基于ＤＨＣＰ技術(shù)的校園網(wǎng)應(yīng)用

1、基于技術(shù)的校園網(wǎng)應(yīng)用摘要文章分析動(dòng)態(tài)主機(jī)配置協(xié)議的工作流程，描繪在各種三層交換機(jī)上dhp效勞器的配置過(guò)程，并提出如何制止非法dhp效勞器的方法。關(guān)鍵詞dhp；ip地址；交換機(jī)；snping目前，校園網(wǎng)已成為高等學(xué)校的重要組成局部。隨著校園網(wǎng)的擴(kuò)大以及挪動(dòng)辦公逐步要求的增加，假如仍然采用靜態(tài)地址分配的方法進(jìn)展ip管理，不僅使網(wǎng)絡(luò)管理人員的工作量極大地增加，同時(shí)由于一些用戶記不清自己的ip地址，在重新安裝系統(tǒng)后亂用ip地址，造成ip地址沖突或無(wú)法正常上網(wǎng)，影響校園網(wǎng)用戶的正常使用。為防止類似的事情發(fā)生，在校園網(wǎng)的ip地址分配可采用動(dòng)態(tài)主機(jī)配置協(xié)議dynaihstnfiguratinprtl，dhp

2、，dhp可自動(dòng)將ip地址、掩碼、網(wǎng)關(guān)、dns分配給用戶。dhp效勞器的搭建一般可采用兩種方式。方式一：操作系統(tǒng)+效勞器。操作系統(tǒng)可以是ind2022、linux、slaris、freebsd等，不管使用哪一種操作系統(tǒng)，都需要另外使用一臺(tái)效勞器來(lái)安裝，增加網(wǎng)絡(luò)建立投資。方式二：采用會(huì)聚交換機(jī)自帶的dhp效勞器功能，為各會(huì)聚交換機(jī)下的計(jì)算機(jī)用戶自動(dòng)分配ip地址。使用會(huì)聚交換機(jī)做dhp效勞器的好處在于：1節(jié)省網(wǎng)絡(luò)建立投資，不需另外采購(gòu)一臺(tái)效勞器作為學(xué)校的dhp效勞器；2使用會(huì)聚交換機(jī)來(lái)做dhp效勞器，不容易受到病毒的影響；3由于會(huì)聚交換機(jī)本身運(yùn)行穩(wěn)定，帶來(lái)dhp效勞器的運(yùn)行穩(wěn)定。一、dhp工作流程一

3、發(fā)現(xiàn)階段發(fā)現(xiàn)階段即dhp客戶機(jī)尋找dhp效勞器的階段。dhp客戶機(jī)以播送方式因?yàn)閐hp效勞器的ip地址對(duì)于客戶機(jī)來(lái)說(shuō)是未知的發(fā)送dhpdisver發(fā)現(xiàn)信息來(lái)尋找dhp效勞器，即向地址255.255.255.255發(fā)送特定的播送信息。網(wǎng)絡(luò)上每一臺(tái)安裝了tp/ip協(xié)議的主機(jī)都會(huì)接收到這種播送信息，但只有dhp效勞器才會(huì)響應(yīng)。二提供階段提供階段即dhp效勞器提供ip地址的階段。在網(wǎng)絡(luò)中接收到dhpdisver發(fā)現(xiàn)信息的dhp效勞器都會(huì)做出響應(yīng)，它從尚未出租的ip地址中挑選一個(gè)分配給dhp客戶機(jī)，向dhp客戶機(jī)發(fā)送一個(gè)包含出租的ip地址和其他設(shè)置的dhpffer提供信息。三選擇階段選擇階段即dhp客戶

4、機(jī)選擇某臺(tái)dhp效勞器提供的ip地址的階段。假如有多臺(tái)dhp效勞器向dhp客戶機(jī)發(fā)來(lái)的dhpffer提供信息，那么dhp客戶機(jī)只承受第一個(gè)收到的dhpffer提供信息，然后它就以播送方式答復(fù)一個(gè)dhprequest懇求信息，該信息中包含向它所選定的dhp效勞器懇求ip地址的內(nèi)容。之所以要以播送方式答復(fù)，是為了通知所有的dhp效勞器，它將選擇某臺(tái)dhp效勞器所提供的ip地址。四確認(rèn)階段確認(rèn)階段即dhp效勞器確認(rèn)所提供的ip地址的階段。當(dāng)dhp效勞器收到dhp客戶機(jī)答復(fù)的dhprequest懇求信息之后，它便向dhp客戶機(jī)發(fā)送一個(gè)包含它所提供的ip地址和其他設(shè)置的dhpak確認(rèn)信息，告訴dhp客戶

