Policy Based Assignment DHCP – Windows Server 2012
1. Policy Based Assignment DHCP – Windows Server 2012
PolicyBased Assignment là một tính năng mới trong DHCP (Windows
Server 2012). Cho phép cấp phát địa chỉ IP dựa trênchính sách. Policy
Based Assignment (PBA) cho phép nhóm và phânloại các Client Device lại
với nhau dựa trên một số thuộc tính trong gói tinClient Request, sau đó cấp
phát IP theo chính sách mà người quản trị định nghĩa.
Mục đích của việc triểnkhai PBA là để dễ dàng phân loại các thiết bị và sắp
xếp chúng vào một range IP nhất định , từ đó có thểdễ dàng quản trị và
thiết lập một số tính năng tối ưu.
Nguyêntắc hoạt động của PBA dựa trên các trường (fields) trong gói tin
Client Request :
Vendor Class
User Class
MACaddress
Client Identifier
Relay Agent Information
Multiple DeviceType : phân loại các thiết bị quantrọng dựa trênthuộc
tính của thiết bị (Vendor Class : IP Phone, Printer, Desktop) và sắp xếp
chúng vào một rangeIP nhất định, tiếp theongười quản trịcó thểthiết lập
QoS (Qualityof Service) chorange IP đó.
Multiple Role : có thể phânloại và tách rời các client device (Laptop,
desktop, server) sang một rangeIP riêng biệt (rangeIP dành cho server,
rangeIP dành cho desktop). Hơn nữa, nếu công ty có các client là laptop và
chúng kết nối bằng Wirelesstrong công ty. Và nếu cấu hình cấp phát IP cho
các thiết bị kết nối Wirelessnày ở dạng Relay Agent. Thì bạn có thể dùng
trường Relay Agent Information đểphân loại các thiết bị wireless này sang
một rangeIP nhất định và cấu hình thời gianLease Duration(thời gianmà
địa chỉ IP tồn tại) là 4 tiếng. Ngoài ra còn có thể tắt (disable) tính năng
Dynamic UpdateDNS cho các thiết bị này (đơn giản vì chúng không cần
thiết)
Virtualization: đa số các máy ảo (Virtualmachine) bạntạo ra trong môi
trường ảo hóa đều dùng một dãy Prefix MACnhất định (ví dụ : Prefix MAC
2. với 6 số đầu là 00-15-5D). Dựa trên Prefix MACnày, bạn có thể cấu hình
PBA cho phép các máy ảo nằm trong một rangeIP nhất định, để từ đó có
thể thiết lập các OptionDHCP như : Default Gateway, DNS, Lease
Duration.
B) Mô tả
Cấp phát địa chỉ :
1) Sau khi DHCP Server nhận được gói tinClient Request, nó sẽ xét Default
Gatewayđể xác định gói tin đến từ Subnet nào, sau đó sẽ dò trong danh
sách Scope để tìm ra Scope phù hợp với subnet đó.
2) Tiếp theo, DHCP Server sẽ kiểm tra trong Scope có cấu hình Policy Based
Assignment haykhông, và nếu có thì ưu tiênxét các chính sách trong PBA.
3) Nếu xét các policy trong PBA mà không phù hợp (match) với tất cả policy
nào, thì DHCP Server sẽ cấp IP bình thường theo định nghĩa trong Scope.
Nếu phù hợp thì tiến hành cấp IP trong chính sách mà ta qui định.
4) Một client request có thểmatch nhiều điều kiện trong chính sách đó. Và
sẽ cấp địa chỉ IP thấp nhất trong rangeIP đó (172.1.1.31) , nếu địa chỉ IP
3. thấp nhất đã được cấp thì sẽ lấy địa chỉ IP thứ 2 để cấp (172.1.1.32). Ngoài
ra, trong một chính sách có thể cấu hình nhiều rangeIP (ví dụ : có 2 range,
range1 là 172.1.1.30 – 172.1.1.40 và range 2 là 172.1.1.70 – 172.1.1.80), thì
hệ thống sẽ dùng range1 trước, nếu range1 hết thì lấy range2 ra cấp).
Trong trường hợp 2 range đã đầy và không còn địa chỉ IP nào để cấp, thì gói
tinclient request sẽ được DHCP Server hủy(drop).
Cấp phát Option : mỗi chính sách trong Scopesẽ có một Option(DNS,
Default Gateway, LeaseDuration) riêng biệt. Nếu client match với chính
sách nào thì sẽ nhận IP và các Optiontrong chính sách đó.
C) Triển khai Policy Based Assignment
Mô hình :
MáyAD (172.1.1.1/24) : Cài role DHCP và cấu hình PBA. Với 2 chính
sách, một cho Client Computer (xét theo MAC Address), một cho các
máy ảo trong Hyper-V1 Server (xét theo MACPrefix).
MáyClient Computer : Windows8.1, xincấp địa chỉ IP trong khoảng
172.1.1.34 – 172.1.1.35
Hyper-V1 : có 2 máy ảo VM1 và VM2 xincấp địa chỉ IP trong khoảng
172.1.1.37 – 172.1.1.39, tạo máy ảo có thểtham khảo tại đây.
6. Kích hoạt và cấp phép cho DHCP Server trong Domain
7. 2) Tạo một Scope(IP Range, Default Gateway, DNS)
8. Range IP từ : 172.1.1.30 – 172.1.1.40
Default Gateway: 172.1.1.1 (AD.huypd.com)
9. DNS : 172.1.1.1
Tạo và kích hoạt cho phép sử dụng Scope.
10. 3) Tạo chính sách cấp phát cho Client Computer
Trước tiên, ta phải qua máyClient Computer, vào Run –> CMD –> gõ
“Ipconfig /all” để xem địa chỉ MAC Address
Tiếp theo, trên máyDHCP Server tạo một Policy
11. Cơ chế : ANDnếu match tất cả các điều kiện yêu cầu thì mới cấp | OR :
chỉ cần match một trong các điều kiện yêu cầu ta cấu hình
12. Critera : chọn MAC Address, sau đó nhập vào MAC Address ở ô Value và
nhấn Add
13. Nếu thỏa chính sách thì khai báocấp IP ở từ khoản nào tới khoản nào
trong Scopeta vừa tạo
Tiếp theo cấu hình Default Gateway ở Optionsố “003Router”
14. Cấu hình DNS ở Option “006 DNS Server”
Nhấn Finish để kết thúc
15. VàoClient Computer gõ “Ipconfig /renew” và kiểm tra xem có cấp đúng
theo Policy ta vừa tạo ra.
4) Cấp phát theo IP Prefix MACAddress chocác máy ảo
16. Sau khi tạo 2 máy ảo, ta start 2 máy ảo lên
Vàomáy ảo 1 để coi địa chỉ MACAddress : 00-15-5D-01-02-0b
Vàomáy ảo 2 để coi địa chỉ MAC Address: 00-15-5D-01-02-0C
18. So sánh 2 địa chỉ MACAddresscủa 2 máy ảo trên ta thấy chúng dùng
chung một rang MACPrefix (cố định) và bắt đầu từ : 00-15-5D-
01 . Tiến hành khai báo vào với giá trịlà “00155D01*” và stickvào ô
AppenWildcard (*) –> Nhấn Add
19. Nếu thỏa chính sách thì khai báocấp IP ở từ khoản nào tới khoản nào
trong Scope
20.
21.
22. Bước cuối cùng là vào máyảo và gõ “Ipconfig /renew” để kiểm nghiệm
lại quá trình cấu hình