《計算機網(wǎng)絡(luò)安全與管理實踐》課件-第3章

第3章局域網(wǎng)安全技術(shù)任務(wù)1企業(yè)局域網(wǎng)接入認證服務(wù)任務(wù)2企業(yè)局域網(wǎng)端口隔離任務(wù)3企業(yè)局域網(wǎng)端口綁定任務(wù)4企業(yè)網(wǎng)IP地址安全管理

任務(wù)1企業(yè)局域網(wǎng)接入認證服務(wù)

一、任務(wù)描述某公司構(gòu)建自己的內(nèi)部企業(yè)網(wǎng)，每位員工都有一臺辦公電腦，主機規(guī)模近100臺，內(nèi)部可以實現(xiàn)通信和資源共享。公司的網(wǎng)絡(luò)管理員為了方便管理網(wǎng)絡(luò)，并提高網(wǎng)絡(luò)的安全性，希望只有合法用戶才能接入網(wǎng)絡(luò)，非法用戶拒絕接入網(wǎng)絡(luò)。

二、任務(wù)目標與目的

1.任務(wù)目標

針對該公司網(wǎng)絡(luò)需求進行網(wǎng)絡(luò)規(guī)劃設(shè)計，通過802.1X技術(shù)實現(xiàn)對接入網(wǎng)絡(luò)的用戶進行身份驗證，保證只有合法用戶能接入網(wǎng)絡(luò)，非法用戶被拒絕接入網(wǎng)絡(luò)。

2.任務(wù)目的

通過本任務(wù)進行交換機的802.1X配置，以幫助讀者在深入了解交換機802.1X配置的基礎(chǔ)上，具備利用802.1X技術(shù)對接入網(wǎng)絡(luò)用戶進行身份驗證，以提高網(wǎng)絡(luò)的安全性，方便進行網(wǎng)絡(luò)管理，并具備靈活運用的能力。

三、任務(wù)需求與分析

1.任務(wù)需求

某公司構(gòu)建了自己的內(nèi)部網(wǎng)絡(luò)，主機規(guī)模近100臺。從網(wǎng)絡(luò)安全和方便管理的角度考慮，希望對接入網(wǎng)絡(luò)的用戶進行身份驗證，保證只有合法用戶能接入網(wǎng)絡(luò)，非法用戶不能

接入網(wǎng)絡(luò)。

2.需求分析

需求：公司的每臺電腦在接入網(wǎng)絡(luò)時都需要輸入正確的賬戶名和密碼，通過身份驗證才能接入網(wǎng)絡(luò)。

分析：通過在接入層交換機部署802.1X技術(shù)，對網(wǎng)絡(luò)用戶進行身份驗證。

根據(jù)任務(wù)需求和需求分析，組建公司辦公區(qū)的網(wǎng)絡(luò)結(jié)構(gòu)，如圖3-1所示。圖3-1公司網(wǎng)絡(luò)結(jié)構(gòu)

四、知識鏈接

1.802.1X身份認證

為解決無線局域網(wǎng)網(wǎng)絡(luò)安全問題，IEEE802LAN/WAN委員會提出了802.1X協(xié)議。802.1X協(xié)議起源于802.11協(xié)議，后者是IEEE的無線局域網(wǎng)協(xié)議，制訂802.1X協(xié)議的初衷是為了解決無線局域網(wǎng)用戶的接入認證問題。IEEE802LAN協(xié)議定義的局域網(wǎng)并不提供接入認證，只要用戶能接入局域網(wǎng)控制設(shè)備(如LANSwitch)就可以訪問局域網(wǎng)中的設(shè)備或資源。

2.802.1X體系結(jié)構(gòu)

使用802.1X的系統(tǒng)為典型的Client/Server體系結(jié)構(gòu)，包括三個實體，分別為SupplicantSystem(客戶端)、AuthenticatorSystem(設(shè)備端)以及AuthenticationServerSystem(認證服務(wù)器)，如圖3-2所示。圖3-2802.1X體系結(jié)構(gòu)

1)客戶端

客戶端是位于局域網(wǎng)段一端的一個實體，由該鏈路另一端的設(shè)備端對其進行認證。

2)設(shè)備端

設(shè)備端是位于局域網(wǎng)段一端的另一個實體，用于對所連接的客戶端進行認證。

3)認證服務(wù)器

認證服務(wù)器是為設(shè)備端提供認證服務(wù)的實體。

3.802.1X工作原理

802.1X體系結(jié)構(gòu)中的三個實體涉及四個基本概念：PAE、受控端口、受控方向和端口受控方式。

1)PAE

PAE(PortAccessEntity，端口訪問實體)是認證機制中負責執(zhí)行算法和協(xié)議操作的實體。

2)受控端口

設(shè)備端為客戶端提供接入局域網(wǎng)的端口，這個端口被劃分為兩個虛端口：受控端口和非受控端口。

3)受控方向

在非授權(quán)狀態(tài)下，受控端口可以被設(shè)置成單向受控：實行單向受控時，禁止從客戶端接收幀，但允許向客戶端發(fā)送幀。缺省情況下，受控端口實行單向受控。

4)端口受控方式

H3C系列交換機支持以下兩種端口受控方式。

(1)基于端口的認證：只要該物理端口下的第一個用戶認證成功后，其他接入用戶無須認證就可使用網(wǎng)絡(luò)資源，當?shù)谝粋€用戶下線后，其他用戶也會被拒絕使用網(wǎng)絡(luò)。默認情

況下，H3C交換機為基于端口的認證。

(2)基于MAC地址的認證：該物理端口下的所有接入用戶都需要單獨認證，當某個用戶下線時，只有該用戶無法使用網(wǎng)絡(luò)，不會影響其他用戶使用網(wǎng)絡(luò)資源。

4.802.1X工作機制

IEEE802.1X認證系統(tǒng)利用EAPOL協(xié)議，在客戶端和認證服務(wù)器之間交換認證信息。802.1X系統(tǒng)認證工作機制如圖3-3所示。圖3-3802.1X系統(tǒng)認證工作機制

(1)在客戶端PAE與設(shè)備端PAE之間，EAP協(xié)議報文使用EAPOL封裝格式，直接承載于LAN環(huán)境中。

(2)在設(shè)備端PAE與RADIUS服務(wù)器之間，EAP協(xié)議報文可以使用EAPOR(EAPOverRADIUS)封裝格式，承載于RADIUS協(xié)議中；也可以由設(shè)備端PAE進行終結(jié)，而在設(shè)備端PAE與RADIUS服務(wù)器之間傳送PAP協(xié)議報文或CHAP協(xié)議報文。

