DHCP für Institute

Das Gauß-IT-Zentrum bietet Ihnen als DV-Koordinator Ihres Instituts über die Selbstbedienungsschnittstelle des Koordinatoren-Datendienst (KDD) die Möglichkeit an, für die Rechner Ihres Datennetzbereichs das sogenannte Dynamic Host Configuration Protocol (DHCP) zu nutzen. DHCP ermöglicht die automatische Einbindung von Rechnern in das Datennetz, ohne diese (in der Regel) manuell (aufwändig) konfigurieren zu müssen. Die meisten Betriebssysteme sind in der Grundkonfiguration bereits so eingestellt, dass die Rechner die IP-Adresse und andere Parameter automatisch über das Netzwerk beziehen möchten. Beim Start des Rechners am Datennetz nutzen diese Rechner dann das DHCP-Protokoll um IP-Adresse, Netzmaske, Standard-Gateway, DNS-Server und gegebenenfalls weitere netzwerkspezifische Parameter von einem DHCP-Server zu beziehen.

Die Nutzung der oben beschriebenen DHCP-Selbstbedienungsfunktion im KDD ist an einige netz- und konfigurationstechnische Voraussetzungen geknüpft. Aus der Historie der Entwicklung des Datennetzes sind diese Voraussetzungen noch nicht überall gegeben, was verschiedene Ursachen haben kann. Die Umsetzung der im Vorfeld notwendigen Maßnahmen setzt Ihre aktive Mitarbeit voraus.

Weitere Abhängigkeiten bestehen, falls bereits ein DHCP-Server von Ihnen in Ihrem Netzbereich betrieben wird oder Sie eine eigene Firewall für Ihren Netzbereich betreiben. Der DHCP-Service kann nur genutzt werden, wenn…

• …alle Rechner Ihres Instituts mit dem zu Ihrem Netzbereich gehörenden Standard-Gateway sowie der richtigen Subnetzmaske konfiguriert sind bzw.„Proxy-Arp“ ausgeschaltet ist.
• …keine eigenen DHCP-Server in diesem Datennetzbereich betrieben werden.
• … die oberen 8 (nach Absprache unteren 8) IP-Adressen Ihres Adressbereichs nicht von Ihnen genutzt werden bzw. diese IP-Adressen bereits für Netz-Infrastruktur reserviert sind.
• …keine eigene Firewall betrieben wird. (Sie können kostenlos eine eigene Firewall bei uns nutzen.)
• …die Nutzung des DHCP-Angebotes auf Leitungsebene und mit allen Abteilungen Ihres Institutes abgestimmt ist, die Adressen im gleichen Netzbereich („VLAN“) nutzen.

Sofern Sie Interesse an unserem DHCP-Angebot haben und im KDD-Interface auf der Übersichtsseite „Datennetz“ die Option „DHCP“ nicht wie in Abbildung 1 vorfinden, nehmen Sie bitte mit uns unter noc@tu-bs.de Kontakt auf, um das weitere Vorgehen zu besprechen.

Wenn Sie den DHCP-Dienst nutzen wollen und im KDD die Option wie in Abbildung 1 abgebildet bereits erscheint, klicken Sie dort bitte einfach bei DHCP auf [Beantragen], lesen Sie den folgenden Text und bestätigen Sie den Antrag durch Klicken auf den Link im letzten Abschnitt des Texts (Siehe Abb. 2).

Sie erhalten eine Erfolgsbestätigung. Bis wir DHCP für Sie eingerichtet und freigeschaltet haben, wird der Bereich im Datennetz-Modul gelb markiert dargestellt (Abb. 3).

Das Angebot sieht vor, dass Sie die von Ihnen betriebenen Rechner auf zwei Arten mittels DHCP versorgen können. Prinzipiell können diese beiden Angebote miteinander kombiniert werden, wenn die organisatorischen und netztechnischen Voraussetzungen dies ermöglichen. Wir nennen diese Angebote statische DHCP-Zuweisung und dynamische DHCP-Zuweisung.

