基于DHCP的局域網地址綁定技術研究與應用

2017-05-26 08:04:00劉志剛戴昭魏曉光萬光明

中國新通信 2017年7期

關鍵詞：分配

劉志剛+戴昭+魏曉光+萬光明

【摘要】本文介紹了一種基于DHCP技術的局域網地址綁定方法，基于局域網終端動態和靜態兩種IP地址獲取方式，利用網絡交換機作為DHCP中繼代理，在DHCP服務器上設置終端IP與MAC地址綁定，實現了局域網IP地址與終端的高效管理，同時避免了IP地址容易被他人占用、非法DHCP服務器干擾等安全性問題。

【關鍵詞】 DHCP 地址綁定

一、引言

DHCP（Dynamic Host Configuration Protocol，動態主機配置協議）常被用于局域網集中管理IP地址分配，網絡終端動態獲取IP地址、網關、DNS服務器地址等信息。本文介紹了一種基于DHCP的局域網地址綁定技術，終端從DHCP服務器獲取IP地址，卻無法冒用其它用戶的IP，從而實現了局域網IP和MAC地址綁定。

二、DHCP服務器地址分配方式

DHCP服務有三種IP地址機制分配：1、自動永久分配方式。DHCP服務器為終端自動分配一個永久性的IP地址，DHCP客戶端成功從服務器租用到IP地址后就可以永久性的使用該地址。2、動態分配方式。DHCP服務器為終端動態分配一個有時間限制的IP地址，到期或終端不再續約時，該地址可以被其他主機使用。3、手工固定分配方式。終端的IP和MAC地址是預先配置在DHCP服務器上的，DHCP服務器只是將指定的IP地址分配給相應MAC地址的終端。

三、DHCP中繼代理

DHCP終端與DHCP服務器在同一個VLAN，終端方可正確地獲得服務器分配的IP地址。如果不在同一個VLAN，就需要通過DHCP中繼代理（DHCP Relay Agent）來實現，DHCP中繼代理可以把其它子網終端DHCP消息到傳遞給服務器，也可以將服務器的消息傳回給不在同一個子網的DHCP終端。DHCP中繼的原理是當DHCP客戶端初始化時，它會在本機所在VLAN廣播請求報文，如果存在DHCP服務器，則可以直接獲取到DHCP 配置，如果本地網絡沒有DHCP服務器，該廣播報文會被DHCP中繼代理接收，然后轉發給預先配置的DHCP服務器，從而完成DHCP地址分配。在局域網中最適合做DHCP中繼代理的設備，就是終端設備IP網關所在的核心或匯聚交換機。

四、交換機配置

1、啟用DHCP中繼。在交換機上配置DHCP中繼，以華三交換機為例有以下幾個步驟：1）啟用DHCP服務。2）配置VLAN Interface接口工作在DHCP中繼模式。處于DHCP中繼模式的VLAN虛接口工作，當收到DHCP客戶端發來的報文時，會將報文轉發給DHCP服務器。3）指定DHCP服務器的IP地址。為了提高獲取IP地址的可靠性，需要在局域網DHCP中繼代理上配置多個 DHCP 服務器，當 DHCP 中繼收到某一終端發來的DHCP報文時，會同時轉發給所有的DHCP服務器。指定DHCP服務器的IP地址不能與作為DHCP中繼的虛接口IP地址在同一網段，否則可能導致終端無法獲得IP地址。

2、啟用DHCP Snooping。由于本地網絡的DHCP報文是廣播方式通信的，終端無法鑒別DHCP服務器的合法性。網絡中如果存在私自架設的非法DHCP服務器，可能導致DHCP客戶端獲取到錯誤的IP地址和網絡配置參數，導致終端無法正常上網。為了使避免DHCP 終端從非法的DHCP服務器那里獲取IP地址，DHCP Snooping 安全機制允許將端口設置為信任端口和非信任端口，信任端口正常轉發接收到的 DHCP 報文，不信任端口接收到DHCP服務器響應的DHCP-ACK和DHCP-OFFER報文后丟棄。在 DHCP Snooping設備上指向DHCP服務器方向的端口需要設置為信任端口，其他端口設置為非信任端口，從而保證DHCP客戶端只能從合法的DHCP服務器獲取IP地址，而私自架設的偽DHCP服務器無法為DHCP客戶端分配 IP 地址。

3、終端IP和MAC地址綁定。1）交換機啟用地址匹配檢查。為了防止非法主機修改靜態IP 地址并訪問外部網絡，必須啟用 DHCP 中繼的地址匹配檢查功能。啟用該功能后，當客戶端通過DHCP中繼從DHCP 服務器獲取到IP地址時，DHCP中繼可以自動記錄客戶端IP地址與硬件地址的綁定關系，生成DHCP中繼的用戶地址表項。2）靜態DHCP地址匹配表項。為滿足用戶采用靜態配置 IP 地址的需求，DHCP中繼也支持靜態配置用戶地址表項，在 DHCP 中繼上手工配置 IP 地址與 MAC 地址的綁定關系。靜態IP分配終端由于不發送DHCP報文，所以只有配置了DHCP relay security static表項之后網絡才可以通，動態IP分配終端可以不用配置。

3、配置DHCP中繼動態用戶地址表項定時刷新功能。DHCP 終端釋放動態獲取的IP地址時，會向DHCP服務器單播發送 DHCP-RELEASE 報文，DHCP中繼不會處理該報文的內容。如果此時DHCP中繼上記錄了該IP地址與MAC地址的綁定關系，則會造成DHCP中繼的用戶地址表項無法實時刷新，而發生網絡中斷。

結語：基于DHCP的交換機地址綁定技術，不僅為局域網IP管理帶來方便快捷，而且在提升網絡接入安全管理水平方面也發揮了重要作用。

參考文獻

[1] 陳平仲 .大型局域網中IP地址非法使用解決方案探討 [J].計算機系統應用，2006（4）

[2] 賈小東，孫向輝，彭四偉 .DHCP協議缺點及其解決方案 [J].計算機工程，2007， 33（23）