管理论文：企业DHCP服务器配置与管理

企业DHCP服务器配置与管理摘要：本文主要以典型企业网络结构出发，具体介绍了cisco路由器上如何配置DHCP服务器，及针对多个vlan环境下DHCP中继的配置，并讨论如何管理DHCP服务器以提高网络的安全性能。关键词：DHCP路由器VLANSnooping随着信息化技术的飞速发展，企业不断加强自身信息化建设，网络规模日趋庞大。大规模的电脑分布，复杂的子网设置，DHCP服务器毋庸置疑是企业网络管理员科学管理局域网IP地址及配置的首选。有了DHCP服务器后，使得我们的网络管理工作变得游刃有余。本文通过对一个企业典型的网络系统案例，把相关的知识点综合应用上来，以实现一个安全完整的动态主机配置服务系统。1企业网络结构介绍企业网络结构拓扑图如下：说明：本实例选用在路由器上配置DHCP服务，为三层交换机下面Vlan10和Vlan20的电脑分别分配192.168.10.0/24和192.168.20.0/24两网段的地址。2配置DHCP服务器在Router路由器上面配置DHCP服务：2.1开启DHCP功能Router(config)#servicedhcp2.2配置DHCP地址池Router(config)#ipdhcppoolvlan1//地址池名为vlan1Router(dhcp-config)#network192.168.10.0255.255.255.0//vlan1客户端使用的地址段Router(dhcp-config)#default-router192.168.10.1//网关地址Router(dhcp-config)#dns-server61.144.56.100//DNS地址Router(dhcp-config)#lease21230//租期为2天12小时30分(默认为一天)Router(config)#ipdhcppoolvlan2//地址池名为vlan2Router(dhcp-config)#network192.168.20.0255.255.255.0//vlan2客户端使用的地址段Router(dhcp-config)#default-router192.168.20.1//网关地址Router(dhcp-config)#dns-server61.144.56.100//DNS地址Router(dhcp-config)#lease2//租期为2天2.3保留IP地址因为有些IP地址我们要用作特殊用途，不希望分配给客户端。比如：网关地址或一些需要固定给某一台电脑使用的IP等。所以我们要保留这些地址，这样服务器就不会将这些地址分配给客户端使用。Router(config)#ipdhcpexcluded-address192.168.10.1192.168.10.10//保留192.168.10.1到192.168.10.10Router(config)#ipdhcpexcluded-address192.168.20.1192.168.20.10以上就是路由器上开启DHCP服务以及如何配置服务器的具体方法，如果客户端直接连接路由器端口就可以申请到对应端口网段的IP地址了。但现在客户端电脑是通过三层交换机来连接路由器的，这样客户端是无法顺利申请到IP地址的，因为客户端的DHCP请求到达交换机以后不知道向路由器申请。因此我们接下来配置三层交换机上的DHCP中继，来实现DHCP请求顺利到达路由器上。3配置三层交换机企业为了局域网内部的管理及控制广播风暴，通常在计算机数量比较多的情况下采用基于端口的方法来划分VLAN(虚拟局域网)，我们把f0/2、f0/3分别加入vlan10、vlan20(其它端口默认属于vlan1)。3.1配置vlan及相应接口信息Switch(config)#vlan10//创建vlan10Switch(config-vlan)#exitSwitch(config)#intvlan10//设置vlan10的IP地址Switch(config-if)#ipaddress192.168.10.1255.255.255.0Switch(config-if)#exitSwitch(config)#intf0/2//配置端口F0/2，把该端口加入vlan10Switch(config-if)#switchitchportmodeaccessSwitch(config-if)#switchitchportaccessvlan10Switch(config-if)#exit同理，创建vlan20，设vlan20的IP地址为192.168.20.1/24,把F0/3加入vlan20。3.2配置DHCP中继配置DHCP中继通常在交换机、路由器或服务器版操作系统上配置，这些设备通常处在DHCP服务器与DHCP客户端中间，使得DHCP客户端的请求广播不能到达对应DHCP服务器，从而使得客户端的申请失败。