欢迎来到天天文库
浏览记录
ID:55573093
大小:108.50 KB
页数:5页
时间:2020-05-18
《配置三层交机DHCP实现多VLAN的IP地址自动分配.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、目前中小企业网络IP分配方法主要以手工静态分配和DHCP服务器动态分配两种分配方式,但是此两种方式在应用过程中存在不同的问题。如:手工静态分配,在客户端进行IP配置,相对较严谨,管制较完全,但一般非IT性质的中小企业,没有专门的网络管理员,在出现由于IP配置导致的网络问题时,解决问题有一定的难度。静态配置对于一些移动办公或临时性使用网络的人员,实际操作也很麻烦。而对于DHCP服务器动态分配而言,中小企业网络管理人员使用DHCP服务器来为工作站自动分配IP地址,这样大大提高了网络管理效率,但在DHCP管理使用上,
2、存在着DHCPServer冒充、DHCPServer的Dos攻击、用户随意指定IP地址造成网络地址冲突等问题。 面对诸多问题,联想天工针对中小企业网络遇到的IP分配难问题,推出了交换机集成的DHCPServerPlus技术。在小型网络应用环境中,若需要使用DHCP服务器进行地址分配,则每个子网都需要配置一台DHCP服务器;若三层交换机启动DHCPrelay也需要在一个接口连接一台DHCP服务器。造成了资源的浪费但又逼不得已。在交换机上实现DHCPserver的功能使得小型网络无需额外配置DHCP服务器,
3、开启后直接可以分配地址。 联想天工DHCPServerPlus技术是在一般DHCPserver功能的基础上,为了满足中小企业网络的安全和稳定运行,进行了一些安全功能的扩展。为了防止非法用户接入网络获取IP地址,联想天工采用地址分配表转为静态,关闭DHCP分配的独有功能,有效的控制未授权用户接入网络。在交换机掉电的情况下,为了防止DHCP动态分配表丢失,支持分配表TFTP方式的上传下载。在局域网ARP病毒防范方面,联想天工推出独有的DHCPsecurity功能,结合ARPlock技术,静态绑定ARP表项
4、,有效的防护各种ARP攻击。 联想天工独有的DHCPServerPlus技术在满足基本的server功能基础上,其独有的安全功能,充分保证中小型网络的安全稳定的运行。 联想天工DHCPServerPlus技术三大安全特色 为保证小型网络的相对稳定与安全,禁止其他动态主机的接入,网络管理员可以在配置完成所有已知的静态客户机信息后,关闭DHCPserver动态分配IP地址功能。这样,在该网络内,只有已配置的静态客户机可以通过DHCP协议报文获取固定分配的IP地址,而其余客户机的discover均会被D
5、HCPsever拒绝。(配置完静态客户机信息后关闭动态分配功能,到达的discover报文检查其MAC地址是否已配置)。 考虑小型网络中需静态配置的客户机数量如具有一定规模,则网络管理员负担加重,可以在客户机动态接入网络运行一段时间后,由管理员执行命令,一次性将动态客户机信息转换成静态客户机信息,并关闭DHCPserver动态分配功能。 动态分配表上传下载——防止交换机掉电遗忘动态分配信息
6、 考虑交换机在掉电重启时将遗忘所有动态信息,并不知道已分配的地址及客户机信息,所以提供上传(定时或手动)动态客户机数据表至远端服务器保存,并在需要时下载(重启自动或手动)到交换机本地。反之亦然。可配置定时器周期上传。交换机重启时自动从服务器下载更新。 防ARP安全绑定——杜绝局域网ARP病毒 ARP攻击涉及客户端、二层交换机、三层交换机。在三层交换机上防御ARP攻击可通过监听DHCP
7、报文,提取其中的IP地址与MAC地址对应关系,写内核ARP表与ARL表,绑定IP、MAC与端口对应关系。携带欺骗信息的ARP攻击报文将无法修改可信任的ARP表项。 联想天工通过在DHCPserver的交换机上开启DHCPsecurity,并结合ARPlock功能,把ARP表转化为静态表项(此功能还可以防止内网用户私自配置IP地址,保证接入网络的安全)。 配置实例: 如图,一台联想天工iSpirit5624GX三层交换机做为该网络的核心交换机和DHCP服务器,DHCP服务器为下面两个网段分配地
8、址,并实时把IP地址分配表上传到服务器192.168.1.1。当网络达到稳定时,关闭DHCP功能,把动态IP分配表项转化为静态,防止未授权用户接入网络,并启用DHCPsecurity有效防止局域网的ARP泛滥。(DNS服务器为210.53.31.2) iSpirit5624GX配置如下:5624GX(config)#ipdhcpserver全局启用DHCPserver5624GX(co
此文档下载收益归作者所有
