基于DHCP的校園網(wǎng)網(wǎng)絡管理模式的設計與分析

2011-09-25 09:25:16方昕郭建忠

中國教育網(wǎng)絡 2011年1期

方昕，郭建忠

(天津科技大學信息化建設與管理辦公室，天津，300222)

方昕，郭建忠

(天津科技大學信息化建設與管理辦公室，天津，300222)

本文分析動態(tài)主機分配協(xié)議（DHCP）進行網(wǎng)絡管理的優(yōu)點和缺點，針對DHCP 的缺點進行改進，提出一種基于DHCP 的網(wǎng)絡管理模式，描述該模式的系統(tǒng)結(jié)構(gòu)、設計思想、功能和實現(xiàn)方法，著重介紹了Solaris系統(tǒng)的DHCP應用擴展，網(wǎng)絡交換設備DHCP-snooping的實現(xiàn)流程。關鍵詞：網(wǎng)絡管理模式；DHCP；DHCP中繼；DHCP-snooping；Solaris

Abstract:This article discusses both advantages and disadvantages of DHCP protocol. In order to resolve the disadvantages, the author proposes a management mode of DHCP-Based Campus Network, describes the design of the System framework and the function component, introduces DHCP extended application in Solaris system and analyses the processes of DHCP-Snooping in network switch in detail.

Key words:Management Mode of Network; DHCP; DHCP Relay; DHCP-Snooping; Solaris

1.概述

隨著校園網(wǎng)建設及應用的不斷發(fā)展和深化，校園網(wǎng)用戶的網(wǎng)絡接入需求越來越多，校園網(wǎng)管理部門針對激增的需求也適時調(diào)整和改進了網(wǎng)絡的接入方式技術，使得網(wǎng)絡接入更加靈活易用。當前校園網(wǎng)的安全事件和故障問題大多是由于用戶不是很熟悉計算機網(wǎng)絡知識，不會正常配置和使用校園網(wǎng)以及隨意更改IP地址或網(wǎng)卡MAC地址造成的網(wǎng)絡沖突和故障，這對校園網(wǎng)的合理使用和安全管理提出了新的挑戰(zhàn)。構(gòu)建一個安全高效的網(wǎng)絡，需要根據(jù)網(wǎng)絡整體架構(gòu)以及網(wǎng)絡實際使用情況綜合考慮，不但要讓用戶方便易用，還要求校園網(wǎng)管理部門能夠有效管理IP地址和MAC地址，充分考慮網(wǎng)絡接入點控制、地址分配、認證訪問等問題，這就需要通過網(wǎng)絡設備，應用服務器協(xié)同作用，形成一套較完整的安全性和易用性并重的校園網(wǎng)網(wǎng)絡管理模式。

根據(jù)以上的網(wǎng)絡設計需求，結(jié)合學校校園網(wǎng)的特點和用戶使用習慣，提出基于DHCP地址分配，利用Solaris服務器系統(tǒng)進行DHCP應用擴展，同時交換設備提供DHCP中繼支持以及用戶機客戶端上網(wǎng)認證，構(gòu)建一個IP和MAC綁定的跨網(wǎng)DHCP強制分配機制，校園網(wǎng)認證接入，網(wǎng)絡資源客戶端認證的校園網(wǎng)網(wǎng)絡管理模式。

圖1 一次典型的DHCP獲取IP的過程

2.關鍵技術

2.1 DHCP

2.1.1 DHCP協(xié)議及DHCP中繼功能

DHCP 是Dynamic Host Configuration Protocol 的縮寫，也叫動態(tài)主機配置協(xié)議。DHCP 是TCP/IP 通信協(xié)議中，用來暫時指定網(wǎng)絡中某臺計算機IP 地址的通信協(xié)議。見圖1。

DHCP中繼工作原理：當DHCP客戶機啟動并進行DHCP初始化時，首先客戶機會在本地網(wǎng)絡廣播配置請求報文。若本地網(wǎng)絡內(nèi)沒有DHCP服務器，則與本地網(wǎng)絡相連的具有DHCP中繼功能的網(wǎng)絡設備收到該廣播報文后，進行適當處理并轉(zhuǎn)發(fā)給指定的其他網(wǎng)絡上的DHCP服務器，服務器根據(jù)DHCP客戶機提供的信息進行相應的配置，并通過DHCP中繼將配置信息發(fā)送給DHCP客戶機，完成客戶機的動態(tài)配置。