(3)當用戶通過認證后，認證服務(wù)器會把用戶的相關(guān)信息傳遞給設(shè)備端，設(shè)備端PAE根據(jù)RADIUS服務(wù)器的指示(Accept或Reject)決定受控端口的授權(quán)/非授權(quán)狀態(tài)。

5.配置命令

H3C系列和Cisco系列交換機上配置802.1X協(xié)議的相關(guān)命令，如表3-1所示。

五、任務(wù)實施

1.實施規(guī)劃

實訓拓撲結(jié)構(gòu)

根據(jù)任務(wù)的需求與分析，實訓的拓撲結(jié)構(gòu)如圖3-4所示，以PC1、PC2模擬公司的員工電腦。圖3-4實訓拓撲結(jié)構(gòu)

實訓設(shè)備

根據(jù)任務(wù)的需求和實訓拓撲結(jié)構(gòu)，每個實訓小組的實訓設(shè)備配置建議如表3-2所示。

IP地址規(guī)劃

根據(jù)需求分析，本任務(wù)的IP地址規(guī)劃如表3-3所示。

2.實施步驟

(1)根據(jù)實訓拓撲結(jié)構(gòu)圖進行交換機、計算機的線纜連接，配置PC1、PC2的IP地址。

(2)使用計算機Windows操作系統(tǒng)的“超級終端”組件程序，通過串口連接到交換機的配置界面，其中超級終端串口的屬性設(shè)置還原為默認值(每秒位數(shù)9600、數(shù)據(jù)位8、奇偶校驗無、數(shù)據(jù)流控制無)。

(3)超級終端登錄到路由器進行任務(wù)的相關(guān)配置。

(4)Sw1主要配置清單如下：

(5)802.1X客戶端設(shè)置。802.1X客戶端的設(shè)置可以采用兩種方式：一是采用操作系統(tǒng)自帶的802.1X客戶端軟件(Windows系列操作系統(tǒng)默認安裝)；二是采用第三方開發(fā)的

802.1X客戶端軟件。本處先采用第三方開發(fā)的802.1X客戶端軟件，然后再演示操作系統(tǒng)自帶的802.1X客戶端軟件。

①第三方開發(fā)的802.1X客戶端軟件設(shè)置。首先雙擊8021XClientV220-0231-windows客戶端軟件安裝程序，打開程序安裝向?qū)В鐖D3-5所示。

圖3-58021XClientV220-0231-windows安裝向?qū)?/p>

然后單擊“下一步”按鈕，打開“許可證協(xié)議”對話框，選中“我接受許可證協(xié)議中的條款”單選按鈕，如圖3-6所示。

圖3-6“許可證協(xié)議”對話框

單擊“下一步”按鈕，打開“客戶信息”對話框，如圖3-7所示。設(shè)置客戶信息，此處保持默認選項。圖3-7“客戶信息”對話框

單擊“下一步”按鈕，打開“安裝類型”對話框。選擇安裝類型，此處安裝類型選擇“全部”，如圖3-8所示。圖3-8“安裝類型”對話框

單擊“下一步”按鈕，再單擊“完成”按鈕即可完成程序安裝，如圖3-9所示。圖3-9完成程序安裝

程序安裝完成后，需要重啟操作系統(tǒng)進行初始化配置，程序才能正常使用。此時系統(tǒng)會彈出要求用戶重啟計算機的對話框，如圖3-10所示。圖3-10“重新啟動計算機”對話框

禁用再重啟網(wǎng)卡的方法為：首先在電腦桌面右擊“我的電腦”，在彈出的快捷菜單中選擇“屬性”選項，如圖3-11所示。圖3-11“屬性”選項

打開“系統(tǒng)屬性”對話框，選擇“硬件”選項卡，然后再選擇“設(shè)備管理器”選項，如圖3-12所示。圖3-12“硬件”選項卡

打開“設(shè)備管理器”對話框，展開“網(wǎng)絡(luò)適配器”選項，選中網(wǎng)卡，右擊，在彈出的快捷菜單中選擇“禁用”選項，如圖3-13所示。圖3-13禁用網(wǎng)卡

隨后在彈出的警告菜單中單擊“是”按鈕，如圖3-14所示。圖3-14確認禁用網(wǎng)卡

禁用網(wǎng)卡后，再右擊網(wǎng)卡，在彈出的快捷菜單中選擇“啟用”選項，如圖3-15所示。圖3-15啟用網(wǎng)卡

至此，802.1X客戶端完成安裝并成功進行了設(shè)置。但由于我們采用的802.1X不是Windows的客戶端，必須要將操作系統(tǒng)自身的802.1X客戶端功能關(guān)閉。關(guān)閉操作系統(tǒng)的

802.1X客戶端功能的方法為：右擊“我的電腦”，在彈出的快捷菜單中選擇“管理”選項，如圖3-16所示。圖3-16選擇“管理”選項

打開“計算機管理”對話框，依次展開“服務(wù)和應用程序”|“服務(wù)”選項，如圖3-17所示。圖3-17“服務(wù)”選項窗口

在右邊服務(wù)列表中找到WirelessConfiguration服務(wù)，雙擊打開，然后單擊“停止”按鈕，即可停止802.1X服務(wù)，如圖3-18所示。

此時，在客戶端桌面上將生成802.1X的快捷方式，雙擊打開，輸入用戶名和密碼，即可實現(xiàn)客戶端通過802.1X客戶端登錄，如圖3-19所示。圖3-18停止“WirelessConfiguration”服務(wù)圖3-19802.1X客戶端登錄

②Windows系列操作系統(tǒng)自身802.1X客戶端設(shè)置。在默認情況下，Windows操作系統(tǒng)自身已經(jīng)安裝并啟用了802.1X客戶端，即上面提到的WirelessConfiguration服務(wù)。如果沒有啟用，通過上面的方法將其啟動。然后在桌面上右擊“網(wǎng)上鄰居”，在彈出的快捷菜單中選擇“屬性”選項，如圖3-20所示。圖3-20打開“網(wǎng)上鄰居”的“屬性”選項

打開“網(wǎng)絡(luò)連接”窗口，右擊“本地連接”選項，在隨后彈出的快捷菜單中選擇“屬性”選項，如圖3-21所示。圖3-21打開“本地連接”|“屬性”對話框

