管理論文：企業(yè)DHCP服務(wù)器配置與管理

企業(yè)DHCP服務(wù)器配置與管理摘要：本文主要以典型企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)出發(fā)，具體介紹了cisco路由器上如何配置DHCP服務(wù)器，及針對多個vlan環(huán)境下DHCP中繼的配置，并討論如何管理DHCP服務(wù)器以提高網(wǎng)絡(luò)的安全性能。關(guān)鍵詞：DHCP路由器VLANSnooping隨著信息化技術(shù)的飛速發(fā)展，企業(yè)不斷加強(qiáng)自身信息化建設(shè)，網(wǎng)絡(luò)規(guī)模日趨龐大。大規(guī)模的電腦分布，復(fù)雜的子網(wǎng)設(shè)置，DHCP服務(wù)器毋庸置疑是企業(yè)網(wǎng)絡(luò)管理員科學(xué)管理局域網(wǎng)IP地址及配置的首選。有了DHCP服務(wù)器后，使得我們的網(wǎng)絡(luò)管理工作變得游刃有余。本文通過對一個企業(yè)典型的網(wǎng)絡(luò)系統(tǒng)案例，把相關(guān)的知識點綜合應(yīng)用上來，以實現(xiàn)一個安全完整的動態(tài)主機(jī)配置服務(wù)系統(tǒng)。1企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)介紹企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如下：說明：本實例選用在路由器上配置DHCP服務(wù)，為三層交換機(jī)下面Vlan10和Vlan20的電腦分別分配192.168.10.0/24和192.168.20.0/24兩網(wǎng)段的地址。2配置DHCP服務(wù)器在Router路由器上面配置DHCP服務(wù)：2.1開啟DHCP功能Router(config)#servicedhcp2.2配置DHCP地址池Router(config)#ipdhcppoolvlan1//地址池名為vlan1Router(dhcp-config)#network192.168.10.0255.255.255.0//vlan1客戶端使用的地址段Router(dhcp-config)#default-router192.168.10.1//網(wǎng)關(guān)地址Router(dhcp-config)#dns-server61.144.56.100//DNS地址Router(dhcp-config)#lease21230//租期為2天12小時30分(默認(rèn)為一天)Router(config)#ipdhcppoolvlan2//地址池名為vlan2Router(dhcp-config)#network192.168.20.0255.255.255.0//vlan2客戶端使用的地址段Router(dhcp-config)#default-router192.168.20.1//網(wǎng)關(guān)地址Router(dhcp-config)#dns-server61.144.56.100//DNS地址Router(dhcp-config)#lease2//租期為2天2.3保留IP地址因為有些IP地址我們要用作特殊用途，不希望分配給客戶端。比如：網(wǎng)關(guān)地址或一些需要固定給某一臺電腦使用的IP等。所以我們要保留這些地址，這樣服務(wù)器就不會將這些地址分配給客戶端使用。Router(config)#ipdhcpexcluded-address192.168.10.1192.168.10.10//保留192.168.10.1到192.168.10.10Router(config)#ipdhcpexcluded-address192.168.20.1192.168.20.10以上就是路由器上開啟DHCP服務(wù)以及如何配置服務(wù)器的具體方法，如果客戶端直接連接路由器端口就可以申請到對應(yīng)端口網(wǎng)段的IP地址了。但現(xiàn)在客戶端電腦是通過三層交換機(jī)來連接路由器的，這樣客戶端是無法順利申請到IP地址的，因為客戶端的DHCP請求到達(dá)交換機(jī)以后不知道向路由器申請。因此我們接下來配置三層交換機(jī)上的DHCP中繼，來實現(xiàn)DHCP請求順利到達(dá)路由器上。3配置三層交換機(jī)企業(yè)為了局域網(wǎng)內(nèi)部的管理及控制廣播風(fēng)暴，通常在計算機(jī)數(shù)量比較多的情況下采用基于端口的方法來劃分VLAN(虛擬局域網(wǎng))，我們把f0/2、f0/3分別加入vlan10、vlan20(其它端口默認(rèn)屬于vlan1)。3.1配置vlan及相應(yīng)接口信息Switch(config)#vlan10//創(chuàng)建vlan10Switch(config-vlan)#exitSwitch(config)#intvlan10//設(shè)置vlan10的IP地址Switch(config-if)#ipaddress192.168.10.1255.255.255.0Switch(config-if)#exitSwitch(config)#intf0/2//配置端口F0/2，把該端口加入vlan10Switch(config-if)#switchitchportmodeaccessSwitch(config-if)#switchitchportaccessvlan10Switch(config-if)#exit同理，創(chuàng)建vlan20，設(shè)vlan20的IP地址為192.168.20.1/24,把F0/3加入vlan20。