您当前的位置:首页 > 计算机论文>计算机应用论文

基于DHCP技术的校园网应用

2015-07-04 20:31 来源:学术参考网 作者:未知

   [摘要]文章分析动态主机配置协议的工作流程,描述在各种三层交换机上dhcp服务器的配置过程,并提出如何禁止非法dhcp服务器的方法。

   [关键词]dhcp;ip地址;交换机;snooping

   目前,校园网已成为高等学校的重要组成部分。随着校园网的扩大以及移动办公逐步要求的增加,如果仍然采用静态地址分配的方法进行ip管理,不仅使网络管理人员的工作量极大地增加,同时由于一些用户记不清自己的ip地址,在重新安装系统后乱用ip地址,造成ip地址冲突或无法正常上网,影响校园网用户的正常使用。为防止类似的事情发生,在校园网的ip地址分配可采用动态主机配置协议(dynamic host configuration protocol,dhcp),dhcp可自动将ip地址、掩码、网关、dns分配给用户。
   dhcp服务器的搭建一般可采用两种方式。方式一:操作系统+服务器。操作系统可以是window2003、linux、solaris、freebsd等,不论使用哪一种操作系统,都需要另外使用一台服务器来安装,增加网络建设投资。方式二:采用汇聚交换机自带的dhcp服务器功能,为各汇聚交换机下的计算机用户自动分配ip地址。使用汇聚交换机做dhcp服务器的好处在于:(1)节省网络建设投资,不需另外采购一台服务器作为学校的dhcp服务器;(2)使用汇聚交换机来做dhcp服务器,不容易受到病毒的影响;(3)由于汇聚交换机本身运行稳定,带来dhcp服务器的运行稳定。wWW.133229.Com
  
  一、dhcp工作流程
  
   (一)发现阶段
   发现阶段即dhcp客户机寻找dhcp服务器的阶段。dhcp客户机以广播方式(因为dhcp服务器的ip地址对于客户机来说是未知的)发送dhcpdiscover发现信息来寻找dhcp服务器,即向地址255.255.255.255发送特定的广播信息。网络上每一台安装了tcp/ip协议的主机都会接收到这种广播信息,但只有dhcp服务器才会响应。
   (二)提供阶段
   提供阶段即dhcp服务器提供ip地址的阶段。在网络中接收到dhcpdiscover发现信息的dhcp服务器都会做出响应,它从尚未出租的ip地址中挑选一个分配给dhcp客户机,向dhcp客户机发送一个包含出租的ip地址和其他设置的dhcpoffer提供信息。
   (三)选择阶段
   选择阶段即dhcp客户机选择某台dhcp服务器提供的ip地址的阶段。如果有多台dhcp服务器向dhcp客户机发来的dhcpoffer提供信息,则dhcp客户机只接受第一个收到的dhcpoffer提供信息,然后它就以广播方式回答一个dhcprequest请求信息,该信息中包含向它所选定的dhcp服务器请求ip地址的内容。之所以要以广播方式回答,是为了通知所有的dhcp服务器,它将选择某台dhcp服务器所提供的ip地址。
   (四)确认阶段
   确认阶段即dhcp服务器确认所提供的ip地址的阶段。当dhcp服务器收到dhcp客户机回答的dhcprequest请求信息之后,它便向dhcp客户机发送一个包含它所提供的ip地址和其他设置的dhcpack确认信息,告诉dhcp客户机可以使用它所提供的ip地址。然后dhcp客户机便将其tcp/ip协议与网卡绑定,另外,除dhcp客户机选中的服务器外,其他的dhcp服务器都将收回曾提供的ip地址。
   (五)重新登录
   以后dhcp客户机每次重新登录网络时,就不需要再发送dhcpdiscover发现信息了,而是直接发送包含前一次所分配的ip地址的dhcprequest请求信息。当dhcp服务器收到这一信息后,它会尝试让dhcp客户机继续使用原来的ip地址,并回答一个dhcpack确认信息。如果此ip地址已无法再分配给原来的dhcp客户机使用时(比如此ip地址已分配给其他dhcp客户机使用),则dhcp服务器给dhcp客户机回答一个dhcpnack否认信息。当原来的dhcp客户机收到此dhcpnack否认信息后,它就必须重新发送dhcpdiscover发现信息来请求新的ip地址。
   (六)更新租约
   dhcp服务器向dhcp客户机出租的ip地址一般都有一个租借期限,期满后dhcp服务器便会收回出租的ip地址。如果dhcp客户机要延长其ip租约,则必须更新其ip租约。dhcp客户机启动时和ip租约期限过一半时,dhcp客户机都会自动向dhcp服务器发送更新其ip租约的信息。
  
  二、dhcp配置过程及说明
  
   (一)cisco交换机 dhcp配置
   cisco(config)#ip dhcp excluded-address 172.17.0.200 172.17.0.253//设置不参与动态分配的保留地址;
   cisco(config)#ip dhcp pool aaa //设置dhcp地址池名;
   cisco(dhcp-config)#network 172.17.0.0 255.255.255.0 //设置动态分配的ip地址段;
   cisco (dhcp-config)#default-router 172.17.0.254//设置缺省网关;
   cisco (dhcp-config)#dns-server 202.103.224.68 221.7.128.68 //设置dns;
   cisco (dhcp-config)#lease 7 //设置地址租期,以天计算。
   (二)中兴交换机 dhcp配置
   zxr10(config)#ip dhcp server enable //启用dhcp服务;
   zxr10(config)#ip dhcp server dns 202.103.224.68 221.7.128.68 //设置dns;
   zxr10(config)#ip dhcp server leasetime 10080 //设置地址租期,以分钟计算;
   zxr10#vlan database
   zxr10(vlan)#vlan 222//创建vlan;
   zxr10(vlan)#exit
   zxr10#config t
   zxr10(config)#interface vlan 222//设置vlan;
   zxr10(config-if)#ip address 172.17.0.254 255.255.255.0 //设置vlan的ip地址段;
   zxr10(config-if)#description aaa//设置vlan名;
   zxr10(config-if)#peer default ip pool aaa //指定接口使用的地址池;
   zxr10(config-if)#user-interface //设置用户侧接口标志;
   zxr10(config-if)#ip dhcp server gateway 172.17.0.254//设置vlan网关;
   (三)cisco2621路由器+港湾big800 dhcp配置
   由于港湾big800生产年限较早,该设备不提供dhcp服务器功能,只有dhcp中继功能,因此,将big800设置为dhcp中继,用一台cisco2621做dhcp服务器。

