謝芳

（龍巖市農(nóng)業(yè)學(xué)校 福建省龍巖市 364000）

如今校園網(wǎng)絡(luò)已然是各院校的關(guān)鍵設(shè)施構(gòu)成。在校園網(wǎng)絡(luò)規(guī)模加大和移動(dòng)辦公需要增多的趨勢下，原本靜態(tài)配置IP 不能適用。不僅管理員任務(wù)量多，還有部分用戶未能完全記住固定的IP，引發(fā)一定的混亂，降低用網(wǎng)的體驗(yàn)感。

1 校園網(wǎng)絡(luò)特征概述

校園網(wǎng)絡(luò)為辦學(xué)院校最為關(guān)鍵的基礎(chǔ)設(shè)施要素，其負(fù)擔(dān)著教學(xué)、管理等多項(xiàng)業(yè)務(wù)內(nèi)容。一般條件下，此類網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)均比較復(fù)雜，要求校園網(wǎng)管理者可以全面考量學(xué)校管理事項(xiàng)，展現(xiàn)出極高的管理難度。此外，校園網(wǎng)絡(luò)登錄用戶的身份不統(tǒng)一，學(xué)生、教師、普通職工等。不同身份的用戶在規(guī)模、登錄時(shí)間及地點(diǎn)、訪問權(quán)限等均有差異。校園網(wǎng)絡(luò)的用戶群體總量較多，從地理空間角度分析，包括辦公區(qū)、教學(xué)樓、宿舍以及公共空間。其中，在辦公區(qū)登錄的人員一般是教職工，用戶規(guī)模不會(huì)出現(xiàn)明顯的起伏，且使用網(wǎng)絡(luò)時(shí)間存在規(guī)律性，數(shù)據(jù)流量比較均衡。在此區(qū)域內(nèi)的校園網(wǎng)用途，會(huì)涉及到學(xué)校絕大部分的工作業(yè)務(wù)，應(yīng)當(dāng)是保障的主要區(qū)域。教學(xué)樓中的校園網(wǎng)用戶可能是學(xué)生或教職工，網(wǎng)絡(luò)用戶規(guī)模無法進(jìn)行準(zhǔn)確估計(jì)，并且用網(wǎng)時(shí)間上無法確定。如果用戶是教職工，通常只有在工作期間，會(huì)應(yīng)用到校園網(wǎng)。但由于部分年級的學(xué)生會(huì)有早晚自習(xí)，使用校園網(wǎng)時(shí)間跨度較大，數(shù)據(jù)流量也比較均衡。此區(qū)域的網(wǎng)絡(luò)狀態(tài)關(guān)系到校內(nèi)教學(xué)活動(dòng)可否順暢進(jìn)行，因而重點(diǎn)維護(hù)的時(shí)間段應(yīng)當(dāng)是有教學(xué)活動(dòng)安排的時(shí)間。宿舍內(nèi)的校園網(wǎng)用戶以學(xué)生為主，用戶規(guī)模無過大起伏，并且在非上課時(shí)間內(nèi)，數(shù)據(jù)流量會(huì)有明顯提高。通常狀況下，公共空間內(nèi)的用戶身份繁雜，但數(shù)據(jù)流量不多，同時(shí)也在舉辦大型活動(dòng)時(shí)，可能發(fā)生用戶量猛增的情況。

學(xué)校內(nèi)的寬帶裝備總量有限，所以相應(yīng)的網(wǎng)絡(luò)控制也應(yīng)當(dāng)為校園網(wǎng)絡(luò)部署期間考量的事項(xiàng)。此處的問題通常出現(xiàn)于網(wǎng)絡(luò)出口位置，比如防火墻以及流量限額等裝置進(jìn)行處理，也可直接在用戶使用段通過身份認(rèn)證，搭配防火墻等設(shè)施，按照登錄的IP 地址，提供差異化的用網(wǎng)策略，比如在寬帶、用網(wǎng)時(shí)間以及訪問權(quán)限等方面的控制。在網(wǎng)絡(luò)認(rèn)證處理上，能選擇在準(zhǔn)入或者是準(zhǔn)出環(huán)節(jié)中進(jìn)行認(rèn)證，有需要時(shí)，也可同時(shí)配置兩項(xiàng)認(rèn)證模式。用戶在經(jīng)過任何認(rèn)證后，會(huì)按照用戶基本身份信息，提供相應(yīng)的用網(wǎng)方案，以實(shí)現(xiàn)網(wǎng)絡(luò)管控的意圖。另外，使用校園網(wǎng)絡(luò)的人員職業(yè)類型繁雜，并且使用人規(guī)模也比較大，在基礎(chǔ)部署期間，應(yīng)當(dāng)注重對IP 地址的管理。在校園網(wǎng)絡(luò)條件下，通常是按照樓體分出下一級網(wǎng)絡(luò)，而后按照各小區(qū)域的IP 子網(wǎng)，設(shè)置不同的安全管理方案。

