如何在Debian Linux上安装配置ISC DHCP Server

将DHCP移交给专用服务器的另一个好处就是可以建立动态域名服务(DDNS)，那样当主机向服务器请求DHCP地址时，新主机的主机名称会被添加到DNS系统中。

　　第一步：安装及配置ISC DHCP Server

　　1 想开始搭建这台多宿主服务器这个过程，需要使用“apt”实用工具，通过Debian软件库来安装ISC软件。与所有教程一样，假设你拥有root或sudo访问权限。请对下列几个命令做适当的改动。

　　# apt-get install isc-dhcp-server[安装ISC DHCP Server软件]

　　# dpkg --get-selections isc-dhcp-server [证实已成功安装]

　　# dpkg -s isc-dhcp-server [以另一种方式证实安装]

　　将ISC DHCP Server安装在Debian中

　　2 鉴于服务器软件已证实成功安装，现在就有必要为服务器配置它需要分发出去的网络信息。管理员最起码要知道基本DHCP范围的下列信息：

　　•网络地址

　　•子网掩码

　　•将被动态分配的地址范围

　　让服务器动态分配的其他实用信息包括如下：

　　•默认网关

　　•DNS服务器的IP地址

　　•域名

　　•主机名称

　　•网络广播地址

　　这些仅仅是ISC DHCP服务器所能处理的诸多选项中的几个而已。想获得每个选项的详细描述以及完整列表，安装程序包之后请输入下面这个命令：

　　# man dhcpdconf

　　3 一旦管理员确定了该服务器要分发出去的所有必要信息，现在就可以配置DHCP服务器以及必要的池了。不过，在创建任何池或服务器配置之前，必须配置DHCP服务，以便侦听服务器的其中一个接口。

　　在这一台服务器上，网卡组已建立起来，DHCP会侦听被赋予名称“bond0”的组接口。考虑到服务器和一切已配置好的环境，务必要进行适当的更改。该文件中的默认值适用于本教程。

　　配置ISC DHCP网络

　　这一行将指示DHCP服务在指定的一个接口或多个接口上侦听DHCP流量。这时候，可以改动主配置文件，以便启动必要网络上的DHCP池。主配置文件位于/etc/dhcp/dhcpdconf。首先用文本编辑工具打开该文件：

　　# nano /etc/dhcp/dhcpdconf

　　该文件含有针对DHCP服务器的选项的配置，以及用户希望配置的所有池/主机。文件顶部以“ddns-update-style”子句开始;就本教程而言，它仍保持被设成“none”;不过在将来的一篇文章中，将会包括动态DNS， ISC-DHCP-Server将与BIND9整合起来，让主机名称转成IP地址的更新成为可能。

　　4 下一节通常介绍管理员配置全局网络设置，比如DNS域名、IP地址的默认租期、子网掩码及更多选项。想进一步了解所有选项，请务必阅读dhcpdconf文件的参考手册页。

　　# man dhcpdconf

　　就这次安装的服务器而言，有几个全局网络选项已在配置文件的顶部配置好，那样它们没必要实施在创建的每一个池中。

　　配置ISC DDNS

　　我们不妨稍微抽点时间解释其中一些选项。虽然它们在本例中全局配置，但所有选项同样可以针对每个池来配置。

　　•option domain-name “comptechlocal”：该DHCP服务器托管运行的所有主机将是DNS域名“comptechlocal”的成员。

　　•option domain-name-servers 17227106：DHCP将向经配置以托管的所有网络上的所有主机分发DNS服务器IP，即17227106。

　　•option subnet-mask 2552552550：被分发到每个网络上的子网掩码将是2552552550 或/24。

　　•default-lease-time 3600：这是租期将自动有效的时间(以秒为单位)。如果时间超时，主机会重新请求同一租期。如果主机已用完租期，就能及早归还地址。

