基于ＤＨＣＰ技術(shù)的校園網(wǎng)應(yīng)用

1、基于技術(shù)的校園網(wǎng)應(yīng)用         摘要文章分析動態(tài)主機配置協(xié)議的工作流程，描述在各種三層交換機上DHCP服務(wù)器的配置過程，并提出如何禁止非法DHCP服務(wù)器的方法。 關(guān)鍵詞DHCP；IP地址；交換機；Snooping 目前，校園網(wǎng)已成為高等學校的重要組成部分。隨著校園網(wǎng)的擴大以及移動辦公逐步要求的增加，如果仍然采用靜態(tài)地址分配的方法進行IP管理，不僅使管理人員的工作量極大地增加，同時由于一些用戶記不清自己的IP地址，在重新安裝系統(tǒng)后亂用IP地址，造成IP地址沖突或無法正常上網(wǎng)，影響校園網(wǎng)用戶的正常使用。為防止類似

2、的事情發(fā)生，在校園網(wǎng)的IP地址分配可采用動態(tài)主機配置協(xié)議（Dynamic Host Configuration Protocol，DHCP），DHCP可自動將IP地址、掩碼、網(wǎng)關(guān)、DNS分配給用戶。 DHCP服務(wù)器的搭建一般可采用兩種方式。方式一：操作系統(tǒng)+服務(wù)器。操作系統(tǒng)可以是window2003、Linux、Solaris、Freebsd等，不論使用哪一種操作系統(tǒng)，都需要另外使用一臺服務(wù)器來安裝，增加網(wǎng)絡(luò)建設(shè)投資。方式二：采用匯聚交換機自帶的DHCP服務(wù)器功能，為各匯聚交換機下的機用戶自動分配IP地址。使用匯聚交換機做DHCP服務(wù)器的好處在于：（1）節(jié)省網(wǎng)絡(luò)建設(shè)投資，不需另外采購一臺服務(wù)器

3、作為學校的DHCP服務(wù)器；（2）使用匯聚交換機來做DHCP服務(wù)器，不容易受到病毒的影響；（3）由于匯聚交換機本身運行穩(wěn)定，帶來DHCP服務(wù)器的運行穩(wěn)定。 一、DHCP工作流程 （一）發(fā)現(xiàn)階段 發(fā)現(xiàn)階段即DHCP客戶機尋找DHCP服務(wù)器的階段。DHCP客戶機以廣播方式（因為DHCP服務(wù)器的IP地址對于客戶機來說是未知的）發(fā)送DHCPdiscover發(fā)現(xiàn)信息來尋找DHCP服務(wù)器，即向地址255.255.255.255發(fā)送特定的廣播信息。網(wǎng)絡(luò)上每一臺安裝了TCP/IP協(xié)議的主機都會接收到這種廣播信息，但只有DHCP服務(wù)器才會響應(yīng)。 （二）提供階段 提供階段即DHCP服務(wù)器提供IP地址的階段。在網(wǎng)絡(luò)中

4、接收到DHCPdiscover發(fā)現(xiàn)信息的DHCP服務(wù)器都會做出響應(yīng)，它從尚未出租的IP地址中挑選一個分配給DHCP客戶機，向DHCP客戶機發(fā)送一個包含出租的IP地址和其他設(shè)置的DHCPoffer提供信息。 （三）選擇階段 選擇階段即DHCP客戶機選擇某臺DHCP服務(wù)器提供的IP地址的階段。如果有多臺DHCP服務(wù)器向DHCP客戶機發(fā)來的DHCPoffer提供信息，則DHCP客戶機只接受第一個收到的DHCPoffer提供信息，然后它就以廣播方式回答一個DHCPrequest請求信息，該信息中包含向它所選定的DHCP服務(wù)器請求IP地址的內(nèi)容。之所以要以廣播方式回答，是為了通知所有的DHCP服務(wù)器，它

