引言：DHCP服務器在企業(yè)網(wǎng)絡應用中發(fā)揮著舉足輕重的作用，是用戶正常接入網(wǎng)絡的重要條件，如何對其進行有效保障是每個網(wǎng)絡管理人員應該重視的問題。本文結合某單位實際網(wǎng)絡架構，打造了一套異地DHCP同步系統(tǒng)，實現(xiàn)了良好的投入產(chǎn)出比，供各位同行參考。

某單位屬于A和B兩地辦公，其中數(shù)據(jù)中心建立在A地，所有業(yè)務系統(tǒng)均部署在A地的數(shù)據(jù)中心，Internet線路出口也部署在A地，A和B之間通過租用運營商的一條10Mbps的專線進行連接，B地的員工通過這條10M專線訪問業(yè)務系統(tǒng)和Internet服務，整體的網(wǎng)絡架構如下圖1所示。

由于用戶數(shù)量較多，為方便維護和管理，網(wǎng)絡采用了DHCP的方式對內(nèi)部用戶主機進行IP地址分配；考慮到A和B兩地專線帶寬有限，為減少非業(yè)務流量對專線帶寬的占用，在A和B兩地各部署了一臺DHCP服務器，供本地用戶主機的IP地址分配，兩臺DHCP服務器均采用Windows server 2008R2自帶的DHCP服務組件為用戶提供服務，通過在兩地的核心交換機上配置DHCP中繼IP，使各個VLAN的用戶均能獲取到DHCP服務。半年前，由于部門業(yè)務整合，B地員工數(shù)量顯著增多，專線的日常帶寬使用率大幅增加，帶寬的平均占用率達到70%以上，特別是兩地召開視頻會議時，專線利用率甚至達到90%以上，嚴重影響了B地用戶的業(yè)務訪問和上網(wǎng)體驗。為徹底解決專線帶寬的問題，單位租用了運營商的一條千兆裸光纜，取代了這條10M專線，這樣就徹底消除了專線的帶寬瓶頸問題，B地用戶的體驗得到大幅提升，但是不久前發(fā)生的一起網(wǎng)絡故障，引起了網(wǎng)絡管理人員的重視：某天早上8:00，A地的DHCP服務器的硬盤突然故障，無法啟動，導致A地用戶主機無法聯(lián)網(wǎng)；而恰好庫房里沒有該型號的硬盤可以更換，供貨商也需要兩個小時才能送貨到現(xiàn)場。由于DHCP服務器平時并沒有進行備份，網(wǎng)絡管理人員只能在匆忙中找一臺PC服務器重新進行手動配置，一直等到1個多小時后，網(wǎng)絡才基本恢復正常，但是很多的保留地址（如網(wǎng)絡打印機IP）仍然無法恢復，需要逐個重新核實綁定，這樣又耗費了1個小時，網(wǎng)絡才全部恢復正常。

圖1 某單位網(wǎng)絡架構圖

改造思路

發(fā)生該起故障后，網(wǎng)絡管理人員做了深刻的反思，出現(xiàn)此次網(wǎng)絡故障的表面原因是DHCP服務器硬件故障，根本原因還是DHCP服務器沒有備機，但是如果有備機，備機的狀態(tài)與主服務器狀態(tài)不能保持同步，那么在故障發(fā)生時，備機將無法有效頂替主服務器，進而造成應急響應失敗，無法達到理想的災備效果。所以下一步改進的主要工作就是建立A和B兩地DHCP服務器的同步備機，保證主備服務器數(shù)據(jù)的一致性，消除兩地DHCP服務器的單點故障問題，主要有以下兩種解決方案：

1.為A和B兩地的DHCP服務器各自建立一臺備機，然后編寫配置同步腳本，定期對主備服務器進行配置自動同步，保證每一臺主服務器均配備一臺配置定期同步的備機；如果A或B主服務器發(fā)生故障，通過修改用戶各個VLAN的DHCP中繼地址，可將服務切換到相應的備用服務器上，網(wǎng)絡即可恢復。

2.A和B兩地的DHCP服務器互為備機，通過配置同步腳本進行同步，將各自的DHCP作用域配置同步到另一臺服務器上，使A和B兩地DHCP服務器配置一致；正常情況下，A地DHCP服務器只負責A地用戶的IP地址分配，B地的DHCP服務器也只負責B地用戶的IP地址分配；如果任意一臺服務器故障，均可通過修改對應VLAN的DHCP中繼地址將故障服務器的用戶切換到另外一臺服務器上。

方案一屬于比較常規(guī)的備機方案，實施起來相對簡單，但是需要額外投資兩臺DHCP備機，費用較高，不適合IT投資預算緊張的企業(yè)；方案二不需要新增任何服務器，只需要在現(xiàn)有的兩臺DHCP服務器上做相應的調(diào)整，不涉及到任何投資費用問題，而且由于兩臺DHCP服務器身處異地，這種方案還能夠起到異地災備的效果，與方案一相比，唯一的缺點在于出現(xiàn)故障時將所有用戶切換到同一臺DHCP服務器后，A和B兩地專線的帶寬使用將會有所增加，特別是工作日早晨，大量用戶主機會在同一時間段向異地DHCP服務器發(fā)送request請求，專線帶寬會承受較高壓力；不過A和B兩地專線已經(jīng)升級為千兆裸光纜，帶寬瓶頸問題已經(jīng)得到徹底解決，所以在實際環(huán)境中，帶寬問題完全可以忽略。綜合上述分析，方案二比方案一更適合單位的實際情況，故采取方案二進行實施。