在“本地連接屬性”對話框中，選擇“身份驗證”選項卡，如圖3-22所示。圖3-22“身份驗證”選項卡

選中“為此網(wǎng)絡(luò)啟用IEEE802.1X身份驗證”復選框，并且在“EAP類型”下拉列表中選擇“MD5-質(zhì)詢”選項，然后單擊“確定”按鈕，即完成了Windows系列操作系統(tǒng)自帶的802.1X客戶端的設(shè)置，如圖3-23所示。圖3-23Windows操作系統(tǒng)自帶802.1X客戶端設(shè)置

六、任務(wù)驗收

1.設(shè)備驗收

根據(jù)實訓拓撲結(jié)構(gòu)圖檢查、驗收路由器、計算機的線纜連接，檢查PC1、PC2的IP地址。

2.配置驗收

查看802.1X配置列表：

3.功能驗收

在PC1、PC2上通過ping命令進行通信(從斷開恢復到正常通信)測試，如圖3-24所示。圖3-24在PC1、PC2上通過ping命令進行通信

七、任務(wù)總結(jié)

針對某公司辦公區(qū)網(wǎng)絡(luò)改造任務(wù)的內(nèi)容和目標，根據(jù)需求分析進行了實訓的規(guī)劃和實施，本任務(wù)進行了交換機的802.1X配置，并通過802.1X進行驗證，實現(xiàn)了只有合法用戶可登錄網(wǎng)絡(luò)，非法用戶被拒之門外，從而提高了網(wǎng)絡(luò)的安全性，也方便了網(wǎng)絡(luò)管理。

任務(wù)2企業(yè)局域網(wǎng)端口隔離一、任務(wù)描述某公司有普通辦公區(qū)和技術(shù)部兩個部門，構(gòu)建了自己的內(nèi)部企業(yè)網(wǎng)，每位員工都有一臺辦公電腦，主機規(guī)模近100臺，內(nèi)部可以實現(xiàn)通信。為了辦公需要，公司在技術(shù)部部署了一臺FTP服務(wù)器，以實現(xiàn)公司內(nèi)部的資源共享。從網(wǎng)絡(luò)安全與管理的角度考慮，網(wǎng)絡(luò)管理員希望內(nèi)部普通辦公區(qū)員工的主機之間不能相互通信，但員工電腦均可正常訪問公司的FTP服務(wù)器。請你規(guī)劃并實施網(wǎng)絡(luò)。該公司組織結(jié)構(gòu)如圖3-25所示。圖3-25公司組織結(jié)構(gòu)

二、任務(wù)目標和目的

1.任務(wù)目標

針對該公司網(wǎng)絡(luò)需求，通過局域網(wǎng)端口隔離技術(shù)，實現(xiàn)對局域網(wǎng)內(nèi)部主機之間通信的相互隔離。

2.任務(wù)目的

通過本任務(wù)進行交換機的端口隔離配置，以幫助讀者在深入了解交換機的基礎(chǔ)上，具備利用端口隔離技術(shù)提高網(wǎng)絡(luò)性能和數(shù)據(jù)轉(zhuǎn)發(fā)的安全性，并靈活運用的能力。

三、任務(wù)需求與分析

1.任務(wù)需求

公司在內(nèi)部部署了一臺FTP服務(wù)器，以實現(xiàn)公司內(nèi)部的資源共享。從網(wǎng)絡(luò)安全與管理的角度考慮，網(wǎng)絡(luò)管理員希望普通辦公區(qū)員工的主機之間不能相互通信，但員工電腦均可正常訪問公司的FTP服務(wù)器。部門具體計算機分布如表3-4所示。

根據(jù)任務(wù)需求和需求分析組建公司的網(wǎng)絡(luò)結(jié)構(gòu)，如圖3-26所示。圖3-26公司網(wǎng)絡(luò)結(jié)構(gòu)

2.需求分析

需求1：從安全和可管理的角度考慮，普通辦公區(qū)的電腦之間不能相互通信。

分析1：通過交換機端口隔離技術(shù)，實現(xiàn)普通辦公區(qū)主機之間通信的隔離。

需求2：普通辦公區(qū)的員工主機均可正常訪問技術(shù)部的FTP服務(wù)器。

分析2：通過端口隔離的Uplink端口技術(shù)，實現(xiàn)普通辦公區(qū)的員工主機均可訪問技術(shù)部的FTP服務(wù)器。

四、知識鏈接

1.端口隔離的基本概念

端口隔離是為了實現(xiàn)報文之間的二層隔離，以提升網(wǎng)絡(luò)安全性。一般而言，要實現(xiàn)二層報文隔離，人們首先想到的是VLAN技術(shù)，即將不同的端口加入不同的VLAN，如圖3-27所示。圖3-27采用VLAN技術(shù)實現(xiàn)二層報文隔離

但采用VLAN技術(shù)實現(xiàn)二層報文隔離，會帶來以下兩

個嚴重問題。

(1)浪費有限的VLAN資源。

(2)VLAN數(shù)過多，浪費大量的三層接口，導致管理不便。

2.端口隔離的原理

端口隔離實現(xiàn)同一VLAN內(nèi)端口之間隔離，使得隔離組內(nèi)的主機無法通信，更安全、更靈活和方便。交換機所有端口屬于一個隔離組，隔離組內(nèi)的端口類型分為以下兩種。

1)普通端口

普通端口被二層隔離，連接在普通端口之下的主機之間無法相互通信，通信被隔離。

2)上行端口(Uplink端口)

上行端口可以和所有普通端口進行通信。

圖3-28為端口隔離典型應用案例。隔離組內(nèi)的主機之間的通信被隔離，但它們均可以和連接在上行端口之下的服務(wù)器進行通信。

圖3-28端口隔離典型應用案例

3.配置命令

H3C系列和Cisco系列交換機上配置端口隔離協(xié)議的相關(guān)命令如表3-5所示。

五、任務(wù)實施

1.實施規(guī)劃

實訓拓撲結(jié)構(gòu)

根據(jù)任務(wù)的需求與分析，實訓的拓撲結(jié)構(gòu)如圖3-29所示，以PC1、PC2模擬公司普通辦公區(qū)的員工電腦，PC3模擬公司的文件服務(wù)器(FTPServer)。圖3-29實訓的拓撲結(jié)構(gòu)

實訓設(shè)備

根據(jù)任務(wù)的需求和實訓拓撲結(jié)構(gòu)，每個實訓小組的實訓設(shè)備配置建議如表3-6所示。

IP地址規(guī)劃

根據(jù)需求分析本任務(wù)的IP地址規(guī)劃，如表3-7所示。

2.實施步驟

(1)根據(jù)實訓拓撲結(jié)構(gòu)圖進行交換機、計算機的線纜連接，配置PC1、PC2、FTPServer的IP地址。

(2)使用計算機Windows操作系統(tǒng)的“超級終端”組件程序，通過串口連接到交換機的配置界面，其中超級終端串口的屬性設(shè)置還原為默認值(每秒位數(shù)9600、數(shù)據(jù)位8、奇偶校驗無、數(shù)據(jù)流控制無)。