5、機(jī)可以使用它所提供的ip地址。然后dhp客戶機(jī)便將其tp/ip協(xié)議與網(wǎng)卡綁定，另外，除dhp客戶機(jī)選中的效勞器外，其他的dhp效勞器都將收回曾提供的ip地址。五重新登錄以后dhp客戶機(jī)每次重新登錄網(wǎng)絡(luò)時(shí)，就不需要再發(fā)送dhpdisver發(fā)現(xiàn)信息了，而是直接發(fā)送包含前一次所分配的ip地址的dhprequest懇求信息。當(dāng)dhp效勞器收到這一信息后，它會(huì)嘗試讓dhp客戶機(jī)繼續(xù)使用原來(lái)的ip地址，并答復(fù)一個(gè)dhpak確認(rèn)信息。假如此ip地址已無(wú)法再分配給原來(lái)的dhp客戶機(jī)使用時(shí)比方此ip地址已分配給其他dhp客戶機(jī)使用，那么dhp效勞器給dhp客戶機(jī)答復(fù)一個(gè)dhpnak否認(rèn)信息。當(dāng)原來(lái)的dhp客戶機(jī)

6、收到此dhpnak否認(rèn)信息后，它就必須重新發(fā)送dhpdisver發(fā)現(xiàn)信息來(lái)懇求新的ip地址。六更新租約dhp效勞器向dhp客戶機(jī)出租的ip地址一般都有一個(gè)租借期限，期滿后dhp效勞器便會(huì)收回出租的ip地址。假如dhp客戶機(jī)要延長(zhǎng)其ip租約，那么必須更新其ip租約。dhp客戶機(jī)啟動(dòng)時(shí)和ip租約期限過(guò)一半時(shí)，dhp客戶機(jī)都會(huì)自動(dòng)向dhp效勞器發(fā)送更新其ip租約的信息。二、dhp配置過(guò)程及說(shuō)明一is交換機(jī)dhp配置is(nfig)#ipdhpexluded-address172.17.0.200172.17.0.253/設(shè)置不參與動(dòng)態(tài)分配的保存地址；is(nfig)#ipdhpplaaa/設(shè)置dhp

7、地址池名；is(dhp-nfig)#netrk172.17.0.0255.255.255.0/設(shè)置動(dòng)態(tài)分配的ip地址段；is(dhp-nfig)#default-ruter172.17.0.254/設(shè)置缺省網(wǎng)關(guān)；is(dhp-nfig)#dns-server202.103.224.68221.7.128.68/設(shè)置dns；is(dhp-nfig)#lease7/設(shè)置地址租期，以天計(jì)算。二中興交換機(jī)dhp配置zxr10(nfig)#ipdhpserverenable/啟用dhp效勞；zxr10(nfig)#ipdhpserverdns202.103.224.68221.7.128.68/設(shè)置dn

8、s；zxr10(nfig)#ipdhpserverleasetie10080/設(shè)置地址租期，以分鐘計(jì)算；zxr10#vlandatabasezxr10(vlan)#vlan222/創(chuàng)立vlan；zxr10(vlan)#exitzxr10#nfigtzxr10(nfig)#interfaevlan222/設(shè)置vlan；zxr10(nfig-if)#ipaddress172.17.0.254255.255.255.0/設(shè)置vlan的ip地址段；zxr10(nfig-if)#desriptinaaa/設(shè)置vlan名；zxr10(nfig-if)#peerdefaultipplaaa/指定接口使用的地

9、址池；zxr10(nfig-if)#user-interfae/設(shè)置用戶側(cè)接口標(biāo)志；zxr10(nfig-if)#ipdhpservergateay172.17.0.254/設(shè)置vlan網(wǎng)關(guān)；三is2621路由器+港灣big800dhp配置由于港灣big800消費(fèi)年限較早，該設(shè)備不提供dhp效勞器功能，只有dhp中繼功能，因此，將big800設(shè)置為dhp中繼，用一臺(tái)is2621做dhp效勞器。1.港灣交換機(jī)配置harbur(nfig)#reatevlanaaa/創(chuàng)立vlan；harbur(nfig)#nfigvlanaaatag222/設(shè)置vlan的tag值；harbur(nfig)#nfig

