基于ＤＨＣＰ技術(shù)的校園網(wǎng)應(yīng)用

［摘要］文章分析動(dòng)態(tài)主機(jī)配置協(xié)議的工作流程，描述在各種三層交換機(jī)上DHCP服務(wù)器的配置過(guò)程，并提出如何禁止非法DHCP服務(wù)器的方法。

［關(guān)鍵詞］DHCP；IP地址；交換機(jī)；Snooping

目前，校園網(wǎng)已成為高等學(xué)校的重要組成部分。隨著校園網(wǎng)的擴(kuò)大以及移動(dòng)辦公逐步要求的增加，如果仍然采用靜態(tài)地址分配的方法進(jìn)行IP管理，不僅使網(wǎng)絡(luò)管理人員的工作量極大地增加，同時(shí)由于一些用戶記不清自己的IP地址，在重新安裝系統(tǒng)后亂用IP地址，造成IP地址沖突或無(wú)法正常上網(wǎng)，影響校園網(wǎng)用戶的正常使用。為防止類似的事情發(fā)生，在校園網(wǎng)的IP地址分配可采用動(dòng)態(tài)主機(jī)配置協(xié)議，DHCP可自動(dòng)將IP地址、掩碼、網(wǎng)關(guān)、DNS分配給用戶。

DHCP服務(wù)器的搭建一般可采用兩種方式。方式一：操作系統(tǒng)+服務(wù)器。操作系統(tǒng)可以是window2003、Linux、Solaris、Freebsd等，不論使用哪一種操作系統(tǒng)，都需要另外使用一臺(tái)服務(wù)器來(lái)安裝，增加網(wǎng)絡(luò)建設(shè)投資。方式二：采用匯聚交換機(jī)自帶的DHCP服務(wù)器功能，為各匯聚交換機(jī)下的計(jì)算機(jī)用戶自動(dòng)分配IP地址。使用匯聚交換機(jī)做DHCP服務(wù)器的好處在于：節(jié)省網(wǎng)絡(luò)建設(shè)投資，不需另外采購(gòu)一臺(tái)服務(wù)器作為學(xué)校的DHCP服務(wù)器；使用匯聚交換機(jī)來(lái)做DHCP服務(wù)器，不容易受到病毒的影響；由于匯聚交換機(jī)本身運(yùn)行穩(wěn)定，帶來(lái)DHCP服務(wù)器的運(yùn)行穩(wěn)定。

一、DHCP工作流程

發(fā)現(xiàn)階段

發(fā)現(xiàn)階段即DHCP客戶機(jī)尋找DHCP服務(wù)器的階段。DHCP客戶機(jī)以廣播方式發(fā)送DHCPdiscover發(fā)現(xiàn)信息來(lái)尋找DHCP服務(wù)器，即向地址發(fā)送特定的廣播信息。網(wǎng)絡(luò)上每一臺(tái)安裝了TCP/IP協(xié)議的主機(jī)都會(huì)接收到這種廣播信息，但只有DHCP服務(wù)器才會(huì)響應(yīng)。

提供階段

提供階段即DHCP服務(wù)器提供IP地址的階段。在網(wǎng)絡(luò)中接收到DHCPdiscover發(fā)現(xiàn)信息的DHCP服務(wù)器都會(huì)做出響應(yīng)，它從尚未出租的IP地址中挑選一個(gè)分配給DHCP客戶機(jī)，向DHCP客戶機(jī)發(fā)送一個(gè)包含出租的IP地址和其他設(shè)置的DHCPoffer提供信息。

選擇階段

選擇階段即DHCP客戶機(jī)選擇某臺(tái)DHCP服務(wù)器提供的IP地址的階段。如果有多臺(tái)DHCP服務(wù)器向DHCP客戶機(jī)發(fā)來(lái)的DHCPoffer提供信息，則DHCP客戶機(jī)只接受第一個(gè)收到的DHCPoffer提供信息，然后它就以廣播方式回答一個(gè)DHCPrequest請(qǐng)求信息，該信息中包含向它所選定的DHCP服務(wù)器請(qǐng)求IP地址的內(nèi)容。之所以要以廣播方式回答，是為了通知所有的DHCP服務(wù)器，它將選擇某臺(tái)DHCP服務(wù)器所提供的IP地址。

