NTP和DHCP服务器搭建5754.pdf

《NTP和DHCP服务器搭建5754.pdf》由会员分享，可在线阅读，更多相关《NTP和DHCP服务器搭建5754.pdf（12页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、NTP 和 DHCP 服务器搭建 ntpd、ntpdate 的区别 使用之前得弄清楚一个问题，ntpd与 ntpdate在更新时间时有什么区别。ntpd不仅仅是时间同步服务器，他还可以做客户端与标准时间服务器进行同步时间，而且是平滑同步，并非 ntpdate立即同步，在生产环境中慎用 ntpdate，也正如此两者不可同时运行。时钟的跃变，对于某些程序会导致很严重的问题。许多应用程序依赖连续的时钟毕竟，这是一项常见的假定，即，取得的时 间是线性的，一些操作，例如数据库事务，通常会地依赖这样的事实：时间不会往回跳跃。不幸的是，ntpdate调整时间的方式就是我们所说的”跃变“：在 获得一个时间之后

2、，ntpdate使用 settimeofday(2)设置系统时间，这有几个非常明显的问题：第一，这样做不安全。ntpdate的设 置依赖于 ntp服务器的安全性，攻击者可以利用一些软件设计上的缺陷，拿下 ntp服务器并令与其同步的服务器执行某些消耗性的任务。由于 ntpdate采 用的方式是跳变，跟随它的服务器无法知道是否发生了异常（时间不一样的时候，唯一的办法是以服务器为准）。第二，这样做不精确。一旦 ntp服务器宕机，跟随它的服务器也就会无法同步时间。与此不同，ntpd不仅能够校准计算机的时间，而且能够校准计算机的时钟。第三，这样做不够优雅。由于是跳变，而不是使时间变快或变慢，依赖时序的程

3、序会出错（例如，如果 ntpdate发现你的时间快了，则可能会经历两个相同的时刻，对某些应用而言，这是致命的）。因而，唯一一个可以令时间发生跳变的点，是计算机刚刚启动，但还没有启动很多服务的那个时候。其余的时候，理想的做法是使用 ntpd来校准时钟，而不是调整计算机时钟上的时间。NTPD 在和时间服务器的同步过程中，会把 BIOS 计时器的振荡频率偏差或者说 Local Clock 的自然漂移(drift)记录下来。这样即使网络有问题，本机仍然能维持一个相当精确的走时。不同机器之间的时间同步 为了避免主机时间因为长期运作下所导致的时间偏差，进行时间同步(synchronize)的工作是非常必要

4、的。Linux系统下，一般使用 ntp服务 器来同步不同机器的时间。一台机器，可以同时是 ntp服务器和 ntp客户机。在网络中，推荐使用像 DNS 服务器一样分层的时间服务器来同步时间。同步时间，可以使用 ntpdate命令，也可以使用 ntpd服务。使用 ntpdate比较简单。格式如下：rootlinux#ntpdate-nv NTP IP/hostname rootlinux#ntpdate 192.168.0.2 rootlinux#ntpdate time.ntp.org 但这样的同步，只是强制性的将系统时间设置为 ntp服务器时间。如果 cpu tick有问题，只是治标不治本。所

5、以，一般配合 cron命令，来进行定期同步设置。比如，在 crontab中添加：0 12*/usr/sbin/ntpdate 192.168.0.1 这样，会在每天的 12 点整，同步一次时间。ntp服务器为 192.168.0.1。要注意的是，ntpd 有一个自我保护设置:如果本机与上源时间相差太大,ntpd 不运行.所以新设置的时间服务器一定要先 ntpdate 从上源取得时间初值,然后启动 ntpd服务。ntpd服务 运行后,先是每 64 秒与上源服务器同步一次,根据每次同步时测得的误差值经复杂计算逐步调整自己的时间,随着误差减小,逐步增加同步的间隔.每次跳动,都会重复这个调整的过程.n

6、tpd 服务的设置 安装配置主服务器成为 ntpd时间服务器：yum-y install ntp service ntpd start ntpq-p rootmaster#vi/etc/ntp.conf#配置 ntp配置文件，使其成为从服务器的时间服务器 略#Hosts on local network are less restricted.#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap restrict 192.168.0.0 mask 255.255.255.0 nomodify notrap#复制上边一行并启用，把 ip

7、修改成本地地址段#外部时间服务器不可用时，以本地时间作为时间服务 server 127.127.0.0 fudge 127.127.0.0 stratum 10 略 rootmaster#service ntpd restart#重启服务 rootmaster#chkconfig-level 235 ntpd on 在从服务器上安装配置 ntp：rootslave#yum-y install ntp rootslave#vim/etc/f#注释掉默认的时间服务器，加上本地时间服务器 略#Use public servers from the pool.ntp.org project.#Plea

8、se consider joining the pool(http:/www.pool.ntp.org/join.html).server 192.168.0.201#server 0.centos.pool.ntp.org iburst#erver 1.centos.pool.ntp.org iburst#server 2.centos.pool.ntp.org iburst#server 3.centos.pool.ntp.org iburst 略 rootslave#service ntpd restart rootslave#chkconfig ntpd on rootslave#nt

9、pq-p#监控时间校准的状态信息 测试时可以试着把从服务器的时间调慢几分钟，然后观察从服务器的时间是否会慢慢的赶上来。DHCP(Dynamic Host Configuration Protocol)动态主机配置协议 为在同一网络的主机自动分配动态 IP rootbook named#/sbin/ifconfig-a eth0|grep MULTICAST#查看内核是否支持多播 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 为使用 DHCP服务器能满足某些挑剔的 DHCP客户机，应在路由表中加入一个到地址 255.255.255.255的路由

