第三层交换机DHCP Relay技术全解

网络 路由交换
如果我们为了实现动态主机配置,为每一个子网都设置一个DHCP服务器,那成本是非常大的,但运用第三层交换机的DHCP Relay技术就很好的解决了这一问题。

第三层交换机是目前最主流的交换机之一,特别是适用于中小型企业中,特别是目前对于第三层交换机的DHCP Relay技术的使用。DHCP Server可以自动为用户设置IP地址、掩码、网关、DNS、WINS等网络参数,解决客户机位置变化(如便携机或无线网络)和客户机数量超过可分配的IP地址的情况,简化用户设置,提高管理效率。但在DHCP管理使用上,存在着DHCP Server冒充、DHCP Server的Dos攻击、用户随意指定IP地址造成网络地址冲突等问题。

1.第三层交换机的DHCP Relay技术

早期的DHCP协议只适用于DHCP Client和Server处于同一个子网内的情况,不可以跨网段工作。因此,为实现动态主机配置,需要为每一个子网设置一个DHCP Server,这显然是不经济的。DHCP Relay的引入解决了这一难题:局域网内的DHCP Client可以通过DHCP Relay与其他子网的DHCP Server通信,最终取得合法的IP地址。这样,多个网络上的DHCP Client可以使用同一个DHCP Server,既节省了成本,又便于进行集中管理。DHCP Relay配置包括:

(1)配置IP 地址
为了提高可靠性,可以在一个网段设置主、备DHCP Server。主、备DHCP Server构成了一个DHCP Server组。可以通过下面的命令指定主、备DHCP Server的IP地址。在系统视图下进行下列配置:dhcp-server groupNo ip ipaddress1 [ ipaddress2 ]。

(2)配置VLAN接口对应的组
在VLAN接口视图下进行下列配置:dhcp-server groupNo。

(3)使能/禁止VLAN 接口上的DHCP安全特性
使能VLAN接口上的DHCP安全特性将启动VLAN接口下用户地址合法性的检查,这样可以杜绝用户私自配置IP地址扰乱网络秩序,同DHCP Server配合,快速、准确定位病毒或干扰源。在VLAN接口视图下进行下列配置:address-check enable。

(4)配置用户地址表项
为了使配置了DHCP Relay的VLAN内的合法固定IP地址用户能够通过DHCP安全特性的地址合法性检查,需要使用此命令为固定IP地址用户添加一条IP地址和MAC地址对应关系的静态地址表项。如果有另外一个非法用户配置了一个静态IP地址,该静态IP地址与合法用户的固定IP地址发生冲突,执行DHCP Relay功能的第三层交换机,可以识别出非法用户,并拒绝非法用户的IP与MAC地址的绑定请求。在系统视图下进行下列配置:dhcp-security static ip_address mac_address。

2.其它地址管理技术

第三层交换机上,为了使用户能通过合法的DHCP服务器获取IP地址,DHCP-Snooping安全机制允许将端口设置为信任端口与不信任端口。其中信任端口连接DHCP服务器或其他第三层交换机的端口;不信任端口连接用户或网络。不信任端口将接收到的DHCP服务器响应的DHCPACK和DHCPOFF报文丢弃;而信任端口将此DHCP报文正常转发,从而保证了用户获取正确的IP地址。

(1)开启/关闭第三层交换机DHCP-Snooping 功能
缺省情况下,第三层交换机的DHCP-Snooping功能处于关闭状态。在系统视图下进行下列配置,启用DHCP-Snooping功能:dhcp-snooping。

(2)配置端口为信任端口
缺省情况下,第三层交换机的端口均为不信任端口。在以太网端口视图下进行下列配置:dhcp-snooping trust。

(3)配置VLAN接口通过DHCP方式获取IP地址,在VLAN 接口视图下进行下列配置:ip address dhcp-alloc。访问管理配置——配置端口/IP地址/MAC地址的绑定。可以通过下面的命令将端口、IP地址和MAC地址绑定在一起,支持Port+IP、Port+MAC、Port+IP+MAC、IP+MAC绑定方式,防止私自移动机器设备或滥用MAC地址攻击、IP地址盗用攻击等,但这种方法工作量巨大。

责任编辑:王晓东 来源: NET130
相关推荐

2010-02-07 10:05:53

第三层交换机

2010-03-15 13:20:43

第三层交换机

2010-03-18 14:06:08

第三层交换机

2010-03-15 13:41:49

交换机

2010-03-15 15:58:20

第三层交换机

2010-01-06 09:55:22

第三层交换机

2010-02-04 09:25:58

第三层交换机

2010-03-17 16:08:39

第三层交换机

2010-01-08 13:35:24

第三层交换机

2010-01-25 15:20:09

第三层交换机

2010-02-04 16:47:50

第三层交换机

2010-03-15 17:24:25

第三层交换机

2010-01-07 16:45:08

第三层交换机

2010-02-22 13:33:16

第三层交换机

2010-02-22 17:39:20

2010-01-27 16:42:14

三层交换机

2010-01-19 13:11:56

第三层交换机技术

2010-01-15 16:29:25

第三层交换机技术

2009-12-03 13:41:41

交换机路由器性能

2010-01-18 18:33:43

第三层交换机
点赞
收藏

51CTO技术栈公众号