利用DHCP中继代理实现多子网环境中的IP地址统一管理
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
主要策略,它的主要任务是保证网络资源不被非法使用和访 过滤。在后台实时进行监控,发现病毒,随时清除,而前端
问。它是保证网络安全最重要的核心策略之一。
用户根本没有感应,甚至根本不知道杀毒的过程,这才是比
①接入安全
较科学的全面的解决方案。
接入交换机采用支持 802.1X用户入网认证,核心技术采
④安全管理规范和应急人员配备
下面我们通过一个实例来研究 DHCP 中继代理的具体配 置方法。图2 所示网络拓扑图为一个典型的局域网。在此局域 网中划分了三个子网(表 1),子网间通过三层交换机连接,使
作者简介:朱迅(1980-) ,男,淮安信息职业技术学院现代教育技术中心助教,研究方向:网络工程。 杨丽波( 1 9 7 7 - ),女,淮安信息职业技术学院计算机系助教,研究方向:软件与网络。
SwitchC#configure terminal
SwitchC(config)#service dhcp // 打开交换机 C 的 DHCP
中继代理功能 SwitchC(config)#ip helper address 10.1.1.1
// 指定
D H C P 服务器的地址
2.2.4 配置过程中需要注意的问题
经过以上步骤,子网 1 的地址池就建好了,每个子网都 应建立一个地址池,子网 2/3 的地址池配置和子网 1 类似,不 再重复。
如果网络设备具备 DHCP 功能,例如将图 2 中的核心交 换机 A,将其作为 DHCP 服务器,应配置如下:(// 后为注释,
SwitchC(config)#interface vlan 2
(10)网络防病毒设计 网络防病毒设计设计思想为: ①以网为本 防治病毒应该从网络整体考虑,从方便减少管理人员的工
作上着手,透过网络管理PC 机。提供在线报警功能,网络上每
4 结束语
职业技术学院校园网的建设对教学、科研和管理特别是 行政管理、财务管理、教学管理、信息服务等各个方面,成 为学校办公、教学、科研、交流必不可少的手段和服务平台 重要的意义。同时校园网的建设必须要有基本的目标和原则。 校园网的具体建设也要根据实际情况来组建。
SwitchA(config)# ip dhcp excluded-address 192.168.1.5 192.
168.1.10 //配置保留ip
子网2/3的配置语句和子网1类似。
2.2.2 配置子网
首先在汇聚层交换机上配置三层接口(VLAN 网关),以
子网 2为例,其网关在交换机C上,所以对交换机C配置如下:
大量的病毒存在于信息共享的网络介质上,因而要在网
控,网络管理员可以重构网络结构,使网络达到最佳效果。 络前端实时杀毒。防范手段应集中在网络整体上。在个人计
(9)网络安全设计
算机的硬件和软件、LAN 服务器、服务器上的网关、Internet
构建全程全网的访问控制体系是网络安全防范和保护的 及 Intranet 的 WebSite 上,层层设防,对每种病毒都实行隔离、
在 DHCP 协议中,DHCP 客户端使用 UDP68 端口,DHCP 服务器使用 UDP67端 口。 如果服务器和客户端之间的路由器或
三层交换机上配置了访问控制列表,则需要允许UDP67、68 端
口相应的报文通过,保证客户端与服务器的之间的正常通信。
2.3 配置结果及分析
配置完成后,在客户端的 TCP/IP 属性中设置“自动获得
0 引言
在局域网内部,客户机可以通过 DHCP 服务器动态获得 IP 地址,但目前在很多企事业单位中都划分了多个子网,如 果在每个子网中都部署 DHCP 服务器无疑增加了投资以及管 理维护的难度。下面我们将深入研究如何利用一台 DHCP 服 务器提供跨网络服务,从而实现多子网 IP 地址的统一管理。
2009.4
67
应 用 安 全
用一台 DHCP 服务器管理整个局域网内的 IP 地址分配。
不同厂商的设备配置语句可能有区别,但原理类似)
表 1 配置实例子网划分情况
SwitchA#configure terminal //进入全局配置模式
SwitchA(config)#ip dhcp pool VLAN1 //建立子网1的地
参考文献
[1]福建星网锐捷网络有限公司.苏州机电高等职业技术学校万 兆 IPV6 校园网解决方案.