2 DHCP技術(shù)剖析

2.1 概念界定

DHCP 規(guī)范為因特網(wǎng)工程的任務(wù)組確定，其具有開放性的特征，并帶有互聯(lián)網(wǎng)行業(yè)標(biāo)準(zhǔn)，推出及應(yīng)用其的意圖是簡化TCP/IP 的網(wǎng)絡(luò)管理。DHCP 借助中心數(shù)據(jù)庫，完成對IP 地址分配任務(wù)。DHCP服務(wù)器中包含數(shù)據(jù)庫，可按照網(wǎng)絡(luò)應(yīng)用需要，提供唯一的IP 地址以及其他的分配數(shù)據(jù)。DHCP 利用靈活的IP 地址賦予手段，緩解相關(guān)的管理壓力。DHCP 技術(shù)涉及到兩項(xiàng)組件，即協(xié)議：負(fù)責(zé)服務(wù)器與客戶端的溝通，提供參數(shù)；服務(wù)：負(fù)責(zé)管理客戶機(jī)發(fā)出的各項(xiàng)請求以及保障TCP/IP 分配參數(shù)的信息庫。此項(xiàng)技術(shù)給網(wǎng)絡(luò)管理創(chuàng)造更多的便利性，其服務(wù)器可給出精確的IP 配置參數(shù)，以降低錄入有誤的概率。在單臺計(jì)算機(jī)連接在其他子網(wǎng)中時(shí)，相應(yīng)的IP 地址會(huì)隨之調(diào)整，而此項(xiàng)變化可能涉及網(wǎng)關(guān)或者是DNS 服務(wù)器。在客戶機(jī)連入其他自網(wǎng)中并啟動(dòng)后，能直接參照目前子網(wǎng)的對應(yīng)信息，調(diào)整客戶機(jī)的配置。全部計(jì)算機(jī)IP 信息調(diào)整均可以在相同服務(wù)器上完成統(tǒng)一配置，并能對已用以及可用IP 進(jìn)行追溯控制。而此項(xiàng)特點(diǎn)在網(wǎng)絡(luò)以及子網(wǎng)中連接計(jì)算機(jī)規(guī)模較大，但I(xiàn)P 相對偏少的條件下，極為關(guān)鍵。此外，在中心位置控制客戶機(jī)，能采取團(tuán)組管理，借助較為簡便的處理，調(diào)整對應(yīng)計(jì)算機(jī)當(dāng)下設(shè)置參數(shù)。