(3)超級終端登錄到路由器進行任務(wù)的相關(guān)配置。

(4)Sw1主要配置清單如下：

六、任務(wù)驗收

1.設(shè)備驗收

根據(jù)實訓拓撲結(jié)構(gòu)圖檢查、驗收路由器、計算機的線纜連接，檢查PC1、PC2、FTPServer的IP地址。

2.配置驗收

3.功能驗收

1)隔離組內(nèi)主機通信測試

在隔離組內(nèi)的PC1上運行ping命令測試其與PC2的通信情況，顯示為無法通信，如圖3-30所示。圖3-30PC1與PC2無法通信

同樣，在隔離組內(nèi)的PC2上運行ping命令測試其與PC1的通信情況，顯示為無法通信，如圖3-31所示。圖3-31PC2與PC1無法通信

2)隔離組內(nèi)主機與Uplink端口下服務(wù)器通信測試

在隔離組內(nèi)的PC1上運行ping命令，測試其與Uplink端口下的Server之間的通信情況，顯示為連通狀態(tài)，如圖3-32所示。圖3-32PC1與Server之間處于連通狀態(tài)

在隔離組內(nèi)的PC2上運行ping命令，測試其與Uplink端口下的Server之間的通信情況，顯示為連通狀態(tài)，如圖3-33所示。圖3-33PC2與Server之間處于連通狀態(tài)

七、任務(wù)總結(jié)

針對某公司辦公區(qū)網(wǎng)絡(luò)改造任務(wù)的內(nèi)容和目標，根據(jù)需求分析進行了實訓的規(guī)劃和實施。本任務(wù)使用交換機的端口隔離技術(shù)配置交換機的服務(wù)，通過端口隔離技術(shù)，使公司普

通辦公區(qū)電腦之間的通信被隔離，但均可以與服務(wù)器進行通信，既實現(xiàn)了資源共享，提高了網(wǎng)絡(luò)的安全性，也方便了網(wǎng)絡(luò)管理員進行網(wǎng)絡(luò)管理。

任務(wù)3企業(yè)局域網(wǎng)端口綁定

一、任務(wù)描述某公司構(gòu)建自己的內(nèi)部企業(yè)網(wǎng)，每位員工都有一臺辦公電腦，主機規(guī)模近100臺，內(nèi)部可以實現(xiàn)通信和資源共享。公司的網(wǎng)絡(luò)管理員為了方便管理網(wǎng)絡(luò)，并提高網(wǎng)絡(luò)安全性，希望公司中的每一位員工都分配固定的IP地址、固定的位置，一旦員工擅自修改電腦的位置和IP地址，將不能上網(wǎng)，也不能與內(nèi)部員工進行通信。請你規(guī)劃并實施網(wǎng)絡(luò)。

二、任務(wù)目標與目的

1.任務(wù)目標

針對該公司的網(wǎng)絡(luò)需求進行網(wǎng)絡(luò)規(guī)劃設(shè)計，通過端口綁定技術(shù)實現(xiàn)對接入網(wǎng)絡(luò)的用戶主機進行IP地址、接入端口等參數(shù)的綁定，降低網(wǎng)絡(luò)用戶的自由度。

2.任務(wù)目的

通過本任務(wù)進行交換機的端口綁定配置，以幫助讀者在深入了解交換機的基礎(chǔ)上，具備利用端口綁定技術(shù)實現(xiàn)網(wǎng)絡(luò)用戶綁定，降低網(wǎng)絡(luò)用戶的自由度，提高網(wǎng)絡(luò)安全性，增強

網(wǎng)絡(luò)管理的能力。

三、任務(wù)需求與分析

1.任務(wù)需求

某公司構(gòu)建了自己的內(nèi)部網(wǎng)絡(luò)，主機規(guī)模近100臺。從網(wǎng)絡(luò)安全和方便管理的角度考慮，網(wǎng)絡(luò)工程師為每位員工分配了固定的IP地址，要求員工只能在自己的電腦上使用指定的IP地址才能夠接入網(wǎng)絡(luò)，一旦修改了IP地址，或者將IP地址借給其他員工用將無法接入網(wǎng)絡(luò)。

2.需求分析

需求：公司每臺電腦只能使用指定的IP地址才能上網(wǎng)，一旦修改了地址，或把IP地址借給其他員工使用，都無法上網(wǎng)。

分析：通過端口綁定技術(shù)對網(wǎng)絡(luò)用戶進行嚴格控制，降低其自由度，實現(xiàn)每個網(wǎng)絡(luò)用戶只能使用自己的PC及固定的IP地址才能接入公司網(wǎng)絡(luò)，從而提高網(wǎng)絡(luò)的安全性，也方便網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)進行管理和控制。

根據(jù)任務(wù)需求和需求分析組建公司的網(wǎng)絡(luò)結(jié)構(gòu)，如圖3-34所示。圖3-34公司網(wǎng)絡(luò)結(jié)構(gòu)

四、知識鏈接

1.端口綁定的基本概念

端口綁定技術(shù)，即將主機MAC地址、主機IP地址和交換機的端口三個要素進行綁定，實現(xiàn)對設(shè)備轉(zhuǎn)發(fā)報文進行過濾，提高安全性。

2.端口綁定實現(xiàn)原理

端口綁定技術(shù)一般是指網(wǎng)絡(luò)工程師通過手工方式在交換機內(nèi)部配置“MAC+IP+Port”的綁定表。交換機收到報文，檢測報文源MAC地址、源IP地址與交換機內(nèi)部的綁定表是否一致，如果一致，交換機的端口將轉(zhuǎn)發(fā)該報文；如果不一致，交換機的端口將丟棄該報文。端口綁定實現(xiàn)原理如圖3-35所示。圖3-35端口綁定實現(xiàn)原理

1)E1/0/2端口

從E1/0/2端口收到的報文，交換機檢測其源MAC地址、源IP地址，發(fā)現(xiàn)雖然源IP地址與該端口綁定的IP地址一致，但源MAC地址與該端口綁定的MAC地址不一致，因此，交換機將丟棄該報文，即PCA不能接入網(wǎng)絡(luò)。

