DHCP协议在校园网络中的应用研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇DHCP协议在校园网络中的应用研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
摘 要
动态主机分配协议(dhcp)是一种动态分配IP地址等网络信息的协议,区别于静态分配的方式,使用DHCP协议可大大降低网络管理人员的工作强度,其普遍应用于上网用户数较大的环境中,例如学校网络环境。虽然用户通过DHCP协议可以方便的使用网络服务,但是网络工作人员在部署DHCP协议时,也容易遇到许多的问题。本文详细分析了校园网络的特点并描述了DHCP协议部署过程中容易遇到的问题及相对应的解决方法。
【关键词】DHCP协议 校园网络 部署
1 校园网络的特点
1.1 校园网络特点概述
校园网络是学校重要的基础条件建设之一,其上承载着教学、科研、管理等多种业务。通常情况下,校园网络的拓扑结构较为复杂,网络管理员需要考虑的管理方面较多,故相对较难管理。
学校网络使用用户身份类型较为复杂,有学生、教职工、离退休职工、校友和外宾等多种用户身份。不同的身份人数不同、上网地点不同、上网时间不同、访问权限也不同。
校园网络使用用户数量较高,在地理位置上有办公区域、教学区域、宿舍区域和公共区域的划分。办公区域内的网络使用者中多数为教职工身份,上网人数比较固定,他们的上网时间比较规律,流量使用方面也较为均衡,办公区域的网络关乎学校所有重要业务,故是重点保障区域。在教学区域中,可能会有学生使用网络,也可能会有教职工使用网络,上网人数只能预估,不能给出准确范围,上网时间根据身份类型也有所区别,教职工一般在工作时间使用教学区域内的网络,而学生因为早晚自习的原因,在教学区域使用网络的时间较长,他们的流量使用情况相对较为均衡,教学区域的网络情况关乎学校教学内容能否顺利开展,故在教学时间也应当予以重点保障。在宿舍区域,几乎全部是学生身份使用网络,上网人数较为固定,在非教学时间该区域内网络流量会出现大量的增长。一般情况下,在公共区域上网的用户身份较为复杂,但是流量不大,但是也不能排除例如校庆、校园接待日等学校活动中,出现大量用户获取IP地址并上网的情况。
校园网络带宽有限,故网络控制也是建设中必要考虑的内容。校园网络的网络控制问题一般在网络出口处使用防火墙、流量控制等设备解决或者用户端使用网络认证解决, 防火墙与流量控制等设备可以根据用户IP地址设置不同的策略,例如带宽控制,时间控制,访问限制控制等。网络认证可以才用准入认证或准出认证,若有必要,可以两种认证方式结合使用。网络认证可以在用户通过认证后,根据用户账户下发不同的策略,从而达到网络控制的目的。
校园网络由于使用者身份类型复杂且数量较多,IP地址的分配应当是基础建设中考虑的重中之重。一般校园网络环境中,都是根据楼宇划分IP子网,再根据IP子网划分相应的安全策略。
1.2 DHCP协议的选择与部署
校园网络因为其上网用户数较大,故静态手工分配IP地址的方法不可取,使用DHCP协议为用户分配IP地址等网络信息成为了最广泛使用的方法。根据校园内网络子网的分布情况及设置性能等因素,可以选择使用分布式DHCP服务端或者是集中式DHCP服务端,DHCP服务端的载体也可以在网络交换设备、服务器或虚拟机中根据实际情况进行选择。
校园网络通常根据楼宇划分子网,根据子网数量建立IP地址池并制定相应规则。一般在建立地址池的时候,按照预估用户数量,多留出20%以上的地址空间,以避免IP地址耗尽的情况出现。根据校园内IP地址存量,DHCP服务端可以对用户下发公有地址或者私有地址,用户若得到私有地址,则需要在出口位置做NAT地址转换,转换为公网地址浏览因特网。DHCP服务端的租约期限设置也应该视校园内IP地址存量而定,若用户使用公有地址上网且地址空间较为紧张,则租约期限可以相应设置较短时间,例如1个小时,若用户使用私有地址上网,则不存在上述问题,只需要根据用户数量选择合适的私有地址类别及范围即可。