3.2配置DHCP中繼配置DHCP中繼通常在交換機(jī)、路由器或服務(wù)器版操作系統(tǒng)上配置，這些設(shè)備通常處在DHCP服務(wù)器與DHCP客戶端中間，使得DHCP客戶端的請求廣播不能到達(dá)對應(yīng)DHCP服務(wù)器，從而使得客戶端的申請失敗。而配置DHCP中繼就是讓客戶端的廣播包單播發(fā)向?qū)?yīng)的DHCP服務(wù)器，我們通過iphelp-address功能來實現(xiàn)。Switch(config)#intvlan10Switch(config-if)#iphelper-address192.168.0.1//單播前轉(zhuǎn)DHCP廣播到192.168.0.1Switch(config-if)#exitSwitch(config)#intvlan20Switch(config-if)#iphelper-address192.168.0.1同樣，如果現(xiàn)實中這三層交換機(jī)是路由器，我們也是在路由器接客戶端的接口上設(shè)置iphelper-address來實現(xiàn)DHCP中繼。3.3配置路由器上的路由配置基本完成，最后一定要記得配置路由，讓DHCP服務(wù)器能與客戶端通信。Router(config)#iproute192.168.10.0255.255.255.0192.168.0.2Router(config)#iproute192.168.20.0255.255.255.0192.168.0.2通過以上幾步配置，Vlan10里的電腦PC1便能獲得地址192.168.10.11，Vlan20里的電腦PC2便能獲得地址192.168.20.11。為什么不同vlan之間能獲得各自網(wǎng)段的IP地址呢?因為三層交換機(jī)收到PC1的DHCP廣播包后，將giaddr的參數(shù)改成了192.168.10.1，收到PC2的DHCP廣播包后，將giaddr的參數(shù)改成了192.168.20.1，所以最后DHCP服務(wù)器能夠根據(jù)giaddr=192.168.10.1的包,把192.168.10.0/24的有效地址分配給PC1。根據(jù)giaddr=192.168.20.1的包，把192.168.20.0/24的有效地址分配給PC2。4管理DHCP服務(wù)器4.1綁定IP與MAC地址在企業(yè)日常維護(hù)中，常有一些IP地址需要固定給某一臺客戶機(jī)。Cisco路由器上可以通過單獨創(chuàng)建一個地址池hostpool，然后通過client-identifier來實現(xiàn)IP地址與MAC地址的綁定。比如一個主機(jī)網(wǎng)卡MAC地址為0013.77B9.2774，要綁定IP地址192.168.10.100/24。實現(xiàn)如下：Router(config)#ipdhcppoolclient1Router(dhcp-config)#host192.168.10.100255.255.255.0Router(dhcp-config)#client-identifier0100.1377.B927.74//前面新增的01表示走的Ethernet，后面接MAC4.2禁止非法DHCP服務(wù)器欺騙在企業(yè)網(wǎng)絡(luò)中，難免某一個子網(wǎng)中多出一個帶DHCP服務(wù)功能的服務(wù)器或路由器，結(jié)果導(dǎo)致客戶端電腦獲取到一個非法的IP地址配置信息，導(dǎo)致電腦無法正常使用。其原因是DHCP客戶端發(fā)出的DHCP請求是以廣播形式發(fā)出的，在同一個廣播域，也就是說同一個vlan里所有的設(shè)備都會收到。事實上，非法的DHCP報文在該子網(wǎng)的傳播要比合法的DHCP報文快，用戶必將先獲取到非法DCHP服務(wù)器所提供的IP地址。其實防止非法DHCP服務(wù)器，可以通過交換機(jī)上的DHCP-snooping功能來實現(xiàn)。DHCPSnooping技術(shù)是一種通過在交換機(jī)上建立DHCPSnoopingBinding數(shù)據(jù)庫，過濾非信任的DHCP消息，從而保證網(wǎng)絡(luò)安全的特性。本案例具體可以在三層交換機(jī)上配置如下：Switch(config)#ipdhcpsnooping//開啟DHCPSnoopingSwitch(config)#ipdhcpsnoopingvlan1,10,20//在VLAN1、10和20中開啟dhcpsnooping功能默認(rèn)情況下開啟dhcpsnooping功能后，相應(yīng)的端口全部為不可信任的，只要把對應(yīng)DHCP服務(wù)器的連接端口設(shè)為信任端口就可以了。Switch(config)#intf0/1Switch(config-if)#ipdhcpsnoopingtrust//設(shè)f0/1為信任端口。通過以上配置，三層交換機(jī)上F0/1接口的設(shè)備才能應(yīng)答DHCP請求，其它接口過來的DHCP應(yīng)答將會被丟棄。同時要注意的是，配置了DHCPSnooping的交換機(jī)默認(rèn)會產(chǎn)生中繼效果，會將DHCP請求包的giaddr的參數(shù)改成了0.0.0.0，而且交換機(jī)的這種中繼效果是無法關(guān)閉的。當(dāng)服務(wù)器收到giaddr設(shè)置為0.0.0.0而不是IP地址的請求包時，默認(rèn)是要丟棄該數(shù)據(jù)包而不作應(yīng)答的，所以DHCP服務(wù)器將丟棄該請求數(shù)據(jù)包。要想讓客戶端能夠正常收到DHCP提供的IP地址，就應(yīng)該讓DHCP服務(wù)器對即使giaddr為0.0.0.0的請