柯秋莉

摘要：為了實(shí)驗(yàn)室對(duì)復(fù)雜網(wǎng)絡(luò)管理能力的提升，該文主要針對(duì)DHCP服務(wù)在復(fù)雜網(wǎng)絡(luò)環(huán)境下的搭建與安全防護(hù)方法進(jìn)行簡(jiǎn)單介紹。重點(diǎn)針對(duì)三層網(wǎng)絡(luò)環(huán)境下建立Vlan，通過服務(wù)區(qū)將IP地址自動(dòng)分配給每一個(gè)Vlan，并使不同Vlan間可相互訪問。最后對(duì)DHCP安全防護(hù)方法進(jìn)行簡(jiǎn)單介紹，目的在于提高實(shí)驗(yàn)室DHCP的管理水平。

關(guān)鍵詞：實(shí)驗(yàn)室；復(fù)雜網(wǎng)絡(luò)；Vlan；DHCP服務(wù)

中圖分類號(hào)：TP311 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2016）11-0032-02

DHCP為動(dòng)態(tài)主機(jī)分配協(xié)議，在UDP協(xié)議下進(jìn)行使用，為局域網(wǎng)提供網(wǎng)絡(luò)協(xié)議，主要用途是將IP地址自動(dòng)分配給LAN內(nèi)的主機(jī)，是實(shí)驗(yàn)室內(nèi)部主機(jī)管理中管理員采取的主要管理措施，尤其在局域網(wǎng)環(huán)境下得到了廣泛的應(yīng)用。對(duì)試驗(yàn)室復(fù)雜網(wǎng)絡(luò)進(jìn)行管理時(shí)，采用DHCP服務(wù)進(jìn)行管理非常重要，獲取IP地址時(shí)，利用廣播數(shù)據(jù)包，在一個(gè)廣播域內(nèi)實(shí)現(xiàn)DHCP服務(wù)。但是實(shí)際網(wǎng)絡(luò)環(huán)境中，為了對(duì)廣播包進(jìn)行隔離，防止出現(xiàn)網(wǎng)絡(luò)風(fēng)暴，因此Vlan被廣泛應(yīng)用，這種情況下，DHCP服務(wù)的功能顯示出來。而在真實(shí)實(shí)驗(yàn)室網(wǎng)絡(luò)環(huán)境中，通常所用的DHCP服務(wù)都是跨網(wǎng)段進(jìn)行的，因此針對(duì)某一網(wǎng)段的DHCP服務(wù)已經(jīng)非常少。對(duì)于實(shí)驗(yàn)室管理人員來說，對(duì)DHCP服務(wù)配置與安全防護(hù)進(jìn)行掌握，有利于實(shí)現(xiàn)對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境的管理。本文主要通過H3C S3600三層交換機(jī)為例，分析HDCP服務(wù)器跨網(wǎng)構(gòu)建的方法及相關(guān)防護(hù)措施進(jìn)行研究。

1 DHCP服務(wù)工作原理

DHCP的工作方式為C/S，在獲取IP地址時(shí)，DHCP客戶端計(jì)算機(jī)通常采用三種方法：首次登陸網(wǎng)絡(luò)、再次登陸網(wǎng)絡(luò)及延長(zhǎng)IP地址租用有效期。DHCP服務(wù)采用UDP協(xié)議，在獲取TCP/IP協(xié)議時(shí)，DHCP客戶端計(jì)算機(jī)通過四線回話獲?。?/p>

1）發(fā)現(xiàn)階段。通過計(jì)算法將DHCP報(bào)文廣播向網(wǎng)絡(luò)發(fā)送，同時(shí)在網(wǎng)絡(luò)中對(duì)DHCP服務(wù)器進(jìn)行搜索。

2）提供階段。DHCP收到報(bào)文以后，選取一個(gè)未分配的IP地址分配給計(jì)算機(jī)，并將出租IP地址及其他配置報(bào)文發(fā)送到客戶端計(jì)算機(jī)。

3）選擇階段?？蛻舳藢?duì)DHCP網(wǎng)絡(luò)服務(wù)器進(jìn)行IP地質(zhì)選擇，如果網(wǎng)絡(luò)中存在多個(gè)DHCP服務(wù)器，同時(shí)發(fā)送給DHCP客戶端多個(gè)IP地址，由于客戶端計(jì)算機(jī)智能接收一個(gè)報(bào)文，并且只能接收第一個(gè)報(bào)文，然后通過廣播將接收?qǐng)?bào)文的信息發(fā)送到服務(wù)器，所發(fā)送信息包含選擇的IP地址。

4）確認(rèn)階段?？蛻舳朔祷氐膱?bào)文被服務(wù)器收到后，向客戶端發(fā)送IP地址及其他配置的確認(rèn)報(bào)文，客戶端收到報(bào)文后將TCI/IP協(xié)議和網(wǎng)卡綁定在一起。