一般校园的机房中都有服务器区域,放置需要对内或对外提供业务访问的服务器或虚拟机。对于服务器而言,因为需要固定IP地址,所以该区域内不宜使用DHCP协议分发IP地址,或使用DHCP协议固定下发IP地址给某台服务器,例如IP-MAC绑定分配的方法等。
由于校园内还存在网络控制的问题,不同的用户身份所设置的策略也不应相同。以校园教学区域为例,该区域内即有教师使用网络也有学生使用网络,应考虑固定教师所获得的IP地址,这样可以根据该IP下发相应的关于教师身份的策略。为了实现上述需求,可以找寻教师经常使用的网口与学生上网所用端口进行子网分离,再对不同子网设置DHCP地址池,或者依照服务器区域的办法,搜集教师使用主机的MAC地址,进行IP-MAC绑定分配。
2 部署DHCP协议在校园网络环境中可能遇到的问题与解决方法
2.1 客户端主机获得APIPA地址
主机无法正常上网可能有多种情况,但是若网络内部署DHCP协议且客户端获得IP地址为169.254.x.x,子网掩码为255.255.0.0时,网络管理员应该能够意识到这是客户端获得了APIPA地址。
自动专用IP地址APIPA(Automatic Private IP Address)是一种DHCP故障转移机制,当DHCP客户端无法正常与服务端通信时,客户端会获得一类特殊的IP地址:169.254.0.0/16,这个区域的IP地址被称为APIPA地址。换句话说,当客户端主机出现上述情况时,一定是该客户端与服务端出现无法通信的情况。
在校园中若出现上述情况,最先要确定的是该现象的影响区域,是一台主机,是一间办公室、是教学楼的其中一层或者是整个一栋楼宇等等。判断好影响区域可以有效的诊断出问题出现原因。
若只有一台主机出现这种问题,应换另一台电脑连接此网线进行测试,如果可以正常上网,应检查原主机的网卡配置,必要时采取重新安装网卡驱动或更换网卡硬件等措施;如果同样不能正常上网,应检查其上连交换机端口情况及配置命令,必要时为该主机换用另一个端口进行测试以便排查问题。
若一间办公室所有主机均出现上述问题,而其他区域用户可正常使用网络,则应优先检查该办公室内所有主机是否共用集线器或小型交换机设备,若有类似设备,检查该设备的上连网线是否插好,必要时重启该设备或更换该设备,一般问题都能够得到解决,如果该设备无任何问题,则需要检查上连交换机的端口情况及配置命令。
若楼宇弱电间中每台接入交换机只管辖一层房间,则该交换机出现问题时可能会让该层上网用户出现APIPA地址获取问题,解决方法一般为检查接入交换机的上连线缆及端口情况,必要时重新启动该接入交换机或换设备。
若出现一栋楼宇上网用户均无法正常上网并获得APIPA地址的情况,则优秀考虑该层楼宇网关设备是否出现问题,由于状况严重,应该谨慎分析问题原因,必要时重启或更换网关设备。
2.2 客户端主机获得非预分配的IP地址
正常情况下,客户端主机通过DHCP协议所获得的IP地址应为授权DHCP服务端所分配的,但是有时候会出现客户端主机获得奇怪的IP地址而导致无法正常上网的情况,这些奇怪的IP地址并非在DHCP服务端的地址池所定义,甚至并非是校园网络所拥有的地址段。若出现上述情况,网络管理员应考虑是否在故障主机所在网段出现了非授权的DHCP服务端,从而影响了正常的IP地址分配流程。
客户端在租用网络信息的过程中,会通过广播方式发送DHCP Discover报文,理论上该子网网段中任意一台DHCP服务端都可以接收到,并使用DHCP Offer报文进行回应。由于DHCP协议只负责网络信息的分配,而不负责监管客户端主机能否正常上网,所以在这个过程中,客户端主机很有可能被其他非授权DHCP服务端所影响,与这个非授权DHCP服务端进行DHCP协议的交互而获得错误的IP地址等网络信息。若在校园网络中出现上述情况,一般是因为用户私自架设路由器或无线路由器,并把LAN口接入院校网络中导致。因为用户一般购买的路由器或无线路由器在默认情况下DHCP服务是开启状态,且通过DHCP服务分配的IP地址段多数为私有地址。若私自使用这类设备并将LAN口接入正常网络中,则会通过其维护的私有IP地址池为客户端主机分配IP地址,造成客户端主机获得这些错误的IP地址而无法正常上网的情况出现。当然也有可能是用户主机在有意或无意的条件下,担任了DHCP服务端的角色,为网络内的客户端主机分发了错误的IP地址等网络信息。