[ 上接 6 8 页]
IP 地址”和“自动获得 DNS 服务器地址”,这样客户端的 IP 地址以及网关地址、子网掩码、DNS 地址等参数就可以通过 DHCP 中继代理从服务器获得。可以在客户端使用 ipconfig/all 命令查看结果。
SwitchC#configure terminal
图 2 DHCP 中继代理配置实例拓扑
2.2 配置过程 2.2.1 配置 DHCP 服务器
D H C P 服务器可以是一台电脑,也可以是具备 D H C P 功 能的网络设备如交换机或路由器。
如果以电脑作为 DHCP 服务器,该服务器应接入核心交 换机以提高访问速率,一般应安装 Windows2003 或 UNIX/ LINUX 系统,以 W i n d o w s 2 0 0 3 为例配置如下:
(4)单击【下一步】,进入“添加排除”界面,在这里输 入不想分配给客户机的保留IP地,例如从192.168.1.5 到192. 168.1.10;
(5)添加排除地址后,进入“租约期限”,按照默认即可: 然后进入“配置 DHCP 选项”设置。首先配置“路由器”(即 网关)地址,VLAN1 的网关地址为 192.168.1.1,其次配置“DNS 服务器”地址,具体参数取决于网络环境。
的顺利开展;技术手段管理主要是指利用相关的技术措施, 决方案都应该既具有稳健的病毒检测功能,又具有客户机、
管理和维护学院内部网络和各项系统的顺利运行。采用网络管 服务器数据保护功能,也就是覆盖全网的多层次防御。
理平台能提供整个网络的拓扑结构,能对以太网络中的任何通
③重视服务器上防毒
用 IP 设备、SNMP 管理型设备进行管理,通过对网络的全面监
应 用 安 全
利用 DHCP中继代理实现
多子网环境中的 IP地址统一管理
朱迅 杨丽波 淮安信息职业技术学院 江苏 223003 摘要:本文通过对 DHCP、DHCP 中继代理的原理分析,提出了一种多子网环境下对动态分配的 IP 地址进行统一管理的 方法,并结合实例提供了解决方案以及配置过程。 关键词:D H C P ;中继代理;多子网;IP 管理
(4)确认:被选中的服务器回复确认消息 DHCPACK,未
图 1 DHCP 中继代理基本拓扑
2 应用及配置实例
被选中的服务器不作回应并收回曾提供的 IP。 (5)配置:客户端收到 DHCPACK 后再次检查配置参数,
如果合法则将参数配置到客户端。
1.2 DHCP 中继代理原理
2.1 需求分析
用 802.1x+Radius 协议构成;整个认证计费系统由安全交换
优秀的防病毒系统需要很好的维护,坚固的防护系统也
机,为最终用户提供认证、计费和管理等功能,通过与接入 需要用户协助。在网络安全问题上,应制定严格的安全规范。
设备配合使用,在交换机上开启 802.1x 功能,实现对所有用 这些规范是网络安全运行必不可少的规范制度。网络安全管
地址池中选择一个未分配的 IP 地址,回应一个 DHCPOFFER 消
息,消息中包括分配给客户端得IP 地址等配置信息。
(3)选择:客户端选择第一个收到的 DHCPOFFER 作为自
己的网络配置。以广播形式发送 D H C P R E Q U E S T 消息,
DHCPREQUEST 将通知所有的服务器客户端选择了哪一个服务 器以及 IP。
SwitchF(config)#no shutdown
2.2.3 配置 DHCP 中继代理
DHCP 服务器不在子网 1/2/3 中,所以只有配置了 DHCP
中继代理,子网 1/2/3 中的终端才能够和 DHCP 服务器通信。
在图 2 中,应配置交换机 B 为子网 1 的 DHCP 中继代理,配置 交换机 C 为子网 2 和子网 3 的 DHCP 中继代理。以交换机 C 为 例配置如下:
户进行认证和计费。
理应专门配备防病毒应级处理技术人员,长期维护防病毒系
②访问安全
统和跟踪病毒信息等一些必不可少的工作。
