地址资源的浪费，运营成本的增加，而且在一定程度上影响了宽带业务的开展。

　　3 DHCP应用原则

　　从业务开展与管理的角度来讲，IP地址的规划是需要有规律性的。城域IP地址的规划应遵循结构化、层次化、扩展性和动态、静态分配相结合的原则。

　　DHCP（Dynamic Host Configuration Protocol)是一种相对集中的地址管理方式，DHCP网络服务适用于以下两种情况：

　　一种情况是，如果网络中需要分配IP地址的主机很多(如有几百上千台)，特别是要在网络中增加或删除网络节点,或者要重新配置网络时，可以使用DHCP服务器来为众多主机自动分配IP地址，使网络管理员得到解放,并可避免出错。

　　另一种情况是，如果网络中的主机多而IP地址不够(比如有400台主机却只有200个IP地址)，这时也可以使用DHCP服务器来解决这一问题。DHCP服务器将IP地址租借给上网的主机，当主机下网时或IP租约期满时(这个期限可以根据需要进行修改)，DHCP服务器便会收回出租的IP地址再分配给其它上网的主机使用，这样可提高地址利用率，用较少的IP地址满足较多的主机上网的需要。

　　宽带居民小区用户比较密集，需要大量的连续地址，适合于采用动态主机配置协议（即DHCP）进行地址分配。在专业的DHCP服务器上可以通过划分不同的地址作用域支持多种数据业务，如宽带接入业务、WLAN业务、宽带电话业务等都可在城域统一设置的DHCP服务器上分配地址。

　　DHCP的部署应相对集中，可以城域为中心设置。在城域部署集中的电信级DHCP服务器，有利于地址资源的管理和地址利用率的提高。使用DHCP服务器的一个好处是可以由DHCP自动处理大部分由于网络变化而引起的与配置IP地址相关的工作，特别是对于受地址调整影响最大的小区用户，只需更换集中的DHCP地址池即可，这将大大提高网络维护效率。城域统一分配和管理用户IP地址，也避免了把一个IP地址分配给多台工作站所造成的地址冲突。

　　4 DHCP服务的结构模型

　　DHCP协议属于应用层，DHCP应建立在客户机-服务器模型上。其中指定的DHCP 服务器分配网络地址并向动态配置的主机传送配置参数。DHCP服务采用三层结构，包括DHCP 服务器、DHCP 中继、DHCP 客户机。

　　(1)DHCP服务器

　　城域网中DHCP 服务器部署于核心层，在城域网的某个核心节点路由器下所挂接的高端三层交换机接入DHCP 服务器。

　　DHCP作为IP网的基础网络设备，必须具备电信级的冗余备份能力。通常情况下，每个城域网需要部署两台DHCP服务器，一台作为主服务器，另一台作为备份服务器，一旦主DHCP 服务器发生意外，备份DHCP 服务器能够及时进行接管。

　　DHCP服务器没有客户端的限制，在实际应用中受地址作用域的数量及服务器的配置（如内存的大小、磁盘的容量、CPU的处理速度等）的限制。DHCP请求发生时间较集中，一般在晚上上网高峰时间，因此要求DHCP服务器瞬间反应速度要快，为保证DHCP 服务器的正常工作需要配置足够的CPU、RAM、HDD。

　　(2)DHCP 中继

　　城域核心DHCP服务器不需要在物理上直接连接客户网络,在三层交换机、宽带接入服务器（BRAS设备）或用户接入路由器上启用DHCP 中继（以Cisco产品为例，应在全局、接口状态下启用IP DHCP 中继 功能），使用DHCP中继把DHCP请求转发到中心DHCP服务器上。因此，三层交换机、宽带接入服务器（BRAS设备）、用户接入路由器必须符合RFC1542的规定，即必须具备DHCP/BOOTP (Bootstrap Protocol)中继代理功能，能够将DHCP类型的信息(如Discover、Request等)从一个网段转发到另一个网段。

　　(3)DHCP 客户机

　　计算机运行Windows NT Workstation、Windows NT 服务器、Windows 98、Windows 95、Windows for Workgroups version 3.11、Microsoft-Network Client version 3.0 for MS-DOS、LAN Manager version 2.2c操作系统都支持DHCP服务，需启用自动配置功能：

　　默认情况下，运行Microsoft操作系统的DHCP客户机能够识别两种选项设置：信息选项和内部协议选项。 DHCP服务结构模型如图1所示。

　　图1 DHCP服务结构模型

　　5 DHCP作用域划分原则

　　每个城域网中心DHCP服务器划分多个不同的作用域，DHCP服务器中的作用域是根据DHCP中继网关不同的IP地址来设置的，即每个子网对应一个作用域。

　　城域内DHCP地址作用域的划分原则：

　　DHCP地址池的划分应遵循首末位取址原则(即：如果将一个连续的地址段如B类地址,分配给几个业务或几个区域用户使用,为了保证较高的地址利用率,各地址的划分采取从地址段前后两端分别向中间取地址的方法)。　　在以VLAN作为用户管理手段的城域网中，每个VLAN子网划分一个地址作用域。为了扩容和管理的方便，地址作用域建议以C类地址段为单位划分。在实际应用中，可以将每个宽带小区对应一个DHCP地址池。地址池大小的划分可按照小区开户用户数50%～70%的收敛比计算。对于客户接入量较大的小区（如开户用户数大于500的小区），需要大量、连续的IP地址，应尽量使用VLSM(Variable Length Subnet Mask)技术，在DHCP 中继网关采用超长掩码，同时考虑到网段内的网元设备越多给网络所带来的风险越高，超常掩码应不超过网段所能提供的最大IP地址数的两倍。对于开户用户数为200～500户左右的小区，建议分配1个C类地址段。对于开户用户数小于200户的小区，建议分配1/2个C类地址段(即：128个IP地址)。对于用户数更少的小区，可以将地址池划分更小，但是IP子网的划分越细，子网数越多，浪费的IP地址数就越多，因此不建议对合法地址网段进行过多子网划分，建议一个C类网段的划分，不应超过四次。

