计算机网络原理(DHCP配置)课程设计

PAGEPAGE17课程设计报告书课程名称：计算机网络原理题目：局域网协议DHCP服务配置及安全防护学生姓名：专业：计算机班别：学号：指导老师：日期：2012年12月30日局域网协议DHCP服务配置及安全防护目录TOC\o"1-4"\h\z\u1.设计目的 32.设计内容 32.1DHCP服务的配置 32.2DHCP的安全防护 32.2.1临时保护DHCP 32.2.2长期保护DHCP 32.2.3基本防范 43.DHCP简介 53.1DHCP介绍 53.2DHCP地址分配 63.2.1ManualAllocation 63.2.2AutomaticAllocation 63.2.3DynamicAllocation 63.3DHCP工作原理 73.3.1寻找Server 73.3.2提供IP租用地址 83.3.3接受IP租约 83.3.4租约确认 93.4DHCP的责任 104.配置DHCP用到的软件程序 104.1VMwareWorkstation 104.1.1VM简介 104.2RedHatEnterpriseLinux5企业版 114.2.1RedHat公司介绍 114.2.2RedHat软件 114.2.3RedHatEnterpriseLinux5企业版 115.配置DHCP服务过程 135.1安装DHCP服务 135.2DHCP服务配置 145.3DHCP的保留配置 166.总结 171.设计目的1.1了解局域网协议DHCP服务的基本配置。1.2为了提高网络管理效率。1.3保护合法DHCP服务器的运行安全性，以避免其受到不合法DHCP服务器的“冲击”!2.设计内容2.1DHCP服务的配置2.2DHCP的安全防护2.2.1临时保护DHCPDHCP的工作机制是：普通工作站系统是通过广播方式向局域网网络发送上网参数请信息的，局域网中的所有网络设备都会收到来自普通工作站的上网请求，这自然也包括合法的DHCP服务器、不合法的DHCP服务器，不过究竟是合法的DHCP服务器还是不合法的DHCP服务器，优先应答普通工作站的上网请求，是没有什么规律的。因此当遇到普通工作站系统无法获得有效上网参数现象时，有以下几种临时方法可保护DHCP：A.可以尝试通过反复发送广播信息的办法，来临时保证普通工作站与合法DHCP服务器建立连接，直到普通工作站能够从合法DHCP服务器那里得到有效的上网参数为止。B.可以打开故障工作站系统的DOS命令行工作窗口，并在DOS命令行提示符下执行“ipconfig/release”字符串命令，来将之前获得的不正确上网参数释放出来。然后尝试执行“ipconfig/renew”字符串命令，来重新向局域网发送上网参数请求数据包，如果上述命令返回错误的结果信息，那么我们可以在本地系统运行对话框中继续执行“ipconfig/release”、“ipconfig/renew”字符串命令，直到普通工作站获得有效的上网参数信息为止。2.2.2长期保护DHCP通常情况下，局域网中的普通工作站安装使用的都是Windows操作系统，在Windows工作站系统为主的局域网工作环境中，我们可以通过域管理模式来保护合法DHCP服务器的运行安全性，同时过滤不合法的DHCP服务器，确保该DHCP服务器不会为局域网普通工作站分配错误的上网参数信息。我们只要在局域网域控制器中，将合法有效的DHCP服务器主机加入到局域网活动目录中，就能保证局域网中的所有普通工作站都会自动从合法有效的DHCP服务器那里，获得正确的上网参数信息了;这是因为域中的普通工作站向网络发送广播信息，申请上网参数地址时，位于同一个域中的合法有效的DHCP服务器，会自动优先响应普通工作站的上网请求，如果局域网指定域中的DHCP服务器不存在或失效时，那些没有加入指定域中的不合法DHCP服务器才有可能响应普通工作站的上网请求。