当校园网络出现非授权的DHCP服务端时,我们不用刻意去找寻其物理位置,只需要将其屏蔽掉即可。第一步:若某一台主机获得了错误的IP地址,则尝试在该主机的命令行窗口执行PING命令,测试其获得的网关地址的连通性。第二步:若可以成功PING通网关,尝试用HTTP方式访问网关地址,通过观察网页页面,确认其是否为用户私自接入的路由器或无线路由器。第三步:登录故障主机所属子网网段的网关设备,查看错误网关地址的ARP路由表,确认非授权DHCP服务端的MAC地址。第四步:登录接入交换机查询MAC地址-端口映射表,查询该MAC地址所在物理端口,在对应的接入交换机上将该MAC地址过滤掉,此时若有必要,可通过配线架找寻该物理端口所在房间,从而确定非法DHCP服务端的物理位置。上述方法针对所有非授权的DHCP服务端出现情况,不论是用户有意造成还是无意造成,只要过滤掉了疑似DHCP服务端的MAC地址,用户因为无法正常使用网络,一定会向校园网络管理部门申报,从而获得非授权DHCP服务端出现的真正原因,日后加以防范。
对于校园网络管理者而言,如果想彻底防范诸如此类的事情发生,还可以在接入交换机上启用DHCP Snooping功能,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息。在配置DHCP Snooping时,可以将正常的DHCP服务器传递端口设置为trust(信任)状态,将其他用户的端口设置为untrust(非信任)状态,这样若用户以DHCP服务端的身份发送报文,就会被接入交换机拦截并过滤,从而保证网络中正常的DHCP服务的运行。
2.3 客户端主机获得IP地址后,提示IP地址冲突
有些子网网段中,因为工作需要,有些主机的IP地址会设置为通过DHCP协议自动获得,而有些主机的IP地址会设置为静态手工分配。在这种网络结构中,或许网络管理员会发现IP地址冲突的情况,若出现这种情况,网络管理员应该考虑DHCP服务端的设置是否出现问题。
DHCP协议拥有检验机制,防止出现IP地址冲突的情况。若是服务端的地址池中资源耗尽,客户端也是无法获得IP地址而并非获得之前已经分配的地址。客户端在获得IP地址后,会向子网内广播发送Gratuitous ARP报文来检验子网内是否有相同IP地址的主机,若得到ARP报文回应,则会重新向服务端申请新的IP地址。基于以上机制,一般情况下DHCP客户端不会出现IP地址冲突的情况,但是也有一种特殊情况出现,举例来说:若子网网段为192.168.1.0/24,其中192.168.1.1为DHCP服务端地址,192.168.1.2-192.168.1.254为可分配IP地址段,192.168.1.251-192.168.1.254为静态手工分配的IP地址。若某台手工静态分配IP地址的主机,例如192.168.1.251,处于未开机状态,而此时有一台DHCP客户端主机通过DHCP协议获得了192.168.1.251这个IP地址,通过Gratuitous ARP报文检验后,该地址并无冲突情况存在,故该客户端主机正常使用该IP地址,之后那台手工静态分配IP地址的主机开机且网络端口激活,此时在这两台主机中会出现IP地址冲突的情况。发生上述情况的原因是DHCP服务端的地址池设置出现问题,若网段内有需要静态手工分配的IP地址,则一定要在DHCP服务端中设置排除地址,使服务端禁止分配这些地址,从根本上杜绝IP地址冲突问题的出现。