期刊发表网电话

全国热线
022-83699069

局域网动态地址分配机制及应用解决办法

作者: 发布时间:2020-01-17 17:04:24 阅读: 620 次

  关键字:DHCPIP,网络地址分配

摘要:局域网地址分配机制通常采用静态或动态分配方式,针对不同的企业应用场景选择合适地址分配机制,本文重点介绍动态地址地址分配机制,以及在应用中可能出现的问题和针对不同的应用选择对应的解决方案。

一般中小企业超过20信息点以上,传统的静态地址分配的方式应用效果就不理想。

网络管理员需要记录大量IP地址分配信息,当计算机设备发生变更,需要管理员配置,常规工作负担繁重。随着信息技术发展,后Pc时代已经来临,大量移动办公设备接入(如手机、笔记本、平板等),各种不同的设备通过静态分配地址的方法非常复杂,网络管理人员需要熟悉不同的业务平台静态地址的分配方法,有些设备甚至需要通过专门软件进行设置,这对网管是一项复杂的挑战,而目前大部分移动设备默认采用动态获取地址的方法,部署动态地址分配方法极大简化了网络常规管理。

某些不熟悉网络管理规定的内部员工私自设置IP地址更会造成大量IP地址冲突,严重影响网络正常秩序。笔者曾经在某单位发现工作人员上班会先找能用的IP地址,结果不经意间又占用了其它正常的IP地址,随着地址分配冲突的扩散,造成大范围的IP地址管理混乱,IP地址管理的灾难就形成了,企业电子办公效率极低 。

传统通过行政手段管理IP地址,所有都依赖制度的执行,但是没有技术对违规的检测。没有技术保障的制度,必然难以维持,仅仅流于形式,这项制度没执行效力,也就很快消亡。

DHCP 是一种客户端服务器技术,它允许 DHCP 服务器将 IP 地址分配给作为 DHCP 客户端启用的计算机和其他设备,也允许服务器租用 IP 地址。在特定的时间内将 IP 地址租用给 DHCP 客户端,然后当客户端请求续订时自动续订 IP 地址。通过更改 DHCP 服务器处的服务器或作用域选项而不是在所有 DHCP 客户端上分别执行此操作,来更新 DHCP 客户端参数。为特定的计算机或其他设备保留 IP 地址,以便它们总是具有相同的 IP 地址,接收最新的 DHCP 选项。从 DHCP 服务器分发中排除 IP 地址或地址范围,以便能够使用这些 IP 地址和范围对服务器、路由器和其他需要静态 IP 地址的设备进行静态配置。通过配置第3方的DHCP服务器,如在服务器将MAC地址和IP进行绑定,还可以达到地址绑定的效果,为信息网络实名制做好基础工作。

DHCP分配方式也会出现其他问题。

1、非授权的DHCP服务器意外进入网络,造成网络地址分配不正确,导致大面积的网络瘫痪。DHCP分配方法,对多个DHCP采用谁先恢复,谁提供服务,然而不正确的DHCP服务,导致大面积网络瘫痪。笔者见到仅因为一个员工误把路由器当成交换机接入网络中,忘记关闭路由器里面的DHCP服务,导致企业网络出现开机不正常,多次获取IP地址才能上网,这种故障现象甚至出现很长时间都没有排除。另一个案例是某用户安装服务器采用默认完全安装,DHCP服务默认安装进设备,自然出现大量地址分配错误,影响信息化正常工作也是必然。DHCP管理IP地址的网络故障定位、诊断非常困难。交换机不具备DHCP侦听管理功能,惟一可以解决得办法只能通过拔线找出故障DHCP服务才能解决问题。

2、目前局域网存在大量网络攻击,针对DHCP协议危害比较大就有ARP欺骗攻击,DHCP资源耗尽攻击等多种攻击形式。针对不同的问题怎样有效保护我们的网络,让网络更具稳定性和健壮性。

通过分析网络应用场景不同,可以选择不同的安全模型完善DHCP管理网络,把危害降到更低,尽可能提供一个稳定、可靠、可预期的网络。

1、安全应用模型1:同一VLAN区域各信息点之间不需互相访,仅通过网关获取网络信息资源。这种应用场景典型应用场景在家属区网络、宾馆网络、ISP服务商网络等。通过将可网管交换机端口模式采用安全模式或孤立模式,DHCP服务器放在共享端口模式下。处于隔离状态的端口的所有数据只能通过共享端口访问资源,同一广播区域内不同安全端口互相之间不能访问,则非授权的DHCP服务也不能进入正常的网络,自然无法干扰正常的网络地址分配秩序。采用此种网络安全模型管理思路简单,配置明确,交换机单口造价低, 40元/每信息点以上的交换机基本上可以具有安全或孤立端口的技术特点。缺点:无法满足灵活的网络需求和共享网络资源。

2、安全应用模型2:一对等局域网,同一VLAN之间需要互相交互数据,主要体现在企业园区网。通过设置DHCP SNOOPING机制。DHCP snooping 实时监控网络DHCP信息。发现非法DHCP数据,主动关闭其中非法DHCP信息,在不扰正常互相访问的情况下,提供DHCP服务网络安全。支持DHCP SNOOPING的交换机需要实时监控网络,对网络中的DHCP包进行监控,对性能要求比较高,自然交换机的造价要高于支持端口保护的交换剂, 100/信息点左右。但是在复杂的企业应用场景下,只能采取此种应用模型才能解决问题。

Dhsp snooping 配置注意事项:

1DHCP SNOOPING 建议启动在核心层。

2DHCP SNOOPING 缺省的要插入 information option,对用户获得地址影响很大,建议关掉,关闭命令no ip dhcp snooping information option,如果不关,则要在服务器端启动ip dhcp snooping information option allow-untrusted,如果核心层没有启动DHCP SNOOPING则要启动 ip dhcp relay information trust-all

3Ip dhcp snooping database要配置,对性能优化有影响

通过使用动态分配地址方法(DHCP),能够有效降低网络管理员负担,随着IPV6日益普及,超长的IP地址使用,使用动态分配是未来网络地址管理的必然选择。根据本身应用场景和经济因素的条件,选择合适的DHCP安全解决模型,提升DHCP服务的可用性和可靠性。而不采用安全保障措施的DHCP服务管理代价并不比IP静态分配方式管理代价低,毕竟通过拔线来解决问题是我们每个网络管理人员尽量避免选择的最终手段。