引言：DHCP服務(wù)器在企業(yè)網(wǎng)絡(luò)應(yīng)用中發(fā)揮著舉足輕重的作用，是用戶正常接入網(wǎng)絡(luò)的重要條件，如何對其進行有效保障是每個網(wǎng)絡(luò)管理人員應(yīng)該重視的問題。本文結(jié)合某單位實際網(wǎng)絡(luò)架構(gòu)，打造了一套異地DHCP同步系統(tǒng)，實現(xiàn)了良好的投入產(chǎn)出比，供各位同行參考。

某單位屬于A和B兩地辦公，其中數(shù)據(jù)中心建立在A地，所有業(yè)務(wù)系統(tǒng)均部署在A地的數(shù)據(jù)中心，Internet線路出口也部署在A地，A和B之間通過租用運營商的一條10Mbps的專線進行連接，B地的員工通過這條10M專線訪問業(yè)務(wù)系統(tǒng)和Internet服務(wù)，整體的網(wǎng)絡(luò)架構(gòu)如下圖1所示。

由于用戶數(shù)量較多，為方便維護和管理，網(wǎng)絡(luò)采用了DHCP的方式對內(nèi)部用戶主機進行IP地址分配；考慮到A和B兩地專線帶寬有限，為減少非業(yè)務(wù)流量對專線帶寬的占用，在A和B兩地各部署了一臺DHCP服務(wù)器，供本地用戶主機的IP地址分配，兩臺DHCP服務(wù)器均采用Windows server 2008R2自帶的DHCP服務(wù)組件為用戶提供服務(wù)，通過在兩地的核心交換機上配置DHCP中繼IP，使各個VLAN的用戶均能獲取到DHCP服務(wù)。半年前，由于部門業(yè)務(wù)整合，B地員工數(shù)量顯著增多，專線的日常帶寬使用率大幅增加，帶寬的平均占用率達到70%以上，特別是兩地召開視頻會議時，專線利用率甚至達到90%以上，嚴(yán)重影響了B地用戶的業(yè)務(wù)訪問和上網(wǎng)體驗。為徹底解決專線帶寬的問題，單位租用了運營商的一條千兆裸光纜，取代了這條10M專線，這樣就徹底消除了專線的帶寬瓶頸問題，B地用戶的體驗得到大幅提升，但是不久前發(fā)生的一起網(wǎng)絡(luò)故障，引起了網(wǎng)絡(luò)管理人員的重視：某天早上8:00，A地的DHCP服務(wù)器的硬盤突然故障，無法啟動，導(dǎo)致A地用戶主機無法聯(lián)網(wǎng)；而恰好庫房里沒有該型號的硬盤可以更換，供貨商也需要兩個小時才能送貨到現(xiàn)場。由于DHCP服務(wù)器平時并沒有進行備份，網(wǎng)絡(luò)管理人員只能在匆忙中找一臺PC服務(wù)器重新進行手動配置，一直等到1個多小時后，網(wǎng)絡(luò)才基本恢復(fù)正常，但是很多的保留地址（如網(wǎng)絡(luò)打印機IP）仍然無法恢復(fù)，需要逐個重新核實綁定，這樣又耗費了1個小時，網(wǎng)絡(luò)才全部恢復(fù)正常。

圖1 某單位網(wǎng)絡(luò)架構(gòu)圖

改造思路

發(fā)生該起故障后，網(wǎng)絡(luò)管理人員做了深刻的反思，出現(xiàn)此次網(wǎng)絡(luò)故障的表面原因是DHCP服務(wù)器硬件故障，根本原因還是DHCP服務(wù)器沒有備機，但是如果有備機，備機的狀態(tài)與主服務(wù)器狀態(tài)不能保持同步，那么在故障發(fā)生時，備機將無法有效頂替主服務(wù)器，進而造成應(yīng)急響應(yīng)失敗，無法達到理想的災(zāi)備效果。所以下一步改進的主要工作就是建立A和B兩地DHCP服務(wù)器的同步備機，保證主備服務(wù)器數(shù)據(jù)的一致性，消除兩地DHCP服務(wù)器的單點故障問題，主要有以下兩種解決方案：