　　通过对DHCP服务器各地址池地址分配情况的统计，地址忙时利用率应能够达到75％以上，闲时平均利用率应保持20％以上。

　　6 城域DHCP系统实施建议

　　6.1 DHCP服务器的部署

　　作为运营系统的重要网络设施，为提高容错性和可靠性，在实际运营中每个城域网至少应部署两台DHCP服务器，实现冗余备份和负载分担。DHCP服务器接入至城域网核心POP点的三层交换机。

　　DHCP服务器遵循RFC2131、RFC2132、RFC2485、RFC2489、RFC951标准。主、备服务器设置为相同的作用域、租约（是DHCP服务器指定的时间长度，在这个时间范围内客户机可以使用所获得的 IP 地址）、保留地址（保证子网中的指定硬件设备始终使用同一个 IP 地址）。双机DHCP通常采用HA(High Availability)和数据同步技术实现。主服务器将每个作用域中的部分IP地址预留给备用服务器，在主备服务器不能通信时，这部分地址可由备用服务器分配。

　　在分配备用服务器IP地址范围时主要考虑两个因素：恢复主备服务器通信所需要的时间；在通信故障时间段内客户端请求地址量的大小。

　　通常可采用80/20的规则，即将所有可用的IP地址按8：2的比率分开，一台DHCP服务器提供80%的IP地址租约，另一台提供其它20%的IP地址租约。如果主备服务器通信失败，20%的可用IP地址将通过备用DHCP服务器来提供使用，保证用户IP地址不重复分配。

　　主备服务器通信正常情况下,用户端的DHCP 请求由主服务器应答，备用服务器只做租约更新。主服务器每执行一个客户端请求，更新一次备用服务器的租约信息。

　　主备服务器不能通信有两种可能：对方宕机或通信故障。由于不能确定主服务器是否正常工作，备用服务器将采用主服务器预留的部分地址响应用户端请求，保证用户端地址不重复分配。当其中一台服务器宕机时，对方确认后则另一台服务器全部接管故障服务器的工作，对客户端没有影响。

　　6.2 DHCP服务在网络应用中的安全问题

　　目前在城域网集中部署DHCP 服务器存在一些风险，即在网络中出现恶意的第三台DHCP 服务器的问题，无论目前基于Windows或Linux平台的DHCP服务，均不能防范网络内出现私接DHCP 服务器所带来的隐患，唯一的途径是通过缩小客户端的广播域范围，加强日常对DHCP 服务器的监控。

　　DHCP客户端在寻找DHCP服务器的阶段以广播方式(因这时还不知道DHCP服务器的IP地址)发送DHCP 发现信息来寻找DHCP服务器，即是向地址255.255.255.255发送特定的广播信息。因此，与该客户端在同一个广播域上的每一台安装了TCP/IP协议的主机都会接收到这种广播信息，但只有DHCP服务器才会做出响应。

　　运营商在城域核心部署的DHCP服务器物理上与客户端不在相同的网络上,通过在三层网络设备上启用DHCP 中继把DHCP请求转发到位于核心层的DHCP服务器上。如果在DHCP客户端的广播域内出现私接的DHCP服务器，该DHCP服务器将会接收到客户端的DHCP发现信息，并做出响应，客户端选择了该服务器提供的IP地址，则不能正常上网。

　　为避免网内私接DHCP服务器所带来的问题，可将客户端进行隔离,如划分VLAN或端口隔离。由于住宅用户的数量很大，对小区内每个用户都划分VLAN会造成很大的管理成本，同时由于DHCP作用域过小而降低地址利用率。端口隔离能够对相同交换机下的用户实现二层隔离功能，简单易行，可以将划分VLAN和端口隔离这两种方式结合应用。楼宇交换机从功能上分为楼端（楼头）交换机和楼层（单元）交换机，要实现完整的用户信息隔离，需要逐级设备的支持。

　　以下为某宽带城域网DHCP应用实例。居民小区楼端交换机和楼层交换机采用PVLAN方式将用户信息隔离，在小区出口交换机启VLAN,经城域传输网透传至城域业务汇聚点三层交换机，三层交换机将各小区VLAN透传至宽带接入服务器（BRAS）设备。BRAS终结小区VLAN，并对各VLAN子网启用DHCP 中继功能，将DHCP信息转发至DHCP服务器。在DHCP服务器中，每个小区对应一个地址作用域，应用模型见图2所示。

　　图2 宽带城域网模型

　　当今网络安全日显重要，DHCP作为公用服务器直接接入Internet，服务器本身的设置不能提供可靠的安全性保障，必须采取一定的安全措施，如做主机加固、增加专用防火墙等，隔离Internet对DHCP服务器的直接访问，保证DHCP服务器的安全，使之免受网络攻击。同时，为了防止非法用户申请、占用DHCP服务器管理的IP地址，应关闭未开通用户的交换机端口，绑定用户主机MAC和交换机端口，DHCP中继网关，如宽带接入服务器，也应具备一定的DHCP防范能力。