2)E1/0/3端口

從E1/0/3端口收到的報文，交換機檢測其源MAC地址、源IP地址，發(fā)現(xiàn)兩者均和該端口綁定的MAC地址、IP地址一致，因此，交換機將轉(zhuǎn)發(fā)該報文，即PCB被允許接入

網(wǎng)絡(luò)。

3)E1/0/4端口

從E1/0/4端口收到的報文，交換機檢測其源MAC地址、源IP地址，發(fā)現(xiàn)雖然源MAC地址與該端口綁定的MAC地址一致，但源IP地址與該端口綁定的IP地址不一致，因此，

交換機將丟棄該報文，即PCC被拒絕接入網(wǎng)絡(luò)。

3.端口綁定配置命令

H3C系列和Cisco系列交換機上配置端口綁定協(xié)議的相關(guān)命令如表3-8所示。

五、任務(wù)實施

1.實施規(guī)劃

實訓拓撲結(jié)構(gòu)

根據(jù)任務(wù)的需求與分析，本實訓的拓撲結(jié)構(gòu)如圖3-36所示，以PC1、PC2模擬公司的員工電腦。圖3-36實訓的拓撲結(jié)構(gòu)

實訓設(shè)備

根據(jù)任務(wù)的需求和實訓拓撲結(jié)構(gòu)，每個實訓小組的實訓設(shè)備配置建議如表3-9所示。

IP地址規(guī)劃

根據(jù)需求分析，本任務(wù)的IP地址規(guī)劃及每臺主機的MAC地址如表3-10所示。

2.實施步驟

(1)根據(jù)實訓拓撲結(jié)構(gòu)圖進行交換機、計算機的線纜連接，配置PC1、PC2的IP地址。

(2)使用計算機Windows操作系統(tǒng)的“超級終端”組件程序，通過串口連接到交換機的配置界面，其中超級終端串口的屬性設(shè)置還原為默認值(每秒位數(shù)9600、數(shù)據(jù)位8、奇偶校驗無、數(shù)據(jù)流控制無)。

(3)超級終端登錄到路由器進行任務(wù)的相關(guān)配置。

(4)Sw1主要配置清單如下：

六、任務(wù)驗收

1.設(shè)備驗收

根據(jù)實訓拓撲結(jié)構(gòu)圖檢查、驗收路由器、計算機的線纜連接，檢查PC1、PC2的IP地址。

2.配置驗收

3.功能驗收

在PC1上通過ping命令與PC2通信始終處于通信狀態(tài)。如果任意更改一臺主機的IP地址以后，通信狀態(tài)變?yōu)閿嚅_狀態(tài)，如圖3-37所示。圖3-37修改IP地址前后的網(wǎng)絡(luò)測試對比

在PC2上通過ping命令與PC1通信始終處于通信狀態(tài)，如果任意更改一臺主機所連的交換機的端口，通信狀態(tài)變?yōu)閿嚅_狀態(tài)，如圖3-38所示。圖3-38修改主機所連交換機端口前后的網(wǎng)絡(luò)測試對比

七、任務(wù)總結(jié)

針對某公司辦公區(qū)網(wǎng)絡(luò)改造任務(wù)的內(nèi)容和目標，根據(jù)需求分析進行了實訓的規(guī)劃和實施。本任務(wù)進行了交換機的端口綁定技術(shù)配置，通過端口綁定技術(shù)，使得員工一旦擅自修

改自己電腦的位置或IP地址，將不能上網(wǎng)，也不能與內(nèi)部員工進行通信，最大程度降低網(wǎng)絡(luò)用戶的自由度，方便網(wǎng)絡(luò)管理員進行網(wǎng)絡(luò)管理和維護，在一定程度上也提高了網(wǎng)絡(luò)的安全性和可靠性。

任務(wù)4企業(yè)網(wǎng)IP地址安全管理

一、任務(wù)描述某公司采用當前主流的交換技術(shù)構(gòu)建了自己的內(nèi)部企業(yè)網(wǎng)，每位員工都有一臺辦公電腦，主機規(guī)模近100臺，內(nèi)部可以實現(xiàn)通信和資源共享。為了方便網(wǎng)絡(luò)管理，公司網(wǎng)絡(luò)工程師希望能通過自動方式為網(wǎng)絡(luò)中的主機分配IP地址，并提供一定的安全保障機制。請你規(guī)劃并實施網(wǎng)絡(luò)。

二、任務(wù)目標和目的

1.任務(wù)目標

針對該公司的網(wǎng)絡(luò)需求，進行網(wǎng)絡(luò)規(guī)劃設(shè)計，通過DHCP、DHCPSnooping等技術(shù)為該公司提供安全的IP地址管理手段。

2.任務(wù)目的

通過本任務(wù)進行DHCP、DHCPSnooping的配置，以幫助讀者在深入了解服務(wù)器DHCP、交換機DHCPSnooping配置的基礎(chǔ)上，具備利用DHCP、DHCPSnooping等技術(shù)為公司網(wǎng)絡(luò)提供高安全性的IP地址管理手段，在方便網(wǎng)絡(luò)管理的同時也提高網(wǎng)絡(luò)的安全性，并具備靈活運用的能力。

三、任務(wù)需求與分析

1.任務(wù)需求

某公司采用當前主流的交換技術(shù)構(gòu)建了自己的內(nèi)部企業(yè)網(wǎng)，每位員工都有一臺辦公電腦，主機規(guī)模近100臺。從安全和方便管理的角度考慮，網(wǎng)絡(luò)管理員希望能為公司網(wǎng)絡(luò)提

供安全的IP地址分配和管理手段，即希望公司網(wǎng)絡(luò)既能實現(xiàn)自動的IP地址分配管理，又能杜絕自動分配IP地址帶來的安全性薄弱的問題，具備較好的安全性。

2.需求分析

需求1：公司網(wǎng)絡(luò)具備IP地址的自動分配和管理功能，以提高網(wǎng)絡(luò)管理效率，降低網(wǎng)絡(luò)管理員的工作負擔。

分析1：通過DHCP協(xié)議實現(xiàn)IP地址的自動分配和管理，即在網(wǎng)絡(luò)中部署一臺DHCP服務(wù)器，控制整個公司網(wǎng)絡(luò)的IP地址資源，當網(wǎng)絡(luò)中的主機開機，即可自動從DHCP服務(wù)器租賃一個地址。

需求2：要求公司網(wǎng)絡(luò)能自動分配和管理IP地址，具備較高的安全性。

分析2：DHCP協(xié)議雖然實現(xiàn)了IP地址的自動分配和管理，提高了管理效率，但本身缺乏身份驗證機制，無法識別合法和非法的DHCP報文，因此安全性較差。采用DHCPSnooping可以有效識別網(wǎng)絡(luò)中合法和非法的DHCP報文，保證網(wǎng)絡(luò)中的主機只會從合法的DHCP服務(wù)器租賃IP地址，從而保證了網(wǎng)絡(luò)IP地址的安全。