1.為A和B兩地的DHCP服務(wù)器各自建立一臺備機，然后編寫配置同步腳本，定期對主備服務(wù)器進行配置自動同步，保證每一臺主服務(wù)器均配備一臺配置定期同步的備機；如果A或B主服務(wù)器發(fā)生故障，通過修改用戶各個VLAN的DHCP中繼地址，可將服務(wù)切換到相應(yīng)的備用服務(wù)器上，網(wǎng)絡(luò)即可恢復(fù)。

2.A和B兩地的DHCP服務(wù)器互為備機，通過配置同步腳本進行同步，將各自的DHCP作用域配置同步到另一臺服務(wù)器上，使A和B兩地DHCP服務(wù)器配置一致；正常情況下，A地DHCP服務(wù)器只負(fù)責(zé)A地用戶的IP地址分配，B地的DHCP服務(wù)器也只負(fù)責(zé)B地用戶的IP地址分配；如果任意一臺服務(wù)器故障，均可通過修改對應(yīng)VLAN的DHCP中繼地址將故障服務(wù)器的用戶切換到另外一臺服務(wù)器上。

方案一屬于比較常規(guī)的備機方案，實施起來相對簡單，但是需要額外投資兩臺DHCP備機，費用較高，不適合IT投資預(yù)算緊張的企業(yè)；方案二不需要新增任何服務(wù)器，只需要在現(xiàn)有的兩臺DHCP服務(wù)器上做相應(yīng)的調(diào)整，不涉及到任何投資費用問題，而且由于兩臺DHCP服務(wù)器身處異地，這種方案還能夠起到異地災(zāi)備的效果，與方案一相比，唯一的缺點在于出現(xiàn)故障時將所有用戶切換到同一臺DHCP服務(wù)器后，A和B兩地專線的帶寬使用將會有所增加，特別是工作日早晨，大量用戶主機會在同一時間段向異地DHCP服務(wù)器發(fā)送request請求，專線帶寬會承受較高壓力；不過A和B兩地專線已經(jīng)升級為千兆裸光纜，帶寬瓶頸問題已經(jīng)得到徹底解決，所以在實際環(huán)境中，帶寬問題完全可以忽略。綜合上述分析，方案二比方案一更適合單位的實際情況，故采取方案二進行實施。

改造具體步驟

由于A和B兩地的DHCP服務(wù)器上僅有各自本地的作用域信息，所以要按照方案二的方式將二者改造成互為備份的關(guān)系，首先就需要將各自的作用域同步到對方的配置數(shù)據(jù)庫中，這就需要將配置先導(dǎo)出，然后再導(dǎo)入到另一臺DHCP服務(wù)器上，具體方法如下（DHCP_A代表A地DHCP服務(wù)器，DHCP_B代表B地DHCP服務(wù)器）：

1.將DHCP_B上的作用域配置利用netsh命令導(dǎo)出來，然后將配置文件遠(yuǎn)程拷貝到DHCP_A對應(yīng)的目錄下，具體命令如下：

Netsh dhcp server export desB SListB //導(dǎo)出DHCP_B上的作用域配置信息，其中desB為DHCP_B上配置文件的存放位置，SListB為DHCP_B上作用域列表

Copy desB \DHCP_A_IPdesA //將導(dǎo)出的配置文件遠(yuǎn)程拷貝到DHCP_A對應(yīng)的目錄下，其中DHCP_A_IP為DHCP_A服務(wù)器IP，desA為DHCP_A上配置文件的存放位置

將上述兩條命令寫入BAT腳本文件，命名為export-dhcp-B.bat。

2.將DHCP_A上的作用域配置利用netsh命令導(dǎo)出來，然后將配置文件遠(yuǎn)程拷貝到DHCP_B對應(yīng)的目錄下，具體命令如下：

Netsh dhcp server export desA SListA //導(dǎo)出DHCP_A上的作用域配置信息，SListA為DHCP_A作用域列表

Copy desA \DHCP_B_IPdesB //將導(dǎo)出的配置文件遠(yuǎn)程拷貝到DHCP_B對應(yīng)的目錄下，其中DHCP_B_IP為DHCP_B服務(wù)器IP

將上述兩條命令寫入BAT腳本文件，命名為export-dhcp-A.bat。

3.將導(dǎo)出的DHCP_A的作用域配置導(dǎo)入DHCP_B。由于利用netsh命令導(dǎo)入配置時，目的配置數(shù)據(jù)庫中不能存在與源配置文件中同名的作用域名稱，否則就會報錯并中止操作，所以導(dǎo)入配置前，需要將目的配置數(shù)據(jù)庫中可能存在的同名作用域刪除，具體命令如下：

