劉志剛+戴昭+魏曉光+萬(wàn)光明

【摘要】 本文介紹了一種基于DHCP技術(shù)的局域網(wǎng)地址綁定方法，基于局域網(wǎng)終端動(dòng)態(tài)和靜態(tài)兩種IP地址獲取方式，利用網(wǎng)絡(luò)交換機(jī)作為DHCP中繼代理，在DHCP服務(wù)器上設(shè)置終端IP與MAC地址綁定，實(shí)現(xiàn)了局域網(wǎng)IP地址與終端的高效管理，同時(shí)避免了IP地址容易被他人占用、非法DHCP服務(wù)器干擾等安全性問(wèn)題。

【關(guān)鍵詞】 DHCP 地址 綁定

一、引言

DHCP（Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議）常被用于局域網(wǎng)集中管理IP地址分配，網(wǎng)絡(luò)終端動(dòng)態(tài)獲取IP地址、網(wǎng)關(guān)、DNS服務(wù)器地址等信息。本文介紹了一種基于DHCP的局域網(wǎng)地址綁定技術(shù)，終端從DHCP服務(wù)器獲取IP地址，卻無(wú)法冒用其它用戶的IP，從而實(shí)現(xiàn)了局域網(wǎng)IP和MAC地址綁定。

二、DHCP服務(wù)器地址分配方式

DHCP服務(wù)有三種IP地址機(jī)制分配：1、自動(dòng)永久分配方式。DHCP服務(wù)器為終端自動(dòng)分配一個(gè)永久性的IP地址，DHCP客戶端成功從服務(wù)器租用到IP地址后就可以永久性的使用該地址。2、動(dòng)態(tài)分配方式。DHCP服務(wù)器為終端動(dòng)態(tài)分配一個(gè)有時(shí)間限制的IP地址，到期或終端不再續(xù)約時(shí)，該地址可以被其他主機(jī)使用。3、手工固定分配方式。終端的IP和MAC地址是預(yù)先配置在DHCP服務(wù)器上的，DHCP服務(wù)器只是將指定的IP地址分配給相應(yīng)MAC地址的終端。

三、DHCP中繼代理

DHCP終端與DHCP服務(wù)器在同一個(gè)VLAN，終端方可正確地獲得服務(wù)器分配的IP地址。如果不在同一個(gè)VLAN，就需要通過(guò)DHCP中繼代理（DHCP Relay Agent）來(lái)實(shí)現(xiàn)，DHCP中繼代理可以把其它子網(wǎng)終端DHCP消息到傳遞給服務(wù)器，也可以將服務(wù)器的消息傳回給不在同一個(gè)子網(wǎng)的DHCP終端。DHCP中繼的原理是當(dāng)DHCP客戶端初始化時(shí)，它會(huì)在本機(jī)所在VLAN廣播請(qǐng)求報(bào)文，如果存在DHCP服務(wù)器，則可以直接獲取到DHCP 配置，如果本地網(wǎng)絡(luò)沒(méi)有DHCP服務(wù)器，該廣播報(bào)文會(huì)被DHCP中繼代理接收，然后轉(zhuǎn)發(fā)給預(yù)先配置的DHCP服務(wù)器，從而完成DHCP地址分配。在局域網(wǎng)中最適合做DHCP中繼代理的設(shè)備，就是終端設(shè)備IP網(wǎng)關(guān)所在的核心或匯聚交換機(jī)。

四、交換機(jī)配置

1、啟用DHCP中繼。在交換機(jī)上配置DHCP中繼，以華三交換機(jī)為例有以下幾個(gè)步驟：1）啟用DHCP服務(wù)。2）配置VLAN Interface接口工作在DHCP中繼模式。處于DHCP中繼模式的VLAN虛接口工作，當(dāng)收到DHCP客戶端發(fā)來(lái)的報(bào)文時(shí)，會(huì)將報(bào)文轉(zhuǎn)發(fā)給DHCP服務(wù)器。3）指定DHCP服務(wù)器的IP地址。為了提高獲取IP地址的可靠性，需要在局域網(wǎng)DHCP中繼代理上配置多個(gè) DHCP 服務(wù)器，當(dāng) DHCP 中繼收到某一終端發(fā)來(lái)的DHCP報(bào)文時(shí)，會(huì)同時(shí)轉(zhuǎn)發(fā)給所有的DHCP服務(wù)器。指定DHCP服務(wù)器的IP地址不能與作為DHCP中繼的虛接口IP地址在同一網(wǎng)段，否則可能導(dǎo)致終端無(wú)法獲得IP地址。