　　•max-lease-time 86400：这是主机保持租期的最长时间(以秒为单位)。

　　•ping-check true：这是一个额外测试，确保服务器想要分配出去的地址没有已被网络上的另一个主机所使用。

　　•ping-timeout：这是指在假设地址未使用之前，服务器为响应ping而等待多长时间(以秒为单位)。

　　•ignore client-updates：眼下这个选项无关紧要，因为DDNS之前已在配置文件中被禁用，但是当DDNS运行时，这个选项将忽视主机在DNS中更新主机名称的请求。

　　5 该文件中的下面一行是权威DHCP服务器这行。这一行意味着，如果该服务器将是为该文件中所配置的网络分发地址的服务器，那么就取消注释权威节(authoritative stanza)。

　　该服务器将是它所网络的所有网络上的唯一权威，那样只要去掉关键字authoritative(权威)前面的“#”，即可取消注释全局权威节。

　　启用ISC Authoritative

　　默认情况下，服务器假设不是网络上的权威。这么做是出于安全。如果有人不明就里对DHCP服务器配置不当，或者在不该连接的网络上，这就会引起严重的连接问题。这一行还可以针对每个网络来使用。这意味着，如果服务器不是整个网络的DHCP服务器，authoritative这一行就可以改而针对每个网络来使用，而不是像上面截图看到的那样用在全局配置中。

　　6 下一步是配置该服务器管理的所有DHCP池/网络。为了简洁起见，本文将只介绍配置的其中一个池。管理员需要收集所有的必要网络信息(即域名、网络地址、多少地址可以分发出去，等等)。

　　就这个池而言，下列信息从网络管理员处获得：网络ID为17227600，子网掩码为2552552550或/24，子网的默认网关是17227601，广播地址为1722760255。

　　这些信息对于构建dhcpdconf文件中适当的网络节而言很重要。闲话少说，不妨再次使用文本编辑工具，打开配置文件，然后将新的网络添加到服务器。这必须借助root/sudo权限来完成!

　　# nano /etc/dhcp/dhcpdconf

　　配置DHCP协议和网络

　　这是为了将IP地址分发给用于搭建VMware虚拟服务器的网络而建立的示例。第一行表明了网络以及该网络的子网掩码。然后在括号里面是DHCP服务器应该提供给该网络上主机的所有选项。

　　第一个节range 172276050 1722760254;是DHCP服务器可以分发给该网络上主机的动态分配地址的范围。请注意头48个地址并不在池中;需要的话，这些地址可以静态分配给主机。

　　第二个节option routers 17227601;将默认网关地址分发给该网络上的所有主机。

　　最后一个节option broadcast-address 1722760255;表明该网络的广播地址。该地址不应该是范围节的一部分，因为广播地址无法分配给主机。

　　一些指针务必总是以分号(;)来结束选项行，始终确保每个创建的网络用花括号{ }包起来。

　　7 如果有更多的网络要建立，继续以合适的选项来建立，然后保存文本文件。一旦所有配置都完成， ISC-DHCP-Server进程需要重启，以便让新的变更生效。这可以用下面这个命令来实现：

　　# service isc-dhcp-server restart

　　这会重启DHCP服务，然后管理员可以通过几种不同的方式，检查服务器是否准备好处理DHCP请求。最简单的方式就是只要通过lsof命令，看看服务器是不是在侦听端口67：

　　# lsof -i :67

　　检查DHCP侦听端口

　　这个输出结果表明，DHCPD(DHCP Server守护程序)在运行，并侦听端口67。由于/etc/services文件中端口67的端口号映射，该输出结果中的端口67实际上被转换成了“bootps”。