2.1.2 傳統(tǒng)DHCP分配機制的優(yōu)缺點使用傳統(tǒng)DHCP分配機制的優(yōu)點有：

1. 簡化管理IP地址的分配工作；

2.簡化客戶機配置，避免配置錯誤；

3.客戶機在同一子網(wǎng)內(nèi)移動時，無需更改配置；

4.有效管理利用IP地址資源，避免浪費。

使用傳統(tǒng)DHCP分配機制的缺點有：

1.DHCP 不能發(fā)現(xiàn)網(wǎng)絡上非DHCP 客戶端已經(jīng)在使用的IP地址；

2.DHCP 服務器對于用戶的接入沒有限制，任何一臺計算機只要連接到網(wǎng)絡上，就能夠通過DHCP 服務器獲得正確的網(wǎng)絡配置，從而訪問網(wǎng)絡。這樣使得非法用戶很容易進入內(nèi)部網(wǎng)絡，從而帶來安全隱患；

3.當網(wǎng)絡上存在多個DHCP 服務器時，尤其是存在私設的冒充DHCP 服務器時，一個DHCP 服務器不能查出已被其他服務器租出去的IP 地址，這樣將會給網(wǎng)絡造成混亂；

4.DHCP 服務器不能跨路由器與客戶端通信，除非路由器允許BOOTP 轉(zhuǎn)發(fā);

圖2 整體網(wǎng)絡架構(gòu)

5.傳統(tǒng)的DHCP服務器缺乏完善的租用日志記錄，對接入網(wǎng)絡的用戶追蹤功能支持弱。

2.2 Solaris操作系統(tǒng)的DHCP服務及其擴展應用

Solaris 是Sun Microsystems研發(fā)的計算機操作系統(tǒng)。它被認為是UNIX操作系統(tǒng)的衍生版本之一。支持多種系統(tǒng)架構(gòu)：SPARC, x86和x64。x64即AMD64及EMT64處理器。該系統(tǒng)以運行穩(wěn)定，功能完善著稱。

Solaris DHCP 服務器支持以下類型的IP 地址分配：

1.手動分配：服務器為特定的DHCP 客戶機提供為其選擇的特定IP 地址（該地址不可回收或指定給其他客戶機）；

2.自動或永久性分配：服務器提供沒有失效期的IP 地址,使其與客戶機永久性地關聯(lián)，直到用戶更改了這種指定方式或客戶機釋放了該地址；

3.動態(tài)分配：服務器向發(fā)出請求的客戶機提供可租用特定一段時間的IP 地址。當租用到期時，該地址可由服務器收回并可指定給其他客戶機，具體期限由為服務器配置的租用時間決定。

Solaris的DHCP服務優(yōu)勢有：

1.較為完善的IP地址管理；

2.網(wǎng)絡客戶機集中配置，可以對不同客戶機定制不同的配置；

3.支持BOOTP客戶機；

4.大型網(wǎng)絡支持，Solaris的DHCP服務最多可以支持10萬臺客戶機；

5.支持本地客戶機和遠程客戶機，DHCP 通過數(shù)種方法利用 BOOTP 的中繼功能。

根據(jù)以上介紹，可以看出Solaris對DHCP服務的支持是很強大的，同時有自己的特色功能擴展，比如利用Solaris DHCP的第一種IP地址分配類型，可以支持IP和MAC綁定，并能封殺盜用MAC地址的非法用戶。

圖3 配置netmasks文件

2.3 DHCP-Snooping

DHCP-Snooping技術是DHCP安全特性，通過建立和維護DHCP-Snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。DHCP-Snooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID接口等信息。

交換機設置DHCP-Snooping可以隔絕非法的DHCP服務器，也就是客戶機只信任來自DHCP-Snooping trust端口的DHCP報文，同時交換機還會建立一張DHCP-Snooping的綁定表，可以記錄用戶的IP地址和MAC地址的對應關系。

3.網(wǎng)絡模型的設計與部署

3.1 整體架構(gòu)

整個架構(gòu)是由2個部分組成，一部分是網(wǎng)絡部分，有核心三層交換設備，匯聚三層交換設備以及二層交換機組成，另一部分就是服務器組，包括：DHCP服務器和認證服務器，如圖2。