Netsh dhcp server delete scope scope1 dhcpfullforce //強行刪除DHCP_B上與DHCP_A重復(fù)的作用域scope1，如果重復(fù)作用域有多個，則重復(fù)使用該命令進行刪除

Netsh dhcp server import A_file //將步驟2中備份下的DHCP_A作用域配置導(dǎo)入DHCP_B中，其中A_file為DHCP_A的作用域配置文件

將這些命令寫入BAT腳本文件，命名為importdhcp-B.bat。

4.將導(dǎo)出的DHCP_B的作用域配置導(dǎo)入DHCP_A，導(dǎo)入之前同樣需要先將DHCP_A上可能與DHCP_B上重復(fù)的作用域刪除，具體命令如下：

Netsh dhcp server delete scope scope1 dhcpfullforce //強行刪除DHCP_A上與DHCP_B重復(fù)的作用域scope1，如果重復(fù)作用域有多個，則重復(fù)使用該命令進行刪除

Netsh dhcp server import B_file //將步驟2中備份下的DHCP_B作用域配置導(dǎo)入DHCP_A中，其中B_file為DHCP_B的作用域配置文件

將這些命令寫入BAT腳本文件，命名為importdhcp-A.bat。

上述四個腳本文件，實現(xiàn)了DHCP_A和DHCP_B的配置導(dǎo)入和導(dǎo)出功能，通過合理的調(diào)配，可以實現(xiàn)兩地DHCP服務(wù)器的配置同步功能，打造出DHCP異地同步系統(tǒng)，實現(xiàn)兩者互為備份的目標(biāo)。可以利用Windows系統(tǒng)自帶的“計劃任務(wù)”功能對四個腳本文件進行調(diào)配，其 中export-dhcp-A.bat和export-dhcp-B.bat必須在另外兩個腳本文件前面執(zhí)行，而且由于在進行配置導(dǎo)入導(dǎo)出的過程中，DHCP服務(wù)會停止響應(yīng)，所以必須在非工作時間進行任務(wù)調(diào)用，否則會影響用戶正常使用網(wǎng)絡(luò)。綜上，網(wǎng)絡(luò)管理人員制定的任務(wù)計劃如下所示。

通過制定上述的的任務(wù)計劃，每天晚上DHCP_A和DHCP_B會定時執(zhí)行同步腳本程序，包括地址租約、保留地址、作用域配置等在內(nèi)的所有DHCP配置數(shù)據(jù)庫中的內(nèi)容都會進行同步，保證了A和B兩地的DHCP服務(wù)器互為備份的關(guān)系。一旦某臺DHCP服務(wù)器發(fā)生故障，另外一臺服務(wù)器即可隨時接管，保證在最短時間內(nèi)恢復(fù)網(wǎng)絡(luò)的正常運轉(zhuǎn)，比如DHCP_A發(fā)生故障，通過將A地核心交換機上各個用戶VLAN的DHCP中繼地址修改為DHCP_B的IP，即可恢復(fù)A地網(wǎng)絡(luò)的正常運行，待DHCP_A故障修復(fù)后，再將對應(yīng)的DHCP中繼地址修改回來，即可將DHCP服務(wù)重新切換回DHCP_A上，修改A地核心交換機CoreA的命令如下：

上述命令中，XX代表用 戶 VLAN，DHCP_A_IP代表DHCP_A的IP地址，DHCP_B_IP代表DHCP_B的IP地址；如果有多個用戶VLAN，在VLAN接口配置模式下，重復(fù)輸入上述命令即可。可以看出，主備DHCP服務(wù)器的切換操作非常簡單，完全能夠滿足DHCP服務(wù)器故障應(yīng)急響應(yīng)的要求。

總結(jié)

本文所提出的DHCP異地同步方案不需要進行任何費用投資，打破了冗余備份需要額外投資的傳統(tǒng)，最大限度利用了現(xiàn)有服務(wù)器資源。改造完成后，A和B兩地DHCP服務(wù)器真正達到了配置數(shù)據(jù)按日自動同步的目的，不需要人工干預(yù)，故障切換方法簡單有效，避免了單點故障問題。

同時，這種解決方案的思路可以進行推廣延伸，不局限于DHCP服務(wù)，其他各類服務(wù)器的配置同步、備份等操作均可參照實施。