基于DHCP的校園網網絡管理模式的設計與分析

2011-09-25 09:25:16方昕郭建忠

中國教育網絡 2011年1期

方昕，郭建忠

(天津科技大學信息化建設與管理辦公室，天津，300222)

方昕，郭建忠

(天津科技大學信息化建設與管理辦公室，天津，300222)

本文分析動態主機分配協議（DHCP）進行網絡管理的優點和缺點，針對DHCP 的缺點進行改進，提出一種基于DHCP 的網絡管理模式，描述該模式的系統結構、設計思想、功能和實現方法，著重介紹了Solaris系統的DHCP應用擴展，網絡交換設備DHCP-snooping的實現流程。關鍵詞：網絡管理模式；DHCP；DHCP中繼；DHCP-snooping；Solaris

Abstract:This article discusses both advantages and disadvantages of DHCP protocol. In order to resolve the disadvantages, the author proposes a management mode of DHCP-Based Campus Network, describes the design of the System framework and the function component, introduces DHCP extended application in Solaris system and analyses the processes of DHCP-Snooping in network switch in detail.

Key words:Management Mode of Network; DHCP; DHCP Relay; DHCP-Snooping; Solaris

1.概述

隨著校園網建設及應用的不斷發展和深化，校園網用戶的網絡接入需求越來越多，校園網管理部門針對激增的需求也適時調整和改進了網絡的接入方式技術，使得網絡接入更加靈活易用。當前校園網的安全事件和故障問題大多是由于用戶不是很熟悉計算機網絡知識，不會正常配置和使用校園網以及隨意更改IP地址或網卡MAC地址造成的網絡沖突和故障，這對校園網的合理使用和安全管理提出了新的挑戰。構建一個安全高效的網絡，需要根據網絡整體架構以及網絡實際使用情況綜合考慮，不但要讓用戶方便易用，還要求校園網管理部門能夠有效管理IP地址和MAC地址，充分考慮網絡接入點控制、地址分配、認證訪問等問題，這就需要通過網絡設備，應用服務器協同作用，形成一套較完整的安全性和易用性并重的校園網網絡管理模式。

根據以上的網絡設計需求，結合學校校園網的特點和用戶使用習慣，提出基于DHCP地址分配，利用Solaris服務器系統進行DHCP應用擴展，同時交換設備提供DHCP中繼支持以及用戶機客戶端上網認證，構建一個IP和MAC綁定的跨網DHCP強制分配機制，校園網認證接入，網絡資源客戶端認證的校園網網絡管理模式。

圖1 一次典型的DHCP獲取IP的過程

2.關鍵技術

2.1 DHCP

2.1.1 DHCP協議及DHCP中繼功能

DHCP 是Dynamic Host Configuration Protocol 的縮寫，也叫動態主機配置協議。DHCP 是TCP/IP 通信協議中，用來暫時指定網絡中某臺計算機IP 地址的通信協議。見圖1。

DHCP中繼工作原理：當DHCP客戶機啟動并進行DHCP初始化時，首先客戶機會在本地網絡廣播配置請求報文。若本地網絡內沒有DHCP服務器，則與本地網絡相連的具有DHCP中繼功能的網絡設備收到該廣播報文后，進行適當處理并轉發給指定的其他網絡上的DHCP服務器，服務器根據DHCP客戶機提供的信息進行相應的配置，并通過DHCP中繼將配置信息發送給DHCP客戶機，完成客戶機的動態配置。

2.1.2 傳統DHCP分配機制的優缺點使用傳統DHCP分配機制的優點有：

1. 簡化管理IP地址的分配工作；

2.簡化客戶機配置，避免配置錯誤；

3.客戶機在同一子網內移動時，無需更改配置；

4.有效管理利用IP地址資源，避免浪費。

使用傳統DHCP分配機制的缺點有：

1.DHCP 不能發現網絡上非DHCP 客戶端已經在使用的IP地址；

2.DHCP 服務器對于用戶的接入沒有限制，任何一臺計算機只要連接到網絡上，就能夠通過DHCP 服務器獲得正確的網絡配置，從而訪問網絡。這樣使得非法用戶很容易進入內部網絡，從而帶來安全隱患；

3.當網絡上存在多個DHCP 服務器時，尤其是存在私設的冒充DHCP 服務器時，一個DHCP 服務器不能查出已被其他服務器租出去的IP 地址，這樣將會給網絡造成混亂；

4.DHCP 服務器不能跨路由器與客戶端通信，除非路由器允許BOOTP 轉發;

圖2 整體網絡架構

5.傳統的DHCP服務器缺乏完善的租用日志記錄，對接入網絡的用戶追蹤功能支持弱。

2.2 Solaris操作系統的DHCP服務及其擴展應用

Solaris 是Sun Microsystems研發的計算機操作系統。它被認為是UNIX操作系統的衍生版本之一。支持多種系統架構：SPARC, x86和x64。x64即AMD64及EMT64處理器。該系統以運行穩定，功能完善著稱。

Solaris DHCP 服務器支持以下類型的IP 地址分配：

1.手動分配：服務器為特定的DHCP 客戶機提供為其選擇的特定IP 地址（該地址不可回收或指定給其他客戶機）；

2.自動或永久性分配：服務器提供沒有失效期的IP 地址,使其與客戶機永久性地關聯，直到用戶更改了這種指定方式或客戶機釋放了該地址；

3.動態分配：服務器向發出請求的客戶機提供可租用特定一段時間的IP 地址。當租用到期時，該地址可由服務器收回并可指定給其他客戶機，具體期限由為服務器配置的租用時間決定。

