APP下载

基于DHCP的校园网网络管理模式的设计与分析

2011-09-25方昕郭建忠

中国教育网络 2011年1期

方昕,郭建忠

(天津科技大学信息化建设与管理办公室,天津,300222)

基于DHCP的校园网网络管理模式的设计与分析

方昕,郭建忠

(天津科技大学信息化建设与管理办公室,天津,300222)

本文分析动态主机分配协议(DHCP)进行网络管理的优点和缺点,针对DHCP 的缺点进行改进,提出一种基于DHCP 的网络管理模式,描述该模式的系统结构、设计思想、功能和实现方法,着重介绍了Solaris系统的DHCP应用扩展,网络交换设备DHCP-snooping的实现流程。关键词:网络管理模式;DHCP;DHCP中继;DHCP-snooping;Solaris

Abstract:This article discusses both advantages and disadvantages of DHCP protocol. In order to resolve the disadvantages, the author proposes a management mode of DHCP-Based Campus Network, describes the design of the System framework and the function component, introduces DHCP extended application in Solaris system and analyses the processes of DHCP-Snooping in network switch in detail.

Key words:Management Mode of Network; DHCP; DHCP Relay; DHCP-Snooping; Solaris

1.概述

随着校园网建设及应用的不断发展和深化,校园网用户的网络接入需求越来越多,校园网管理部门针对激增的需求也适时调整和改进了网络的接入方式技术,使得网络接入更加灵活易用。当前校园网的安全事件和故障问题大多是由于用户不是很熟悉计算机网络知识,不会正常配置和使用校园网以及随意更改IP地址或网卡MAC地址造成的网络冲突和故障,这对校园网的合理使用和安全管理提出了新的挑战。构建一个安全高效的网络,需要根据网络整体架构以及网络实际使用情况综合考虑,不但要让用户方便易用,还要求校园网管理部门能够有效管理IP地址和MAC地址,充分考虑网络接入点控制、地址分配、认证访问等问题,这就需要通过网络设备,应用服务器协同作用,形成一套较完整的安全性和易用性并重的校园网网络管理模式。

根据以上的网络设计需求,结合学校校园网的特点和用户使用习惯,提出基于DHCP地址分配,利用Solaris服务器系统进行DHCP应用扩展,同时交换设备提供DHCP中继支持以及用户机客户端上网认证,构建一个IP和MAC绑定的跨网DHCP强制分配机制,校园网认证接入,网络资源客户端认证的校园网网络管理模式。

图1 一次典型的DHCP获取IP的过程

2.关键技术

2.1 DHCP

2.1.1 DHCP协议及DHCP中继功能

DHCP 是Dynamic Host Configuration Protocol 的缩写,也叫动态主机配置协议。DHCP 是TCP/IP 通信协议中,用来暂时指定网络中某台计算机IP 地址的通信协议。见图1。

DHCP中继工作原理:当DHCP客户机启动并进行DHCP初始化时,首先客户机会在本地网络广播配置请求报文。若本地网络内没有DHCP服务器,则与本地网络相连的具有DHCP中继功能的网络设备收到该广播报文后,进行适当处理并转发给指定的其他网络上的DHCP服务器,服务器根据DHCP客户机提供的信息进行相应的配置,并通过DHCP中继将配置信息发送给DHCP客户机,完成客户机的动态配置。

2.1.2 传统DHCP分配机制的优缺点使用传统DHCP分配机制的优点有:

1. 简化管理IP地址的分配工作;

2.简化客户机配置,避免配置错误;

3.客户机在同一子网内移动时,无需更改配置;

4.有效管理利用IP地址资源,避免浪费。

使用传统DHCP分配机制的缺点有:

1.DHCP 不能发现网络上非DHCP 客户端已经在使用的IP地址;

2.DHCP 服务器对于用户的接入没有限制,任何一台计算机只要连接到网络上,就能够通过DHCP 服务器获得正确的网络配置,从而访问网络。这样使得非法用户很容易进入内部网络,从而带来安全隐患;

3.当网络上存在多个DHCP 服务器时,尤其是存在私设的冒充DHCP 服务器时,一个DHCP 服务器不能查出已被其他服务器租出去的IP 地址,这样将会给网络造成混乱;

4.DHCP 服务器不能跨路由器与客户端通信,除非路由器允许BOOTP 转发;

图2 整体网络架构

5.传统的DHCP服务器缺乏完善的租用日志记录,对接入网络的用户追踪功能支持弱。

2.2 Solaris操作系统的DHCP服务及其扩展应用

Solaris 是Sun Microsystems研发的计算机 操作系统。它被认为是UNIX操作系统的衍生版本之一。支持多种系统架构:SPARC, x86和x64。x64即AMD64及EMT64处理器。该系统以运行稳定,功能完善著称。

Solaris DHCP 服务器支持以下类型的IP 地址分配:

1.手动分配:服务器为特定的DHCP 客户机提供为其选择的特定IP 地址(该地址不可回收或指定给其他客户机);

2.自动或永久性分配:服务器提供没有失效期的IP 地址,使其与客户机永久性地关联,直到用户更改了这种指定方式或客户机释放了该地址;

3.动态分配:服务器向发出请求的客户机提供可租用特定一段时间的IP 地址。当租用到期时,该地址可由服务器收回并可指定给其他客户机,具体期限由为服务器配置的租用时间决定。

Solaris的DHCP服务优势有:

1.较为完善的IP地址管理;

2.网络客户机集中配置,可以对不同客户机定制不同的配置;

3.支持BOOTP客户机;

4.大型网络支持,Solaris的DHCP服务最多可以支持10万台客户机;

