配置三层交换机DHCP实现多VLAN的IP地址自动分配

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

目前中小企业网络IP分配方法主要以手工静态分配和DHCP服务器动态分配两种分配方式,但是此两种方式在应用过程中存在不同的问题。如:手工静态分配,在客户端进行IP配置,相对较严谨,管制较完全,但一般非IT性质的中小企业,没有专门的网络管理员,在出现由于IP配置导致的网络问题时,解决问题有一定的难度。静态配置对于一些移动办公或临时性使用网络的人员,实际操作也很麻烦。而对于DHCP服务器动态分配而言,中小企业网络管理人员使用DHCP服务器来为工作站自动分配IP地址,这样大大提高了网络管理效率,但在DHCP管理使用上,存在着DHCPServer冒充、DHCPServer的Dos攻击、用户随意指定IP地址造成网络地址冲突等问题。面对诸多问题,联想天工针对中小企业网络遇到的IP分配难问题,推出了交换机集成的DHCPServerPlus技术。在小型网络应用环境中,若需要使用DHCP服务器进行地址分配,则每个子网都需要配置一台DHCP服务器;若三层交换机启动DHCPrelay也需要在一个接口连接一台DHCP服务器。造成了资源的浪费但又逼不得已。在交换机上实现DHCPserver的功能使得小型网络无需额外配置DHCP服务器,开启后直接可以分配地址。联想天工DHCPServerPlus技术是在一般DHCPserver功能的基础上,为了满足中小企业网络的安全和稳定运行,进行了一些安全功能的扩展。为了防止非法用户接入网络获取IP地址,联想天工采用地址分配表转为静态,关闭DHCP分配的独有功能,有效的控制未授权用户接入网络。在交换机掉电的情况下,为了防止DHCP动态分配表丢失,支持分配表TFTP方式的上传下载。在局域网ARP病毒防范方面,联想天工推出独有的DHCPsecurity功能,结合ARPlock技术,静态绑定ARP表项,有效的防护各种ARP攻击。联想天工独有的DHCPServerPlus技术在满足基本的server功能基础上,其独有的安全功能,充分保证中小型网络的安全稳定的运行。联想天工DHCPServerPlus技术三大安全特色为保证小型网络的相对稳定与安全,禁止其他动态主机的接入,网络管理员可以在配置完成所有已知的静态客户机信息后,关闭DHCPserver动态分配IP地址功能。这样,在该网络内,只有已配置的静态客户机可以通过DHCP协议报文获取固定分配的IP地址,而其余客户机的discover均会被DHCPsever拒绝。(配置完静态客户机信息后关闭动态分配功能,到达的discover报文检查其MAC地址是否已配置)。考虑小型网络中需静态配置的客户机数量如具有一定规模,则网络管理员负担加重,可以在客户机动态接入网络运行一段时间后,由管理员执行命令,一次性将动态客户机信息转换成静态客户机信息,并关闭DHCPserver动态分配功能。动态分配表上传下载——防止交换机掉电遗忘动态分配信息考虑交换机在掉电重启时将遗忘所有动态信息,并不知道已分配的地址及客户机信息,所以提供上传(定时或手动)动态客户机数据表至远端服务器保存,并在需要时下载(重启自动或手动)到交换机本地。反之亦然。可配置定时器周期上传。交换机重启时自动从服务器下载更新。防ARP安全绑定——杜绝局域网ARP病毒ARP攻击涉及客户端、二层交换机、三层交换机。在三层交换机上防御ARP攻击可通过监听DHCP报文,提取其中的IP地址与MAC地址对应关系,写内核ARP表与ARL表,绑定IP、MAC与端口对应关系。携带欺骗信息的ARP攻击报文将无法修改可信任的ARP表项。联想天工通过在DHCPserver的交换机上开启DHCPsecurity,并结合ARPlock功能,把ARP表转化为静态表项(此功能还可以防止内网用户私自配置IP地址,保证接入网络的安全)。配置实例:如图,一台联想天工iSpirit5624GX三层交换机做为该网络的核心交换机和DHCP服务器,DHCP服务器为下面两个网段分配地址,并实时把IP地址分配表上传到服务器192.168.1.1。当网络达到稳定时,关闭DHCP功能,把动态IP分配表项转化为静态,防止未授权用户接入网络,并启用DHCPsecurity有效防止局域网的ARP泛滥。(DNS服务器为210.53.31.2)iSpirit5624GX配置如下:5624GX(config)#ipdhcpserver全局启用DHCPserver5624GX(config)#dhcpdpoolvlan10配置DHCPpool及name5624GX(config-dhcp)#range192.168.10.10192.168.10.100配置分配地址池范围5624GX(config-dhcp)#subnet-mask255.255.255.0配置子网掩码5624GX(config-dhcp)#default-router192.168.10.254配置缺省网关5624GX(config-dhcp)#dns-server210.53.31.2配置DNS服务器5624GX(config-dhcp)#lease242424配置租约时间(时,分,秒)5624GX(config-dhcp)#host192.168.10.100009.CA5B.AC12配置静态的分配IP地址5624GX(config)#dhcpdauto-upload192.168.1.1vlan10.txtIP地址分配表自动上载5624GX(config)#dhcpdreset-download192.168.1.1vlan10.txt重启自动下载分配表5624GX(config)#dhcpdpoolvlan205624GX(config-dhcp)#range192.168.20.10192.168.20.1005624GX(config-dhcp)#subnet-mask255.255.255.05624GX(config-dhcp)#default-router192.168.20.2545624GX(config-dhcp)#dns-server210.53.31.25624GX(config-dhcp)#lease2424245624GX(config)#dhcpdauto-upload192.168.1.1vlan20.txt5624GX(config)#dhcpdreset-download192.168.1.1vlan20.txt网络稳定后,可以手工关闭DHCP服务器功能,把地址分配表转化为静态,防止未授权用户接入网络中。同时,启用DHCPsecurity有效防止局域网的ARP泛滥,保证网络的稳定运行。5624GX(config)#dhcpdpoolvlan10进入vlan10的地址池模式5624GX(config-dhcp)#convert-static把动态分配表转化为静态5624GX(config)#dhcpdpoolvlan20进入vlan20的地址池模式5624GX(config-dhcp)#convert-static把动态分配表转化为静态注意:convert-static后面可以跟单个地址或某地址范围5624GX(config)#dhcpddynamicoff关闭DHCPserver分配地址功能5624GX(config)#dhcpdsecurity启用DHCP安全,交换机通过提取DHCP报文内容,把IPMAC等信息绑定到ARP表项中,有效防止ARP病毒的泛滥。5624GX(config)#arplock192.168.10.0/245624GX(config)#arplock192.168.20.0/24注意:启用DHCP安全功能的同时必须开启ARPlock,否则不能有效防止ARP病毒。

1 / 5
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功