Solaris的DHCP服務優勢有：

1.較為完善的IP地址管理；

2.網絡客戶機集中配置，可以對不同客戶機定制不同的配置；

3.支持BOOTP客戶機；

4.大型網絡支持，Solaris的DHCP服務最多可以支持10萬臺客戶機；

5.支持本地客戶機和遠程客戶機，DHCP 通過數種方法利用 BOOTP 的中繼功能。

根據以上介紹，可以看出Solaris對DHCP服務的支持是很強大的，同時有自己的特色功能擴展，比如利用Solaris DHCP的第一種IP地址分配類型，可以支持IP和MAC綁定，并能封殺盜用MAC地址的非法用戶。

圖3 配置netmasks文件

2.3 DHCP-Snooping

DHCP-Snooping技術是DHCP安全特性，通過建立和維護DHCP-Snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區域的DHCP信息。DHCP-Snooping綁定表包含不信任區域的用戶MAC地址、IP地址、租用期、VLAN-ID接口等信息。

交換機設置DHCP-Snooping可以隔絕非法的DHCP服務器，也就是客戶機只信任來自DHCP-Snooping trust端口的DHCP報文，同時交換機還會建立一張DHCP-Snooping的綁定表，可以記錄用戶的IP地址和MAC地址的對應關系。

3.網絡模型的設計與部署

3.1 整體架構

整個架構是由2個部分組成，一部分是網絡部分，有核心三層交換設備，匯聚三層交換設備以及二層交換機組成，另一部分就是服務器組，包括：DHCP服務器和認證服務器，如圖2。

我們設計的校園網網絡管理模型如下：

校園網內強制使用DHCP機制獲取IP，先由客戶機用戶人工登記網卡MAC地址和用戶信息，通過管理部門的操作，在DHCP服務器中將MAC地址與分配的IP進行綁定，同時用戶會在認證服務器上申請獲得用戶認證賬號。用戶具備了這2個認證即客戶機的IP認證和用戶的賬號認證就可以接入校園網，使用網絡資源。

3.2 DHCP服務器架設

DHCP服務是通過Solaris操作系統來提供的，但是安裝Solaris系統時需要分清服務器的系統架構，安裝過程中選中DHCP模塊。

安裝好系統后配置好服務器的網絡參數，然后對DHCP服務進行配置。

以root身份登錄后，首先配置/etc/目錄下的netmasks文件，將需要DHCP的IP地址池的網絡地址和掩碼添加進該文件，如圖3。

下面進入配置DHCP管理程序，通過在/usr/sadm/admin/bin文件夾下的dhcpmgr命令啟動Solaris下的DHCP管理程序。

之前配置了netmasks文件，這樣在DHCP管理程序的宏設置界面中就會出現相應的網絡段選項，對其具體參數進行配置，需要注意的是其中的“LeaseTim”選項是用來規定獲取的IP地址租用時間的長度，由于網絡設計的需要，這里可以設定較長的時間，減少客戶機在IP租用到期時與服務器進行續約的次數，簡化網絡，如圖4。

配置完宏選項后，就可以依次創建配置“網絡向導”和“地址向導”，其中網絡向導是建立該網絡地址的DHCP整體網絡配置，比如路由，網絡地址，子網掩碼等；地址向導則是對該網絡地址中具體IP段配置，比如IP地址范圍，對應的宏配置等，如圖5。

圖5 配置網絡向導和地址向導

圖6 DHCP管理程序

配置了DHCP網絡的宏配置、網絡向導、地址向導后，就完成一個DHCP網絡的基本配置，如圖6。

按照網絡設計，需要對用戶的網卡MAC地址進行綁定，以保證用戶每次都能從服務器獲取相同的IP地址，利用批處理命令將用戶IP和網卡MAC地址信息加到DHCP數據庫中，命令如下：

其中：a.a.a.a是分給用戶的IP地址，01bbbbbbbbbbbb是用戶的網卡MAC地址前面加上01字符，c.c.c.c是用戶所在的地址池的名稱。

這樣一個完整的DHCP網絡就設置完畢了，用戶就可以通過到網絡管理部門注冊網卡MAC地址后，獲取IP地址。

同時可以從圖6中的IP地址列表看到，一般正常的IP地址的標志段都是“保留的”，而期滿段則是該IP上一次申請的到期時間，而圖6中有一行數據為深色粗字體，并且標志項為“不可用的”，就說明該IP地址的使用者可能發生了MAC地址重復使用的情況，從而杜絕用戶通過修改網卡MAC地址上網造成的網絡混亂現象。我們可以通過雙擊這一行，將其“不可使用的”狀態取消，來恢復這一地址的正常使用。

3.3 網絡交換設備的配置

3.3.1核心及匯聚交換設備

首先，要將所有需要開啟DHCP中繼功能的交換設備打開該功能。

其次，在用戶VLAN網關所在的匯聚交換機上設置DHCP服務器組。

再次，模型中要求用戶的客戶機只能通過DHCP動態獲取地址來使用網絡，就需要在匯聚交換設備上加上配置禁止靜態地址的使用。

下面以H3C 7506E匯聚交換設備為例，進行配置：