　　这在大多数系统上很常见。至此，服务器应该已为网络连接准备好，只要将机器连接到网络，让它向服务器请求DHCP地址，即可加以证实。

都是很稳定的常用服务器系统，都是没问题的。

不过CENTOS的话，70是刚出来没多久的，现在主流是用65的。可能70的稳定性会稍微差那么一丁点，而且可能有极个别软件还不支持70。

debian76的话，虽然说更新一点，但是毕竟是小版本更新，不像centos那样是大版本更新，所以可能稍微好一点点。

当然我是都没用过的，我只用过CENTOS56-65的，我觉得centos很好用，所以也不打算用debian，反正他们都差不多，顺手就好不是么

如果出于最稳定考虑，可能centos65会更好一些。

以上是DATA99的市场专员小云为您解答，希望对您有些帮助，被选为最佳答案。

首先解释一个问题：在 iPhone 的 *** 设置介面里（Settings >> General >> Network >> ***），你可以看到三个标签：L2TP, PPTP, IPSec。但上面我们又讲本次介绍的 *** 方式叫「L2TP / IPSec」，这两者究竟是什么关系？

　　这三个标签确实令人混淆，准确的写法应该是：L2TP over IPSec, PPTP, Cisco IPSec。PPTP 跟另外两者关系不大，且大家较为熟悉，暂且不提，L2TP 和 IPSec 的区别如下。

　　L2TP：一个「包装」协议，本身并不提供加密和验证的功能。

　　IPSec：在 IP 数据包的层级提供加密和验证功能，确保中间人无法解密或者伪造数据包。

　　本来，只用 IPSec 就可以实现 ***，Mac OS X 和 Linux 都支持。但是 Mac OS X 和 iPhone OS 都推荐使用 L2TP over IPSec，在两者的图形介面上也只能设置这个。L2TP / IPSec 是业界标准，微软也支持。而只用 IPSec 的常见于 Linux-to-Linux 的应用，比如将两个位于不同地区的办公室网络安全地连在一起。这多是固定 IP 路由器到固定 IP 路由器级别的连接，只需保证数据包不被中途截获或者伪造就可以，故使用 L2TP 的意义不大。L2TP / IPSec 主要是实现所谓「Road Warrior」的设置，即用变动的客户端连固定的服务器。

　　Cisco 的 *** 用的也是 IPSec 加密，但那是一套不同于 L2TP 的私有包装协议，用于提供用户管理之类的功能，因此一般都需要用 Cisco 自家的 *** 客户端连接。iPhone / iPad 的 *** 设置介面中的 IPSec 标签里有 Cisco 的标识，就是这个原因。

　　以下是在 Ubuntu 和 Debian 主机上架设 L2TP / IPSec *** 的步骤，一共十四步。你需要有服务器的 root 权限（所以 DreamHost, BlueHost, MediaTemple 这些服务供应商帮你把一切打点周到的主机就无缘了），也需要一些基本的 Linux 知识。不然的话，我们还是推荐您找一位比较熟技术的朋友帮忙。

　　一、安装 IPSec。如上所述，IPSec 会对 IP 数据包进行加密和验证。这意味着你的电脑 / 移动设备与服务器之间传输的数据无法被解密、也不能被伪造。我推荐用 openswan 这个后台软件包来跑 IPSec。

　　用以下命令安装 openswan:

　　sudo aptitude install openswan二、用文字编辑器打开 /etc/ipsecconf，改成这样：

　　version 20

　　config setup

　　nat_traversal=yes

　　virtual_private=%v4:10000/8,%v4:19216800/16,%v4:1721600/12

　　oe=off

　　protostack=netkey

　　conn L2TP-PSK-NAT

　　rightsubnet=vhost:%priv

　　also=L2TP-PSK-noNAT

　　conn L2TP-PSK-noNAT

　　authby=secret

　　pfs=no

　　auto=add

　　keyingtries=3

　　rekey=no

　　ikelifetime=8h

　　keylife=1h

　　type=transport

　　left=YOURSERVERIPADDRESS

　　leftprotoport=17/1701

　　right=%any

　　rightprotoport=17/%any三、用文字编辑器打开 /etc/ipsecsecrets，改成这样：

　　YOURSERVERIPADDRESS %any: PSK "YourSharedSecret"（别忘了把「YOURSERVERIPADDRESS」这部分换成你的服务器的 IP 地址，把「YourSharedSecret」部分换成随便一个字串，例如你喜欢的一句话，等等。）