多业务万兆核心路由交换机支持 802.1Q VLAN,可使用 VLAN 划分隔离用户访问。同时还支持 VLAN 隧道技术。并 且万兆核心路由交换机支持完善的 ACL,可以基于 MAC、IP、 TCP/UDP 端口号进行流量控制,以有效的防范和控制网络蠕 虫病毒(如冲击波)的传播和危害。
(1)通过【开始】→【程序】→【管理工具】→【DHCP】, 打开 DHCP 服务。单击菜单栏【操作】,点击【新建作用域】, 建立一个新的作用域即地址池;
(2)出现“新建作用域向导”,单击【下一步】,在作用 域【名称】框中输入“VLAN1 ”;
(3)单击【下一步】,进入“:IP 地址范围”窗口。在【起 始 IP 地址】中输入:192.168.1.2,在【结束 IP 地址】中输入: 192.168.1.254,【子网掩码】中输入255.255.255.0;
由于 DHCP 客户端必须以广播包的形式向服务器发出请 求,而广播包无法跨网络传输,所以当 DHCP 客户端和服务 器不在同一个网络内时,必须使用 DHCP 中继代理。
DHCP 中继代理(DHCP Relay Agent)负责沟通不同广播 域间的 DHCP 客户端和 DHCP 服务器的通讯。在如图 1 所 示的网络中,PC1 和 DHCP 服务器在同一个子网中,PC1 可 以作为客户端直接从服务器获取 IP;而 PC2 在另外一个子网 中,此时可以将连接两个子网的路由器或三层交换机配置为 一个 D H C P 中继代理,它相当于一个转发站,把收到的 D H C P 请求报文( D H C P D I S C O V E R )以单播形式转发给服务 器,也把收到的 DHCP 响应报文(DHCPOFFER)以广播形式转 发给 PC2。
体工作过程分为以下几步:
(1)请求:客户端以广播形式(目的IP为255.255.255.255)
发出 D H C P D I S C O V ER 消息,寻找网内的服务器,网内每一
台主机都会收到广播,但只有 DHCP 服务器才会作出响应。
(2 )提供:收到 DHCPDISCOVER 消息的服务器从自己的
址池
SwitchA(config-pool)#network 192.168.1.0 255.255.255.0
//配置可分配IP范围
SwitchA(config-pool)#default-router 192.168.1.1 //配置子
网 1 中 DHCP 客户端的网关
SwitchA(config-pool)#end
SwitchC(config)#ip address 192.168.2.1 255.255.255.0//配
置 VLAN2 的网关和 IP 范围 SwitchC(config)#no shutdown
其次在接入层交换机上配置 VLAN 端口,以子网 2 为例, 应对交换机 F 配置如下:
SwitchF#configure terminal SwitchF(config)#interface range fastethernet 0/1-24 SwitchF(config)#switchport access vlan 2
1 DHCP 及 DHCP 中继代理原理 1.1 DHCP 原理
DHCP(Dynamic Host Configuration Protocol,动态主机配 置协议)工作于 TCP/IP 协议簇的应用层,分为服务器端和客 户端两部分,在服务器端建立一个或多个IP地址池,给客户端 分配 IP 地址以及网关地址、子网掩码、DNS 地址等信息,具
[ 下转 7 3 页]
68
2009.4
应 用 安 全
(8)智能网络管理
一台机器出现故障、病毒侵入,应从管理中心处予以解决。
校园网的管理至关重要。校园网的管理分行政手段管理
②多层防御
Fra Baidu bibliotek
和技术手段管理:行政手段的管理主要是制定切实可行的用
新的防毒手段应将病毒检测、多层数据保护和集中式管
户、设备、系统管理制度,采取一定的奖惩手段,保障管理 理功能集成起来,形成多层防御体系。任何一种反病毒的解