淺談DHCP在多VLAN中的應用

金國鎮

【摘要】隨著互聯網技術的快速發展，企業和院校的網絡節點（網絡設備）也迅速增多，隨首總節點的增加給網絡安全和管理帶來了一些問題。分區塊設置不同段的IP成了管理員必做的事，動態IP地址分配協議（DHCP）能很好的解決移動電腦、PC、手機獲取IP的問題，從而極大地減輕了網絡管理員工作的強度，達到降低用戶接入Internet網絡的技術要求。

【關鍵詞】動態主機控制協議（DHCP）虛擬局域網（VLAN）IP地址分配DHCP Snooping

【中圖分類號】G622.0 【文獻標識碼】A 【文章編號】2095-3089（2014）5-0174-02

隨著計算機應用的廣泛普及以及互聯網的大力推動，各行各業都會使用到互聯網，而一個學校有著幾百臺甚至上千臺電腦已司空見慣。由于現行的IPV4不可能為一個學校分配過多的公網地址，學校組建局域網以達到共享上網的目的，而組建局域網迎面而來的一些問題。本文針對IP地址分配提出一些嘗試，以減輕網絡管理人員的工作壓力。

一、組網模式

1、多層架構：網絡上了一定的規模，組網模式一般會采用多層架構，即路由器、核心交換機、聚匯交換機（可以省）、接入交換機。

2、單VLAN技術：用非網管的傻瓜式交換機組成的網絡，或只啟用了一個Vlan1。這種方式只僅僅運用在家庭或很小的辦公場所。

3、多VLAN技術：VLAN技術能有效的減少廣播風暴，為不同的部門，不同的大樓劃分不同的VLAN，將網絡邏輯切割成若干個小塊，將問題有效的縮小到一個小范圍內，而不影到其它VLAN的正常使用，這更于管理人員精確定位問題所在。

二、IP地址的管理

網絡上每臺上網設備必須有個IP地址才能相互通信，當網絡管理員靜態地向用戶分配IP地址時，必須記錄分配給用戶的IP地址，同時用戶也必須按照所得到的IP地址在PC機上進行相應的參數配置。當網絡中的節點達到一定規模時，管理、分配和配置這些IP地址是個技術復雜而又繁重的工作，同時也存在IP地址冒用，造成IP地址沖突。為了解決這一類IP地址分配的問題，DHCP技術被越來越多的管理員所采用。DHCP協議能上接入網絡的設備自動從DHCP地址池中獲得一個IP地址，不會產生IP地址重復的問題，其特點如下：

1）當用戶入網時DHCP自動為接入設備提供一個入網參數配置，保證了網絡地址不發生沖突。退網時自動釋放所分配的IP地址，減少了用戶入網時的技術要求和IP地址的分配、管理工作。

2）DHCP可以周期性租借IP地址，一般工作站對IP地址的占用都不需要是永久性的。當用戶計算機退出網絡時，DHCP服務器及時地收回IP地址另行分配。

三、DHCP服務器的分類

DHCP動態分配IP如此的好用，但也有一些不同的應用，下面列出DHCP動態分配應用類型分為以下幾類：

1、使用路由器自帶的DHCP功能，只能分配一個網段，加重路由器的負擔。

2、是使用三層核心交換機的DHCP功能，這無疑給核心交換機增加了負擔，配置修改相當繁瑣。

3、是使用獨立的DHCP服務器，可以很好的緩解路由器、核心交換機負載，是機房管理員的首選獨方案。

四、如何去選擇DHCP服務器，也是每個機房管理員最為頭疼的事情，下面就DHCP服務器展開論述

1、使用微軟Windows Server的DHCP。

2003/2008都可以，正版費用和專業服務器需要花費不少的代價。根本問題在于微軟的Server2003提供的DHCP服務，存在著一個實際的問題。一臺筆記本，同時將網線與無線連入網絡，在獲取IP的幾次握手過程中會出現問題，服務器已分不清是你這臺電腦的無線還是有線，為此DHCP服務器會給在這個用戶打上Bad Address，將其鎖死，需要管理員手動操作，增加了管理員的工作。

2、使用Linux的DHCP。

相信大多數機房管理都不愿意去接觸Linux，原因無它，Linux的配置太過于復雜，出了一些問題，在網上消耗大量的時間也不一定能找出合理的解決方案。

3、使用RouterOS的DHCP。

RouterOS對電腦的要求很低，可以使用淘汰的舊電腦，網上花少量的錢買個RouterOS的電子盤。安裝時只需要DHCP Server和管理工具即可，安裝過程由于篇文限制就不介紹了，下面介紹基于多VLAN的DHCP配置思路，為管理員指明方向：

1、通過WinBox工具登入RouterOS。

2、在Interfaces的VLAN選項卡中添加VLAN名和VLAN號。

3、IP/POOL中添加IP地址池。

4、IP/Address中添加DHCP服務器的IP地址。

5、IP/DHCP-Server/NetWork中添加作用網段，網關，DNS等信息。

6、 IP/DHCP-Server/DHCP中為每個VLAN添加不同的DHCP服務器，設置VLAN號對應的地址池，IP租期等信息。

五、DHCP Snooping 技術的配合

DHCP Snooping技術是DHCP安全特性，通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區域的DHCP信息。當交換機開啟了 DHCP-Snooping后對DHCP報文進行偵聽，將某個物理端口設置為信任端口和不信任口。信任端口可以正常接收并轉發DHCP報文，而不信任端口會將DHCP報文丟棄。這樣可以假冒DHCP的屏蔽掉，確保客戶端從合法的DHCP Server獲取IP地址。

在核心交換機連DHCP的端口上，打上tag，允許多個VLAN號通過；其他節點的交換上，將上行口設為Server其它口設為Client。具體型號的交換機的配置命令都不相同，管理員可以查一下說明書。

六、總結

浙江省機電技師學院從十幾臺PC發展到了1200+臺PC、手機、平板無線鋪天蓋地而來，網絡架構也從單VLAN到多VLAN發展，從手動IP到動態DHCP，從路由DHCP、三層交機的DHCP、微軟的DHCP到目前的RouterOS的DHCP。通過多VLAN的DHCP服務加上DHCP Snooping功能的交換機，已讓學院網絡通暢運作了3年有余，效果顯著。

參考文獻：

[1]李金方，祁林，鐃德勝 《DHCP服務在多VLAN中的應用》 2008.12