2.2 工作程序

客戶機(jī)不僅能通過DHCP 服務(wù)器獲取IP 地址，還能得到默認(rèn)網(wǎng)關(guān)以及DNS 服務(wù)器等資料。

（1）DHCP 租約階段，此過程主要有四個(gè)部分。首先，客戶機(jī)發(fā)出請求，在客戶機(jī)處于自行獲得IP 地址狀態(tài)，不明確當(dāng)前IP 情況，同時(shí)也不清楚服務(wù)器對應(yīng)的地址，此時(shí)會(huì)給網(wǎng)絡(luò)發(fā)送DHCP discover 封包，隨后把0.0.0.0 當(dāng)成來源地址，目的地址則是255.255.255.255，并且還有客戶機(jī)MAC 地址以及名稱。所以DHCP 服務(wù)器可快速確定請求信息和客戶機(jī)的對應(yīng)關(guān)系。其次，服務(wù)器響應(yīng)。在服務(wù)器獲取客戶機(jī)給出的封包信息時(shí)，在還未租出的IP 中，從前到后依次選擇，提供閑置的IP，同時(shí)包括相應(yīng)的TCP/IP 設(shè)置，客戶機(jī)會(huì)獲得DHCP offer 封包反饋。該封包中涉及到MAC 地址以及子網(wǎng)掩碼、標(biāo)識符、租約期限等。客戶機(jī)還未取得IP，會(huì)通過DHCP 服務(wù)器發(fā)出消息。再次，客戶機(jī)挑選IP。假設(shè)有多個(gè)服務(wù)器給客戶機(jī)發(fā)出響應(yīng)，通常會(huì)選擇最早搜索到的DHCP offer，并向網(wǎng)絡(luò)發(fā)出DHCP request 封包，提醒相關(guān)的全部服務(wù)器，客戶機(jī)會(huì)選擇的IP 地址。但并非全部客戶機(jī)在無條件的情況下接受服務(wù)器offer，特別是安設(shè)其他TCP/IP 的客戶端。假設(shè)offer 未被選擇，DHCP 會(huì)知直接取消，同時(shí)繼續(xù)保留對應(yīng)的IP，以供其他租約服務(wù)。最后，DHCP 服務(wù)器確定IP 租約。在服務(wù)器獲得客戶機(jī)DHCP request 時(shí)，會(huì)向后者發(fā)出DHCP ACK，表示租約已經(jīng)生效，該階段的任務(wù)也即將完成?？蛻舳双@取DHCP ACK 后，便完成對應(yīng)IP 配置以及TCP/IP 的設(shè)置，開始使用網(wǎng)絡(luò)。假設(shè)遇到IP 失效以及被其他客戶端占用，服務(wù)器會(huì)發(fā)從DHCP ACK 到客戶機(jī)，并提示二次進(jìn)行DHCP discover。倘若單臺客戶端連接兩個(gè)及其以上的網(wǎng)卡，服務(wù)器給所有網(wǎng)卡提供獨(dú)一無二的IP。

（2）IP 租約更新。在客戶端關(guān)機(jī)后重啟，或者租期經(jīng)過半數(shù)，客戶端會(huì)給相應(yīng)服務(wù)器發(fā)出DHCP request 封包，請求更新當(dāng)前的租約。假設(shè)未能受到DHCP 服務(wù)器反饋的確認(rèn)信息，說明該客戶機(jī)能繼續(xù)應(yīng)用當(dāng)前的地址。在租期已經(jīng)超過87.5%，通過上述步驟處理后，客戶機(jī)依舊未能和原本設(shè)施的服務(wù)器取得聯(lián)系，會(huì)直接和其他的服務(wù)器聯(lián)系。假設(shè)當(dāng)前區(qū)域內(nèi)的網(wǎng)絡(luò)中，無DHCP 服務(wù)器處于運(yùn)行狀態(tài)，客戶機(jī)不能繼續(xù)應(yīng)用此地址，而后發(fā)出新的DHCP discover 封包，重新開展上述步驟[1]。

（3）IP 租約釋放。在移動(dòng)終端的客戶機(jī)連入多個(gè)網(wǎng)絡(luò)時(shí)，客戶端會(huì)采取ipconfig/release 命令，而后客戶端會(huì)給DHCP 服務(wù)器發(fā)出DHCP release 數(shù)據(jù)包，完成租約釋放。

3 DHCP應(yīng)用于校園網(wǎng)絡(luò)中的協(xié)議選擇

校園網(wǎng)絡(luò)中的用戶規(guī)模大，所以傳統(tǒng)的靜態(tài)人工配置IP 形式顯然不現(xiàn)實(shí)，應(yīng)用DHCP 協(xié)議給用戶配置IP 等數(shù)據(jù)，已然是當(dāng)前比較提倡的方式。按照學(xué)校的子網(wǎng)部署情況和性能安排等，能選用的服務(wù)端有分布式以及集中式。DHCP 服務(wù)端載體確認(rèn)能基于校園網(wǎng)絡(luò)現(xiàn)實(shí)狀況，選用網(wǎng)絡(luò)交換裝置、虛擬機(jī)等。校園網(wǎng)絡(luò)一般是按照校內(nèi)的樓體安排確定子網(wǎng)區(qū)域，而后基于子網(wǎng)總量確定IP地址池，設(shè)置具體的用網(wǎng)規(guī)則。在構(gòu)建地址池期間，需先估計(jì)用戶的總量，并預(yù)留出超過20%的空置地址，保證所有用戶均能有IP 可用。按照校內(nèi)地址的配置總量，DHCP 服務(wù)端能為相應(yīng)客戶端發(fā)送公有以及私有的IP，如果用戶獲取私有IP，便應(yīng)在網(wǎng)絡(luò)出口處進(jìn)行NAT地址的調(diào)整，變成公網(wǎng)地址。DHCP 服務(wù)端相應(yīng)的租期管理，需要根據(jù)校園網(wǎng)絡(luò)IP 地址情況進(jìn)行規(guī)劃確定。如果運(yùn)用共有地址，同時(shí)相應(yīng)的用網(wǎng)空間較小，所以租期應(yīng)當(dāng)合理化縮短，比如60min。但如果用戶采用私有IP 聯(lián)網(wǎng)，便不會(huì)出現(xiàn)以上的問題，僅要按照用戶總量選用恰當(dāng)?shù)腎P 類別與范疇便可[2]。