In diesem Modus werden am DHCP-Server die IP-Adressen bestimmten MAC-Adressen fest (statisch) zugeordnet. Bitte füllen Sie dazu das in Abbildung 4 gezeigte Formular aus. Wählen Sie zuerst eine freie IP-Adresse aus dem Drop-Down-Menü aus. Vergeben Sie einen eindeutigen Namen für den jeweiligen Rechner. Wählen Sie dann die entsprechende Raum- und Gebäudenummer aus. Sie können nun noch bestimmen, ob DHCP für diese Anmeldung vorgenommen werden soll. Dazu aktivieren Sie bitte die Checkbox. Jetzt geben Sie bitte eine entsprechende MAC-Adresse ein (unter dem Formular sind Beispiele zu sehen). Abschließend können Sie noch entscheiden, ob Sie eine Konfigurationsdatei für die IP-Adresse per E-Mail zugesendet haben möchten. Abschließend klicken Sie entweder auf [Gerät anmelden und ein weiteres anmelden] oder auf [Gerät anmelden und zurück] um die Anmeldung abzuschließen.

Die IP-Adressen werden der MAC-Adresse eines Clients für eine längere Zeit zugeteilt. Wenn der Client mit seiner MAC-Adresse erneut beim DHCP-Server eine IP-Adresse erfragt, wird der Server dem Client stets die gleiche IP-Adresse erneut zuteilen. Der Nachteil kann darin liegen, dass die MAC-Adressen jedes zusätzlichen Clients von Ihnen über das KDD-Interface registriert werden müssen und eine genaue 1-zu-1-Zuordnung zwischen MAC-Adressen und IP-Adressen existieren muss. Dadurch müssen ggf. mehr IP-Adressen angemeldet werden, als ständig in Nutzung sind. Der Vorteil ist, dass Sie als DV-Koordinator einen besseren Überblick über die in Ihrem Netzbereich angemeldeten Geräte und deren vorgesehene Nutzung von IP-Adressen haben. Ferner entfällt ein Teil der „Turnschuh-Administration“, wenn Sie die IP-Adresse eines Rechners ändern wollen, da Sie die Änderung im KDD vornehmen, indem Sie die MAC-Adresse des betreffenden Systems einer anderen IP-Adresse zuordnen.

Bei der sogenannten dynamischen Zuweisung wird über das Datennetz-Interface im KDD ein Bereich („Pool“) von IP-Adressen definiert. Dazu auf den Link [Pool-Definition erforderlich] klicken. Es öffnet sich eine Schnittstelle zur Definition eines zusammenhängenden Adressbereichs als DHCP-Pool (Abb. 5).

Sie können die erste und letzte Adresse des Pools entweder per Hand eintragen oder durch Links-Klick zunächst auf die erste Adresse dann auf die letzte Adresse auswählen.

Wenn ein Rechner in einem mit DHCP-Pool konfigurierten Netzbereich eine DHCP-Anfrage stellt und dessen MAC-Adresse nicht fest einer bestimmten IP-Adresse zugeordnet ist, wird diesem Rechner die erste freie IP-Adresse aus diesem DHCP-Pool zugewiesen. Wenn die Adresse aus diesem Bereich einmal einem DHCP-Client zugeordnet wurde, dann „gehört“ sie diesem für eine begrenzte Zeit (Lease Zeit, derzeit per Default 30 Minuten). Will der Rechner die IP länger nutzen, muss er vor Ablauf der Lease Zeit eine erneute DHCP-Anfrage stellen. Meldet sich der Rechner innerhalb dieser Zeit nicht erneut, wird die Adresse wieder freigegeben und kann vom DHCP-Server an einen anderen Client vergeben werden.

Schlecht anwendbar ist diese Lösung demnach, wenn auf die Rechner von extern zugegriffen werden muss, da die IP-Adresse und damit der Name, über den die Rechner angesprochen werden nicht immer gleich sind und nur auf dem System selbst (umständlich) in Erfahrung gebracht werden können. Außerdem erleichtert ein DHCP-Pool u. U. Unbefugten den Zugang zu Ihrem Instituts-Netz, wenn diese die Möglichkeit haben, ihren Rechner an eine der für Ihr Institut beschalteten Netzdosen anzuschließen.