根據(jù)任務(wù)需求和需求分析組建公司的網(wǎng)絡(luò)結(jié)構(gòu)，如圖3-39所示。

圖3-39公司網(wǎng)絡(luò)結(jié)構(gòu)

四、知識鏈接

1.DHCP協(xié)議

隨著網(wǎng)絡(luò)規(guī)模的不斷擴大和網(wǎng)絡(luò)復雜度的提高，計算機的數(shù)量經(jīng)常超過可供分配的IP地址數(shù)量。

1)DHCP基本概念

DHCP是TCP／IP協(xié)議簇中的一種，主要用于網(wǎng)絡(luò)中的主機請求IP地址、默認網(wǎng)關(guān)、DNS服務(wù)器地址并將其分配給主機的協(xié)議。DHCP是一種C/S協(xié)議，它簡化了客戶機IP地址的配置和管理工作，以及其他TCP/IP參數(shù)的分配。

在較大型的本地網(wǎng)絡(luò)中，或者用戶經(jīng)常變更的網(wǎng)絡(luò)中，可使用DHCP來為用戶計算機提供IP地址。與由網(wǎng)絡(luò)管理員為每臺工作站手工分配IP地址的做法相比，采用DHCP自動分配IP地址的方法更高效。DHCP協(xié)議允許主機在連入網(wǎng)絡(luò)時動態(tài)獲取IP地址。主機連入網(wǎng)絡(luò)時，聯(lián)系DHCP服務(wù)器并請求IP地址，DHCP服務(wù)器從已配置的地址范圍(也稱為“地址池”)中選擇一條地址，并將其臨時“租”給主機一段時間。DHCP工作模型如圖3-40所示。圖3-40DHCP工作模型

2)DHCP的優(yōu)點

(1)減少錯誤：減少手工配置IP地址導致的錯誤，例如已分配的IP地址再次分配給另一設(shè)備引起的地址沖突。

(2)減少網(wǎng)絡(luò)管理：TCP/IP配置是集中化和自動完成的，不需手工配置，如集中定義全局和特定子網(wǎng)的TCP/IP配置。

3)DHCP系統(tǒng)的構(gòu)成

一個完整的DHCP系統(tǒng)由三大要素構(gòu)成：DHCP客戶端、DHCP服務(wù)器和DHCP中繼代理，如圖3-41所示。

提供DHCP服務(wù)的主機一般稱為DHCP服務(wù)器(DHCPServer)，接收信息的主機稱為DHCP客戶端(DHCPClient)。同時，DHCP還為客戶端提供了一種可從不同子網(wǎng)的服務(wù)器

中獲取信息的機制，稱為DHCP中繼代理(DHCPRelayAgent)。圖3-41DHCP系統(tǒng)的構(gòu)成

(1)DHCP客戶端。DHCP客戶端通過DHCP來獲得網(wǎng)絡(luò)IP配置參數(shù)。

(2)DHCP服務(wù)器。DHCP服務(wù)器提供網(wǎng)絡(luò)設(shè)置參數(shù)給DHCP客戶端。

(3)DHCP中繼代理。DHCP中繼代理是指在DHCP客戶端和服務(wù)器之間轉(zhuǎn)發(fā)DHCP消息的主機或路由器。

4)DHCP的工作原理

DHCP是基于“客戶/服務(wù)器”模式的，由一臺指定的主機分配網(wǎng)絡(luò)地址、傳送網(wǎng)絡(luò)配置參數(shù)給需要的網(wǎng)絡(luò)設(shè)備或主機。

為了獲取并使用一個合法的動態(tài)IP地址，在不同的階段，DHCP客戶端需要與服務(wù)器之間交互不同的信息。以客戶端第一次登錄網(wǎng)絡(luò)，通過DHCP獲取IP地址為例，客戶端與服務(wù)器的交互包括下面四個過程，如圖3-42所示。

圖3-42DHCP工作過程

(1)發(fā)現(xiàn)階段(DHCPDiscover)。即DHCP客戶端尋找DHCP服務(wù)器的階段。

(2)提供階段(DHCPOffer)。即DHCP服務(wù)器提供IP地址的階段。

(3)選擇階段(DHCPRequest)。即DHCP客戶端選擇某臺DHCP服務(wù)器提供的IP地址的階段。

(4)確認階段(DHCPAck)。即DHCP服務(wù)器確認所提供的IP地址的階段。

5)DHCP作用域

DHCP作用域是DHCP服務(wù)器為客戶端分配IP地址的重要功能，主要用于設(shè)置分配的IP地址范圍、需要排除的IP地址、IP地址租約期限等信息。注意：必須創(chuàng)建作用域才能讓DHCP服務(wù)器分配IP地址給DHCP客戶端。

每一個作用域具有以下屬性：

(1)租用給DHCP客戶端的IP地址范圍；可在其中設(shè)置排除選項，排除的IP地址將不分配給DHCP客戶端使用。

(2)子網(wǎng)掩碼，用于確定給定IP地址的子網(wǎng)；此選項創(chuàng)建作用域后無法修改。

(3)創(chuàng)建作用域時指定的名稱。

(4)租約期限值，分配給DHCP客戶端的IP地址的使用期限。當客戶端使用分配到的IP地址時間超過了此租期，服務(wù)器將收回分配給客戶端的IP地址。

(5)DHCP作用域選項，如DNS服務(wù)器、路由器IP地址和WINS服務(wù)器地址等。

(6)保留(可選)，用于確保某個確定MAC地址的DHCP客戶端總是能從此DHCP服務(wù)器獲得相同的IP地址。

6)DHCP中繼代理

由于在IP地址動態(tài)獲取過程中采用廣播方式發(fā)送報文，而路由器會隔離廣播，因此DHCP只適用于DHCP客戶端和服務(wù)器處于同一個子網(wǎng)內(nèi)的情況。在默認情況下，一個物

理子網(wǎng)中的DHCP服務(wù)器無法為其他物理子網(wǎng)中的DHCP客戶端分配IP地址，如果要為多個網(wǎng)段進行動態(tài)主機配置，需要在所有網(wǎng)段上都設(shè)置一個DHCP服務(wù)器，這顯然是很不經(jīng)濟和實用的。