要将合法有效的DHCP服务器加入到局域网指定域中时，我们可以按照下面的设置步骤来操作：首先以系统管理员权限登录进入局域网指定域控制器所在主机系统，打开该系统桌面上的“开始”菜单，从中依次点选“程序”/“管理工具”/“DHCP”选项，打开对应系统的DHCP服务器控制台窗口;

其次在目标控制台窗口的左侧显示区域，用鼠标右键单击目标服务器主机，从弹出的快捷菜单中执行“添加服务器”命令，单击其中的“浏览”按钮，在其后出现的选择计算机对话框中，选中合法有效的DHCP服务器所在主机名称，也可以直接在“此服务器”文本框中输入DHCP服务器所在主机的IP地址，最后单击“确定”按钮完成设置操作。如此一来，局域网指定域中的普通工作站日后上网访问时，就会自动优先从合法有效的DHCP服务器那里获得正确的上网参数信息了。2.2.3基本防范首先定义交换机上的信任端口和不信任端口，对于不信任端口的DHCP报文进行截获和嗅探，DROP掉来自这些端口的非正常DHCP报文，如下图所示：基本配置示例如下表：IOS全局命令：ipdhcpsnoopingvlan100,200/*定义哪些VLAN启用DHCP嗅探ipdhcpsnooping接口命令ipdhcpsnoopingtrustnoipdhcpsnoopingtrust(Default)ipdhcpsnoopinglimitrate10(pps)/*一定程度上防止DHCP拒绝服/*务攻击手工添加DHCP绑定表ipdhcpsnoopingbinding1.1.1vlan1interfacegi1/1expiry1000导出DHCP绑定表到TFTP服务器ipdhcpsnoopingdatabaset/directory/file需要注意的是DHCP绑定表要存在本地存贮器(Bootfalsh、slot0、ftp、tftp)或导出到指定TFTP服务器上，否则交换机重启后DHCP绑定表丢失，对于已经申请到IP地址的设备在租用期内，不会再次发起DHCP请求，如果此时交换机己经配置了下面所讲到的DAI和IPSourceGuard技术，这些用户将不能访问网络。高级防范通过交换机的端口安全性设置每个DHCP请求指定端口上使用唯一的MAC地址，通常DHCP服务器通过DHCP请求的报文中的CHADDR段判断客户端MAC地址，通常这个地址和客户端的真是IP相同，但是如果攻击者不修改客户端的MAC而修改DHCP报文中CHADDR，实施Dos攻击，PortSecurity就不起作用了，DHCP嗅探技术可以检查DHCP请求报文中的CHADDR字段，判断该字段是否和DHCP嗅探表相匹配。这项功能在有些交换机是缺省配置的，有些交换机需要配置，具体需要参考相关交换机的配置文档。3.DHCP简介3.1DHCP介绍DHCP是DynamicHostConfigurationProtocol(动态主机配置协议）缩写，它的前身是BOOTP。BOOTP原本是用于无磁盘主机连接的网络上面的：网络主机使用BOOTROM而不是磁盘启动并连接上网络，BOOTP则可以自动地为那些主机设定TCP/IP环境。但BOOTP有一个缺点：您在设定前须事先获得客户端的硬件地址，而且，与IP的对应是静态的。换而言之，BOOTP非常缺乏"动态性"，若在有限的IP资源环境中，BOOTP的一对一对应会造成非常严重的资源浪费。DHCP可以说是BOOTP的增强版本，它分为两个部份：一个是服务器端，而另一个是客户端。所有的IP网络设定数据都由DHCP服务器集中管理，并负责处理客户端的DHCP要求；而客户端则会使用从服务器分配下来的IP环境数据。比较起BOOTP，DHCP透过"租约"的概念，有效且动态的分配客户端的TCP/IP设定，而且，作为兼容考虑，DHCP也完全照顾了BOOTPClient的需求。DHCP的分配形式首先，必须至少有一台DHCP工作在网络上面，它会监听网络的DHCP请求，并与客户端磋商TCP/IP的设定环境。3.2DHCP地址分配3.2.1ManualAllocation人工分配，获得的IP也叫静态地址，网络管理员为某些少数特定的在网计算机或者网络设备绑定固定IP地址，且地址不会过期。同一个路由器一般可以通过设置来划分静态地址和动态地址的IP段，比如一般家用TP-LINK路由器，常见的是从00~54，这样如果你的电脑是自动获得IP的话，一般就是00，下一台电脑就会由DHCP自动分到为01。而~9为手动配置IP段。3.2.2AutomaticAllocation自动分配，其情形是：一旦DHCP客户端第一次成功的从DHCP服务器端租用到IP地址之后，就永远使用这个地址。3.2.3DynamicAllocation\o"查看图片"