　　四、运行以下命令：

　　for each in /proc/sys/net/ipv4/conf/

　　do

　　echo 0 > $each/accept_redirects

　　echo 0 > $each/send_redirects

　　done五、检查一下 IPSec 能否正常工作：

　　sudo ipsec verify如果在结果中看到「Opportunistic Encryption Support」被禁用了，没关系，其他项 OK 即可。

　　六、重启 openswan:

　　sudo /etc/initd/ipsec restart七、安装 L2TP。常用的 L2TP 后台软件包是 xl2tpd，它和 openswan 是同一帮人写的。

　　运行以下命令：

　　sudo aptitude install xl2tpd八、用文字编辑器打开 /etc/xl2tpd/xl2tpdconf，改成这样：

　　[global]

　　ipsec saref = yes

　　[lns default]

　　ip range = 10122-1012255

　　local ip = 10121

　　;require chap = yes

　　refuse chap = yes

　　refuse pap = yes

　　require authentication = yes

　　ppp debug = yes

　　pppoptfile = /etc/ppp/optionsxl2tpd

　　length bit = yes这里要注意的是 ip range 一项里的 IP 地址不能和你正在用的 IP 地址重合，也不可与网络上的其他 IP 地址冲突。

　　九、安装 ppp。这是用来管理 *** 用户的。

　　sudo aptitude install ppp十、检查一下 /etc/ppp 目录里有没有 optionsxl2tpd 这个文件，没有的话就建一个，文件内容如下：

　　require-mschap-v2

　　ms-dns 20867222222

　　ms-dns 20867220220

　　asyncmap 0

　　auth

　　crtscts

　　lock

　　hide-password

　　modem

　　debug

　　name l2tpd

　　proxyarp

　　lcp-echo-interval 30

　　lcp-echo-failure 4注意 ms-dns 两行我填的是 OpenDNS。如果你想用其他的 DNS 服务器（例如谷歌的公共 DNS），请自行更换。

　　十一、现在可以添加一个 *** 用户了。用文字编辑器打开 /etc/ppp/chap-secrets:

　　# user server password ip

　　test l2tpd testpassword 如果你之前设置过 PPTP ***，chap-secrets 文件里可能已经有了其他用户的列表。你只要把 test l2tpd testpassword 这样加到后面即可。

　　十二、重启 xl2tpd:

　　sudo /etc/initd/xl2tpd restart十三、设置 iptables 的数据包转发：

　　iptables --table nat --append POSTROUTING --jump MASQUERADE

　　echo 1 > /proc/sys/net/ipv4/ip_forward十四、因为某种原因，openswan 在服务器重启后无法正常自动，所以我们可以在 /etc/rclocal 文件里写入如下语句：

　　iptables --table nat --append POSTROUTING --jump MASQUERADE

　　echo 1 > /proc/sys/net/ipv4/ip_forward

　　for each in /proc/sys/net/ipv4/conf/

　　do

　　echo 0 > $each/accept_redirects

　　echo 0 > $each/send_redirects

　　done

　　/etc/initd/ipsec restart到这里，设置工作已经基本完成。你可以用 iPhone 或 iPad 试着连一下。记得在「Secret」中填入你在上述第三步里填的 YourSharedSecret。

　　如果连接成功，上网也没问题的话，恭喜你，大功告成。如果连不上，恐怕还得多做一步。

　　Ubuntu 910 自带的 openswan 版本是 2622, Debian Lenny 带的版本是 2412。这两个版本的 openswan 都有问题。我们的测试结果表明，2624 版的 openswan 可以在上述两版的 Linux 操作系统下正常工作。所以如果做完以上十四步还是连不上的话，请考虑从源码编译 openswan 2624