Ein großer Vorteil dieser Lösung ist jedoch, dass Sie mit relativ wenig Aufwand Ihren Anwendern einen einfachen Zugriff auf das Datennetz ermöglichen können, ohne dass Sie regelnd und ordnend eingreifen müssen. Auch werden auf diese Art und Weise nur so viele IP-Adressen benötigt, wie maximal gleichzeitig aktiv sind. Für die Nutzung unseres Dienstes „Instituts-WLAN“ ist außerdem die Definition eines DHCP-Pools zwingend erforderlich.

Sie wollen als DV-Koordinator für Ihre Einrichtung bzw. Ihr Institut die Nutzung des vom Gauß-IT-Zentrums bereitgestellten DHCP-Service beantragen. Ziel des Angebotes ist es, durch automatisierte Adresszuweisungen eine einfachere Netznutzung zu ermöglichen. Um das Verfahren transparenter zu gestalten, stellen wir Ihnen hier eine Liste der zu prüfenden Kriterien bereit. Bei der Bearbeitung Ihres Antrags wird unter anderem Folgendes geprüft:

• Der DHCP-Service kann nur dort bereitgestellt werden, wo das Gauß-IT-Zentrum die vollständige technische und administrative Hoheit über alle angeschlossenen Netzkomponenten ausübt. (Dies ist beispielsweise in der Regel dort nicht gegeben, wo eigene Firewall-Lösungen betrieben werden.)
• Eine technische Grundvoraussetzung ist die eindeutige Zuordnung eines gerouteten Adressbereichs zu einem (virtuellen) Datennetz eines Instituts. (Heutzutage nur in sehr wenigen Ausnahmen nicht der Fall)
• Eigene DHCP-Server dürfen Sie in Ihrem Institut nicht betreiben, wenn Sie unseren DHCP-Service nutzen wollen.
• Die Nutzungsordnung zur Informationstechnologie der TU Braunschweig sieht vor, dass Institute einen oder mehrere DV-Koordinatoren benennen müssen. Dort wo für ein Institut mehrere DV-Koordinatoren benannt worden sind bzw. das Netz des Instituts in mehrere Bereiche unterteilt worden ist, für die unterschiedliche DV-Koordinatoren zuständig sind, müssen besondere Absprachen getroffen werden. Grundsätzlich muss die Nutzung des DHCP-Service innerhalb des gesamten Instituts abgestimmt werden. (Wir haben nicht nur in diesem Zusammenhang vielerorts festgestellt, dass diese künstliche Aufteilung auch von Ihrer Seite eher hinderlich gesehen wird. Nutzen Sie die Chance, mit uns an dieser Stelle eine einfachere Lösung zu finden.)
• Ihr Antrag zur Nutzung des DHCP-Service wird technisch geprüft und muss wie beschrieben mit den anderen Beteiligten abgestimmt werden. Es kann daher vorkommen, dass wir einigen Anträgen nicht entsprechen können.
• Für den DHCP-Service gibt es ein abgestuftes Angebot. Die technischen Voraussetzungen müssen jedoch für beide Teilangebote (statisches und dynamisches DHCP) geprüft werden.
• Statische DHCP-Adresszuweisung für bestimmte Rechner pflegen Sie selber über das Datennetz Interface des KDD (IP/DNS-Eintrag bearbeiten, DHCP-Checkbox aktivieren und MAC-Adresse des Rechners eingeben).
• Für die variable Adresszuweisung über DHCP wird ein Teilbereich Ihres Adressbereichs als DHCP-Pool von Ihnen festgelegt. Die Adressen in diesem Bereich müssen sowohl im KDD als auch im Datennetz zuvor frei sein. Der Teilbereich muss aus fortlaufenden IP-Adressen innerhalb Ihres Adressbereichs bestehen.
• Die Hostnamen (DNS-Einträge) für Adressen im DHCP-Pool werden nach einem festen Schema generiert. Eine Änderung von Hand ist nicht vorgesehen.
• Bei der Änderung des DHCP-Adressbereichs werden die DNS-Einträge des alten Bereichs gelöscht und neu für den geänderten Bereich angelegt.
• Andere Dienste (z.B. WLAN mit Terminierung im eigenen Instituts-Netz) haben Abhängigkeiten zum DHCP-Service, sodass wir stets versuchen, Ihnen das Komplettpaket schmackhaft zu machen.
• Es ist unser Ziel, technische Details innerhalb von 5 Werktagen ab Beantragung zu klären.