10、。DHCP服务器必须能将数据包送到 255.255.255.255的 IP地址上，但 Linux本身又将该地址作为本地子网的广播地-/etc/dhcpd.conf通常包括三部分：parameters、declarations、option。1.DHCP配置文件中的 parameters（参数）：表明如何执行任务，是否要执行任务，或将哪些网络配置选项发送给客户 参 数 解 释 ddns-update-style 配置 DHCP-DNS 互动更新模式。default-lease-time 指定确省租赁时间的长度，单位是秒。max-lease-time 指定最大租赁时间长度，单位是秒。hardwar

11、e 指定网卡接口类型和 MAC 地址。server-name 通知 DHCP客户服务器名称。get-lease-hostnames flag 检查客户端使用的 IP地址。fixed-address ip 分配给客户端一个固定的地址。authritative 拒绝不正确的 IP地址的要求。2.DHCP配置文件中的 declarations（声明）：用来描述网络布局、提供客户的 IP地址等 声 明 解 释 shared-network 用来告知是否一些子网络分享相同网络。subnet 描述一个 IP地址是否属于该子网。range 起始 IP 终止 IP 提供动态分配 IP 的范围。host 主机名

12、称 参考特别的主机。group 为一组参数提供声明。allow unknown-clients;deny unknown-client 是否动态分配 IP给未知的使用者。allow bootp;deny bootp 是否响应激活查询。allow booting;deny booting 是否响应使用者查询。filename 开始启动文件的名称.应用于无盘工作站。next-server 设置服务器从引导文件中装如主机名，应用于无盘工作站。3.DHCP配置文件中的 option（选项）：用来配置 DHCP可选参数，全部用option关键字作为开始 选 项 解 释 subnet-mask 为客户端设

13、定子网掩码。domain-name 为客户端指明 DNS 名字。domain-name-servers 为客户端指明 DNS 服务器 IP地址。host-name 为客户端指定主机名称。routers 为客户端设定默认网关。broadcast-address 为客户端设定广播地址。ntp-server 为客户端设定网络时间服务器 IP地址。timeoffset 为客户端设定和格林威治时间的偏移时间，单位是秒。格林威治和北京时间相差 8小时 注意：如果客户端使用的是视窗操作系统，不要选择host-name选项，即不要为其指定主机名称 Dhcpd.conf 的配置文件例子：ddns-update-

14、style interim;next-server 192.168.1.200;ignore client-updates;filename pxelinux.0;default-lease-time 600;max-lease-time 7200;log-facility local7;allow booting;allow bootp;subnet 192.168.100.0 netmask 255.255.255.0 option routers 192.168.100.1;option subnet-mask 255.255.255.0;#option nis-domain domai

15、n.org;option domain-name domain.org;#option domain-name-servers 192.168.1.200,218.30.19.40;option ntp-servers 192.168.100.1;#option netbios-name-servers 192.168.1.200;#option netbios-node-type 2;range dynamic-bootp 192.168.100.100 192.168.100.150;host ns hardware ethernet 00:1a:a0:2b:38:81;fixed-add

16、ress 192.168.100.110;service dhcpd restart 使用 ps 命令检查 dhcpd进程：#ps-ef|grep dhcpd root 2402 1 0 14:25?00:00:00/chroot/usr/sbin/dhcpd root 2764 2725 0 14:29 pts/2 00:00:00 grep dhcpd 注意此时进程名称已经改变，使用检查 dhcpd运行的端口：#netstat-nutap|grep dhcpd udp 0 0 0.0.0.0:67 0.0.0.0:*2402/dhcpd 网卡配置文件增加 BOOTPROTO=dhcp，然后

17、验证生效。DHCP 服务器的安全 1.在指定网络接口启动 DHCP服务器 如果你的 Linux系统连接了不止一个网络界面，但是你只想让 DHCP 服务器启动其中之一，你可以配置 DHCP 服务器只在那个设备上启动。在/etc/sysconfig/dhcpd 中，把界面的名称添加到 DHCPDARGS 的列表中：DHCPDARGS=eth0 或者直接使用命令：Echo DHCPDARGS=eth0 /etc/sysconfig/dhcpd 这样对于带有两个网卡的防火墙机器，更加安全：一个网卡可以被配置成 DHCP 客户来从互联网上检索 IP 地址；另一个网卡可以被用作防火墙之后的内部网络的 DH

18、CP 服务器。仅指定连接到内部网络的网卡使系统更加安全，因为用户无法通过互联网来连接它的守护进程。2.让 DHCP服务器在监牢中运行 查看 SELinux 状态及关闭 SELinux 查看 SELinux状态：1、/usr/sbin/sestatus-v#如果 SELinux status参数为 enabled即为开启状态 SELinux status:enabled 2、getenforce#也可以用这个命令检查 关闭 SELinux：1、临时关闭（不用重启机器）：setenforce 0#设置 SELinux 成为 permissive模式#setenforce 1 设置 SELinux 成为 enforcing模式 2、修改配置文件需要重启机器：修改/etc/selinux/config 文件 将 SELINUX=enforcing改为 SELINUX=disabled 重启机器即可 拷贝的 VMware 虚拟机网卡起不来解决方法 删除拷贝的虚拟机里文件/etc/udev/rules.d/70-persistent-net.rules