动态分配IP与动态绑定IP技术打造安全便捷的校园网

csxnef
2 ℃
2020-01-04

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

动态分配IP与动态绑定IP技术打造安全便捷的校园网[摘要]利用动态分配IP技术可为网络终端分配指定IP地址；利用动态绑定IP技术可以防止非法终端使用校园网，利用这两项技术即可打造安全便捷的校园网络。[关键词]动态分配IP动态绑定IP网络安全随着学校数字校园的建设，利用校园网络获取资源的网络终端越来越多，校园网络的规模日益增大，维护校园网络的工作量也成倍增加，如何打造安全便捷而又易于维护的校园网呢？笔者通过对H3C交换机的研究和在本校校园网络多次实践，利用动态分配IP与动态绑定IP技术可以有效打造安全便捷的校园网络。现以本校校园网络为例介绍如何实现安全便捷的校园网络，首先了解一下本校的网络布局，如下图所示。通过H3C的S5800三层交换机连接教育城域网络，其下连接服务器和通过H3C路由器MSR20-20连接流媒体服务器，而本校三幢教学楼、综合楼、体育馆及门卫室通过H3C交换机S5120汇聚后连接到三层核心交换机S5800。在该网络布局中，要实现安全便捷的校园网络，需要为接入交换机S5120的所有合法网络终端进行动态分配IP和动态绑定IP。要实现动态分配指定IP功能，需要在校园网络中搭建DHCP服务器，并实现根据网络终端网卡物理地址分配固定的IP地址，为了保证DHCP服务器运行稳定，权衡各种方案利弊，最终决定利用MSR20－20路由器作为DHCP服务器，因该路由器现在仅用来为搭建校园网流媒体开启组播服务功能。而动态绑定IP功能，能有效保证合法网络终端自由访问网络，而非法网络终端将不能接入网络，该功能将在在汇聚层交换机S5120上实现，现在就针对如何实现动态分配指定IP和动态绑定IP的功能做如下论述。一.划分VLAN，配置路由1.核心交换机上划分VLAN核心交换机S5800上建立四个VLAN，VLAN2、VLAN3、VLAN4、VLAN5和VLAN6，VLAN2用于连接路由器MSR20－20；VLAN3、VLAN4、VLAN5和VLAN6分别用于连接综合楼和三幢教学楼，首先登录S5800，其具体实现如下:#创建vlan2，并添加端口GigabitEthernet1/0/21、GigabitEthernet1/0/22、GigabitEthernet1/0/23和GigabitEthernet1/0/24。S5800sys[s5800]vlan2[s5800-vlan2]portg1/0/24g1/0/23tog1/0/22g1/0/24#配置vlan2接口的IPV4地址为172.18.88.145/28。[s5800]interfacevlan-interface2[s5800-Vlan-interface2]ipaddress172.18.88.145255.255.255.240使用上面相同方法分别创建VLAN3、VLAN4、VLAN5、VLAN6，并分别VLAN接口IPV地址为：172.18.88.1/25、172.18.90.1/26、172.18.90.65/26、172.18.90.129/26；并为四个VLAN分别添加端口GigabitEthernet1/0/5、GigabitEthernet1/0/6、GigabitEthernet1/0/7、GigabitEthernet1/0/8。2.汇聚层交换机划分VLAN汇聚层交换机S5120上建立四个与S5800对应的VLAN:VLAN3、VLAN4、VLAN5、VLAN6，并为四个VLAN分别添加端口GigabitEthernet1/0/5、GigabitEthernet1/0/6、GigabitEthernet1/0/7、GigabitEthernet1/0/8。S5120的配置与S5800相似，配置过程略。3.聚合链接核心交换机与汇聚层交换机在S5800和S5120添加动态链路聚合，允许两端间的VLAN3、VLAN4、VLAN5、VLAN6分别互通。(1)配置S5800，创建动态链路聚合，将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4加入对应聚合组，并允许VLAN3、VLAN4、VLAN5、VLAN6的报文通过。#创建二层聚合接口1，并配置该接口为动态聚合模式。S5800sys[S5800]interfacebridge-aggregation1[S5800-Bridge-Aggregation1]link-aggregationmodedynamic#分别将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4加入聚合组1。[S5800]interfaceg1/0/1[S5800-gigabitethernet1/0/1]portlink-aggregationgroup1[S5800-gigabitethernet1/0/1]quit[S5800]interfaceg1/0/2[S5800-gigabitethernet1/0/2]portlink-aggregationgroup1[S5800-gigabitethernet1/0/2]quit[S5800]interfaceg1/0/3[S5800-gigabitethernet1/0/3]portlink-aggregationgroup1[S5800-gigabitethernet1/0/3]quit[S5800]interfaceg1/0/4[S5800-gigabitethernet1/0/4]portlink-aggregationgroup1[S5800-gigabitethernet1/0/4]quit#配置二层聚合接口1为Trunk端口，并允许VLAN3、VLAN4、VLAN5、VLAN6的报文通过。