基于ＤＨＣＰ技术的校园网应用

1、基于技术的校园网应用摘要文章分析动态主机配置协议的工作流程，描绘在各种三层交换机上dhp效劳器的配置过程，并提出如何制止非法dhp效劳器的方法。关键词dhp；ip地址；交换机；snping目前，校园网已成为高等学校的重要组成局部。随着校园网的扩大以及挪动办公逐步要求的增加，假如仍然采用静态地址分配的方法进展ip管理，不仅使网络管理人员的工作量极大地增加，同时由于一些用户记不清自己的ip地址，在重新安装系统后乱用ip地址，造成ip地址冲突或无法正常上网，影响校园网用户的正常使用。为防止类似的事情发生，在校园网的ip地址分配可采用动态主机配置协议dynaihstnfiguratinprtl，dhp

2、，dhp可自动将ip地址、掩码、网关、dns分配给用户。dhp效劳器的搭建一般可采用两种方式。方式一：操作系统+效劳器。操作系统可以是ind2022、linux、slaris、freebsd等，不管使用哪一种操作系统，都需要另外使用一台效劳器来安装，增加网络建立投资。方式二：采用会聚交换机自带的dhp效劳器功能，为各会聚交换机下的计算机用户自动分配ip地址。使用会聚交换机做dhp效劳器的好处在于：1节省网络建立投资，不需另外采购一台效劳器作为学校的dhp效劳器；2使用会聚交换机来做dhp效劳器，不容易受到病毒的影响；3由于会聚交换机本身运行稳定，带来dhp效劳器的运行稳定。一、dhp工作流程一

3、发现阶段发现阶段即dhp客户机寻找dhp效劳器的阶段。dhp客户机以播送方式因为dhp效劳器的ip地址对于客户机来说是未知的发送dhpdisver发现信息来寻找dhp效劳器，即向地址255.255.255.255发送特定的播送信息。网络上每一台安装了tp/ip协议的主机都会接收到这种播送信息，但只有dhp效劳器才会响应。二提供阶段提供阶段即dhp效劳器提供ip地址的阶段。在网络中接收到dhpdisver发现信息的dhp效劳器都会做出响应，它从尚未出租的ip地址中挑选一个分配给dhp客户机，向dhp客户机发送一个包含出租的ip地址和其他设置的dhpffer提供信息。三选择阶段选择阶段即dhp客户

4、机选择某台dhp效劳器提供的ip地址的阶段。假如有多台dhp效劳器向dhp客户机发来的dhpffer提供信息，那么dhp客户机只承受第一个收到的dhpffer提供信息，然后它就以播送方式答复一个dhprequest恳求信息，该信息中包含向它所选定的dhp效劳器恳求ip地址的内容。之所以要以播送方式答复，是为了通知所有的dhp效劳器，它将选择某台dhp效劳器所提供的ip地址。四确认阶段确认阶段即dhp效劳器确认所提供的ip地址的阶段。当dhp效劳器收到dhp客户机答复的dhprequest恳求信息之后，它便向dhp客户机发送一个包含它所提供的ip地址和其他设置的dhpak确认信息，告诉dhp客户

5、机可以使用它所提供的ip地址。然后dhp客户机便将其tp/ip协议与网卡绑定，另外，除dhp客户机选中的效劳器外，其他的dhp效劳器都将收回曾提供的ip地址。五重新登录以后dhp客户机每次重新登录网络时，就不需要再发送dhpdisver发现信息了，而是直接发送包含前一次所分配的ip地址的dhprequest恳求信息。当dhp效劳器收到这一信息后，它会尝试让dhp客户机继续使用原来的ip地址，并答复一个dhpak确认信息。假如此ip地址已无法再分配给原来的dhp客户机使用时比方此ip地址已分配给其他dhp客户机使用，那么dhp效劳器给dhp客户机答复一个dhpnak否认信息。当原来的dhp客户机

6、收到此dhpnak否认信息后，它就必须重新发送dhpdisver发现信息来恳求新的ip地址。六更新租约dhp效劳器向dhp客户机出租的ip地址一般都有一个租借期限，期满后dhp效劳器便会收回出租的ip地址。假如dhp客户机要延长其ip租约，那么必须更新其ip租约。dhp客户机启动时和ip租约期限过一半时，dhp客户机都会自动向dhp效劳器发送更新其ip租约的信息。二、dhp配置过程及说明一is交换机dhp配置is(nfig)#ipdhpexluded-address172.17.0.200172.17.0.253/设置不参与动态分配的保存地址；is(nfig)#ipdhpplaaa/设置dhp

7、地址池名；is(dhp-nfig)#netrk172.17.0.0255.255.255.0/设置动态分配的ip地址段；is(dhp-nfig)#default-ruter172.17.0.254/设置缺省网关；is(dhp-nfig)#dns-server202.103.224.68221.7.128.68/设置dns；is(dhp-nfig)#lease7/设置地址租期，以天计算。二中兴交换机dhp配置zxr10(nfig)#ipdhpserverenable/启用dhp效劳；zxr10(nfig)#ipdhpserverdns202.103.224.68221.7.128.68/设置dn