动态分配，当DHCP客户端第一次从DHCP服务器端租用到IP地址之后，并非永久的使用该地址，只要租约到期，客户端就得释放(release)这个IP地址，以给其它工作站使用。当然，客户端可以比其它主机更优先的更新（renew)租约，或是租用其它的IP地址。动态分配显然比手动分配更加灵活，尤其是当您的实际IP地址不足的时候，例如：您是一家ISP，只能提供200个IP地址用来给拨接客户，但并不意味着您的客户最多只能有200个。因为要知道，您的客户们不可能全部同一时间上网的，除了他们各自的行为习惯的不同，也有可能是电话线路的限制。这样，您就可以将这200个地址，轮流的租用给拨接上来的客户使用了。这也是为什么当您查看IP地址的时候，会因每次拨接而不同的原因了（除非您申请的是一个固定IP，通常的ISP都可以满足这样的要求，这或许要另外收费）。当然，ISP不一定使用DHCP来分配地址，但这个概念和使用IPPool的原理是一样的。DHCP除了能动态的设定IP地址之外，还可以将一些IP保留下来给一些特殊用途的机器使用，它可以按照硬件地址来固定的分配IP地址，这样可以给您更大的设计空间。同时，DHCP还可以帮客户端指定router、netmask、DNSServer、WINSServer、等等项目，您在客户端上面，除了将DHCP选项打勾之外，几乎无需做任何的IP环境设定。3.3DHCP工作原理3.3.1寻找Server当DHCP客户端第一次登录网络的时候，也就是客户发现本机上没有任何IP数据设定，它会向网络发出一个DHCPDISCOVER封包。因为客户端还不知道自己属于哪一个网络，所以封包的来源地址会为，而目的地址则为55，然后再附上DHCPdiscover的信息，向网络进行广播。在Windows的预设情形下，DHCPdiscover的等待时间预设为1秒，也就是当客户端将第一个DHCPdiscover封包送出去之后，在1秒之内没有得到响应的话，就会进行第二次DHCPdiscover广播。若一直得不到响应的情况下，客户端一共会有四次DHCPdiscover广播（包括第一次在内），除了第一次会等待1秒之外，其余三次的等待时间分别是9、13、16秒。如果都没有得到DHCP服务器的响应，客户端则会显示错误信息，宣告DHCPdiscover的失败。之后，基于使用者的选择，系统会继续在5分钟之后再重复一次DHCPdiscover的过程。\o"查看图片"

