第三层交换机是目前最主流的交换机之一,特别是适用于中小型企业中,特别是目前对于第三层交换机的DHCP Relay技术的使用。DHCP Server可以自动为用户设置IP地址、掩码、网关、DNS、WINS等网络参数,解决客户机位置变化(如便携机或无线网络)和客户机数量超过可分配的IP地址的情况,简化用户设置,提高管理效率。但在DHCP管理使用上,存在着DHCP Server冒充、DHCP Server的Dos攻击、用户随意指定IP地址造成网络地址冲突等问题。
1.第三层交换机的DHCP Relay技术
早期的DHCP协议只适用于DHCP Client和Server处于同一个子网内的情况,不可以跨网段工作。因此,为实现动态主机配置,需要为每一个子网设置一个DHCP Server,这显然是不经济的。DHCP Relay的引入解决了这一难题:局域网内的DHCP Client可以通过DHCP Relay与其他子网的DHCP Server通信,最终取得合法的IP地址。这样,多个网络上的DHCP Client可以使用同一个DHCP Server,既节省了成本,又便于进行集中管理。DHCP Relay配置包括:
(1)配置IP 地址
为了提高可靠性,可以在一个网段设置主、备DHCP Server。主、备DHCP Server构成了一个DHCP Server组。可以通过下面的命令指定主、备DHCP Server的IP地址。在系统视图下进行下列配置:dhcp-server groupNo ip ipaddress1 [ ipaddress2 ]。
(2)配置VLAN接口对应的组
在VLAN接口视图下进行下列配置:dhcp-server groupNo。
(3)使能/禁止VLAN 接口上的DHCP安全特性
使能VLAN接口上的DHCP安全特性将启动VLAN接口下用户地址合法性的检查,这样可以杜绝用户私自配置IP地址扰乱网络秩序,同DHCP Server配合,快速、准确定位病毒或干扰源。在VLAN接口视图下进行下列配置:address-check enable。
(4)配置用户地址表项
为了使配置了DHCP Relay的VLAN内的合法固定IP地址用户能够通过DHCP安全特性的地址合法性检查,需要使用此命令为固定IP地址用户添加一条IP地址和MAC地址对应关系的静态地址表项。如果有另外一个非法用户配置了一个静态IP地址,该静态IP地址与合法用户的固定IP地址发生冲突,执行DHCP Relay功能的第三层交换机,可以识别出非法用户,并拒绝非法用户的IP与MAC地址的绑定请求。在系统视图下进行下列配置:dhcp-security static ip_address mac_address。
2.其它地址管理技术
在第三层交换机上,为了使用户能通过合法的DHCP服务器获取IP地址,DHCP-Snooping安全机制允许将端口设置为信任端口与不信任端口。其中信任端口连接DHCP服务器或其他第三层交换机的端口;不信任端口连接用户或网络。不信任端口将接收到的DHCP服务器响应的DHCPACK和DHCPOFF报文丢弃;而信任端口将此DHCP报文正常转发,从而保证了用户获取正确的IP地址。
(1)开启/关闭第三层交换机DHCP-Snooping 功能
缺省情况下,第三层交换机的DHCP-Snooping功能处于关闭状态。在系统视图下进行下列配置,启用DHCP-Snooping功能:dhcp-snooping。
(2)配置端口为信任端口
缺省情况下,第三层交换机的端口均为不信任端口。在以太网端口视图下进行下列配置:dhcp-snooping trust。
(3)配置VLAN接口通过DHCP方式获取IP地址,在VLAN 接口视图下进行下列配置:ip address dhcp-alloc。访问管理配置——配置端口/IP地址/MAC地址的绑定。可以通过下面的命令将端口、IP地址和MAC地址绑定在一起,支持Port+IP、Port+MAC、Port+IP+MAC、IP+MAC绑定方式,防止私自移动机器设备或滥用MAC地址攻击、IP地址盗用攻击等,但这种方法工作量巨大。