Policy Based Assignment DHCP – Windows Server 2012

A) Giới thiệu

Policy Based Assignment là một tính năng mới trong DHCP (Windows Server 2012). Cho phép cấp phát địa chỉ IP dựa trên chính sách. Policy Based Assignment (PBA) cho phép nhóm và phân loại các Client Device lại với nhau dựa trên một số thuộc tính trong gói tin Client Request, sau đó cấp phát IP theo chính sách mà người quản trị định nghĩa.

Mục đích của việc triển khai PBA là để dễ dàng phân loại các thiết bị và sắp xếp chúng vào một range IP nhất định , từ đó có thể dễ dàng quản trị và thiết lập một số tính năng tối ưu.

Nguyên tắc hoạt động của PBA dựa trên các trường (fields) trong gói tin Client Request :

• Vendor Class
• User Class
• MAC address
• Client Identifier
• Relay Agent Information

Multiple Device Type : phân loại các thiết bị quan trọng dựa trên thuộc tính của thiết bị (Vendor Class : IP Phone, Printer, Desktop) và sắp xếp chúng vào một range IP nhất định, tiếp theo người quản trị có thể thiết lập QoS (Quality of Service) cho range IP đó.

Multiple Role : có thể phân loại và tách rời các client device (Laptop, desktop, server) sang một range IP riêng biệt (range IP dành cho server, range IP dành cho desktop). Hơn nữa, nếu công ty có các client là laptop và chúng kết nối bằng Wireless trong công ty. Và nếu cấu hình cấp phát IP cho các thiết bị kết nối Wireless này ở dạng Relay Agent. Thì bạn có thể dùng trường Relay Agent Information để phân loại các thiết bị wireless này sang một range IP nhất định và cấu hình thời gian Lease Duration (thời gian mà địa chỉ IP tồn tại) là 4 tiếng. Ngoài ra còn có thể tắt (disable) tính năng Dynamic Update DNS cho các thiết bị này (đơn giản vì chúng không cần thiết)

Virtualization : đa số các máy ảo (Virtual machine) bạn tạo ra trong môi trường ảo hóa đều dùng một dãy Prefix MAC nhất định (ví dụ : Prefix MAC với 6 số đầu là 00-15-5D). Dựa trên Prefix MAC này, bạn có thể cấu hình PBA cho phép các máy ảo nằm trong một range IP nhất định, để từ đó có thể thiết lập các Option DHCP như : Default Gateway, DNS, Lease Duration.

B) Mô tả

Cấp phát địa chỉ :

1) Sau khi DHCP Server nhận được gói tin Client Request, nó sẽ xét Default Gateway để xác định gói tin đến từ Subnet nào, sau đó sẽ dò trong danh sách Scope để tìm ra Scope phù hợp với subnet đó.

2) Tiếp theo, DHCP Server sẽ kiểm tra trong Scope có cấu hình Policy Based Assignment hay không, và nếu có thì ưu tiên xét các chính sách trong PBA.

3) Nếu xét các policy trong PBA mà không phù hợp (match) với tất cả policy nào, thì DHCP Server sẽ cấp IP bình thường theo định nghĩa trong Scope. Nếu phù hợp thì tiến hành cấp IP trong chính sách mà ta qui định.

4) Một client request có thể match nhiều điều kiện trong chính sách đó. Và sẽ cấp địa chỉ IP thấp nhất trong range IP đó (172.1.1.31) , nếu địa chỉ IP thấp nhất đã được cấp thì sẽ lấy địa chỉ IP thứ 2 để cấp (172.1.1.32). Ngoài ra, trong một chính sách có thể cấu hình nhiều range IP (ví dụ : có 2 range, range 1 là 172.1.1.30 – 172.1.1.40 và range 2 là 172.1.1.70 – 172.1.1.80), thì hệ thống sẽ dùng range 1 trước, nếu range 1 hết thì lấy range 2 ra cấp). Trong trường hợp 2 range đã đầy và không còn địa chỉ IP nào để cấp, thì gói tin client request sẽ được DHCP Server hủy (drop).

Cấp phát Option : mỗi chính sách trong Scope sẽ có một Option (DNS, Default Gateway, Lease Duration) riêng biệt. Nếu client match với chính sách nào thì sẽ nhận IP và các Option trong chính sách đó.

C) Triển khai Policy Based Assignment

Mô hình :

• Máy AD (172.1.1.1/24) : Cài role DHCP và cấu hình PBA. Với 2 chính sách, một cho Client Computer (xét theo MAC Address), một cho các máy ảo trong Hyper-V1 Server (xét theo MAC Prefix).
• Máy Client Computer : Windows 8.1, xin cấp địa chỉ IP trong khoảng 172.1.1.34 – 172.1.1.35
• Hyper-V1 : có 2 máy ảo VM1 và VM2 xin cấp địa chỉ IP trong khoảng 172.1.1.37 – 172.1.1.39, tạo máy ảo có thể tham khảo tại đây.

Thực hiện :

1) Cài đặt DHCP trên máy AD

• Kích hoạt và cấp phép cho DHCP Server trong Domain

2) Tạo một Scope (IP Range, Default Gateway, DNS)

• Range IP từ : 172.1.1.30 – 172.1.1.40

• Default Gateway : 172.1.1.1 (AD.huypd.com)

• DNS : 172.1.1.1

• Tạo và kích hoạt cho phép sử dụng Scope.

3) Tạo chính sách cấp phát cho Client Computer

• Trước tiên, ta phải qua máy Client Computer, vào Run –> CMD –> gõ “Ipconfig /all” để xem địa chỉ MAC Address

• Tiếp theo, trên máy DHCP Server tạo một Policy

• Cơ chế : AND nếu match tất cả các điều kiện yêu cầu thì mới cấp | OR : chỉ cần match một trong các điều kiện yêu cầu ta cấu hình

• Critera : chọn MAC Address, sau đó nhập vào MAC Address ở ô Value và nhấn Add

• Nếu thỏa chính sách thì khai báo cấp IP ở từ khoản nào tới khoản nào trong Scope ta vừa tạo

• Tiếp theo cấu hình Default Gateway ở Option số “003 Router”

• Cấu hình DNS ở Option “006 DNS Server”

• Nhấn Finish để kết thúc

• Vào Client Computer gõ “Ipconfig /renew” và kiểm tra xem có cấp đúng theo Policy ta vừa tạo ra.

4) Cấp phát theo IP Prefix MAC Address cho các máy ảo

• Sau khi tạo 2 máy ảo, ta start 2 máy ảo lên

• Vào máy ảo 1 để coi địa chỉ MAC Address : 00-15-5D-01-02-0b

• Vào máy ảo 2 để coi địa chỉ MAC Address : 00-15-5D-01-02-0C

• Tiến hành New Policy trong DHCP Server

• So sánh 2 địa chỉ MAC Address của 2 máy ảo trên ta thấy chúng dùng chung một rang MAC Prefix (cố định) và bắt đầu từ : 00-15-5D-01 . Tiến hành khai báo vào với giá trị là “00155D01*” và stick vào ô Appen Wildcard (*) –> Nhấn Add

• Nếu thỏa chính sách thì khai báo cấp IP ở từ khoản nào tới khoản nào trong Scope

• Bước cuối cùng là vào máy ảo và gõ “Ipconfig /renew” để kiểm nghiệm lại quá trình cấu hình