8、s；zxr10(nfig)#ipdhpserverleasetie10080/设置地址租期，以分钟计算；zxr10#vlandatabasezxr10(vlan)#vlan222/创立vlan；zxr10(vlan)#exitzxr10#nfigtzxr10(nfig)#interfaevlan222/设置vlan；zxr10(nfig-if)#ipaddress172.17.0.254255.255.255.0/设置vlan的ip地址段；zxr10(nfig-if)#desriptinaaa/设置vlan名；zxr10(nfig-if)#peerdefaultipplaaa/指定接口使用的地

9、址池；zxr10(nfig-if)#user-interfae/设置用户侧接口标志；zxr10(nfig-if)#ipdhpservergateay172.17.0.254/设置vlan网关；三is2621路由器+港湾big800dhp配置由于港湾big800消费年限较早，该设备不提供dhp效劳器功能，只有dhp中继功能，因此，将big800设置为dhp中继，用一台is2621做dhp效劳器。1.港湾交换机配置harbur(nfig)#reatevlanaaa/创立vlan；harbur(nfig)#nfigvlanaaatag222/设置vlan的tag值；harbur(nfig)#nfig

10、vlanaaaipaddress172.17.0.254255.255.255.0/设置vlan的ip地址段；harbur(nfig)#nfigdhprlistenaddaaa/设置dhprelay效劳监听的vlan；harbur(nfig)#nfigdhprtargetipadd172.16.0.1/指定dhp效劳器ip；2.路由器配置dhp-server(nfig)#ipdhpplaaa/设置dhp地址池名；dhp-server(dhp-nfig)#netrk172.17.0.0255.255.255.0/设置动态分配的ip地址段；dhp-server(dhp-nfig)#default-

11、ruter172.17.0.254/设置缺省网关；dhp-server(dhp-nfig)#dns-server202.103.224.68221.7.128.68/设置dns；dhp-server(dhp-nfig)#lease7/设置地址租期，以天计算。三、制止非法dhp效劳器的方法对于某一个子网，非法的dhp报文在该子网的传播要比合法的dhp报文快，如在该子网内存在一台非法的dhp效劳器，用户必将先获取到非法dhp效劳器所提供的ip地址，影响用户的正常网络使用。防止非法dhp效劳器，可以通过以下几种方式进展解决。一接入交换机带有访问控制列表功能aessntrllists，alrf定义dh

12、p端口号：dhpserver的udp端口号为67，dhplient的udp端口号为68。这样，我们可以通过访问控制列表，在下行端口拒约所有源端口为67，目的端口为68的udp通过，从而到达使非法的dhp效劳器失效的作用。以is2950为例，详细配置如下：sith#nfigtsith(nfig)#aess-list120denyudpanyeq67anyeq68sith(nfig)#aess-list120peritipanyany写好访问控制列表后，将列表应用到各个下行端口。上行端口不能写入该条访问控制列表，否那么该交换机下的所有计算机用户都不能获取到ip地址。二接入交换机带有dhp-snpi

13、ng功能dhpsnping技术dhpsnping是一种通过建立dhpsnpingbinding数据库，过滤非信任的dhp消息，从而保证网络平安的特性。dhpsnping就像是非信任的主机和dhp效劳器之间的防火墙。通过dhpsnping来区分连接到末端客户的非信任接口和连接到dhp效劳器或者其他交换机的受信任接口。dhpsnpingbinding数据库包括如下信息：a地址、ip地址、租约时间、binding类型、vlanid以及来自本地非信任端口的接口信息，但不包含通过受信任端口互相连接的接口信息。在启用了dhpsnping的vlan中，假如交换机收到来自非信任端口的dhp包，交换机将对目的a

14、地址和dhp客户端的地址进展比照，假如符合那么该包可以通过，否那么将被丢弃掉，从而到达过滤非法dhp效劳器的目的。以is3550为例，详细配置如下：sith#nfigtsith(nfig)#ipdhpsnping/在全局形式下启用dhpsnping；sith(nfig)#ipdhpsnpingvlan130/在vlan130中启用dhpsnping；sith(nfig)#interfaegigabitethernet0/10/进入交换机的第10口；sith(nfig-if)#ipdhpsnpingtrust/将第20口设置为受信任端口；sith(nfig)#interfaerangegigabitethernet0/1-9/其他端口；sith(nfig)#nipdhpsnpingtrust/将第21口设置为不受信任端口；sith(nfig)#ipdhpsnpingliitrate10/设置每秒钟处理dhp数据包上限。三接入交换机为不可网管交换机在获取到非法ip地址的计算机上，到通过arp-a命令查找到非法dhp效劳器的a地址，在上层可网管交换机中查找出该a地址是从可网管交换机的哪一个端口上行的，找到该端口下的交换机，然后在该交换机上通过逐条拔出网线的方式，查找出非法