方昕，郭建忠

(天津科技大學(xué)信息化建設(shè)與管理辦公室，天津，300222)

基于DHCP的校園網(wǎng)網(wǎng)絡(luò)管理模式的設(shè)計(jì)與分析

方昕，郭建忠

(天津科技大學(xué)信息化建設(shè)與管理辦公室，天津，300222)

本文分析動態(tài)主機(jī)分配協(xié)議（DHCP）進(jìn)行網(wǎng)絡(luò)管理的優(yōu)點(diǎn)和缺點(diǎn)，針對DHCP 的缺點(diǎn)進(jìn)行改進(jìn)，提出一種基于DHCP 的網(wǎng)絡(luò)管理模式，描述該模式的系統(tǒng)結(jié)構(gòu)、設(shè)計(jì)思想、功能和實(shí)現(xiàn)方法，著重介紹了Solaris系統(tǒng)的DHCP應(yīng)用擴(kuò)展，網(wǎng)絡(luò)交換設(shè)備DHCP-snooping的實(shí)現(xiàn)流程。關(guān)鍵詞：網(wǎng)絡(luò)管理模式；DHCP；DHCP中繼；DHCP-snooping；Solaris

Abstract:This article discusses both advantages and disadvantages of DHCP protocol. In order to resolve the disadvantages, the author proposes a management mode of DHCP-Based Campus Network, describes the design of the System framework and the function component, introduces DHCP extended application in Solaris system and analyses the processes of DHCP-Snooping in network switch in detail.

Key words:Management Mode of Network; DHCP; DHCP Relay; DHCP-Snooping; Solaris

1.概述

隨著校園網(wǎng)建設(shè)及應(yīng)用的不斷發(fā)展和深化，校園網(wǎng)用戶的網(wǎng)絡(luò)接入需求越來越多，校園網(wǎng)管理部門針對激增的需求也適時(shí)調(diào)整和改進(jìn)了網(wǎng)絡(luò)的接入方式技術(shù)，使得網(wǎng)絡(luò)接入更加靈活易用。當(dāng)前校園網(wǎng)的安全事件和故障問題大多是由于用戶不是很熟悉計(jì)算機(jī)網(wǎng)絡(luò)知識，不會正常配置和使用校園網(wǎng)以及隨意更改IP地址或網(wǎng)卡MAC地址造成的網(wǎng)絡(luò)沖突和故障，這對校園網(wǎng)的合理使用和安全管理提出了新的挑戰(zhàn)。構(gòu)建一個安全高效的網(wǎng)絡(luò)，需要根據(jù)網(wǎng)絡(luò)整體架構(gòu)以及網(wǎng)絡(luò)實(shí)際使用情況綜合考慮，不但要讓用戶方便易用，還要求校園網(wǎng)管理部門能夠有效管理IP地址和MAC地址，充分考慮網(wǎng)絡(luò)接入點(diǎn)控制、地址分配、認(rèn)證訪問等問題，這就需要通過網(wǎng)絡(luò)設(shè)備，應(yīng)用服務(wù)器協(xié)同作用，形成一套較完整的安全性和易用性并重的校園網(wǎng)網(wǎng)絡(luò)管理模式。

根據(jù)以上的網(wǎng)絡(luò)設(shè)計(jì)需求，結(jié)合學(xué)校校園網(wǎng)的特點(diǎn)和用戶使用習(xí)慣，提出基于DHCP地址分配，利用Solaris服務(wù)器系統(tǒng)進(jìn)行DHCP應(yīng)用擴(kuò)展，同時(shí)交換設(shè)備提供DHCP中繼支持以及用戶機(jī)客戶端上網(wǎng)認(rèn)證，構(gòu)建一個IP和MAC綁定的跨網(wǎng)DHCP強(qiáng)制分配機(jī)制，校園網(wǎng)認(rèn)證接入，網(wǎng)絡(luò)資源客戶端認(rèn)證的校園網(wǎng)網(wǎng)絡(luò)管理模式。

圖1 一次典型的DHCP獲取IP的過程

2.關(guān)鍵技術(shù)

2.1 DHCP

2.1.1 DHCP協(xié)議及DHCP中繼功能

DHCP 是Dynamic Host Configuration Protocol 的縮寫，也叫動態(tài)主機(jī)配置協(xié)議。DHCP 是TCP/IP 通信協(xié)議中，用來暫時(shí)指定網(wǎng)絡(luò)中某臺計(jì)算機(jī)IP 地址的通信協(xié)議。見圖1。

