基于ＤＨＣＰ技术的校园网应用.docVIP

　　基于ＤＨＣＰ技术的校园网应用 　　 ［摘要］文章分析动态主机配置协议的工作流程，描述在各种三层交换机上DHCP服务器的配置过程，并提出如何禁止非法DHCP服务器的方法。 　　 ［关键词］DHCP；IP地址；交换机；Snooping 　　 目前，校园网已成为高等学校的重要组成部分。随着校园网的扩大以及移动办公逐步要求的增加，如果仍然采用静态地址分配的方法进行IP管理，不仅使 网络 管理人员的工作量极大地增加，同时由于一些用户记不清自己的IP地址，在重新安装系统后乱用IP地址，造成IP地址冲突或无法正常上网，影响校园网用户的正常使用。为防止类似的事情发生，在校园网的IP地址分配可采用动态主机配置协议（Dynamic Host Configuration Protocol，DHCP），DHCP可自动将IP地址、掩码、网关、DNS分配给用户。 　　 DHCP服务器的搭建一般可采用两种方式。方式一：操作系统+服务器。操作系统可以是e 10080 //设置地址租期，以分钟计算； 　　 ZXR10#vlan database 　　 ZXR10(vlan)#vlan 222//创建vlan； 　　 ZXR10(vlan)#exit 　　 ZXR10#config t 　　 ZXR10(config)#interface vlan 222//设置vlan； 　　 ZXR10(config-if)#ip address 172.17.0.254 255.255.255.0 //设置vlan的IP地址段； 　　 ZXR10(config-if)#description aaa//设置vlan名； 　　 ZXR10(config-if)#peer default ip pool aaa //指定接口使用的地址池； 　　 ZXR10(config-if)#user-interface //设置用户侧接口标志； 　　 ZXR10(config-if)#ip dhcp server gate. 　　 1.港湾交换机配置 　　 Harbour(config)# create vlan aaa //创建vlan； 　　 Harbour(config)# config vlan aaa tag 222 //设置vlan的tag值； 　　 Harbour(config)# config vlan aaa ipaddress 172.17.0.254 255.255.255.0//设置vlan的IP地址段； 　　 Harbour(config)# config dhcpr listen add aaa//设置DHCP Relay服务监听的vlan； 　　 Harbour(config)# config dhcpr targetip add 172.16.0.1//指定DHCP服务器IP； 　　 2.路由器配置 　　 dhcp-server(config)#ip dhcp pool aaa //设置DHCP地址池名； 　　 dhcp-server(dhcp-config)#it ip any any 　　 写好访问控制列表后，将列表应用到各个下行端口。上行端口不能写入该条访问控制列表，否则该交换机下的所有计算机用户都不能获取到IP地址。 　　 （二）接入交换机带有DHCP-snooping功能 　　 DHCP Snooping技术DHCP Snooping是一种通过建立DHCP Snooping Binding数据库，过滤非信任的DHCP消息，从而保证网络安全的特性。DHCP Snooping就像是非信任的主机和DHCP服务器之间的防火墙。通过DHCP Snooping来区分连接到末端客户的非信任接口和连接到DHCP服务器或者其他交换机的受信任接口。 　　 DHCP Snooping Binding数据库包括如下信息：MAC地址、IP地址、租约时间、binding类型、VLAN ID以及来自本地非信任端口的接口信息，但不包含通过受信任端口互相连接的接口信息。在启用了DHCP Snooping的VLAN中，如果交换机收到来自非信任端口的DHCP包，交换机将对目的MAC地址和DHCP客户端的地址进行对比，如果符合则该包可以通过，否则将被丢弃掉，从而达到过滤非法DHCP服务器的目的。 　　 以CISCO3550为例，具体配置如下： 　　 sit rate 10 //设置每秒钟处理DHCP数据包上限。 　　 （三）接入交换机为不可网管交换机 　　 在获取到非法IP地址的计算机上，到通过arp -a命令查找到非法DHCP服务器的MAC地址，在上层可网管交换机中查找出该MAC地址是从可网管交换机的哪一个端口上行