柯秋莉

摘要：為了實驗室對復(fù)雜網(wǎng)絡(luò)管理能力的提升，該文主要針對DHCP服務(wù)在復(fù)雜網(wǎng)絡(luò)環(huán)境下的搭建與安全防護方法進行簡單介紹。重點針對三層網(wǎng)絡(luò)環(huán)境下建立Vlan，通過服務(wù)區(qū)將IP地址自動分配給每一個Vlan，并使不同Vlan間可相互訪問。最后對DHCP安全防護方法進行簡單介紹，目的在于提高實驗室DHCP的管理水平。

關(guān)鍵詞：實驗室；復(fù)雜網(wǎng)絡(luò)；Vlan；DHCP服務(wù)

中圖分類號：TP311 文獻標(biāo)識碼：A 文章編號：1009-3044（2016）11-0032-02

DHCP為動態(tài)主機分配協(xié)議，在UDP協(xié)議下進行使用，為局域網(wǎng)提供網(wǎng)絡(luò)協(xié)議，主要用途是將IP地址自動分配給LAN內(nèi)的主機，是實驗室內(nèi)部主機管理中管理員采取的主要管理措施，尤其在局域網(wǎng)環(huán)境下得到了廣泛的應(yīng)用。對試驗室復(fù)雜網(wǎng)絡(luò)進行管理時，采用DHCP服務(wù)進行管理非常重要，獲取IP地址時，利用廣播數(shù)據(jù)包，在一個廣播域內(nèi)實現(xiàn)DHCP服務(wù)。但是實際網(wǎng)絡(luò)環(huán)境中，為了對廣播包進行隔離，防止出現(xiàn)網(wǎng)絡(luò)風(fēng)暴，因此Vlan被廣泛應(yīng)用，這種情況下，DHCP服務(wù)的功能顯示出來。而在真實實驗室網(wǎng)絡(luò)環(huán)境中，通常所用的DHCP服務(wù)都是跨網(wǎng)段進行的，因此針對某一網(wǎng)段的DHCP服務(wù)已經(jīng)非常少。對于實驗室管理人員來說，對DHCP服務(wù)配置與安全防護進行掌握，有利于實現(xiàn)對復(fù)雜網(wǎng)絡(luò)環(huán)境的管理。本文主要通過H3C S3600三層交換機為例，分析HDCP服務(wù)器跨網(wǎng)構(gòu)建的方法及相關(guān)防護措施進行研究。

1 DHCP服務(wù)工作原理

DHCP的工作方式為C/S，在獲取IP地址時，DHCP客戶端計算機通常采用三種方法：首次登陸網(wǎng)絡(luò)、再次登陸網(wǎng)絡(luò)及延長IP地址租用有效期。DHCP服務(wù)采用UDP協(xié)議，在獲取TCP/IP協(xié)議時，DHCP客戶端計算機通過四線回話獲取：

1）發(fā)現(xiàn)階段。通過計算法將DHCP報文廣播向網(wǎng)絡(luò)發(fā)送，同時在網(wǎng)絡(luò)中對DHCP服務(wù)器進行搜索。

2）提供階段。DHCP收到報文以后，選取一個未分配的IP地址分配給計算機，并將出租IP地址及其他配置報文發(fā)送到客戶端計算機。

3）選擇階段。客戶端對DHCP網(wǎng)絡(luò)服務(wù)器進行IP地質(zhì)選擇，如果網(wǎng)絡(luò)中存在多個DHCP服務(wù)器，同時發(fā)送給DHCP客戶端多個IP地址，由于客戶端計算機智能接收一個報文，并且只能接收第一個報文，然后通過廣播將接收報文的信息發(fā)送到服務(wù)器，所發(fā)送信息包含選擇的IP地址。

4）確認階段。客戶端返回的報文被服務(wù)器收到后，向客戶端發(fā)送IP地址及其他配置的確認報文，客戶端收到報文后將TCI/IP協(xié)議和網(wǎng)卡綁定在一起。