DHCP中繼工作原理：當(dāng)DHCP客戶機(jī)啟動并進(jìn)行DHCP初始化時(shí)，首先客戶機(jī)會在本地網(wǎng)絡(luò)廣播配置請求報(bào)文。若本地網(wǎng)絡(luò)內(nèi)沒有DHCP服務(wù)器，則與本地網(wǎng)絡(luò)相連的具有DHCP中繼功能的網(wǎng)絡(luò)設(shè)備收到該廣播報(bào)文后，進(jìn)行適當(dāng)處理并轉(zhuǎn)發(fā)給指定的其他網(wǎng)絡(luò)上的DHCP服務(wù)器，服務(wù)器根據(jù)DHCP客戶機(jī)提供的信息進(jìn)行相應(yīng)的配置，并通過DHCP中繼將配置信息發(fā)送給DHCP客戶機(jī)，完成客戶機(jī)的動態(tài)配置。

2.1.2 傳統(tǒng)DHCP分配機(jī)制的優(yōu)缺點(diǎn)使用傳統(tǒng)DHCP分配機(jī)制的優(yōu)點(diǎn)有：

1. 簡化管理IP地址的分配工作；

2.簡化客戶機(jī)配置，避免配置錯誤；

3.客戶機(jī)在同一子網(wǎng)內(nèi)移動時(shí)，無需更改配置；

4.有效管理利用IP地址資源，避免浪費(fèi)。

使用傳統(tǒng)DHCP分配機(jī)制的缺點(diǎn)有：

1.DHCP 不能發(fā)現(xiàn)網(wǎng)絡(luò)上非DHCP 客戶端已經(jīng)在使用的IP地址；

2.DHCP 服務(wù)器對于用戶的接入沒有限制，任何一臺計(jì)算機(jī)只要連接到網(wǎng)絡(luò)上，就能夠通過DHCP 服務(wù)器獲得正確的網(wǎng)絡(luò)配置，從而訪問網(wǎng)絡(luò)。這樣使得非法用戶很容易進(jìn)入內(nèi)部網(wǎng)絡(luò)，從而帶來安全隱患；

3.當(dāng)網(wǎng)絡(luò)上存在多個DHCP 服務(wù)器時(shí)，尤其是存在私設(shè)的冒充DHCP 服務(wù)器時(shí)，一個DHCP 服務(wù)器不能查出已被其他服務(wù)器租出去的IP 地址，這樣將會給網(wǎng)絡(luò)造成混亂；

4.DHCP 服務(wù)器不能跨路由器與客戶端通信，除非路由器允許BOOTP 轉(zhuǎn)發(fā);

圖2 整體網(wǎng)絡(luò)架構(gòu)

5.傳統(tǒng)的DHCP服務(wù)器缺乏完善的租用日志記錄，對接入網(wǎng)絡(luò)的用戶追蹤功能支持弱。

2.2 Solaris操作系統(tǒng)的DHCP服務(wù)及其擴(kuò)展應(yīng)用

Solaris 是Sun Microsystems研發(fā)的計(jì)算機(jī) 操作系統(tǒng)。它被認(rèn)為是UNIX操作系統(tǒng)的衍生版本之一。支持多種系統(tǒng)架構(gòu)：SPARC, x86和x64。x64即AMD64及EMT64處理器。該系統(tǒng)以運(yùn)行穩(wěn)定，功能完善著稱。

Solaris DHCP 服務(wù)器支持以下類型的IP 地址分配：

1.手動分配：服務(wù)器為特定的DHCP 客戶機(jī)提供為其選擇的特定IP 地址（該地址不可回收或指定給其他客戶機(jī)）；

2.自動或永久性分配：服務(wù)器提供沒有失效期的IP 地址,使其與客戶機(jī)永久性地關(guān)聯(lián)，直到用戶更改了這種指定方式或客戶機(jī)釋放了該地址；

3.動態(tài)分配：服務(wù)器向發(fā)出請求的客戶機(jī)提供可租用特定一段時(shí)間的IP 地址。當(dāng)租用到期時(shí)，該地址可由服務(wù)器收回并可指定給其他客戶機(jī)，具體期限由為服務(wù)器配置的租用時(shí)間決定。

