企業DHCP服務器配置與管理

摘要：本文主要以典型企業網絡結構出發，具體介紹了cisco路由器上如何配置DHCP服務器，及針對多個vlan環境下DHCP中繼的配置，并討論如何管理DHCP服務器以提高網絡的安全性能。

關鍵詞：DHCP 路由器 VLAN Snooping

隨著信息化技術的飛速發展，企業不斷加強自身信息化建設，網絡規模日趨龐大。大規模的電腦分布，復雜的子網設置，DHCP服務器毋庸置疑是企業網絡管理員科學管理局域網IP地址及配置的首選。有了DHCP服務器后，使得我們的網絡管理工作變得游刃有余。本文通過對一個企業典型的網絡系統案例，把相關的知識點綜合應用上來，以實現一個安全完整的動態主機配置服務系統。

1 企業網絡結構介紹

企業網絡結構拓撲圖如下：

說明：本實例選用在路由器上配置DHCP服務，為三層交換機下面Vlan10和Vlan20的電腦分別分配192.168.10.0/24和192.168.20.0/24兩網段的地址。

2 配置DHCP服務器

在Router路由器上面配置DHCP服務：

2.1 開啟DHCP 功能

Router(config)#service dhcp

2.2 配置DHCP 地址池

Router(config)#ip dhcp pool vlan1 //地址池名為vlan1

Router(dhcp-config)#network 192.168.10.0 255.255.255.0 //vlan1客戶端使用的地址段

Router(dhcp-config)#default-router 192.168.10.1 //網關地址

Router(dhcp-config)#dns-server 61.144.56.100 //DNS地址

Router(dhcp-config)#lease 2 12 30 //租期為2天12小時30分（默認為一天）

Router(config)#ip dhcp pool vlan2 //地址池名為vlan2

Router(dhcp-config)#network 192.168.20.0 255.255.255.0 //vlan2客戶端使用的地址段

Router(dhcp-config)#default-router 192.168.20.1 //網關地址

Router(dhcp-config)#dns-server 61.144.56.100 //DNS地址

Router(dhcp-config)# lease 2 //租期為2天

2.3 保留IP地址

因為有些IP 地址我們要用作特殊用途，不希望分配給客戶端。比如：網關地址或一些需要固定給某一臺電腦使用的IP等。所以我們要保留這些地址，這樣服務器就不會將這些地址分配給客戶端使用。

Router(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10//保留192.168.10.1到192.168.10.10

Router(config)#ip dhcp excluded-address 192.168.20.1 192.168.20.10

以上就是路由器上開啟DHCP服務以及如何配置服務器的具體方法，如果客戶端直接連接路由器端口就可以申請到對應端口網段的IP地址了。但現在客戶端電腦是通過三層交換機來連接路由器的，這樣客戶端是無法順利申請到IP地址的，因為客戶端的DHCP請求到達交換機以后不知道向路由器申請。因此我們接下來配置三層交換機上的DHCP中繼，來實現DHCP請求順利到達路由器上。

3 配置三層交換機

企業為了局域網內部的管理及控制廣播風暴，通常在計算機數量比較多的情況下采用基于端口的方法來劃分VLAN（虛擬局域網），我們把f0/2、f0/3分別加入vlan10、vlan20（其它端口默認屬于vlan1）。

3.1 配置vlan及相應接口信息

Switch(config)#vlan 10 //創建vlan10

Switch(config-vlan)#exit

Switch(config)#int vlan 10 //設置vlan10的IP地址

Switch(config-if)#ip address 192.168.10.1 255.255.255.0

Switch(config-if)#exit

Switch(config)#int f0/2 //配置端口F0/2，把該端口加入vlan10

Switch(config-if)#switchitchport mode access

Switch(config-if)#switchitchport access vlan 10

Switch(config-if)#exit

同理，創建vlan20，設vlan20的IP地址為192.168.20.1/24，把F0/3加入vlan20。

3.2 配置DHCP中繼

配置DHCP中繼通常在交換機、路由器或服務器版操作系統上配置，這些設備通常處在DHCP服務器與DHCP客戶端中間，使得DHCP客戶端的請求廣播不能到達對應DHCP服務器，從而使得客戶端的申請失敗。而配置DHCP中繼就是讓客戶端的廣播包單播發向對應的DHCP服務器，我們通過ip help-address功能來實現。