為了使網(wǎng)絡(luò)中所有的DHCP客戶端都能獲得IP地址租約，采用DHCP中繼代理可以避免在每個物理網(wǎng)段都要有DHCP服務(wù)器的必要，它可以將消息傳遞到位于不同物理子網(wǎng)的DHCP服務(wù)器，也可以將服務(wù)器的消息傳回給位于不同物理子網(wǎng)的DHCP客戶端。DHCP中繼代理的典型應用如圖3-43所示。

圖3-43跨子網(wǎng)的DHCP中繼代理

DHCP中繼代理的工作過程是修改DHCP消息中的相應字段，把DHCP的廣播包改成單播包，并負責在服務(wù)器與客戶端之間轉(zhuǎn)換，如圖3-44所示。圖3-44DHCP中繼代理工作過程

具體的工作過程如下：

(1)具有DHCP中繼功能的網(wǎng)絡(luò)設(shè)備(通常是路由器)收到DHCP客戶端以廣播方式發(fā)送的DHCPDiscover或DHCPRequest報文后，將報文中的giaddr字段填充為DHCP中繼代理的IP地址，并根據(jù)配置將報文單播轉(zhuǎn)發(fā)給指定的DHCP服務(wù)器。

(2)DHCP服務(wù)器根據(jù)giaddr字段為客戶端分配IP地址等參數(shù)，并通過DHCP中繼代理將配置信息轉(zhuǎn)發(fā)給客戶端，完成對客戶端的動態(tài)配置。

7)DHCP報文

DHCP客戶端、DHCP服務(wù)器和DHCP中繼代理三大要素要完成IP地址的租賃、回收、續(xù)租、地址釋放等功能，主要是通過交換若干報文實現(xiàn)的。具體而言，DHCP系統(tǒng)中主要有七大報文，如圖3-45所示。圖3-45DHCP報文

2.DHCPSnooping

1)DHCP協(xié)議漏洞

DHCP是在網(wǎng)絡(luò)中提供動態(tài)地址分配服務(wù)的協(xié)議，采用DHCP服務(wù)器可以自動為用戶設(shè)置IP地址、掩碼、網(wǎng)關(guān)、DNS等網(wǎng)絡(luò)參數(shù)，簡化了用戶的網(wǎng)絡(luò)設(shè)置，提高了管理效

率。

2)DHCPSnooping基本概念

DHCP監(jiān)聽(DHCPSnooping)是交換機的一種安全特性，它能通過過濾網(wǎng)絡(luò)中接入的非法DHCP服務(wù)器發(fā)送的DHCP報文增強網(wǎng)絡(luò)安全性。

3)DHCPSnooping的作用

DHCPSnooping是DHCP的一種安全特性，具有如下功能。

(1)保證客戶端從合法的服務(wù)器獲取IP地址。

(2)記錄DHCP客戶端IP地址與MAC地址的對應關(guān)系。

利用這些信息可以實現(xiàn)以下內(nèi)容：

①ARPDetection：根據(jù)DHCPSnooping表項來判斷發(fā)送ARP報文的用戶是否合法，從而防止非法用戶的ARP攻擊。ARPDetection的詳細介紹請參見“IP業(yè)務(wù)分冊”中的“ARP配置”。

②IPSourceGuard：通過動態(tài)獲取DHCPSnooping表項對端口轉(zhuǎn)發(fā)的報文進行過濾，防止非法報文通過該端口。IPSourceGuard的詳細介紹請參見“安全分冊”中的“IPSourceGuard配置”。

4)DHCPSnooping的實現(xiàn)原理

為了使DHCP客戶端能通過合法的DHCP服務(wù)器獲取IP地址，DHCPSnooping安全機制允許將端口設(shè)置為信任端口和不信任端口。

(1)信任端口：正常轉(zhuǎn)發(fā)接收到的DHCP報文。

(2)不信任端口：接收到DHCP服務(wù)器響應的DHCPAck和DHCPOffer報文后，丟棄該報文。

連接DHCP服務(wù)器和其他DHCPSnooping設(shè)備的端口需要設(shè)置為信任端口，以便DHCPSnooping設(shè)備正常轉(zhuǎn)發(fā)DHCP服務(wù)器的應答報文，其他端口設(shè)置為不信任端口，從而保證DHCP客戶端只能從合法的DHCP服務(wù)器獲取IP地址，私自架設(shè)的偽DHCP服務(wù)器無法為DHCP客戶端分配IP地址。DHCPSnooping信任端口典型應用場景如圖3-46所示。圖3-46DHCPSnooping信任端口典型應用場景

5)DHCPSnooping級聯(lián)網(wǎng)絡(luò)

在多個DHCPSnooping設(shè)備級聯(lián)的網(wǎng)絡(luò)中，與其他DHCPSnooping設(shè)備相連的端口需要配置為信任端口。DHCPSnooping級聯(lián)網(wǎng)絡(luò)如圖3-47所示。圖3-47DHCPSnooping級聯(lián)組網(wǎng)圖

圖3-47中設(shè)備各端口的角色如表3-11所示。

3.配置命令

H3C系列和Cisco系列交換機上配置DHCPSnooping協(xié)議的相關(guān)命令，如表3-12所示。

五、任務(wù)實施

1.實施規(guī)劃

實訓拓撲結(jié)構(gòu)

根據(jù)任務(wù)的需求與分析，實訓的拓撲結(jié)構(gòu)如圖3-48所示，以PC1模擬公司員工電腦，PC2模擬非法DHCP服務(wù)器，DHCPServer模擬合法DHCP服務(wù)器。圖3-48實訓的拓撲結(jié)構(gòu)

實訓設(shè)備

根據(jù)任務(wù)的需求和實訓拓撲，每個實訓小組的實訓設(shè)備配置建議如表3-13所示。

IP地址規(guī)劃

根據(jù)需求分析，本任務(wù)的IP地址規(guī)劃如表3-14所示。

2.實施步驟

(1)根據(jù)實訓拓撲結(jié)構(gòu)圖進行交換機、計算機的線纜連接，配置PC2、DHCPServer的IP地址。

(2)部署合法DHCP服務(wù)器。

①安裝DHCP服務(wù)組件。首先為合法DHCP服務(wù)器設(shè)置IP地址，然后開始安裝DHCP服務(wù)組件。在桌面左下角單擊“服務(wù)器管理器”圖標，打開“服務(wù)器管理器”窗口，如圖3-49所示。圖3-49“服務(wù)器管理器”窗口

雙擊“角色”選項，打開“角色”窗口，此時可以看到該臺主機所安裝的服務(wù)種類，單擊“添加角色”按鈕，如圖3-50所示，即可打開“添加角色向?qū)А睂υ捒?。圖3-50打開“添加角色向?qū)А?/p>