改造具體步驟

由于A和B兩地的DHCP服務器上僅有各自本地的作用域信息，所以要按照方案二的方式將二者改造成互為備份的關系，首先就需要將各自的作用域同步到對方的配置數(shù)據(jù)庫中，這就需要將配置先導出，然后再導入到另一臺DHCP服務器上，具體方法如下（DHCP_A代表A地DHCP服務器，DHCP_B代表B地DHCP服務器）：

1.將DHCP_B上的作用域配置利用netsh命令導出來，然后將配置文件遠程拷貝到DHCP_A對應的目錄下，具體命令如下：

Netsh dhcp server export desB SListB //導出DHCP_B上的作用域配置信息，其中desB為DHCP_B上配置文件的存放位置，SListB為DHCP_B上作用域列表

Copy desB \DHCP_A_IPdesA //將導出的配置文件遠程拷貝到DHCP_A對應的目錄下，其中DHCP_A_IP為DHCP_A服務器IP，desA為DHCP_A上配置文件的存放位置

將上述兩條命令寫入BAT腳本文件，命名為export-dhcp-B.bat。

2.將DHCP_A上的作用域配置利用netsh命令導出來，然后將配置文件遠程拷貝到DHCP_B對應的目錄下，具體命令如下：

Netsh dhcp server export desA SListA //導出DHCP_A上的作用域配置信息，SListA為DHCP_A作用域列表

Copy desA \DHCP_B_IPdesB //將導出的配置文件遠程拷貝到DHCP_B對應的目錄下，其中DHCP_B_IP為DHCP_B服務器IP

將上述兩條命令寫入BAT腳本文件，命名為export-dhcp-A.bat。

3.將導出的DHCP_A的作用域配置導入DHCP_B。由于利用netsh命令導入配置時，目的配置數(shù)據(jù)庫中不能存在與源配置文件中同名的作用域名稱，否則就會報錯并中止操作，所以導入配置前，需要將目的配置數(shù)據(jù)庫中可能存在的同名作用域刪除，具體命令如下：

Netsh dhcp server delete scope scope1 dhcpfullforce //強行刪除DHCP_B上與DHCP_A重復的作用域scope1，如果重復作用域有多個，則重復使用該命令進行刪除

Netsh dhcp server import A_file //將步驟2中備份下的DHCP_A作用域配置導入DHCP_B中，其中A_file為DHCP_A的作用域配置文件

將這些命令寫入BAT腳本文件，命名為importdhcp-B.bat。

4.將導出的DHCP_B的作用域配置導入DHCP_A，導入之前同樣需要先將DHCP_A上可能與DHCP_B上重復的作用域刪除，具體命令如下：

Netsh dhcp server delete scope scope1 dhcpfullforce //強行刪除DHCP_A上與DHCP_B重復的作用域scope1，如果重復作用域有多個，則重復使用該命令進行刪除

Netsh dhcp server import B_file //將步驟2中備份下的DHCP_B作用域配置導入DHCP_A中，其中B_file為DHCP_B的作用域配置文件

將這些命令寫入BAT腳本文件，命名為importdhcp-A.bat。

上述四個腳本文件，實現(xiàn)了DHCP_A和DHCP_B的配置導入和導出功能，通過合理的調(diào)配，可以實現(xiàn)兩地DHCP服務器的配置同步功能，打造出DHCP異地同步系統(tǒng)，實現(xiàn)兩者互為備份的目標?？梢岳肳indows系統(tǒng)自帶的“計劃任務”功能對四個腳本文件進行調(diào)配，其 中export-dhcp-A.bat和export-dhcp-B.bat必須在另外兩個腳本文件前面執(zhí)行，而且由于在進行配置導入導出的過程中，DHCP服務會停止響應，所以必須在非工作時間進行任務調(diào)用，否則會影響用戶正常使用網(wǎng)絡。綜上，網(wǎng)絡管理人員制定的任務計劃如下所示。

通過制定上述的的任務計劃，每天晚上DHCP_A和DHCP_B會定時執(zhí)行同步腳本程序，包括地址租約、保留地址、作用域配置等在內(nèi)的所有DHCP配置數(shù)據(jù)庫中的內(nèi)容都會進行同步，保證了A和B兩地的DHCP服務器互為備份的關系。一旦某臺DHCP服務器發(fā)生故障，另外一臺服務器即可隨時接管，保證在最短時間內(nèi)恢復網(wǎng)絡的正常運轉，比如DHCP_A發(fā)生故障，通過將A地核心交換機上各個用戶VLAN的DHCP中繼地址修改為DHCP_B的IP，即可恢復A地網(wǎng)絡的正常運行，待DHCP_A故障修復后，再將對應的DHCP中繼地址修改回來，即可將DHCP服務重新切換回DHCP_A上，修改A地核心交換機CoreA的命令如下：

上述命令中，XX代表用 戶 VLAN，DHCP_A_IP代表DHCP_A的IP地址，DHCP_B_IP代表DHCP_B的IP地址；如果有多個用戶VLAN，在VLAN接口配置模式下，重復輸入上述命令即可。可以看出，主備DHCP服務器的切換操作非常簡單，完全能夠滿足DHCP服務器故障應急響應的要求。

總結

本文所提出的DHCP異地同步方案不需要進行任何費用投資，打破了冗余備份需要額外投資的傳統(tǒng)，最大限度利用了現(xiàn)有服務器資源。改造完成后，A和B兩地DHCP服務器真正達到了配置數(shù)據(jù)按日自動同步的目的，不需要人工干預，故障切換方法簡單有效，避免了單點故障問題。

同時，這種解決方案的思路可以進行推廣延伸，不局限于DHCP服務，其他各類服務器的配置同步、備份等操作均可參照實施。