5、將選擇某臺DHCP服務(wù)器所提供的IP地址。 （四）確認階段 確認階段即DHCP服務(wù)器確認所提供的IP地址的階段。當DHCP服務(wù)器收到DHCP客戶機回答的DHCPrequest請求信息之后，它便向DHCP客戶機發(fā)送一個包含它所提供的IP地址和其他設(shè)置的DHCPack確認信息，告訴DHCP客戶機可以使用它所提供的IP地址。然后DHCP客戶機便將其TCP/IP協(xié)議與網(wǎng)卡綁定，另外，除DHCP客戶機選中的服務(wù)器外，其他的DHCP服務(wù)器都將收回曾提供的IP地址。 （五）重新登錄 以后DHCP客戶機每次重新登錄網(wǎng)絡(luò)時，就不需要再發(fā)送DHCPdiscover發(fā)現(xiàn)信息了，而是直接發(fā)送包含前一次所分配的IP地址

6、的DHCPrequest請求信息。當DHCP服務(wù)器收到這一信息后，它會嘗試讓DHCP客戶機繼續(xù)使用原來的IP地址，并回答一個DHCPack確認信息。如果此IP地址已無法再分配給原來的DHCP客戶機使用時（比如此IP地址已分配給其他DHCP客戶機使用），則DHCP服務(wù)器給DHCP客戶機回答一個DHCPnack否認信息。當原來的DHCP客戶機收到此DHCPnack否認信息后，它就必須重新發(fā)送DHCPdiscover發(fā)現(xiàn)信息來請求新的IP地址。 （六）更新租約 DHCP服務(wù)器向DHCP客戶機出租的IP地址一般都有一個租借期限，期滿后DHCP服務(wù)器便會收回出租的IP地址。如果DHCP客戶機要延長其IP

7、租約，則必須更新其IP租約。DHCP客戶機啟動時和IP租約期限過一半時，DHCP客戶機都會自動向DHCP服務(wù)器發(fā)送更新其IP租約的信息。 二、DHCP配置過程及說明 （一）CISCO交換機 DHCP配置 cisco(config)#ip dhcp excluded-address 172.17.0.200 172.17.0.253/設(shè)置不參與動態(tài)分配的保留地址； cisco(config)#ip dhcp pool aaa /設(shè)置DHCP地址池名； cisco(dhcp-config)#network 172.17.0.0 255.255.255.0 /設(shè)置動態(tài)分配的IP地址段； cisco

8、(dhcp-config)#default-router 172.17.0.254/設(shè)置缺省網(wǎng)關(guān)； cisco (dhcp-config)#dns-server 202.103.224.68 221.7.128.68 /設(shè)置DNS； cisco (dhcp-config)#lease 7 /設(shè)置地址租期，以天計算。 （二）中興交換機 DHCP配置 ZXR10(config)#ip dhcp server enable /啟用DHCP服務(wù)； ZXR10(config)#ip dhcp server dns 202.103.224.68 221.7.128.68 /設(shè)置DNS； ZXR10(con

9、fig)#ip dhcp server leasetime 10080 /設(shè)置地址租期，以分鐘計算； ZXR10#vlan database ZXR10(vlan)#vlan 222/創(chuàng)建vlan； ZXR10(vlan)#exit ZXR10#config t ZXR10(config)#interface vlan 222/設(shè)置vlan； ZXR10(config-if)#ip address 172.17.0.254 255.255.255.0 /設(shè)置vlan的IP地址段； ZXR10(config-if)#description aaa/設(shè)置vlan名； ZXR10(config-if

10、)#peer default ip pool aaa /指定接口使用的地址池； ZXR10(config-if)#user-interface /設(shè)置用戶側(cè)接口標志； ZXR10(config-if)#ip dhcp server gateway 172.17.0.254/設(shè)置vlan網(wǎng)關(guān)； （三）CISCO2621路由器+港灣BIG800 DHCP配置 由于港灣BIG800生產(chǎn)年限較早，該設(shè)備不提供DHCP服務(wù)器功能，只有DHCP中繼功能，因此，將BIG800設(shè)置為DHCP中繼，用一臺CISCO2621做DHCP服務(wù)器。 1      

11、60;   1.港灣交換機配置 Harbour(config)# create vlan aaa /創(chuàng)建vlan； Harbour(config)# config vlan aaa tag 222 /設(shè)置vlan的tag值； Harbour(config)# config vlan aaa ipaddress 172.17.0.254 255.255.255.0/設(shè)置vlan的IP地址段； Harbour(config)# config dhcpr add aaa/設(shè)置DHCP Relay服務(wù)監(jiān)聽的vlan； Harbour(config)# config dhcpr ta