單擊“下一步”按鈕，打開“選擇服務(wù)器角色”對話框，此時選中“DHCP服務(wù)器”復選框，如圖3-51所示。圖3-51選擇“DHCP服務(wù)器”的角色類型

連續(xù)多次單擊“下一步”按鈕，此時打開的若干個對話框中均采用空白設(shè)置(主要有設(shè)置IP地址范圍、DNS服務(wù)器地址、網(wǎng)關(guān)等，這些可以在后面創(chuàng)建作用域時設(shè)置)。最后單擊“安裝”按鈕，即可開始DHCP組件的安裝，如圖3-52所示。圖3-52DHCP組件的安裝

DHCP服務(wù)組件的安裝過程如圖3-53所示。圖3-53DHCP服務(wù)組件的安裝過程

最后單擊“關(guān)閉”按鈕，即可完成DHCP組件的安裝，如圖3-54所示。圖3-54完成DHCP組件安裝

②創(chuàng)建作用域。完成了DHCP組件安裝后，就需要創(chuàng)建作用域，作用域包含了DHCP服務(wù)器可以提供的IP地址范圍，一般情況下是一個網(wǎng)段設(shè)置一個作用域(當然也有例外，例如超級作用域)。此處只有一個網(wǎng)段，因此我們就只需要設(shè)置一個作用域。設(shè)置作用域的方法如下：

通過“服務(wù)器管理器”打開“角色”選項，此時可以看到我們剛才安裝的DHCP組件已經(jīng)在系統(tǒng)中顯示，如圖3-55所示。圖3-55“角色”對話框中顯示“DHCP服務(wù)器”組件

選擇“DHCP服務(wù)器”選項，即可打開“DHCP服務(wù)器”窗口，在此窗口中依次展開“DHCP服務(wù)器”、服務(wù)器的名字(此處為“win2008-03”)、IPv4等選項，如圖3-56所示。圖3-56DHCP選項展開

此時選中IPv4選項，右擊，在彈出的快捷菜單中選擇“新建作用域”選項，如圖3-57所示。圖3-57打開“新建作用域”向?qū)?/p>

此時，打開“新建作用域向?qū)А保瑔螕簟跋乱徊健卑粹o，打開“作用域名稱”對話框，在此對話框中設(shè)置該作用域的名稱(一般而言，在實際應用中，每一個作用域代表一個網(wǎng)段，網(wǎng)絡(luò)管理員在進行網(wǎng)絡(luò)管理時，往往需要通過作用域來識別該作用域究竟是為哪個網(wǎng)段提供IP地址租賃服務(wù)，因此作用域的名稱應該統(tǒng)一規(guī)劃)，此處我們將作用域名稱設(shè)置為office-01，如圖3-58所示。圖3-58設(shè)置作用域名稱

完成作用域名稱設(shè)置后，單擊“下一步”按鈕，打開“IP地址范圍”對話框，在此對話框中設(shè)置該作用域可以分配的IP地址范圍，此處設(shè)置為～54，子網(wǎng)掩碼采用24位掩碼，如圖3-59所示。圖3-59作用域IP地址范圍設(shè)置

完成IP地址范圍設(shè)置后，單擊“下一步”按鈕，打開“添加排除”對話框，在此對話框中設(shè)置剛才設(shè)置的IP地址范圍中哪些IP地址不想用于分配，此處設(shè)置排除的地址范圍為：0～0。當然，此處也可以不用設(shè)置。設(shè)置完排除地址范圍后一定要單擊“添加”按鈕，此時在“排除的地址范圍”部分會生成一條排除地址的記錄，才表明地址排除設(shè)置成功，如圖3-60所示。圖3-60IP地址排除地址范圍設(shè)置

設(shè)置完排除的地址范圍后，單擊“下一步”按鈕，設(shè)置地址租用期限，WindowsServer2008的操作系統(tǒng)對于DHCP的租期默認為8天，在此對話框中可以進行修改。一般對于網(wǎng)絡(luò)結(jié)構(gòu)比較穩(wěn)定的網(wǎng)絡(luò)，為了避免DHCP客戶端頻繁地向服務(wù)器發(fā)送續(xù)租IP地址的請求而浪費網(wǎng)絡(luò)資源，建議盡量將租期設(shè)置得長一點；對于網(wǎng)絡(luò)結(jié)構(gòu)頻繁變動的網(wǎng)絡(luò)，為了能更好地回收IP地址，節(jié)約IP地址，建議盡量將租期設(shè)置得短一點。此處，我們保持默認的8天租期，如圖3-61所示。圖3-61IP地址租期設(shè)置

完成IP地址租期設(shè)置后，單擊“下一步”按鈕，打開“配置DHCP選項”對話框。DHCP配置選項主要包含網(wǎng)關(guān)、DNS服務(wù)器IP地址、WINS服務(wù)器IP地址。如果要配置這些參數(shù)，就需要選中“是，我想現(xiàn)在配置這些選項”單選按鈕；如果不想配置這些參數(shù)，或暫時不需要配置這些參數(shù)，就選中“否，我想稍后配置這些選項”單選按鈕。由于本實訓無需網(wǎng)關(guān)、DNS、WINS等參數(shù)，因此，此處我們選中“否，我想稍后配置這些選項”單選按鈕，如圖3-62所示。圖3-62DHCP選項配置選擇

單擊“下一步”按鈕后再單擊“完成”按鈕，即完成了DHCP作用域的創(chuàng)建，如圖3-63所示。圖3-63完成作用域創(chuàng)建

完成作用域創(chuàng)建后，可以看到在IPv4選項下面會生成一條剛創(chuàng)建好的作用域記錄。但該作用域的圖標顯示為紅色，表明該作用域并未激活，此時需要激活該作用域。選中該作

用域，右擊，在彈出的快捷菜單中選擇“激活”選項，即可完成對該作用域的激活，如圖3-64所示。圖3-64激活作用域

③DHCP客戶端配置。PC1作為DHCP客戶端，需要將其IP地址獲取的方式設(shè)置為自動獲取。在桌面選中“網(wǎng)上鄰居”圖標，右擊，在彈出的快捷菜單中選擇“屬性”選項，將打開“網(wǎng)絡(luò)連接”窗口，如圖3-65所示。圖3-65“網(wǎng)絡(luò)連接”窗口

在“網(wǎng)絡(luò)連接”窗口中選擇“本地連接”圖標，右擊，在彈出的快捷菜單中選擇“屬性”選項，將打開“本地連接