學(xué)校機(jī)房內(nèi)通常會(huì)設(shè)置服務(wù)器區(qū)，安置負(fù)責(zé)訪問的虛擬機(jī)及服務(wù)器。其中服務(wù)器應(yīng)有確定的IP，因而此區(qū)域不應(yīng)運(yùn)用DHCP 協(xié)議進(jìn)行地址分配，或者運(yùn)用DHCP 協(xié)議為相應(yīng)服務(wù)器發(fā)送地址，如IP-MAC 綁定分配。此外，學(xué)校中還需考量網(wǎng)絡(luò)控制，用戶身份存在差異，所能獲取的策略也有區(qū)別。比如在教學(xué)區(qū)內(nèi)，用戶通常是教師及學(xué)生，需先確定教師接收到的IP，按照IP 信息給出有關(guān)教師身份類型的用網(wǎng)策略。為達(dá)到上述管理要求，應(yīng)當(dāng)篩選出教師應(yīng)用頻率高的網(wǎng)絡(luò)，和學(xué)生用網(wǎng)對應(yīng)的端口實(shí)行分離處理，并配置對應(yīng)的地址池。此外，也可按照服務(wù)器區(qū)域，整理出教師應(yīng)用客戶機(jī)的MAC 地址，完成IP-MAC 綁定配置。

4 在校園網(wǎng)絡(luò)中部署DHCP協(xié)議會(huì)遇到的問題及處理方式

4.1 主機(jī)取得APIPA地址

導(dǎo)致主機(jī)不能用網(wǎng)的因素較多，而如果在網(wǎng)絡(luò)中部署的DHCP協(xié)議，再加上客戶端得到的IP 地址是169.254.x.x、子網(wǎng)掩碼是255.255.0.0，此時(shí)管理員應(yīng)當(dāng)可以察覺到用戶端取得APIPA 地址。APIPA 為DHCP 的移動(dòng)故障機(jī)制，在客戶端不能和服務(wù)端取得有效聯(lián)系，便會(huì)得到比較特別的IP 地址，即169.254.0.0/16，此區(qū)域內(nèi)的IP 便是APIPA。換言之，主機(jī)中發(fā)生上述問題，表示客戶端和服務(wù)端已經(jīng)不能通信。

校園網(wǎng)內(nèi)發(fā)生該顯現(xiàn)，需立即更換計(jì)算機(jī)，嘗試連入網(wǎng)線，假設(shè)能正常用網(wǎng)，則應(yīng)查看主機(jī)網(wǎng)卡情況，可進(jìn)行重新布置網(wǎng)卡驅(qū)動(dòng)，也能采取把硬件直接換新等處理方式。但倘若依舊無法用網(wǎng)，需查看交換裝置端口和分配命令，同樣也可采取更換端口的方式進(jìn)行檢查。假設(shè)是某辦公房間內(nèi)的全部主機(jī)發(fā)生該現(xiàn)象，但同一樓體中的其他房間用戶能用網(wǎng)，需先查看問題主機(jī)有無多臺設(shè)備使用同一集線器以及小型交換裝置的情況，假設(shè)存在類似情況，需先查看網(wǎng)線連接處，可重啟或直接換裝置，普通問題均可以借此處理。假設(shè)此裝置沒有問題，應(yīng)進(jìn)一步查看連接的交換設(shè)備端口和分配命令。倘若整個(gè)樓體弱電間內(nèi)，所有連接的交換機(jī)僅負(fù)責(zé)一層，在該種部署條件下，一旦交換機(jī)發(fā)生異常，會(huì)導(dǎo)致對應(yīng)樓層的用戶取得APIPA地址。對此的處理方式通常是查看交換裝置線纜和端口的狀態(tài)，也可重啟設(shè)備嘗試連接交換機(jī)，或者直接換新的裝置。假設(shè)是整棟樓內(nèi)的用戶都不能用網(wǎng)，且都取得APIPA 地址，技術(shù)員應(yīng)先查看網(wǎng)關(guān)裝置，因?yàn)榇爽F(xiàn)象比較嚴(yán)重，需謹(jǐn)慎確定問題病因[3]。