確認(rèn)階段

確認(rèn)階段即DHCP服務(wù)器確認(rèn)所提供的IP地址的階段。當(dāng)DHCP服務(wù)器收到DHCP客戶機(jī)回答的DHCPrequest請(qǐng)求信息之后，它便向DHCP客戶機(jī)發(fā)送一個(gè)包含它所提供的IP地址和其他設(shè)置的DHCPack確認(rèn)信息，告訴DHCP客戶機(jī)可以使用它所提供的IP地址。然后DHCP客戶機(jī)便將其TCP/IP協(xié)議與網(wǎng)卡綁定，另外，除DHCP客戶機(jī)選中的服務(wù)器外，其他的DHCP服務(wù)器都將收回曾提供的IP地址。

重新登錄

以后DHCP客戶機(jī)每次重新登錄網(wǎng)絡(luò)時(shí)，就不需要再發(fā)送DHCPdiscover發(fā)現(xiàn)信息了，而是直接發(fā)送包含前一次所分配的IP地址的DHCPrequest請(qǐng)求信息。當(dāng)DHCP服務(wù)器收到這一信息后，它會(huì)嘗試讓DHCP客戶機(jī)繼續(xù)使用原來(lái)的IP地址，并回答一個(gè)DHCPack確認(rèn)信息。如果此IP地址已無(wú)法再分配給原來(lái)的DHCP客戶機(jī)使用時(shí)，則DHCP服務(wù)器給DHCP客戶機(jī)回答一個(gè)DHCPnack否認(rèn)信息。當(dāng)原來(lái)的DHCP客戶機(jī)收到此DHCPnack否認(rèn)信息后，它就必須重新發(fā)送DHCPdiscover發(fā)現(xiàn)信息來(lái)請(qǐng)求新的IP地址。

更新租約

DHCP服務(wù)器向DHCP客戶機(jī)出租的IP地址一般都有一個(gè)租借期限，期滿后DHCP服務(wù)器便會(huì)收回出租的IP地址。如果DHCP客戶機(jī)要延長(zhǎng)其IP租約，則必須更新其IP租約。DHCP客戶機(jī)啟動(dòng)時(shí)和IP租約期限過(guò)一半時(shí)，DHCP客戶機(jī)都會(huì)自動(dòng)向DHCP服務(wù)器發(fā)送更新其IP租約的信息。

二、DHCP配置過(guò)程及說(shuō)明

CISCO交換機(jī)DHCP配置

cisco(config)#ipdhcpexcluded-address//設(shè)置不參與動(dòng)態(tài)分配的保留地址；

cisco(config)#ipdhcppoolaaa//設(shè)置DHCP地址池名；

cisco(dhcp-config)#network//設(shè)置動(dòng)態(tài)分配的IP地址段；

cisco(dhcp-config)#default-router//設(shè)置缺省網(wǎng)關(guān)；

cisco(dhcp-config)#dns-server//設(shè)置DNS；

cisco(dhcp-config)#lease7//設(shè)置地址租期，以天計(jì)算。

中興交換機(jī)DHCP配置

ZXR10(config)#ipdhcpserverenable//啟用DHCP服務(wù)；

ZXR10(config)#ipdhcpserverdns//設(shè)置DNS；

ZXR10(config)#ipdhcpserverleasetime10080//設(shè)置地址租期，以分鐘計(jì)算；

ZXR10#vlandatabase

ZXR10(vlan)#vlan222//創(chuàng)建vlan；

ZXR10(vlan)#exit

ZXR10#configt

ZXR10(config)#interfacevlan222//設(shè)置vlan；

ZXR10(config-if)#ipaddress//設(shè)置vlan的IP地址段；

ZXR10(config-if)#descriptionaaa//設(shè)置vlan名；

ZXR10(config-if)#peerdefaultippoolaaa//指定接口使用的地址池；

ZXR10(config-if)#user-interface//設(shè)置用戶側(cè)接口標(biāo)志；

ZXR10(config-if)#ipdhcpservergateway//設(shè)置vlan網(wǎng)關(guān)；

CISCO2621路由器+港灣BIG800DHCP配置

由于港灣BIG800生產(chǎn)年限較早，該設(shè)備不提供DHCP服務(wù)器功能，只有DHCP中繼功能，因此，將BIG800設(shè)置為DHCP中繼，用一臺(tái)CISCO2621做DHCP服務(wù)器。

1.港灣交換機(jī)配置

Harbour(config)#createvlanaaa//創(chuàng)建vlan；

Harbour(config)#configvlanaaatag222//設(shè)置vlan的tag值；

Harbour(config)#configvlanaaaipaddress//設(shè)置vlan的IP地址段；

Harbour(config)#configdhcprlistenaddaaa//設(shè)置DHCPRelay服務(wù)監(jiān)聽(tīng)的vlan；