對于客戶端計算機狀態(tài)而言，根據(jù)不同的功能分為六種狀態(tài)，即初始化、選擇、請求、綁定、更新及重新綁定六種狀態(tài)。可以對客戶端IP地址實現(xiàn)續(xù)租，如果初始租期達到一半的時候，客戶端會給DHCP服務(wù)器發(fā)出請求續(xù)租的廣播，HDCP服務(wù)器如果沒有對廣播進行回應(yīng)，客戶端系統(tǒng)會將請求廣播重復(fù)進行發(fā)送，直到第三次發(fā)送仍未給予回應(yīng)為止。租期達到87.5%的時候，需要重新綁定客戶端計算機，此時客戶機向網(wǎng)絡(luò)中所有DHCP服務(wù)器發(fā)送REUQEST消息，請求續(xù)租IP地址，HDCP服務(wù)器要是還沒有回應(yīng)，則IP地址停用，根據(jù)四線回話規(guī)則，對IP地址重新申請獲取。

2 構(gòu)建實驗室三層網(wǎng)絡(luò)環(huán)境下DHCP服務(wù)

2.1 實驗設(shè)備

實驗所需要設(shè)備如表1所示：

2.2 實驗網(wǎng)絡(luò)拓撲，圖1

2.3 實驗要求

對于一個實驗室來說，其內(nèi)部網(wǎng)絡(luò)往往不是單一，而是同時存在多個計算機網(wǎng)絡(luò)，本文所介紹實驗室中，包含有四個網(wǎng)絡(luò)：四個網(wǎng)絡(luò)之間的通信通過三層交換機完成，通過Windows 2008 Server對DHCP服務(wù)及安全防護進行相關(guān)設(shè)置，達到不同網(wǎng)絡(luò)環(huán)境下，計算機在開機以后，可以獲得HDCP服務(wù)器分配的不同網(wǎng)絡(luò)下的IP地址，各Vlan計算機之間也能相互連通。

2.4 實驗步驟

2.4.1 三層交換機配置

1）準(zhǔn)備工作。先登錄交換機。首先，建立配置環(huán)境，利用交換機配置的電纜將終端串口和以太網(wǎng)交換機接口連接起來，如圖2。其次，在計算機上運行終端防震程序，設(shè)置和交換機連接的串口終端通信參數(shù)，這些參數(shù)中，包括8位數(shù)據(jù)位和1位停止位，傳輸速率為9600bit/s，無流控、無校驗。第三，將三層交換機通電啟動，終端顯示屏內(nèi)顯示出自檢信息，自檢信息結(jié)束語后，按回車鍵進入系統(tǒng)，顯示命令提示符，可輸入命令。第四，鍵入命令，查看交換機運行狀態(tài)及相關(guān)參數(shù)的配置情況。在操作過程中，如果遇到疑問和不會的操作時，可以輸入問號查詢，輸入具體命令時，可以參考配置手冊完成輸入。

2）創(chuàng)建DHCP及設(shè)置相關(guān)參數(shù)。首先，對Vlan在三層交換機上進行設(shè)置。其次，設(shè)置完成以后，將三層交換機中的DHCP代理功能開啟。第三，對Vlan指定相關(guān)DHCP服務(wù)器。第四，默認端口正確配置。第五，將靜態(tài)路由在H3C U200-C路由器上正確進行配置。

2.4.2 配置動態(tài)IP地址作用域

服務(wù)器為微軟最新視窗操作系統(tǒng)，與以前版本對比該服務(wù)器的其穩(wěn)定性更可靠。通過操作系統(tǒng)的加強可以實現(xiàn)Windows 2008 Server的保護網(wǎng)絡(luò)環(huán)境的安全性功能，對IT系統(tǒng)在加快部署與維護的時候，利用現(xiàn)有應(yīng)用程度或虛擬化的服務(wù)器會使操作變得更加簡單，能夠?qū)⒐芾砉ぞ咧苯咏o出，由此可見，Windows 2008 Server能夠提供能加方便、快捷、靈活的操作方法，方便IT人員操作，也使實驗室計算機服務(wù)器建設(shè)與網(wǎng)絡(luò)基礎(chǔ)的構(gòu)建效率更高。對動態(tài)IP地址作用域進行配置的時候，遵循以下步驟：首先，在服務(wù)器系統(tǒng)中打開服務(wù)器管理界面，查找DHCP服務(wù)器內(nèi)的四個網(wǎng)絡(luò)，建立四個Vlan的IP地址段的動態(tài)地址作用域。其次，為了方便記憶和分類，新建作用域用各自Vlan名稱命名。第三，根據(jù)實際情況設(shè)定動態(tài)IP地址的范圍，同時也可以對排除地址范圍進行設(shè)置。第四，默認IP地址租期為8天。第五，針對不同的Vlan設(shè)置不同的IP地址。第六，在同一臺服務(wù)器上安裝DHCP服務(wù)于DNS服務(wù)，因此DNC IP地址設(shè)置為與Vlan接口IP地址相同的父域名。最后，將作用域激活， DHCP服務(wù)功能即可啟動。