4.2 主機(jī)取得非預(yù)配置IP

一般條件下，主機(jī)利用DHCP 協(xié)議搜索出IP，是經(jīng)過DHCP服務(wù)器授權(quán)，但偶爾會(huì)遇到主機(jī)搜索到特殊IP，造成不能正常用網(wǎng)。該類IP 不是DHCP 服務(wù)器下地址池內(nèi)的，也可能來自于校園外的地址段。如果遇到以上問題，管理員需分析問題客戶端所在區(qū)域網(wǎng)段內(nèi)，有無搜索到的未授權(quán)DHCP 服務(wù)器，導(dǎo)致原本的IP 地址配置程序被干擾。在客戶機(jī)租用網(wǎng)絡(luò)時(shí)，一般會(huì)借助廣播形式發(fā)出DHCP discover，但從理論的角度來說，子網(wǎng)內(nèi)所有服務(wù)端均能獲取到此請求，空置服務(wù)端會(huì)反饋DHCP offer。因?yàn)镈HCP 協(xié)議僅管理地址配置，不會(huì)對主機(jī)可否用網(wǎng)情況進(jìn)行檢測，因此在此該環(huán)節(jié)中，主機(jī)會(huì)被無授權(quán)的服務(wù)器干擾，并和該服務(wù)器達(dá)成通信交互，收到有誤的IP 等數(shù)據(jù)資料。假設(shè)校園網(wǎng)內(nèi)發(fā)生該問題，通常實(shí)施主機(jī)私自連接路由器，把LAN 口連接到校園網(wǎng)內(nèi)。大部分路由器的默認(rèn)設(shè)置為DHCP 處于開啟情況，利用DHCP 服務(wù)端能搜索到的大部分IP 是私有狀態(tài)。如果私自連接該種設(shè)備，并連接到正常網(wǎng)絡(luò)內(nèi)，會(huì)經(jīng)過私有IP 給主機(jī)發(fā)送地址信息，導(dǎo)致主機(jī)所掌握的IP 有誤，不能正常用網(wǎng)。此外，客戶端主機(jī)可能承擔(dān)DHCP 服務(wù)器身份，給主機(jī)發(fā)出有誤地址。

在校園網(wǎng)內(nèi)有未授權(quán)DHCP 服務(wù)器，管理員不必專門進(jìn)行物理定位，僅用采取屏蔽處理便可。具體操作過程為：單臺主機(jī)收到有無IP，應(yīng)先對問題主機(jī)下達(dá)PING 命令，并檢測相應(yīng)網(wǎng)關(guān)IP 連通情況；假設(shè)能進(jìn)行PING，借助HTTP 訪問對應(yīng)地址，并查看頁面，分析問題原因是否是私連路由器；問題主機(jī)所連接的網(wǎng)關(guān)裝置，觀察有誤網(wǎng)關(guān)IP 的ARP，以定位無手段DHCP 服務(wù)器MAC 地址；登錄連接交換裝置，查看MAC 地址及映射表，定位物理端口，并把該地址直接過濾出去，必要時(shí)也能借助配線架，進(jìn)行精準(zhǔn)的物理定位。該方式可用在任何無授權(quán)DHCP 服務(wù)器，僅需過濾問題MAC 地址。而用戶會(huì)以不能正常用網(wǎng)為由，提出申報(bào)，有助于確定發(fā)生該問題的實(shí)際原因，調(diào)整今后的網(wǎng)絡(luò)管理方案。

管理者如果要完全預(yù)防該種現(xiàn)象，應(yīng)采取DHCP snooping 功能，利用構(gòu)建及運(yùn)維DHCP snooping 綁定表，取消可靠性低的DHCP 數(shù)據(jù)。部署DHCP snooping 時(shí)中，應(yīng)把信息傳送端口設(shè)成trust，把其他端口設(shè)成untrust。此條件下，用戶發(fā)出報(bào)文，自動(dòng)進(jìn)行過濾，確保DHCP 穩(wěn)定運(yùn)轉(zhuǎn)[4]。

5 結(jié)束語

在學(xué)校網(wǎng)絡(luò)建設(shè)中選擇DHCP 技術(shù)，能減輕管理員運(yùn)維IP 的任務(wù)壓力。DHCP 是配置IP 的核心，需按照實(shí)際需要，確定DHCP的部署模式。在用戶不能獲得IP 以及得到有誤IP 的情況下，需及時(shí)逐步查看，確定干擾因素，快速處理，給校園用戶提供便利的用網(wǎng)環(huán)境。