對(duì)于客戶端計(jì)算機(jī)狀態(tài)而言，根據(jù)不同的功能分為六種狀態(tài)，即初始化、選擇、請(qǐng)求、綁定、更新及重新綁定六種狀態(tài)?？梢詫?duì)客戶端IP地址實(shí)現(xiàn)續(xù)租，如果初始租期達(dá)到一半的時(shí)候，客戶端會(huì)給DHCP服務(wù)器發(fā)出請(qǐng)求續(xù)租的廣播，HDCP服務(wù)器如果沒有對(duì)廣播進(jìn)行回應(yīng)，客戶端系統(tǒng)會(huì)將請(qǐng)求廣播重復(fù)進(jìn)行發(fā)送，直到第三次發(fā)送仍未給予回應(yīng)為止。租期達(dá)到87.5%的時(shí)候，需要重新綁定客戶端計(jì)算機(jī)，此時(shí)客戶機(jī)向網(wǎng)絡(luò)中所有DHCP服務(wù)器發(fā)送REUQEST消息，請(qǐng)求續(xù)租IP地址，HDCP服務(wù)器要是還沒有回應(yīng)，則IP地址停用，根據(jù)四線回話規(guī)則，對(duì)IP地址重新申請(qǐng)獲取。

2 構(gòu)建實(shí)驗(yàn)室三層網(wǎng)絡(luò)環(huán)境下DHCP服務(wù)

2.1 實(shí)驗(yàn)設(shè)備

實(shí)驗(yàn)所需要設(shè)備如表1所示：

2.2 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)洌瑘D1

2.3 實(shí)驗(yàn)要求

對(duì)于一個(gè)實(shí)驗(yàn)室來說，其內(nèi)部網(wǎng)絡(luò)往往不是單一，而是同時(shí)存在多個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，本文所介紹實(shí)驗(yàn)室中，包含有四個(gè)網(wǎng)絡(luò)：四個(gè)網(wǎng)絡(luò)之間的通信通過三層交換機(jī)完成，通過Windows 2008 Server對(duì)DHCP服務(wù)及安全防護(hù)進(jìn)行相關(guān)設(shè)置，達(dá)到不同網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)在開機(jī)以后，可以獲得HDCP服務(wù)器分配的不同網(wǎng)絡(luò)下的IP地址，各Vlan計(jì)算機(jī)之間也能相互連通。

2.4 實(shí)驗(yàn)步驟

2.4.1 三層交換機(jī)配置

1）準(zhǔn)備工作。先登錄交換機(jī)。首先，建立配置環(huán)境，利用交換機(jī)配置的電纜將終端串口和以太網(wǎng)交換機(jī)接口連接起來，如圖2。其次，在計(jì)算機(jī)上運(yùn)行終端防震程序，設(shè)置和交換機(jī)連接的串口終端通信參數(shù)，這些參數(shù)中，包括8位數(shù)據(jù)位和1位停止位，傳輸速率為9600bit/s，無流控、無校驗(yàn)。第三，將三層交換機(jī)通電啟動(dòng)，終端顯示屏內(nèi)顯示出自檢信息，自檢信息結(jié)束語(yǔ)后，按回車鍵進(jìn)入系統(tǒng)，顯示命令提示符，可輸入命令。第四，鍵入命令，查看交換機(jī)運(yùn)行狀態(tài)及相關(guān)參數(shù)的配置情況。在操作過程中，如果遇到疑問和不會(huì)的操作時(shí)，可以輸入問號(hào)查詢，輸入具體命令時(shí)，可以參考配置手冊(cè)完成輸入。

2）創(chuàng)建DHCP及設(shè)置相關(guān)參數(shù)。首先，對(duì)Vlan在三層交換機(jī)上進(jìn)行設(shè)置。其次，設(shè)置完成以后，將三層交換機(jī)中的DHCP代理功能開啟。第三，對(duì)Vlan指定相關(guān)DHCP服務(wù)器。第四，默認(rèn)端口正確配置。第五，將靜態(tài)路由在H3C U200-C路由器上正確進(jìn)行配置。

2.4.2 配置動(dòng)態(tài)IP地址作用域

服務(wù)器為微軟最新視窗操作系統(tǒng)，與以前版本對(duì)比該服務(wù)器的其穩(wěn)定性更可靠。通過操作系統(tǒng)的加強(qiáng)可以實(shí)現(xiàn)Windows 2008 Server的保護(hù)網(wǎng)絡(luò)環(huán)境的安全性功能，對(duì)IT系統(tǒng)在加快部署與維護(hù)的時(shí)候，利用現(xiàn)有應(yīng)用程度或虛擬化的服務(wù)器會(huì)使操作變得更加簡(jiǎn)單，能夠?qū)⒐芾砉ぞ咧苯咏o出，由此可見，Windows 2008 Server能夠提供能加方便、快捷、靈活的操作方法，方便IT人員操作，也使實(shí)驗(yàn)室計(jì)算機(jī)服務(wù)器建設(shè)與網(wǎng)絡(luò)基礎(chǔ)的構(gòu)建效率更高。對(duì)動(dòng)態(tài)IP地址作用域進(jìn)行配置的時(shí)候，遵循以下步驟：首先，在服務(wù)器系統(tǒng)中打開服務(wù)器管理界面，查找DHCP服務(wù)器內(nèi)的四個(gè)網(wǎng)絡(luò)，建立四個(gè)Vlan的IP地址段的動(dòng)態(tài)地址作用域。其次，為了方便記憶和分類，新建作用域用各自Vlan名稱命名。第三，根據(jù)實(shí)際情況設(shè)定動(dòng)態(tài)IP地址的范圍，同時(shí)也可以對(duì)排除地址范圍進(jìn)行設(shè)置。第四，默認(rèn)IP地址租期為8天。第五，針對(duì)不同的Vlan設(shè)置不同的IP地址。第六，在同一臺(tái)服務(wù)器上安裝DHCP服務(wù)于DNS服務(wù)，因此DNC IP地址設(shè)置為與Vlan接口IP地址相同的父域名。最后，將作用域激活， DHCP服務(wù)功能即可啟動(dòng)。