Switch(config)#int vlan 10

Switch(config-if)#ip helper-address 192.168.0.1 //單播前轉DHCP 廣播到192.168.0.1

Switch(config-if)#exit

Switch(config)#int vlan 20

Switch(config-if)#ip helper-address 192.168.0.1

同樣，如果現實中這三層交換機是路由器，我們也是在路由器接客戶端的接口上設置ip helper-address來實現DHCP中繼。

3.3 配置路由器上的路由

配置基本完成，最后一定要記得配置路由，讓DHCP服務器能與客戶端通信。

Router (config)#ip route 192.168.10.0 255.255.255.0 192.168.0.2

Router (config)#ip route 192.168.20.0 255.255.255.0 192.168.0.2

通過以上幾步配置，Vlan10里的電腦PC1便能獲得地址192.168.10.11，Vlan20里的電腦PC2便能獲得地址192.168.20.11。為什么不同vlan之間能獲得各自網段的IP地址呢？因為三層交換機收到PC1的DHCP廣播包后，將giaddr的參數改成了192.168.10.1，收到PC2的DHCP廣播包后，將giaddr的參數改成了192.168.20.1，所以最后DHCP服務器能夠根據giaddr=192.168.10.1的包，把192.168.10.0/24的有效地址分配給PC1。根據giaddr=192.168.20.1的包，把192.168.20.0/24的有效地址分配給PC2。

4 管理DHCP服務器

4.1 綁定IP與MAC地址

在企業日常維護中，常有一些IP地址需要固定給某一臺客戶機。Cisco路由器上可以通過單獨創建一個地址池host pool，然后通過client-identifier來實現IP地址與MAC地址的綁定。比如一個主機網卡MAC地址為0013.77B9.2774，要綁定IP地址192.168.10.100/24。實現如下：

Router(config)#ip dhcp pool client1

Router(dhcp-config)#host 192.168.10.100 255.255.255.0

Router(dhcp-config)#client-identifier 0100.1377.B927.74 //前面新增的01表示走的Ethernet，后面接MAC

4.2 禁止非法DHCP服務器欺騙

在企業網絡中，難免某一個子網中多出一個帶DHCP服務功能的服務器或路由器，結果導致客戶端電腦獲取到一個非法的IP地址配置信息，導致電腦無法正常使用。其原因是DHCP客戶端發出的DHCP請求是以廣播形式發出的，在同一個廣播域，也就是說同一個vlan里所有的設備都會收到。事實上，非法的DHCP報文在該子網的傳播要比合法的DHCP報文快，用戶必將先獲取到非法DCHP服務器所提供的IP地址。其實防止非法DHCP服務器，可以通過交換機上的DHCP-snooping功能來實現。DHCP Snooping技術是一種通過在交換機上建立DHCP Snooping Binding數據庫，過濾非信任的DHCP消息，從而保證網絡安全的特性。

本案例具體可以在三層交換機上配置如下：

Switch(config)#ip dhcp snooping //開啟DHCP Snooping

Switch(config)#ip dhcp snooping vlan 1，10，20 //在VLAN1、10和20中開啟dhcp snooping功能

默認情況下開啟dhcp snooping功能后，相應的端口全部為不可信任的，只要把對應DHCP服務器的連接端口設為信任端口就可以了。

Switch(config)#int f0/1

Switch(config-if)#ip dhcp snooping trust //設f0/1為信任端口。

通過以上配置，三層交換機上F0/1接口的設備才能應答DHCP請求，其它接口過來的DHCP應答將會被丟棄。同時要注意的是，配置了DHCP Snooping 的交換機默認會產生中繼效果，會將DHCP 請求包的giaddr 的參數改成了0.0.0.0，而且交換機的這種中繼效果是無法關閉的。當服務器收到giaddr 設置為0.0.0.0 而不是IP 地址的請求包時，默認是要丟棄該數據包而不作應答的，所以DHCP 服務器將丟棄該請求數據包。要想讓客戶端能夠正常收到DHCP 提供的IP 地址，就應該讓DHCP 服務器對即使giaddr 為0.0.0.0的請求包也作出應答。配置如下：

Router (config-if)#ip dhcp relay information trusted

5 結束語

在Cisco設備上配置DHCP服務是即經濟又有效的辦法，不僅僅節省了資源，同時能更加穩定的給整個網絡分配IP地址和網絡參數。本文通過對企業內典型局域網的DHCP服務器設計，完整的把Cisco設備上DHCP服務器的配置及日常管理作了一次詳細的總結，相信能給大家在日常網絡管理中提供幫助。