DHCP - Dynamic Host Configuration Protocol

Allgemeines

Das Dynamic Host Configuration Protocol (DHCP) ermöglicht es die Netzwerkkonfiguration von Rechnern zentral von einem Server aus durchzuführen. Neben der IP-Adresse erhält ein DHCP-Client zusätzlich noch eine ganze Reihe anderer Parameter zugewiesen, wie z.B. Subnetzmaske, Gatewayadresse, IP-Adressen der DNS-Server usw. Die vom DHCP-Server vergebenen IP-Adressen haben dabei eine begrenzte Gültigkeitsdauer, die sog. "Lease Time". Meldet sich der Client innerhalb dieser Zeitspanne nicht erneut beim DHCP-Server, wird die IP-Adresse wieder freigegeben. Gegenüber einer manuellen Konfiguration bietet DHCP daher folgende Vorteile:

  • Wesentlich geringerer Konfigurationsaufwand, da die verschiedenen Netzwerkparameter nur einmal, d.h. auf dem DHCP-Server, eingetragen werden müssen.

  • Optimale Ausnutzung der IP-Adressen, weil nur so viele Adressen zur Verfügung stehen müssen, wie Rechner gleichzeitig aktiv sind.

  • Bei einem Standortwechsel wird die Konfiguration automatisch angepasst.

DHCP-Dienst am LRZ

Damit nicht jeder Lehrstuhl seinen eigenen DHCP-Server betreiben muss, bietet das LRZ diesen Dienst zentral für das Münchner Wissenschaftsnetz (MWN) an.

Der DHCP-Dienst am LRZ wird durch mehrere Server erbracht, die räumlich verteilt im MWN installiert sind. Auf diese Weise wird eine höchstmögliche Verfügbarkeit des Dienstes garantiert, selbst bei einem Netzausfall eines ganzen Campusbereichs. Jedes Netz wird duch ein Paar von DHCP-Servern bedient (Failover-Peers).

Dynamische DNS-Updates

Wird eine IP-Adresse neu vergeben, so trägt der entsprechende DHCP-Server den Rechner in eine Zone im DNS ein. Wenn die IP-Adresse wieder freigegeben wird, weil die Gültigkeitsdauer abläuft oder der Client sie explizit freigibt, so wird der DNS-Eintrag wieder gelöscht. Dieses Verfahren ermöglicht es, dass ein Rechner innerhalb eines Netzes auch ohne statische IP-Adresse immer unter demselben Namen ansprechbar ist.

Für dynamische DNS-Updates wird eine Zone benötigt. Um Konflikte mit anderen DNS-Einträgen zu vermeiden, wird empfohlen für die dynamischen DNS-Updates eine eigene Zone einzurichten.

Statische Adressvergabe

Normalerweise werden IP-Adressen durch den DHCP-Server dynamisch vergeben, d.h. die Adressen werden zufällig aus einem Pool ausgewählt und der MAC-Adresse des anfragenden Clients zugeordnet. Um Adressen statisch zu vergeben, muss ein Bereich von der dynamischen Adressvergabe ausgenommen werden. Adressen aus diesem Bereich können statisch einer MAC-Adresse zugeordnet werden. Für die Konfiguration der statischen Adressen wird am LRZ eine csv-Tabelle (Komma als Spaltenseparator!) verwendet, eine Beispiel-Tabelle findet sich hier: beispiel-host-tabelle.csv. Die Spalte "ddns-domain" ist optional, dort kann, falls dynamische DNS-Updates für den Host gewünscht sind, eine vorher eingerichtete DDNS-Zone stehen.
Für die Übermittlung der csv-Tabelle bietet das LRZ zwei Wege an:

Wenn sich die Tabelle selten ändert, kann sie über einen über den Servicedesk aufgegebenen Incident beim LRZ hinterlegt werden.

Wenn sich die Tabelle häufig ändert und die Änderungen möglichst zeitnah eingespielt werden sollen, kann die Tabelle vom Netzverantwortlichen auf einem Webserver hinterlegt und vom LRZ automatisch abgerufen werden. Ein Passwortschutz der Tabelle ist nicht notwendig, aber dringend empfohlen.

Keine Netz-Zugangskontrolle über MAC-Adressen und DHCP

Immer wieder erreicht uns die Anfrage, ob das LRZ eine Netz-Zugangskontrolle über auf dem DHCP-Server eingetragene MAC-Adressen anbietet. Aus folgenden Gründen wird das nicht angeboten:

  • Eine MAC-Adresse ist leicht fälschbar
  • Ein Netz-Zugang ist auch problemlos ohne DHCP möglich, d.h. man muss keine eingetragene MAC-Adresse herausfinden
  • Für IPv6 erfolgt die Adresszuweisung nicht per DHCP

Über den Umweg der statischen IP-Adressvergabe lässt sich der DHCP-Dienst, ausreichend Adressen vorausgesetzt, trotzdem auf MAC-Adressen einschränken.

PXE-Boot

Falls Rechner über das Netz booten sollen, beispielsweise zur Installation, kann für jedes Netz eine PXE-Boot-Konfiguration vorgenommen werden. Üblicherweise wird dafür die IP-Adresse des Boot- bzw. TFTP-Servers und der Pfad zum Bootimage benötigt.

Anzeige der vergebenen IP-Adressen

Über das Nessi-Portal können Netzverantwortliche für die eigenen Netze die Liste der vergebenen IP-Adressen (Leases) einsehen.

IPv6

Die IPv6-Adressvergabe im MWN durch das LRZ erfolgt über "Stateless Address Autoconfiguration", ohne die Mitwirkung eines DHCP-Servers. Für weitere Konfigurations-Parameter wird im MWN "Stateless DHCPv6" angeboten. In der Standardkonfiguration werden Nameserver und NTP-Server übermittelt, weitere Parameter sind möglich.

Einschränkungen durch Firewall

Da die im LRZ eingesetzten Cisco-Firewalls kein DHCPv6-Relaying beherrschen, steht stateless DHCPv6 in firewall-geschützten Netzen derzeit nicht zur Verfügung.

Eine Bug in den Cisco-Firewalls kann dazu führen, dass der Failover-Betrieb nicht funktioniert. Als Workaround wird in betroffenen Netzen nur ein DHCP-Server verwendet.

Kontakt

Wenn Sie Interesse an der Nutzung des DHCP-Dienstes, oder Fragen haben, geben Sie bitte Ihre Anfrage über das Servicedesk-Portal ein.