淺談DHCP在多VLAN中的應(yīng)用

金國鎮(zhèn)

【摘要】隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，企業(yè)和院校的網(wǎng)絡(luò)節(jié)點(diǎn)（網(wǎng)絡(luò)設(shè)備）也迅速增多，隨首總節(jié)點(diǎn)的增加給網(wǎng)絡(luò)安全和管理帶來了一些問題。分區(qū)塊設(shè)置不同段的IP成了管理員必做的事，動(dòng)態(tài)IP地址分配協(xié)議（DHCP）能很好的解決移動(dòng)電腦、PC、手機(jī)獲取IP的問題，從而極大地減輕了網(wǎng)絡(luò)管理員工作的強(qiáng)度，達(dá)到降低用戶接入Internet網(wǎng)絡(luò)的技術(shù)要求。

【關(guān)鍵詞】動(dòng)態(tài)主機(jī)控制協(xié)議（DHCP）虛擬局域網(wǎng)（VLAN）IP地址分配DHCP Snooping

【中圖分類號(hào)】G622.0 【文獻(xiàn)標(biāo)識(shí)碼】A 【文章編號(hào)】2095-3089（2014）5-0174-02

隨著計(jì)算機(jī)應(yīng)用的廣泛普及以及互聯(lián)網(wǎng)的大力推動(dòng)，各行各業(yè)都會(huì)使用到互聯(lián)網(wǎng)，而一個(gè)學(xué)校有著幾百臺(tái)甚至上千臺(tái)電腦已司空見慣。由于現(xiàn)行的IPV4不可能為一個(gè)學(xué)校分配過多的公網(wǎng)地址，學(xué)校組建局域網(wǎng)以達(dá)到共享上網(wǎng)的目的，而組建局域網(wǎng)迎面而來的一些問題。本文針對(duì)IP地址分配提出一些嘗試，以減輕網(wǎng)絡(luò)管理人員的工作壓力。

一、組網(wǎng)模式

1、多層架構(gòu)：網(wǎng)絡(luò)上了一定的規(guī)模，組網(wǎng)模式一般會(huì)采用多層架構(gòu)，即路由器、核心交換機(jī)、聚匯交換機(jī)（可以省）、接入交換機(jī)。

2、單VLAN技術(shù)：用非網(wǎng)管的傻瓜式交換機(jī)組成的網(wǎng)絡(luò)，或只啟用了一個(gè)Vlan1。這種方式只僅僅運(yùn)用在家庭或很小的辦公場所。

3、多VLAN技術(shù)：VLAN技術(shù)能有效的減少廣播風(fēng)暴，為不同的部門，不同的大樓劃分不同的VLAN，將網(wǎng)絡(luò)邏輯切割成若干個(gè)小塊，將問題有效的縮小到一個(gè)小范圍內(nèi)，而不影到其它VLAN的正常使用，這更于管理人員精確定位問題所在。

二、IP地址的管理

網(wǎng)絡(luò)上每臺(tái)上網(wǎng)設(shè)備必須有個(gè)IP地址才能相互通信，當(dāng)網(wǎng)絡(luò)管理員靜態(tài)地向用戶分配IP地址時(shí)，必須記錄分配給用戶的IP地址，同時(shí)用戶也必須按照所得到的IP地址在PC機(jī)上進(jìn)行相應(yīng)的參數(shù)配置。當(dāng)網(wǎng)絡(luò)中的節(jié)點(diǎn)達(dá)到一定規(guī)模時(shí)，管理、分配和配置這些IP地址是個(gè)技術(shù)復(fù)雜而又繁重的工作，同時(shí)也存在IP地址冒用，造成IP地址沖突。為了解決這一類IP地址分配的問題，DHCP技術(shù)被越來越多的管理員所采用。DHCP協(xié)議能上接入網(wǎng)絡(luò)的設(shè)備自動(dòng)從DHCP地址池中獲得一個(gè)IP地址，不會(huì)產(chǎn)生IP地址重復(fù)的問題，其特點(diǎn)如下：

1）當(dāng)用戶入網(wǎng)時(shí)DHCP自動(dòng)為接入設(shè)備提供一個(gè)入網(wǎng)參數(shù)配置，保證了網(wǎng)絡(luò)地址不發(fā)生沖突。退網(wǎng)時(shí)自動(dòng)釋放所分配的IP地址，減少了用戶入網(wǎng)時(shí)的技術(shù)要求和IP地址的分配、管理工作。

2）DHCP可以周期性租借IP地址，一般工作站對(duì)IP地址的占用都不需要是永久性的。當(dāng)用戶計(jì)算機(jī)退出網(wǎng)絡(luò)時(shí)，DHCP服務(wù)器及時(shí)地收回IP地址另行分配。

