金国镇

【摘要】随着互联网技术的快速发展，企业和院校的网络节点（网络设备）也迅速增多，随首总节点的增加给网络安全和管理带来了一些问题。分区块设置不同段的IP成了管理员必做的事，动态IP地址分配协议（DHCP）能很好的解决移动电脑、PC、手机获取IP的问题，从而极大地减轻了网络管理员工作的强度，达到降低用户接入Internet网络的技术要求。

【关键词】动态主机控制协议（DHCP）虚拟局域网（VLAN）IP地址分配DHCP Snooping

【中图分类号】G622.0 【文献标识码】A 【文章编号】2095-3089（2014）5-0174-02

随着计算机应用的广泛普及以及互联网的大力推动，各行各业都会使用到互联网，而一个学校有着几百台甚至上千台电脑已司空见惯。由于现行的IPV4不可能为一个学校分配过多的公网地址，学校组建局域网以达到共享上网的目的，而组建局域网迎面而来的一些问题。本文针对IP地址分配提出一些尝试，以减轻网络管理人员的工作压力。

一、组网模式

1、多层架构：网络上了一定的规模，组网模式一般会采用多层架构，即路由器、核心交换机、聚汇交换机（可以省）、接入交换机。

2、单VLAN技术：用非网管的傻瓜式交换机组成的网络，或只启用了一个Vlan1。这种方式只仅仅运用在家庭或很小的办公场所。

3、多VLAN技术：VLAN技术能有效的减少广播风暴，为不同的部门，不同的大楼划分不同的VLAN，将网络逻辑切割成若干个小块，将问题有效的缩小到一个小范围内，而不影到其它VLAN的正常使用，这更于管理人员精确定位问题所在。

二、IP地址的管理

网络上每台上网设备必须有个IP地址才能相互通信，当网络管理员静态地向用户分配IP地址时，必须记录分配给用户的IP地址，同时用户也必须按照所得到的IP地址在PC机上进行相应的参数配置。当网络中的节点达到一定规模时，管理、分配和配置这些IP地址是个技术复杂而又繁重的工作，同时也存在IP地址冒用，造成IP地址冲突。为了解决这一类IP地址分配的问题，DHCP技术被越来越多的管理员所采用。DHCP协议能上接入网络的设备自动从DHCP地址池中获得一个IP地址，不会产生IP地址重复的问题，其特点如下：

1）当用户入网时DHCP自动为接入设备提供一个入网参数配置，保证了网络地址不发生冲突。退网时自动释放所分配的IP地址，减少了用户入网时的技术要求和IP地址的分配、管理工作。

2）DHCP可以周期性租借IP地址，一般工作站对IP地址的占用都不需要是永久性的。当用户计算机退出网络时，DHCP服务器及时地收回IP地址另行分配。

三、DHCP服务器的分类

DHCP动态分配IP如此的好用，但也有一些不同的应用，下面列出DHCP动态分配应用类型分为以下几类：

1、使用路由器自带的DHCP功能，只能分配一个网段，加重路由器的负担。

2、是使用三层核心交换机的DHCP功能，这无疑给核心交换机增加了负担，配置修改相当繁琐。

3、是使用独立的DHCP服务器，可以很好的缓解路由器、核心交换机负载，是机房管理员的首选独方案。

四、如何去选择DHCP服务器，也是每个机房管理员最为头疼的事情，下面就DHCP服务器展开论述

1、使用微软Windows Server的DHCP。

2003/2008都可以，正版费用和专业服务器需要花费不少的代价。根本问题在于微软的Server2003提供的DHCP服务，存在着一个实际的问题。一台笔记本，同时将网线与无线连入网络，在获取IP的几次握手过程中会出现问题，服务器已分不清是你这台电脑的无线还是有线，为此DHCP服务器会给在这个用户打上Bad Address，将其锁死，需要管理员手动操作，增加了管理员的工作。

2、使用Linux的DHCP。

相信大多数机房管理都不愿意去接触Linux，原因无它，Linux的配置太过于复杂，出了一些问题，在网上消耗大量的时间也不一定能找出合理的解决方案。

3、使用RouterOS的DHCP。

RouterOS对电脑的要求很低，可以使用淘汰的旧电脑，网上花少量的钱买个RouterOS的电子盘。安装时只需要DHCP Server和管理工具即可，安装过程由于篇文限制就不介绍了，下面介绍基于多VLAN的DHCP配置思路，为管理员指明方向：

1、通过WinBox工具登入RouterOS。

2、在Interfaces的VLAN选项卡中添加VLAN名和VLAN号。

3、IP/POOL中添加IP地址池。

4、IP/Address中添加DHCP服务器的IP地址。

5、IP/DHCP-Server/NetWork中添加作用網段，网关，DNS等信息。

6、 IP/DHCP-Server/DHCP中为每个VLAN添加不同的DHCP服务器，设置VLAN号对应的地址池，IP租期等信息。

五、DHCP Snooping 技术的配合

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。当交换机开启了 DHCP-Snooping后对DHCP报文进行侦听，将某个物理端口设置为信任端口和不信任口。信任端口可以正常接收并转发DHCP报文，而不信任端口会将DHCP报文丢弃。这样可以假冒DHCP的屏蔽掉，确保客户端从合法的DHCP Server获取IP地址。

在核心交换机连DHCP的端口上，打上tag，允许多个VLAN号通过；其他节点的交换上，将上行口设为Server其它口设为Client。具体型号的交换机的配置命令都不相同，管理员可以查一下说明书。

六、总结

浙江省机电技师学院从十几台PC发展到了1200+台PC、手机、平板无线铺天盖地而来，网络架构也从单VLAN到多VLAN发展，从手动IP到动态DHCP，从路由DHCP、三层交机的DHCP、微软的DHCP到目前的RouterOS的DHCP。通过多VLAN的DHCP服务加上DHCP Snooping功能的交换机，已让学院网络通畅运作了3年有余，效果显著。

参考文献：

[1]李金方，祁林，铙德胜 《DHCP服务在多VLAN中的应用》 2008.12