Solaris的DHCP服務(wù)優(yōu)勢有：

1.較為完善的IP地址管理；

2.網(wǎng)絡(luò)客戶機(jī)集中配置，可以對不同客戶機(jī)定制不同的配置；

3.支持BOOTP客戶機(jī)；

4.大型網(wǎng)絡(luò)支持，Solaris的DHCP服務(wù)最多可以支持10萬臺客戶機(jī)；

5.支持本地客戶機(jī)和遠(yuǎn)程客戶機(jī)，DHCP 通過數(shù)種方法利用 BOOTP 的中繼功能。

根據(jù)以上介紹，可以看出Solaris對DHCP服務(wù)的支持是很強(qiáng)大的，同時(shí)有自己的特色功能擴(kuò)展，比如利用Solaris DHCP的第一種IP地址分配類型，可以支持IP和MAC綁定，并能封殺盜用MAC地址的非法用戶。

圖3 配置netmasks文件

2.3 DHCP-Snooping

DHCP-Snooping技術(shù)是DHCP安全特性，通過建立和維護(hù)DHCP-Snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。DHCP-Snooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID接口等信息。

交換機(jī)設(shè)置DHCP-Snooping可以隔絕非法的DHCP服務(wù)器，也就是客戶機(jī)只信任來自DHCP-Snooping trust端口的DHCP報(bào)文，同時(shí)交換機(jī)還會建立一張DHCP-Snooping的綁定表，可以記錄用戶的IP地址和MAC地址的對應(yīng)關(guān)系。

3.網(wǎng)絡(luò)模型的設(shè)計(jì)與部署

3.1 整體架構(gòu)

整個架構(gòu)是由2個部分組成，一部分是網(wǎng)絡(luò)部分，有核心三層交換設(shè)備，匯聚三層交換設(shè)備以及二層交換機(jī)組成，另一部分就是服務(wù)器組，包括：DHCP服務(wù)器和認(rèn)證服務(wù)器，如圖2。

我們設(shè)計(jì)的校園網(wǎng)網(wǎng)絡(luò)管理模型如下：

校園網(wǎng)內(nèi)強(qiáng)制使用DHCP機(jī)制獲取IP，先由客戶機(jī)用戶人工登記網(wǎng)卡MAC地址和用戶信息，通過管理部門的操作，在DHCP服務(wù)器中將MAC地址與分配的IP進(jìn)行綁定，同時(shí)用戶會在認(rèn)證服務(wù)器上申請獲得用戶認(rèn)證賬號。用戶具備了這2個認(rèn)證即客戶機(jī)的IP認(rèn)證和用戶的賬號認(rèn)證就可以接入校園網(wǎng)，使用網(wǎng)絡(luò)資源。

3.2 DHCP服務(wù)器架設(shè)

DHCP服務(wù)是通過Solaris操作系統(tǒng)來提供的，但是安裝Solaris系統(tǒng)時(shí)需要分清服務(wù)器的系統(tǒng)架構(gòu)，安裝過程中選中DHCP模塊。

安裝好系統(tǒng)后配置好服務(wù)器的網(wǎng)絡(luò)參數(shù)，然后對DHCP服務(wù)進(jìn)行配置。

以root身份登錄后，首先配置/etc/目錄下的netmasks文件，將需要DHCP的IP地址池的網(wǎng)絡(luò)地址和掩碼添加進(jìn)該文件，如圖3。

下面進(jìn)入配置DHCP管理程序，通過在/usr/sadm/admin/bin文件夾下的dhcpmgr命令啟動Solaris下的DHCP管理程序。

之前配置了netmasks文件，這樣在DHCP管理程序的宏設(shè)置界面中就會出現(xiàn)相應(yīng)的網(wǎng)絡(luò)段選項(xiàng)，對其具體參數(shù)進(jìn)行配置，需要注意的是其中的“LeaseTim”選項(xiàng)是用來規(guī)定獲取的IP地址租用時(shí)間的長度，由于網(wǎng)絡(luò)設(shè)計(jì)的需要，這里可以設(shè)定較長的時(shí)間，減少客戶機(jī)在IP租用到期時(shí)與服務(wù)器進(jìn)行續(xù)約的次數(shù)，簡化網(wǎng)絡(luò)，如圖4。

配置完宏選項(xiàng)后，就可以依次創(chuàng)建配置“網(wǎng)絡(luò)向?qū)А焙汀暗刂废驅(qū)А?，其中網(wǎng)絡(luò)向?qū)墙⒃摼W(wǎng)絡(luò)地址的DHCP整體網(wǎng)絡(luò)配置，比如路由，網(wǎng)絡(luò)地址，子網(wǎng)掩碼等；地址向?qū)t是對該網(wǎng)絡(luò)地址中具體IP段配置，比如IP地址范圍，對應(yīng)的宏配置等，如圖5。