三、DHCP服務(wù)器的分類

DHCP動(dòng)態(tài)分配IP如此的好用，但也有一些不同的應(yīng)用，下面列出DHCP動(dòng)態(tài)分配應(yīng)用類型分為以下幾類：

1、使用路由器自帶的DHCP功能，只能分配一個(gè)網(wǎng)段，加重路由器的負(fù)擔(dān)。

2、是使用三層核心交換機(jī)的DHCP功能，這無疑給核心交換機(jī)增加了負(fù)擔(dān)，配置修改相當(dāng)繁瑣。

3、是使用獨(dú)立的DHCP服務(wù)器，可以很好的緩解路由器、核心交換機(jī)負(fù)載，是機(jī)房管理員的首選獨(dú)方案。

四、如何去選擇DHCP服務(wù)器，也是每個(gè)機(jī)房管理員最為頭疼的事情，下面就DHCP服務(wù)器展開論述

1、使用微軟Windows Server的DHCP。

2003/2008都可以，正版費(fèi)用和專業(yè)服務(wù)器需要花費(fèi)不少的代價(jià)。根本問題在于微軟的Server2003提供的DHCP服務(wù)，存在著一個(gè)實(shí)際的問題。一臺(tái)筆記本，同時(shí)將網(wǎng)線與無線連入網(wǎng)絡(luò)，在獲取IP的幾次握手過程中會(huì)出現(xiàn)問題，服務(wù)器已分不清是你這臺(tái)電腦的無線還是有線，為此DHCP服務(wù)器會(huì)給在這個(gè)用戶打上Bad Address，將其鎖死，需要管理員手動(dòng)操作，增加了管理員的工作。

2、使用Linux的DHCP。

相信大多數(shù)機(jī)房管理都不愿意去接觸Linux，原因無它，Linux的配置太過于復(fù)雜，出了一些問題，在網(wǎng)上消耗大量的時(shí)間也不一定能找出合理的解決方案。

3、使用RouterOS的DHCP。

RouterOS對(duì)電腦的要求很低，可以使用淘汰的舊電腦，網(wǎng)上花少量的錢買個(gè)RouterOS的電子盤。安裝時(shí)只需要DHCP Server和管理工具即可，安裝過程由于篇文限制就不介紹了，下面介紹基于多VLAN的DHCP配置思路，為管理員指明方向：

1、通過WinBox工具登入RouterOS。

2、在Interfaces的VLAN選項(xiàng)卡中添加VLAN名和VLAN號(hào)。

3、IP/POOL中添加IP地址池。

4、IP/Address中添加DHCP服務(wù)器的IP地址。

5、IP/DHCP-Server/NetWork中添加作用網(wǎng)段，網(wǎng)關(guān)，DNS等信息。

6、 IP/DHCP-Server/DHCP中為每個(gè)VLAN添加不同的DHCP服務(wù)器，設(shè)置VLAN號(hào)對(duì)應(yīng)的地址池，IP租期等信息。

五、DHCP Snooping 技術(shù)的配合

DHCP Snooping技術(shù)是DHCP安全特性，通過建立和維護(hù)DHCP Snooping綁定表過濾不可信任的DHCP信息，這些信息是指來自不信任區(qū)域的DHCP信息。當(dāng)交換機(jī)開啟了 DHCP-Snooping后對(duì)DHCP報(bào)文進(jìn)行偵聽，將某個(gè)物理端口設(shè)置為信任端口和不信任口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP報(bào)文，而不信任端口會(huì)將DHCP報(bào)文丟棄。這樣可以假冒DHCP的屏蔽掉，確保客戶端從合法的DHCP Server獲取IP地址。

在核心交換機(jī)連DHCP的端口上，打上tag，允許多個(gè)VLAN號(hào)通過；其他節(jié)點(diǎn)的交換上，將上行口設(shè)為Server其它口設(shè)為Client。具體型號(hào)的交換機(jī)的配置命令都不相同，管理員可以查一下說明書。

六、總結(jié)

浙江省機(jī)電技師學(xué)院從十幾臺(tái)PC發(fā)展到了1200+臺(tái)PC、手機(jī)、平板無線鋪天蓋地而來，網(wǎng)絡(luò)架構(gòu)也從單VLAN到多VLAN發(fā)展，從手動(dòng)IP到動(dòng)態(tài)DHCP，從路由DHCP、三層交機(jī)的DHCP、微軟的DHCP到目前的RouterOS的DHCP。通過多VLAN的DHCP服務(wù)加上DHCP Snooping功能的交換機(jī)，已讓學(xué)院網(wǎng)絡(luò)通暢運(yùn)作了3年有余，效果顯著。

參考文獻(xiàn)：

[1]李金方，祁林，鐃德勝 《DHCP服務(wù)在多VLAN中的應(yīng)用》 2008.12