12、rgetip add 172.16.0.1/指定DHCP服務(wù)器IP； 2.路由器配置 dhcp-server(config)#ip dhcp pool aaa /設(shè)置DHCP地址池名； dhcp-server(dhcp-config)#network 172.17.0.0 255.255.255.0 /設(shè)置動態(tài)分配的IP地址段； dhcp-server(dhcp-config)#default-router 172.17.0.254 /設(shè)置缺省網(wǎng)關(guān)； dhcp-server(dhcp-config)#dns-server 202.103.224.68 221.7.128.68 /設(shè)置DNS；

13、dhcp-server(dhcp-config)# lease 7 /設(shè)置地址租期，以天。 三、禁止非法DHCP服務(wù)器的方法 對于某一個子網(wǎng)，非法的DHCP報文在該子網(wǎng)的傳播要比合法的DHCP報文快，如在該子網(wǎng)內(nèi)存在一臺非法的DHCP服務(wù)器，用戶必將先獲取到非法DCHP服務(wù)器所提供的IP地址，影響用戶的正常使用。防止非法DHCP服務(wù)器，可以通過以下幾種方式進行解決。 （一）接入交換機帶有訪問控制列表功能（Access Control Lists，ACL） RFC定義DHCP端口號：DHCP Server的UDP端口號為67，DHCP Client的UDP端口號為68。這樣，我們可以通過訪問控制

14、列表，在下行端口拒約所有源端口為67，目標端口為68的UDP通過，從而達到使非法的DHCP服務(wù)器失效的作用。以CISCO2950為例，具體配置如下： switch #config t switch (config)#access-list 120 deny udp any eq 67 any eq 68 switch (config)#access-list 120 permit ip any any 寫好訪問控制列表后，將列表應(yīng)用到各個下行端口。上行端口不能寫入該條訪問控制列表，否則該交換機下的所有計算機用戶都不能獲取到IP地址。 （二）接入交換機帶有DHCP-snooping功能 DHCP

15、 Snooping技術(shù)DHCP Snooping是一種通過建立DHCP Snooping Binding數(shù)據(jù)庫，過濾非信任的DHCP消息，從而保證網(wǎng)絡(luò)安全的特性。DHCP Snooping就像是非信任的主機和DHCP服務(wù)器之間的防火墻。通過DHCP Snooping來區(qū)分連接到末端客戶的非信任接口和連接到DHCP服務(wù)器或者其他交換機的受信任接口。 DHCP Snooping Binding數(shù)據(jù)庫包括如下信息：MAC地址、IP地址、租約時間、binding類型、VLAN ID以及來自本地非信任端口的接口信息，但不包含通過受信任端口互相連接的接口信息。在啟用了DHCP Snooping的VLAN中

16、，如果交換機收到來自非信任端口的DHCP包，交換機將對目的MAC地址和DHCP客戶端的地址進行對比，如果符合則該包可以通過，否則將被丟棄掉，從而達到過濾非法DHCP服務(wù)器的目的。 以CISCO3550為例，具體配置如下： switch #config t switch (config)# ip dhcp snooping/在全局模式下啟用DHCP Snooping； switch (config)# ip dhcp snooping vlan 130 /在VLAN 130中啟用DHCP Snooping； switch (config)# interface GigabitEthernet 0

17、/10/進入交換機的第10口； switch (config-if)# ip dhcp snooping trust/將第20口設(shè)置為受信任端口； switch (config)# interface range GigabitEthernet 0/1-9 /其他端口； switch (config)# no ip dhcp snooping trust /將第21口 設(shè)置為不受信任端口； switch (config)# ip dhcp snooping limit rate 10 /設(shè)置每秒鐘處理DHCP數(shù)據(jù)包上限。 （三）接入交換機為不可網(wǎng)管交換機 在獲取到非法IP地址的計算機上，到通過arp -a命令查找到非法DHCP服務(wù)器的MAC地址，在上層可網(wǎng)管交換機中查找出該MAC地址是從可網(wǎng)管交換機的哪一個端口上行的，找到該端口下的交換機，然后在該交換機上通過逐條拔