相关图片3.3.2提供IP租用地址当DHCP服务器监听到客户端发出的DHCPdiscover广播后，它会从那些还没有租出的地址范围内，选择最前面的空置IP，连同其它TCP/IP设定，响应给客户端一个DHCPOFFER封包。由于客户端在开始的时候还没有IP地址，所以在其DHCPdiscover封包内会带有其MAC地址信息，并且有一个XID编号来辨别该封包，DHCP服务器响应的DHCPoffer封包则会根据这些资料传递给要求租约的客户。根据服务器端的设定，DHCPoffer封包会包含一个租约期限的信息。3.3.3接受IP租约如果客户端收到网络上多台DHCP服务器的响应，只会挑选其中一个DHCPoffer而已（通常是最先抵达的那个），并且会向网络发送一个DHCPrequest广播封包，告诉所有DHCP服务器它将指定接受哪一台服务器提供的IP地址。同时，客户端还会向网络发送一个ARP封包，查询网络上面有没有其它机器使用该IP地址；如果发现该IP已经被占用，客户端则会送出DHCPDECLIENT封包给DHCP服务器，拒绝接受其DHCPoffer，并重新发送DHCPdiscover信息。事实上，并不是所有DHCP客户端都会无条件接受DHCP服务器的offer，尤其这些主机安装有其它TCP/IP相关的客户软件。客户端也可以用DHCPrequest向服务器提出DHCP选择，而这些选择会以不同的号码填写在DHCPOptionField里面。换一句话说，在DHCP服务器上面的设定，未必是客户端全都接受。客户端可以保留自己的一些TCP/IP设定，并且主动权永远在客户端这边。3.3.4租约确认当DHCP服务器接收到客户端的DHCPrequest之后，会向客户端发出一个DHCPACK响应，以确认IP租约的正式生效，也就结束了一个完整的DHCP工作过程。\o"查看图片"

DHCP发放流程第一次登录之后：一旦DHCP客户端成功地从服务器那里取得DHCP租约之后，除非其租约已经失效并且IP地址也重新设定回，否则就无需再发送DHCPdiscover信息了，而会直接使用已经租用到的IP地址向之前之DHCP客户端发出DHCPrequest信息，DHCP服务器会尽量让客户端使用原来的IP地址，如果没问题的话，直接响应DHCPack来确认则可。如果该地址已经失效或已经被其它机器使用了，服务器则会响应一个DHCPNACK封包给客户端，要求其重新执行DHCPdiscover。至于IP的租约期限却是非常考究的，并非如我们租房子那样简单，以NT为例子：DHCP客户端除了在开机的时候发出DHCPrequest请求之外，在租约期限一半的时候也会发出DHCPrequest，如果此时得不到DHCP服务器的确认的话，客户端还可以继续使用该IP；当租约期过了87.5%时，如果客户端仍然无法与当初的DHCP服务器联系上，它将与其它DHCP服务器通信。如果网络上再没有任何DHCP服务器在运行时，该客户端必须停止使用该IP地址，并从发送一个Dhcpdiscover数据包开始，再一次重复整个过程。要是您想退租，可以随时送出DHCPRELEASE命令解约，就算您的租约在前一秒钟才获得的。跨网络的DHCP运作从前面描述的过程中，我们不难发现：DHCPDISCOVER是以广播方式进行的，其情形只能在同一网络之内进行，因为router是不会将广播传送出去的。但如果DHCP服务器安设在其它的网络上面呢？由于DHCP客户端还没有IP环境设定，所以也不知道Router地址，而且有些Router也不会将DHCP广播封包传递出去，因此这情形下DHCPDISCOVER是永远没办法抵达DHCP服务器那端的，当然也不会发生OFFER及其它动作了。要解决这个问题，我们可以用DHCPAgent(或DHCPProxy)主机来接管客户的DHCP请求，然后将此请求传递给真正的DHCP服务器，然后将服务器的回复传给客户。这里，Proxy主机必须自己具有路由能力，且能将双方的封包互传对方。若不使用Proxy，您也可以在每一个网络之中安装DHCP服务器，但这样的话，一来设备成本会增加，而且，管理上面也比较分散。当然喽，如果在一个十分大型的网络中，这样的均衡式架构还是可取的。视您的实际情况而定了。3.4DHCP的责任1.保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。2.DHCP应当可以给用户分配永久固定的IP地址。3.DHCP应当可以同用其他方法获得IP地址的主机共存（如手工配置IP地址的主机）。4.DHCP服务器应当向现有的BOOTP客户端提供服务。4.配置DHCP用到的软件程序4.1VMwareWorkstation4.1.1VM简介VMwareWorkstation是一款功能强大的桌面虚拟计算机软件，提供用户可在单一的桌面上同时运行不同的操作系统，和进行开发、测试、部署新的应用程序的最佳解决方案。VMwareWorkstation可在一部实体机器上模拟完整的网络环境，以及可便于携带的虚拟机器，其更好的灵活性与先进的技术胜过了市面上其他的虚拟计算机软件。对于企业的IT开发人员和系统管理员而言，VMware在虚拟网路，实时快照，拖曳共享文件夹，支持PXE等方面的特点使它成为必不可少的工具。VMwareWorkstation允许操作系统(OS)和应用程序(Application)在一台虚拟机内部运行。虚拟机是独立运行主机操作系统的离散环境。在VMwareWorkstation中，你可以在一个窗口中加载一台虚拟机，它可以运行自己的操作系统和应用程序。你可以在运行于桌面上的多台虚拟机之间切换，通过一个网络共享虚拟机(例如一个公司局域网)，挂起和恢复虚拟机以及退出虚拟机—这一切不会影响你的主机操作和任何操作系统或者它正在运行的应用程序。4.2RedHatEnterpriseLinux5企业版4.2.1RedHat公司介绍RedHat是全球最大的开源技术厂家，其产品RedHatLinux也是全世界应用最广泛的Linux。RedHat公司总部位于美国北卡罗来纳州。在全球拥有22个分部。4.2.2RedHat软件RedHat是美国RedHat公司的产品，是相当成功的一个Linux发行版本，也是目前使用最多的Linux发行版本。RedHat最早由BobYoung和MarcEwing在1995年创建。原来的RedHat版本早已停止技术支持，目前RedHat的Linux分为两个系列，其中一个是由RedHat公司提供收费技术支持和更新的RedHatEnterpriseLinux系列；另一个是由社区开发的免费的FedoraCore系列。RedHat因其易于安装而闻名，在很大程度上减轻了用户安装程序的负担，其中RedHat提供的图形界面安装方式非常类似Windows系统的软件安装，这对于那些Windows用户而言，几乎可以像安装Windows系统一样轻松安装RedHat发行套件。RedHat作为Linux的发行版本，开放源代码是与其他操作系统，如Windows等相比具有的先天优势，有利于全世界范围内技术工程师和技术人员共同开发。4.2.3RedHatEnterpriseLinux5企业版RHEL5的版本主要分为Sever和Desktop两个版本。