10、vlanaaaipaddress172.17.0.254255.255.255.0/設(shè)置vlan的ip地址段；harbur(nfig)#nfigdhprlistenaddaaa/設(shè)置dhprelay效勞監(jiān)聽的vlan；harbur(nfig)#nfigdhprtargetipadd172.16.0.1/指定dhp效勞器ip；2.路由器配置dhp-server(nfig)#ipdhpplaaa/設(shè)置dhp地址池名；dhp-server(dhp-nfig)#netrk172.17.0.0255.255.255.0/設(shè)置動(dòng)態(tài)分配的ip地址段；dhp-server(dhp-nfig)#default-

11、ruter172.17.0.254/設(shè)置缺省網(wǎng)關(guān)；dhp-server(dhp-nfig)#dns-server202.103.224.68221.7.128.68/設(shè)置dns；dhp-server(dhp-nfig)#lease7/設(shè)置地址租期，以天計(jì)算。三、制止非法dhp效勞器的方法對(duì)于某一個(gè)子網(wǎng)，非法的dhp報(bào)文在該子網(wǎng)的傳播要比合法的dhp報(bào)文快，如在該子網(wǎng)內(nèi)存在一臺(tái)非法的dhp效勞器，用戶必將先獲取到非法dhp效勞器所提供的ip地址，影響用戶的正常網(wǎng)絡(luò)使用。防止非法dhp效勞器，可以通過(guò)以下幾種方式進(jìn)展解決。一接入交換機(jī)帶有訪問(wèn)控制列表功能aessntrllists，alrf定義dh

12、p端口號(hào)：dhpserver的udp端口號(hào)為67，dhplient的udp端口號(hào)為68。這樣，我們可以通過(guò)訪問(wèn)控制列表，在下行端口拒約所有源端口為67，目的端口為68的udp通過(guò)，從而到達(dá)使非法的dhp效勞器失效的作用。以is2950為例，詳細(xì)配置如下：sith#nfigtsith(nfig)#aess-list120denyudpanyeq67anyeq68sith(nfig)#aess-list120peritipanyany寫好訪問(wèn)控制列表后，將列表應(yīng)用到各個(gè)下行端口。上行端口不能寫入該條訪問(wèn)控制列表，否那么該交換機(jī)下的所有計(jì)算機(jī)用戶都不能獲取到ip地址。二接入交換機(jī)帶有dhp-snpi

13、ng功能dhpsnping技術(shù)dhpsnping是一種通過(guò)建立dhpsnpingbinding數(shù)據(jù)庫(kù)，過(guò)濾非信任的dhp消息，從而保證網(wǎng)絡(luò)平安的特性。dhpsnping就像是非信任的主機(jī)和dhp效勞器之間的防火墻。通過(guò)dhpsnping來(lái)區(qū)分連接到末端客戶的非信任接口和連接到dhp效勞器或者其他交換機(jī)的受信任接口。dhpsnpingbinding數(shù)據(jù)庫(kù)包括如下信息：a地址、ip地址、租約時(shí)間、binding類型、vlanid以及來(lái)自本地非信任端口的接口信息，但不包含通過(guò)受信任端口互相連接的接口信息。在啟用了dhpsnping的vlan中，假如交換機(jī)收到來(lái)自非信任端口的dhp包，交換機(jī)將對(duì)目的a

14、地址和dhp客戶端的地址進(jìn)展比照，假如符合那么該包可以通過(guò)，否那么將被丟棄掉，從而到達(dá)過(guò)濾非法dhp效勞器的目的。以is3550為例，詳細(xì)配置如下：sith#nfigtsith(nfig)#ipdhpsnping/在全局形式下啟用dhpsnping；sith(nfig)#ipdhpsnpingvlan130/在vlan130中啟用dhpsnping；sith(nfig)#interfaegigabitethernet0/10/進(jìn)入交換機(jī)的第10口；sith(nfig-if)#ipdhpsnpingtrust/將第20口設(shè)置為受信任端口；sith(nfig)#interfaerangegigabitethernet0/1-9/其他端口；sith(nfig)#nipdhpsnpingtrust/將第21口設(shè)置為不受信任端口；sith(nfig)#ipdhpsnpingliitrate10/設(shè)置每秒鐘處理dhp數(shù)據(jù)包上限。三接入交換機(jī)為不可網(wǎng)管交換機(jī)在獲取到非法ip地址的計(jì)算機(jī)上，到通過(guò)arp-a命令查找到非法dhp效勞器的a地址，在上層可網(wǎng)管交換機(jī)中查找出該a地址是從可網(wǎng)管交換機(jī)的哪一個(gè)端口上行的，找到該端口下的交換機(jī)，然后在該交換機(jī)上通過(guò)逐條拔出網(wǎng)線的方式，查找出非法