Harbour(config)#configdhcprtargetipadd//指定DHCP服務(wù)器IP；

2.路由器配置

dhcp-server(config)#ipdhcppoolaaa//設(shè)置DHCP地址池名；

dhcp-server(dhcp-config)#network//設(shè)置動(dòng)態(tài)分配的IP地址段；

dhcp-server(dhcp-config)#default-router//設(shè)置缺省網(wǎng)關(guān)；

dhcp-server(dhcp-config)#dns-server//設(shè)置DNS；

dhcp-server(dhcp-config)#lease7//設(shè)置地址租期，以天計(jì)算。

三、禁止非法DHCP服務(wù)器的方法

對(duì)于某一個(gè)子網(wǎng)，非法的DHCP報(bào)文在該子網(wǎng)的傳播要比合法的DHCP報(bào)文快，如在該子網(wǎng)內(nèi)存在一臺(tái)非法的DHCP服務(wù)器，用戶必將先獲取到非法DCHP服務(wù)器所提供的IP地址，影響用戶的正常網(wǎng)絡(luò)使用。防止非法DHCP服務(wù)器，可以通過(guò)以下幾種方式進(jìn)行解決。

接入交換機(jī)帶有訪問(wèn)控制列表功能

RFC定義DHCP端口號(hào)：DHCPServer的UDP端口號(hào)為67，DHCPClient的UDP端口號(hào)為68。這樣，我們可以通過(guò)訪問(wèn)控制列表，在下行端口拒約所有源端口為67，目標(biāo)端口為68的UDP通過(guò)，從而達(dá)到使非法的DHCP服務(wù)器失效的作用。以CISCO2950為例，具體配置

switch#configt

switch(config)#access-list120denyudpanyeq67anyeq68

switch(config)#access-list120permitipanyany

寫好訪問(wèn)控制列表后，將列表應(yīng)用到各個(gè)下行端口。上行端口不能寫入該條訪問(wèn)控制列表，否則該交換機(jī)下的所有計(jì)算機(jī)用戶都不能獲取到IP地址。

接入交換機(jī)帶有DHCP-snooping功能

DHCPSnooping技術(shù)DHCPSnooping是一種通過(guò)建立DHCPSnoopingBinding數(shù)據(jù)庫(kù)，過(guò)濾非信任的DHCP消息，從而保證網(wǎng)絡(luò)安全的特性。DHCPSnooping就像是非信任的主機(jī)和DHCP服務(wù)器之間的防火墻。通過(guò)DHCPSnooping來(lái)區(qū)分連接到末端客戶的非信任接口和連接到DHCP服務(wù)器或者其他交換機(jī)的受信任接口。

DHCPSnoopingBinding數(shù)據(jù)庫(kù)包括如下信息：MAC地址、IP地址、租約時(shí)間、binding類型、VLANID以及來(lái)自本地非信任端口的接口信息，但不包含通過(guò)受信任端口互相連接的接口信息。在啟用了DHCPSnooping的VLAN中，如果交換機(jī)收到來(lái)自非信任端口的DHCP包，交換機(jī)將對(duì)目的MAC地址和DHCP客戶端的地址進(jìn)行對(duì)比，如果符合則該包可以通過(guò)，否則將被丟棄掉，從而達(dá)到過(guò)濾非法DHCP服務(wù)器的目的。

以CISCO3550為例，具體配置

switch#configt

switch(config)#ipdhcpsnooping//在全局模式下啟用DHCPSnooping；

switch(config)#ipdhcpsnoopingvlan130//在VLAN130中啟用DHCPSnooping；

switch(config)#interfaceGigabitEthernet0/10//進(jìn)入交換機(jī)的第10口；

switch(config-if)#ipdhcpsnoopingtrust//將第20口設(shè)置為受信任端口；

switch(config)#interfacerangeGigabitEthernet0/1-9//其他端口；

switch(config)#noipdhcpsnoopingtrust//將第21口設(shè)置為不受信任端口；

switch(config)#ipdhcpsnoopinglimitrate10//設(shè)置每秒鐘處理DHCP數(shù)據(jù)包上限。

接入交換機(jī)為不可網(wǎng)管交換機(jī)

在獲取到非法IP地址的計(jì)算機(jī)上，到通過(guò)arp-a命令查找到非法DHCP服務(wù)器的MAC地址，在上層可網(wǎng)管交換機(jī)中查找出該MAC地址是從可網(wǎng)管交換機(jī)的哪一個(gè)端口上行的，找到該端口下的交換機(jī)，然后在該交換機(jī)上通過(guò)逐條拔出網(wǎng)線的方式，查找出非法DHCP所