而配置DHCP中继就是让客户端的广播包单播发向对应的DHCP服务器，我们通过iphelp-address功能来实现。Switch(config)#intvlan10Switch(config-if)#iphelper-address192.168.0.1//单播前转DHCP广播到192.168.0.1Switch(config-if)#exitSwitch(config)#intvlan20Switch(config-if)#iphelper-address192.168.0.1同样，如果现实中这三层交换机是路由器，我们也是在路由器接客户端的接口上设置iphelper-address来实现DHCP中继。3.3配置路由器上的路由配置基本完成，最后一定要记得配置路由，让DHCP服务器能与客户端通信。Router(config)#iproute192.168.10.0255.255.255.0192.168.0.2Router(config)#iproute192.168.20.0255.255.255.0192.168.0.2通过以上几步配置，Vlan10里的电脑PC1便能获得地址192.168.10.11，Vlan20里的电脑PC2便能获得地址192.168.20.11。为什么不同vlan之间能获得各自网段的IP地址呢?因为三层交换机收到PC1的DHCP广播包后，将giaddr的参数改成了192.168.10.1，收到PC2的DHCP广播包后，将giaddr的参数改成了192.168.20.1，所以最后DHCP服务器能够根据giaddr=192.168.10.1的包,把192.168.10.0/24的有效地址分配给PC1。根据giaddr=192.168.20.1的包，把192.168.20.0/24的有效地址分配给PC2。4管理DHCP服务器4.1绑定IP与MAC地址在企业日常维护中，常有一些IP地址需要固定给某一台客户机。Cisco路由器上可以通过单独创建一个地址池hostpool，然后通过client-identifier来实现IP地址与MAC地址的绑定。比如一个主机网卡MAC地址为0013.77B9.2774，要绑定IP地址192.168.10.100/24。实现如下：Router(config)#ipdhcppoolclient1Router(dhcp-config)#host192.168.10.100255.255.255.0Router(dhcp-config)#client-identifier0100.1377.B927.74//前面新增的01表示走的Ethernet，后面接MAC4.2禁止非法DHCP服务器欺骗在企业网络中，难免某一个子网中多出一个带DHCP服务功能的服务器或路由器，结果导致客户端电脑获取到一个非法的IP地址配置信息，导致电脑无法正常使用。其原因是DHCP客户端发出的DHCP请求是以广播形式发出的，在同一个广播域，也就是说同一个vlan里所有的设备都会收到。事实上，非法的DHCP报文在该子网的传播要比合法的DHCP报文快，用户必将先获取到非法DCHP服务器所提供的IP地址。其实防止非法DHCP服务器，可以通过交换机上的DHCP-snooping功能来实现。DHCPSnooping技术是一种通过在交换机上建立DHCPSnoopingBinding数据库，过滤非信任的DHCP消息，从而保证网络安全的特性。本案例具体可以在三层交换机上配置如下：Switch(config)#ipdhcpsnooping//开启DHCPSnoopingSwitch(config)#ipdhcpsnoopingvlan1,10,20//在VLAN1、10和20中开启dhcpsnooping功能默认情况下开启dhcpsnooping功能后，相应的端口全部为不可信任的，只要把对应DHCP服务器的连接端口设为信任端口就可以了。Switch(config)#intf0/1Switch(config-if)#ipdhcpsnoopingtrust//设f0/1为信任端口。通过以上配置，三层交换机上F0/1接口的设备才能应答DHCP请求，其它接口过来的DHCP应答将会被丢弃。同时要注意的是，配置了DHCPSnooping的交换机默认会产生中继效果，会将DHCP请求包的giaddr的参数改成了0.0.0.0，而且交换机的这种中继效果是无法关闭的。当服务器收到giaddr设置为0.0.0.0而不是IP地址的请求包时，默认是要丢弃该数据包而不作应答的，所以DHCP服务器将丢弃该请求数据包。要想让客户端能够正常收到DHCP提供的IP地址，就应该让DHCP服务器对即使giaddr为0.0.0.0的请