   1.港湾交换机配置
   harbour(config)# create vlan aaa //创建vlan;
   harbour(config)# config vlan aaa tag 222 //设置vlan的tag值;
   harbour(config)# config vlan aaa ipaddress 172.17.0.254 255.255.255.0//设置vlan的ip地址段;
   harbour(config)# config dhcpr listen add aaa//设置dhcp relay服务监听的vlan;
   harbour(config)# config dhcpr targetip add 172.16.0.1//指定dhcp服务器ip;
   2.路由器配置
   dhcp-server(config)#ip dhcp pool aaa //设置dhcp地址池名;
   dhcp-server(dhcp-config)#network 172.17.0.0 255.255.255.0 //设置动态分配的ip地址段;
   dhcp-server(dhcp-config)#default-router 172.17.0.254 //设置缺省网关;
   dhcp-server(dhcp-config)#dns-server 202.103.224.68 221.7.128.68 //设置dns;
   dhcp-server(dhcp-config)# lease 7 //设置地址租期,以天计算。
  
  三、禁止非法dhcp服务器的方法
  
   对于某一个子网,非法的dhcp报文在该子网的传播要比合法的dhcp报文快,如在该子网内存在一台非法的dhcp服务器,用户必将先获取到非法dchp服务器所提供的ip地址,影响用户的正常网络使用。防止非法dhcp服务器,可以通过以下几种方式进行解决。
   (一)接入交换机带有访问控制列表功能(access control lists,acl)
   rfc定义dhcp端口号:dhcp server的udp端口号为67,dhcp client的udp端口号为68。这样,我们可以通过访问控制列表,在下行端口拒约所有源端口为67,目标端口为68的udp通过,从而达到使非法的dhcp服务器失效的作用。以cisco2950为例,具体配置如下:
   switch #config t
   switch (config)#access-list 120 deny udp any eq 67 any eq 68
   switch (config)#access-list 120 permit ip any any
   写好访问控制列表后,将列表应用到各个下行端口。上行端口不能写入该条访问控制列表,否则该交换机下的所有计算机用户都不能获取到ip地址。
   (二)接入交换机带有dhcp-snooping功能
   dhcp snooping技术dhcp snooping是一种通过建立dhcp snooping binding数据库,过滤非信任的dhcp消息,从而保证网络安全的特性。dhcp snooping就像是非信任的主机和dhcp服务器之间的防火墙。通过dhcp snooping来区分连接到末端客户的非信任接口和连接到dhcp服务器或者其他交换机的受信任接口。
   dhcp snooping binding数据库包括如下信息:mac地址、ip地址、租约时间、binding类型、vlan id以及来自本地非信任端口的接口信息,但不包含通过受信任端口互相连接的接口信息。在启用了dhcp snooping的vlan中,如果交换机收到来自非信任端口的dhcp包,交换机将对目的mac地址和dhcp客户端的地址进行对比,如果符合则该包可以通过,否则将被丢弃掉,从而达到过滤非法dhcp服务器的目的。
   以cisco3550为例,具体配置如下:
   switch #config t
   switch (config)# ip dhcp snooping//在全局模式下启用dhcp snooping;
   switch (config)# ip dhcp snooping vlan 130 //在vlan 130中启用dhcp snooping;
   switch (config)# interface gigabitethernet 0/10//进入交换机的第10口;
   switch (config-if)# ip dhcp snooping trust//将第20口设置为受信任端口;
   switch (config)# interface range gigabitethernet 0/1-9 //其他端口;
   switch (config)# no ip dhcp snooping trust //将第21口 设置为不受信任端口;
   switch (config)# ip dhcp snooping limit rate 10 //设置每秒钟处理dhcp数据包上限。
   (三)接入交换机为不可网管交换机
   在获取到非法ip地址的计算机上,到通过arp -a命令查找到非法dhcp服务器的mac地址,在上层可网管交换机中查找出该mac地址是从可网管交换机的哪一个端口上行的,找到该端口下的交换机,然后在该交换机上通过逐条拔出网线的方式,查找出非法dhcp所在位置。
  
  四、结语
  
   随着校园网的扩大以及移动办公的要求逐步增加,校园网若纯粹采取静态ip地址,将会加重网管人员的负担,引发的网络故障也多。dhcp服务作为一项简化网络配置的有效措施,在不同规模的网络中都有广泛的应用。通过应用dhcp动态分配ip地址,证明dhcp服务是非常有用和有效的,为网管人员对网络进行管理以及故障排查等提供方便,有效地促进了校园网网络环境的稳定和网络状况健康度。
  
  [参考文献]
  [1]港湾网络软件配置指导手册[z].
  [2]zxr10路由器/以太网交换机命令手册[z].
相关文章
学术参考网 · 手机版
https://m.lw881.com/
首页