[S5800]interfacebridge-aggregation1[S5800-Bridge-Aggregation1]portlink-typetrunk[S5800-Bridge-Aggregation1]porttrunkpermitvlan3456#配置全局按照报文的源MAC地址和目的MAC地址进行聚合负载分担。[S5800]link-aggregationload-sharingmodesource-macdestination-mac(2)配置S5120，创建动态链路聚合，将端口GigabitEthernet1/0/1、GigabitEthernet1/0/2、GigabitEthernet1/0/3、GigabitEthernet1/0/4加入对应聚合组1，并允许VLAN3、VLAN4、VLAN5、VLAN6的报文通过。S5120的配置与S5800相似，配置过程略。4.配置路由器MSR20－20#设置E0/0端口IPV地址为172.18.88.150/28。MSR20-20sys[MSR20-20]interfacee0/0[MSR20-20Ethernet0/0]ipaddress172.18.88.150255.255.255.240#添加静态路由。[MSR20－20]iproute-static0.0.0.00.0.0.0172.18.88.145二.搭建DHCP服务器，实现动态分配指定IP在MSR20－20路由器上配置DHCP服务器，并为每台合法的网络终端配置DHCP地址池。#启用DHCP服务。MSR20-20sys[MSR20-20]dhcpenable#为每台合法网络终端创建一个普通模式地址池，并在该地址池中将网络终端的网卡物理地址与一个指定的IP地址进行绑定，同时也可指定对应的网关和DNS服务器IP地址，以综合楼某台网络终端为例，配置如下：[MSR20-20]dhcpserverip-poola2//a2为地址池名称[MSR20-20-dhcp-pool-a2]static-bindip-address172.18.88.2mask255.255.255.128//静态绑定IP地址[MSR20-20-dhcp-pool-a2]static-bindmac-address78e3-b597-adac//静态绑定网络终端网卡物理地址[MSR20-20-dhcp-pool-a2]dns-list172.18.88.146172.22.0.6//DNS服务器列表[MSR20-20-dhcp-pool-a2]gateway-list172.18.88.1//指定网关通过为合法的终端创建DHCP地址池后，终端即可通过网络从MSR20－20路由器获取IP地址。三.启用DHCP中继功能汇聚层S5120下连接的网络终端和MSR20-20不在同一子网内，要从MSR20-20路由器上自动获取IP地址需要通过核心交换机S5800，所以要在S5800上的VLAN3、VLAN4、VLAN5、VLAN6接口启用DHCP中继功能。#启用DHCP服务，并配置DHCP服务器地址，即MSR20-20路由器E0/0端口IP地址。S5800sys[S5800]dhcpserver[S5800]dhcpserverdetect//配置伪DHCP服务器检测功能[S5800]dhcprelayserver-group1ip172.18.88.150//配置DHCP服务器组1的DHCP服务器地址为MSR20－20路由器E0/0端口IP地址#在需要自动获取IP地址的VLAN接口中启用DHCP中继功能，以VLAN3为例。[S5800]interfacevlan3[S5800-Vlan-interface1]dhcpselectrelay//配置VLAN接口3工作在DHCP中继模式[S5800-Vlan-interface1]dhcprelayserver-select1//配置VLAN接口3对应DHCP服务器组1VLAN4、VLAN5、VLAN6配置与VLAN3相似，配置过程略。启用DHCP中继功能，终端就可能通过S5800指定的VLAN从MSR20－20路由器获取IP地址。四.启用DHCP-Snooping功能汇聚层S5120下连接的网络终端需要通过S5800的DHCP中继功能获取IP地址，要想通过S5800获取到IP地址，就需要在连接S5120与S5800的动态链路接口的S5120端开启DHCP－Snooping功能。该功能保证客户端从合法的服务器获取IP地址并记录DHCP客户端IP地址与MAC地址的对应关系，该功能记录DHCP客户端IP地址与MAC地址的对应关系将为后面实现动态绑定IP功能提供前提。#启用DHCP－Snooping功能S5120sys[S5120]dhcp-snooping#将聚合接口1设置为信任端口[S5120]interfacebridge-aggregation1[S5120]dhcp-snoopingtrust五.与DHCPSnooping配合实现IPv4动态绑定功能在汇聚层交换机S5120，对需要防止非法接入的端口启用动态绑定功能，该绑定功能的实现是基于之前在S5120上启用了DHCP－Snooping功能，该功能启用后会记录DHCP客户端IP地址与MAC地址的对应关系，利用该信息实现动态绑定，如果某台网络终端在MSR20－20建有DHCP地址池，通过S5120的DHCP－Snooping信任端口就可以获得IP地址并在S5120中记录下IP地址和对应网络终端的网卡地址，启用了动态绑定功能的端口，只允许有该记录的网络终端可以访问网络。以连接综合楼的VLAN3所对应的端口GigabitEthernet1/0/5为配置示例：S5120sys[S5120]interfaceGigabitEthernet1/0/5[S5120-GigabitEthernet1/0/5]ipchecksourceip-addressm