2.5 實(shí)驗(yàn)結(jié)果

在不同Vlan計(jì)算機(jī)上運(yùn)行IP地址獲取命令，看能否得到IP地址，并運(yùn)行ping命令，查看四個(gè)Vlan計(jì)算機(jī)是否已經(jīng)連通，如果可以連通，則表明實(shí)驗(yàn)成果。啟動(dòng)DHCP服務(wù)，能夠看到四個(gè)Vlan動(dòng)態(tài)IP地址分配作用域均開啟，而連接在Vlan中的多臺(tái)客戶端計(jì)算機(jī)均獲取到對(duì)應(yīng)的IP地址。

3 實(shí)驗(yàn)室網(wǎng)絡(luò)DHCP安全防護(hù)策略

3.1 重復(fù)分配IP地址造成沖突故障

實(shí)驗(yàn)室局域網(wǎng)中經(jīng)常出現(xiàn)的一類故障就是IP地址沖突問題，造成客戶端沒有辦法獲取IP地址。很多時(shí)候，此類故障被認(rèn)為是ARP病毒引起，但實(shí)質(zhì)上DHCP問題也會(huì)造成這類故障出現(xiàn)。為了對(duì)IP地址沖突的問題進(jìn)行預(yù)防，服務(wù)器在分配IP地址以前，對(duì)IP地址要先進(jìn)行探測(cè)，通過ping功能實(shí)現(xiàn)，通過檢測(cè)可以將指定時(shí)間段內(nèi)可能出現(xiàn)沖突的IP地址檢測(cè)出來。DHCP服務(wù)器通過發(fā)送目的地址為需要分配的IP地址回顯請(qǐng)求報(bào)文，如果客戶端收到報(bào)文，則需要重新選擇新的IP地址進(jìn)行再次檢測(cè)，直到指定時(shí)間內(nèi)無法收到回顯報(bào)文，則可確認(rèn)該IP地址時(shí)唯一的。

3.2 DOS攻擊造成IP地址資源耗盡

此類問題可以理解為人為破壞，如果有人惡意通過病毒軟件對(duì)計(jì)算機(jī)的MAC地址不斷進(jìn)行修改，并想DHCP服務(wù)器發(fā)送請(qǐng)求IP地址報(bào)文，那么服務(wù)器中的IP地址很快就會(huì)耗盡，造成其他用戶無法獲取IP地址，無法進(jìn)行網(wǎng)絡(luò)通信，這就是DOS攻擊。為防止DOS攻擊，可通過DHCP SNOOPING綁定表來解決，客戶端發(fā)送報(bào)文時(shí)，綁定表對(duì)其中的各項(xiàng)內(nèi)容會(huì)進(jìn)行檢查，報(bào)文內(nèi)容與綁定表數(shù)據(jù)庫(kù)內(nèi)容匹配，則可通過，反之則丟棄，這樣能夠防止人為修改客戶端MAC地址和IP地址，保證IP地址資源不被人為破壞。

4 結(jié)束語(yǔ)

在實(shí)驗(yàn)室局域網(wǎng)中通過DHCP服務(wù)對(duì)IP地址進(jìn)行分配，實(shí)現(xiàn)復(fù)雜網(wǎng)絡(luò)環(huán)境下的DHCP配置及安全問題。本文主要針對(duì)DHCP服務(wù)在復(fù)雜網(wǎng)絡(luò)環(huán)境下的構(gòu)建進(jìn)行分析，并對(duì)DHCP服務(wù)應(yīng)用中存在的安全問題進(jìn)行分析，提出相關(guān)解決措施，保證了實(shí)驗(yàn)室網(wǎng)絡(luò)管理的有效性。

參考文獻(xiàn)：

[1] 譚毓銀， 王隆娟. 基于VMware虛擬網(wǎng)絡(luò)技術(shù)的DHCP服務(wù)器實(shí)驗(yàn)設(shè)計(jì)[J]. 電子設(shè)計(jì)工程， 2013（22）： 20-22.

[2] 張心健， 李子平， 尹鵬帥. 基于DHCP協(xié)議的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)研究與實(shí)現(xiàn)[J]. 信息網(wǎng)絡(luò)安全， 2012（9）： 65-69.