2.5 實驗結(jié)果

在不同Vlan計算機上運行IP地址獲取命令，看能否得到IP地址，并運行ping命令，查看四個Vlan計算機是否已經(jīng)連通，如果可以連通，則表明實驗成果。啟動DHCP服務(wù)，能夠看到四個Vlan動態(tài)IP地址分配作用域均開啟，而連接在Vlan中的多臺客戶端計算機均獲取到對應(yīng)的IP地址。

3 實驗室網(wǎng)絡(luò)DHCP安全防護策略

3.1 重復(fù)分配IP地址造成沖突故障

實驗室局域網(wǎng)中經(jīng)常出現(xiàn)的一類故障就是IP地址沖突問題，造成客戶端沒有辦法獲取IP地址。很多時候，此類故障被認為是ARP病毒引起，但實質(zhì)上DHCP問題也會造成這類故障出現(xiàn)。為了對IP地址沖突的問題進行預(yù)防，服務(wù)器在分配IP地址以前，對IP地址要先進行探測，通過ping功能實現(xiàn)，通過檢測可以將指定時間段內(nèi)可能出現(xiàn)沖突的IP地址檢測出來。DHCP服務(wù)器通過發(fā)送目的地址為需要分配的IP地址回顯請求報文，如果客戶端收到報文，則需要重新選擇新的IP地址進行再次檢測，直到指定時間內(nèi)無法收到回顯報文，則可確認該IP地址時唯一的。

3.2 DOS攻擊造成IP地址資源耗盡

此類問題可以理解為人為破壞，如果有人惡意通過病毒軟件對計算機的MAC地址不斷進行修改，并想DHCP服務(wù)器發(fā)送請求IP地址報文，那么服務(wù)器中的IP地址很快就會耗盡，造成其他用戶無法獲取IP地址，無法進行網(wǎng)絡(luò)通信，這就是DOS攻擊。為防止DOS攻擊，可通過DHCP SNOOPING綁定表來解決，客戶端發(fā)送報文時，綁定表對其中的各項內(nèi)容會進行檢查，報文內(nèi)容與綁定表數(shù)據(jù)庫內(nèi)容匹配，則可通過，反之則丟棄，這樣能夠防止人為修改客戶端MAC地址和IP地址，保證IP地址資源不被人為破壞。

4 結(jié)束語

在實驗室局域網(wǎng)中通過DHCP服務(wù)對IP地址進行分配，實現(xiàn)復(fù)雜網(wǎng)絡(luò)環(huán)境下的DHCP配置及安全問題。本文主要針對DHCP服務(wù)在復(fù)雜網(wǎng)絡(luò)環(huán)境下的構(gòu)建進行分析，并對DHCP服務(wù)應(yīng)用中存在的安全問題進行分析，提出相關(guān)解決措施，保證了實驗室網(wǎng)絡(luò)管理的有效性。

參考文獻：

[1] 譚毓銀， 王隆娟. 基于VMware虛擬網(wǎng)絡(luò)技術(shù)的DHCP服務(wù)器實驗設(shè)計[J]. 電子設(shè)計工程， 2013（22）： 20-22.

[2] 張心健， 李子平， 尹鵬帥. 基于DHCP協(xié)議的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)研究與實現(xiàn)[J]. 信息網(wǎng)絡(luò)安全， 2012（9）： 65-69.