我們設計的校園網(wǎng)網(wǎng)絡管理模型如下：

校園網(wǎng)內(nèi)強制使用DHCP機制獲取IP，先由客戶機用戶人工登記網(wǎng)卡MAC地址和用戶信息，通過管理部門的操作，在DHCP服務器中將MAC地址與分配的IP進行綁定，同時用戶會在認證服務器上申請獲得用戶認證賬號。用戶具備了這2個認證即客戶機的IP認證和用戶的賬號認證就可以接入校園網(wǎng)，使用網(wǎng)絡資源。

3.2 DHCP服務器架設

DHCP服務是通過Solaris操作系統(tǒng)來提供的，但是安裝Solaris系統(tǒng)時需要分清服務器的系統(tǒng)架構(gòu)，安裝過程中選中DHCP模塊。

安裝好系統(tǒng)后配置好服務器的網(wǎng)絡參數(shù)，然后對DHCP服務進行配置。

以root身份登錄后，首先配置/etc/目錄下的netmasks文件，將需要DHCP的IP地址池的網(wǎng)絡地址和掩碼添加進該文件，如圖3。

下面進入配置DHCP管理程序，通過在/usr/sadm/admin/bin文件夾下的dhcpmgr命令啟動Solaris下的DHCP管理程序。

之前配置了netmasks文件，這樣在DHCP管理程序的宏設置界面中就會出現(xiàn)相應的網(wǎng)絡段選項，對其具體參數(shù)進行配置，需要注意的是其中的“LeaseTim”選項是用來規(guī)定獲取的IP地址租用時間的長度，由于網(wǎng)絡設計的需要，這里可以設定較長的時間，減少客戶機在IP租用到期時與服務器進行續(xù)約的次數(shù)，簡化網(wǎng)絡，如圖4。

配置完宏選項后，就可以依次創(chuàng)建配置“網(wǎng)絡向?qū)А焙汀暗刂废驅(qū)А?，其中網(wǎng)絡向?qū)墙⒃摼W(wǎng)絡地址的DHCP整體網(wǎng)絡配置，比如路由，網(wǎng)絡地址，子網(wǎng)掩碼等；地址向?qū)t是對該網(wǎng)絡地址中具體IP段配置，比如IP地址范圍，對應的宏配置等，如圖5。

圖5 配置網(wǎng)絡向?qū)Ш偷刂废驅(qū)?/p>

圖6 DHCP管理程序

配置了DHCP網(wǎng)絡的宏配置、網(wǎng)絡向?qū)?、地址向?qū)Ш?，就完成一個DHCP網(wǎng)絡的基本配置，如圖6。

按照網(wǎng)絡設計，需要對用戶的網(wǎng)卡MAC地址進行綁定，以保證用戶每次都能從服務器獲取相同的IP地址，利用批處理命令將用戶IP和網(wǎng)卡MAC地址信息加到DHCP數(shù)據(jù)庫中，命令如下：

其中：a.a.a.a是分給用戶的IP地址，01bbbbbbbbbbbb是用戶的網(wǎng)卡MAC地址前面加上01字符，c.c.c.c是用戶所在的地址池的名稱。

這樣一個完整的DHCP網(wǎng)絡就設置完畢了，用戶就可以通過到網(wǎng)絡管理部門注冊網(wǎng)卡MAC地址后，獲取IP地址。

同時可以從圖6中的IP地址列表看到，一般正常的IP地址的標志段都是“保留的”，而期滿段則是該IP上一次申請的到期時間，而圖6中有一行數(shù)據(jù)為深色粗字體，并且標志項為“不可用的”，就說明該IP地址的使用者可能發(fā)生了MAC地址重復使用的情況，從而杜絕用戶通過修改網(wǎng)卡MAC地址上網(wǎng)造成的網(wǎng)絡混亂現(xiàn)象。我們可以通過雙擊這一行，將其“不可使用的”狀態(tài)取消，來恢復這一地址的正常使用。

3.3 網(wǎng)絡交換設備的配置

3.3.1核心及匯聚交換設備

首先，要將所有需要開啟DHCP中繼功能的交換設備打開該功能。

其次，在用戶VLAN網(wǎng)關所在的匯聚交換機上設置DHCP服務器組。

再次，模型中要求用戶的客戶機只能通過DHCP動態(tài)獲取地址來使用網(wǎng)絡，就需要在匯聚交換設備上加上配置禁止靜態(tài)地址的使用。

下面以H3C 7506E匯聚交換設備為例，進行配置：