圖5 配置網(wǎng)絡(luò)向?qū)Ш偷刂废驅(qū)?/p>

圖6 DHCP管理程序

配置了DHCP網(wǎng)絡(luò)的宏配置、網(wǎng)絡(luò)向?qū)А⒌刂废驅(qū)Ш?，就完成一個DHCP網(wǎng)絡(luò)的基本配置，如圖6。

按照網(wǎng)絡(luò)設(shè)計(jì)，需要對用戶的網(wǎng)卡MAC地址進(jìn)行綁定，以保證用戶每次都能從服務(wù)器獲取相同的IP地址，利用批處理命令將用戶IP和網(wǎng)卡MAC地址信息加到DHCP數(shù)據(jù)庫中，命令如下：

其中：a.a.a.a是分給用戶的IP地址，01bbbbbbbbbbbb是用戶的網(wǎng)卡MAC地址前面加上01字符，c.c.c.c是用戶所在的地址池的名稱。

這樣一個完整的DHCP網(wǎng)絡(luò)就設(shè)置完畢了，用戶就可以通過到網(wǎng)絡(luò)管理部門注冊網(wǎng)卡MAC地址后，獲取IP地址。

同時(shí)可以從圖6中的IP地址列表看到，一般正常的IP地址的標(biāo)志段都是“保留的”，而期滿段則是該IP上一次申請的到期時(shí)間，而圖6中有一行數(shù)據(jù)為深色粗字體，并且標(biāo)志項(xiàng)為“不可用的”，就說明該IP地址的使用者可能發(fā)生了MAC地址重復(fù)使用的情況，從而杜絕用戶通過修改網(wǎng)卡MAC地址上網(wǎng)造成的網(wǎng)絡(luò)混亂現(xiàn)象。我們可以通過雙擊這一行，將其“不可使用的”狀態(tài)取消，來恢復(fù)這一地址的正常使用。

3.3 網(wǎng)絡(luò)交換設(shè)備的配置

3.3.1核心及匯聚交換設(shè)備

首先，要將所有需要開啟DHCP中繼功能的交換設(shè)備打開該功能。

其次，在用戶VLAN網(wǎng)關(guān)所在的匯聚交換機(jī)上設(shè)置DHCP服務(wù)器組。

再次，模型中要求用戶的客戶機(jī)只能通過DHCP動態(tài)獲取地址來使用網(wǎng)絡(luò)，就需要在匯聚交換設(shè)備上加上配置禁止靜態(tài)地址的使用。

下面以H3C 7506E匯聚交換設(shè)備為例，進(jìn)行配置：

3.3.2 二層接入交換機(jī)

接入層交換機(jī)只需要配置DHCP-Snooping安全特性參數(shù)就可以了，下面以H3C E152交換機(jī)為例，配置如下：

3.4 結(jié)合校園網(wǎng)認(rèn)證系統(tǒng)

用戶申請認(rèn)證系統(tǒng)賬號，在認(rèn)證系統(tǒng)中將用戶的賬號和IP地址等信息進(jìn)行綁定就可以了。

4.結(jié)語

本文是根據(jù)校園網(wǎng)的實(shí)際情況，針對DHCP傳統(tǒng)模式的缺點(diǎn)進(jìn)行改進(jìn)，同時(shí)利用網(wǎng)絡(luò)交換設(shè)備進(jìn)行技術(shù)支持，再引入DHCP和用戶認(rèn)證相結(jié)合，完善了管理，從而為校園網(wǎng)絡(luò)提供了一個安全有效的網(wǎng)絡(luò)管理模式。

[1] 湯紅軍.DHCP中繼代理在校園網(wǎng)中的應(yīng)用分析研究.計(jì)算機(jī)系統(tǒng)應(yīng)用,2008(4): 100-102.

[2] 伍銀，楊厚云，王遵剛.認(rèn)證計(jì)費(fèi)技術(shù)在校園網(wǎng)中的應(yīng)用［J］.北京機(jī)械工業(yè)學(xué)院學(xué)報(bào)，2006，3：50-53.

[3] 劉聯(lián)海，周德新.安全DHCP系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).信息技術(shù),2004,(8):41-43.

[4] 王利明. 淺析基于DHCP 的網(wǎng)絡(luò)的缺陷和改進(jìn)挑戰(zhàn)網(wǎng)絡(luò)管理［J］. 計(jì)算機(jī)周刊，2001（46）：18-19.