具体来说，Server版本分为：

·RedHatEnterpriseLinuxAdvancedPlatform-对应以前的·RedHatEnterpriseLinuxAS

·RedHatEnterpriseLinux-对应以前的RedHatEnterpriseLinuxAS

Desktop版本分为：

·RedHatEnterpriseLinuxDesktop-对应以前的RedHatDesktop

·RedHatEnterpriseLinuxDesktopwithWorkstationoption-对应以前的RedHatEnterpriseLinuxWS

主要的功能包括：

虚拟化技术

在各种平台上支持虚拟化技术

在RedHatEnterpriseLinuxAdvancedPlatform支持存储与扩展的服务器虚拟化技术

RedHatNetwork提供各种虚拟化系统的支持

virt-manager,libvirt/virsh管理工具

内核与性能

基于Linux2.6.18内核

支持多核处理器

广泛的新硬件支持

更新的基于Kexec/Kdump的Dump支持

支持IntelNetworkAcceleratorTechnology(IOAT)

对于大型SMP系统技持的增强

增强的管道缓存

内核缓存接合能力用于改进IO缓存操作

安全

SELinux增强

图形化SELinux管理界面

集成的目录和安全机制

增强的IPESEC提高安全与性能

新的审计机制用于提供新的搜索、报表和实时监控的能力

网络与互操作性

支持Autofs,FS-Cache和iSCSI

增强的IPv6支持

改进的Microsoft募/打印和ActiveDirec