2、啟用DHCP Snooping。由于本地網(wǎng)絡(luò)的DHCP報(bào)文是廣播方式通信的，終端無(wú)法鑒別DHCP服務(wù)器的合法性。網(wǎng)絡(luò)中如果存在私自架設(shè)的非法DHCP服務(wù)器，可能導(dǎo)致DHCP客戶端獲取到錯(cuò)誤的IP地址和網(wǎng)絡(luò)配置參數(shù)，導(dǎo)致終端無(wú)法正常上網(wǎng)。為了使避免DHCP 終端從非法的DHCP服務(wù)器那里獲取IP地址，DHCP Snooping 安全機(jī)制允許將端口設(shè)置為信任端口和非信任端口，信任端口正常轉(zhuǎn)發(fā)接收到的 DHCP 報(bào)文， 不信任端口接收到DHCP服務(wù)器響應(yīng)的DHCP-ACK和DHCP-OFFER報(bào)文后丟棄。在 DHCP Snooping設(shè)備上指向DHCP服務(wù)器方向的端口需要設(shè)置為信任端口，其他端口設(shè)置為非信任端口，從而保證DHCP客戶端只能從合法的DHCP服務(wù)器獲取IP地址，而私自架設(shè)的偽DHCP服務(wù)器無(wú)法為DHCP客戶端分配 IP 地址。

3、終端IP和MAC地址綁定。1）交換機(jī)啟用地址匹配檢查。為了防止非法主機(jī)修改靜態(tài)IP 地址并訪問(wèn)外部網(wǎng)絡(luò)，必須啟用 DHCP 中繼的地址匹配檢查功能。啟用該功能后，當(dāng)客戶端通過(guò)DHCP中繼從DHCP 服務(wù)器獲取到IP地址時(shí)，DHCP中繼可以自動(dòng)記錄客戶端IP地址與硬件地址的綁定關(guān)系，生成DHCP中繼的用戶地址表項(xiàng)。2）靜態(tài)DHCP地址匹配表項(xiàng)。為滿足用戶采用靜態(tài)配置 IP 地址的需求，DHCP中繼也支持靜態(tài)配置用戶地址表項(xiàng)，在 DHCP 中繼上手工配置 IP 地址與 MAC 地址的綁定關(guān)系。靜態(tài)IP分配終端由于不發(fā)送DHCP報(bào)文，所以只有配置了DHCP relay security static表項(xiàng)之后網(wǎng)絡(luò)才可以通，動(dòng)態(tài)IP分配終端可以不用配置。

3、配置DHCP中繼動(dòng)態(tài)用戶地址表項(xiàng)定時(shí)刷新功能。DHCP 終端釋放動(dòng)態(tài)獲取的IP地址時(shí)，會(huì)向DHCP服務(wù)器單播發(fā)送 DHCP-RELEASE 報(bào)文，DHCP中繼不會(huì)處理該報(bào)文的內(nèi)容。如果此時(shí)DHCP中繼上記錄了該IP地址與MAC地址的綁定關(guān)系，則會(huì)造成DHCP中繼的用戶地址表項(xiàng)無(wú)法實(shí)時(shí)刷新，而發(fā)生網(wǎng)絡(luò)中斷。

結(jié)語(yǔ)：基于DHCP的交換機(jī)地址綁定技術(shù)，不僅為局域網(wǎng)IP管理帶來(lái)方便快捷，而且在提升網(wǎng)絡(luò)接入安全管理水平方面也發(fā)揮了重要作用。

參 考 文 獻(xiàn)

[1] 陳平仲 .大型局域網(wǎng)中IP地址非法使用解決方案探討 [J].計(jì)算機(jī)系統(tǒng)應(yīng)用，2006（4）

[2] 賈小東，孫向輝，彭四偉 .DHCP協(xié)議缺點(diǎn)及其解決方案 [J].計(jì)算機(jī)工程，2007， 33（23）