5.支持本地客户机和远程客户机,DHCP 通过数种方法利用 BOOTP 的中继功能。

根据以上介绍,可以看出Solaris对DHCP服务的支持是很强大的,同时有自己的特色功能扩展,比如利用Solaris DHCP的第一种IP地址分配类型,可以支持IP和MAC绑定,并能封杀盗用MAC地址的非法用户。

图3 配置netmasks文件

2.3 DHCP-Snooping

DHCP-Snooping技术是DHCP安全特性,通过建立和维护DHCP-Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP-Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID接口等信息。

交换机设置DHCP-Snooping可以隔绝非法的DHCP服务器,也就是客户机只信任来自DHCP-Snooping trust端口的DHCP报文,同时交换机还会建立一张DHCP-Snooping的绑定表,可以记录用户的IP地址和MAC地址的对应关系。

3.网络模型的设计与部署

3.1 整体架构

整个架构是由2个部分组成,一部分是网络部分,有核心三层交换设备,汇聚三层交换设备以及二层交换机组成,另一部分就是服务器组,包括:DHCP服务器和认证服务器,如图2。

我们设计的校园网网络管理模型如下:

校园网内强制使用DHCP机制获取IP,先由客户机用户人工登记网卡MAC地址和用户信息,通过管理部门的操作,在DHCP服务器中将MAC地址与分配的IP进行绑定,同时用户会在认证服务器上申请获得用户认证账号。用户具备了这2个认证即客户机的IP认证和用户的账号认证就可以接入校园网,使用网络资源。

3.2 DHCP服务器架设

DHCP服务是通过Solaris操作系统来提供的,但是安装Solaris系统时需要分清服务器的系统架构,安装过程中选中DHCP模块。

安装好系统后配置好服务器的网络参数,然后对DHCP服务进行配置。

以root身份登录后,首先配置/etc/目录下的netmasks文件,将需要DHCP的IP地址池的网络地址和掩码添加进该文件,如图3。

下面进入配置DHCP管理程序,通过在/usr/sadm/admin/bin文件夹下的dhcpmgr命令启动Solaris下的DHCP管理程序。

之前配置了netmasks文件,这样在DHCP管理程序的宏设置界面中就会出现相应的网络段选项,对其具体参数进行配置,需要注意的是其中的“LeaseTim”选项是用来规定获取的IP地址租用时间的长度,由于网络设计的需要,这里可以设定较长的时间,减少客户机在IP租用到期时与服务器进行续约的次数,简化网络,如图4。

配置完宏选项后,就可以依次创建配置“网络向导”和“地址向导”,其中网络向导是建立该网络地址的DHCP整体网络配置,比如路由,网络地址,子网掩码等;地址向导则是对该网络地址中具体IP段配置,比如IP地址范围,对应的宏配置等,如图5。

图5 配置网络向导和地址向导

图6 DHCP管理程序

配置了DHCP网络的宏配置、网络向导、地址向导后,就完成一个DHCP网络的基本配置,如图6。

按照网络设计,需要对用户的网卡MAC地址进行绑定,以保证用户每次都能从服务器获取相同的IP地址,利用批处理命令将用户IP和网卡MAC地址信息加到DHCP数据库中,命令如下:

其中:a.a.a.a是分给用户的IP地址,01bbbbbbbbbbbb是用户的网卡MAC地址前面加上01字符,c.c.c.c是用户所在的地址池的名称。

这样一个完整的DHCP网络就设置完毕了,用户就可以通过到网络管理部门注册网卡MAC地址后,获取IP地址。

同时可以从图6中的IP地址列表看到,一般正常的IP地址的标志段都是“保留的”,而期满段则是该IP上一次申请的到期时间,而图6中有一行数据为深色粗字体,并且标志项为“不可用的”,就说明该IP地址的使用者可能发生了MAC地址重复使用的情况,从而杜绝用户通过修改网卡MAC地址上网造成的网络混乱现象。我们可以通过双击这一行,将其“不可使用的”状态取消,来恢复这一地址的正常使用。

3.3 网络交换设备的配置

3.3.1核心及汇聚交换设备

首先,要将所有需要开启DHCP中继功能的交换设备打开该功能。

其次,在用户VLAN网关所在的汇聚交换机上设置DHCP服务器组。

再次,模型中要求用户的客户机只能通过DHCP动态获取地址来使用网络,就需要在汇聚交换设备上加上配置禁止静态地址的使用。

下面以H3C 7506E汇聚交换设备为例,进行配置:

3.3.2 二层接入交换机

接入层交换机只需要配置DHCP-Snooping安全特性参数就可以了,下面以H3C E152交换机为例,配置如下:

3.4 结合校园网认证系统

用户申请认证系统账号,在认证系统中将用户的账号和IP地址等信息进行绑定就可以了。

4.结语

本文是根据校园网的实际情况,针对DHCP传统模式的缺点进行改进,同时利用网络交换设备进行技术支持,再引入DHCP和用户认证相结合,完善了管理,从而为校园网络提供了一个安全有效的网络管理模式。

[1] 汤红军.DHCP中继代理在校园网中的应用分析研究.计算机系统应用,2008(4): 100-102.

[2] 伍银,杨厚云,王遵刚.认证计费技术在校园网中的应用[J].北京机械工业学院学报,2006,3:50-53.

[3] 刘联海,周德新.安全DHCP系统的设计与实现.信息技术,2004,(8):41-43.

[4] 王利明. 浅析基于DHCP 的网络的缺陷和改进挑战网络管理[J]. 计算机周刊,2001(46):18-19.