管理论文:企业DHCP服务器配置与管理
- 格式:doc
- 大小:50.00 KB
- 文档页数:10
实验三:DHCP服务器配置与管理某公司需要组建了一个局域网。
公司希望采用DHCP服务器为这些计算机动态分配IP地址及其TCP/IP参数,以减少管理上的开销。
公司要求如下:IP 范围为192.168.2.1----192.168.2.250子网掩码:255.255.255.0网关为192.168.2.250 DNS:8.8.8.8其中预留的IP作为其它用:192.168.2.1----192.168.2.10销售部经理的笔记本(MAC: 03-25-e3-f5-04-66)指定IP为:192.168.2.150利用策略为用户类xiaoshou 分配IP范围:192.168.2.100-----192.168.220实验步骤:1,新建作用域输入公司的IP地址范围输入保留的IP范围(这些IP不分配给客户机)输入分配给客户机的IP时间周期下面继续配置其它信息(网关,DNS)配置分配给客户机的网关分配给客户机的DNS这里留空完成之后的配置如下图二,为部门经理分配指定的IP销售部经理的笔记本(MAC: 03-25-e3-f5-04-66)指定IP为:192.168.2.150三,利用策略为用户类xiaoshou 分配IP范围:192.168.2.100-----192.168.2.120 1,点击IPV4,然后点击“定义用户类”输入用户类的名称,记得要在ASCII 下面输入2,完成上面的添加用户类之后,接着点击“新建策略”输入策略名字下一步之后,选择策略条件——用户类,值为:xiaoshou添加销售部指定的IP范围然后继续点击“下一步”直到完成。
以上为DHCP服务器端的配置,接下来需要在销售部客户机配置,才能获得指定范围的IP在客户机命令行,输入以下命令,修改网络类型实验完成之后,客户机获得指定范围的IP。
企业DHCP服务器配置与管理作者:文敬德来源:《中小企业管理与科技·上旬刊》2011年第12期摘要:本文主要以典型企业网络结构出发,具体介绍了cisco路由器上如何配置DHCP服务器,及针对多个vlan环境下DHCP中继的配置,并讨论如何管理DHCP服务器以提高网络的安全性能。
关键词:DHCP 路由器 VLAN Snooping随着信息化技术的飞速发展,企业不断加强自身信息化建设,网络规模日趋庞大。
大规模的电脑分布,复杂的子网设置,DHCP服务器毋庸置疑是企业网络管理员科学管理局域网IP 地址及配置的首选。
有了DHCP服务器后,使得我们的网络管理工作变得游刃有余。
本文通过对一个企业典型的网络系统案例,把相关的知识点综合应用上来,以实现一个安全完整的动态主机配置服务系统。
1 企业网络结构介绍企业网络结构拓扑图如下:说明:本实例选用在路由器上配置DHCP服务,为三层交换机下面Vlan10和Vlan20的电脑分别分配192.168.10.0/24和192.168.20.0/24两网段的地址。
2 配置DHCP服务器在Router路由器上面配置DHCP服务:2.1 开启DHCP 功能Router(config)#service dhcp2.2 配置DHCP 地址池Router(config)#ip dhcp pool vlan1 //地址池名为vlan1Router(dhcp-config)#network 192.168.10.0 255.255.255.0 //vlan1客户端使用的地址段Router(dhcp-config)#default-router 192.168.10.1 //网关地址Router(dhcp-config)#dns-server 61.144.56.100 //DNS地址Router(dhcp-config)#lease 2 12 30 //租期为2天12小时30分(默认为一天)Router(config)#ip dhcp pool vlan2 //地址池名为vlan2Router(dhcp-config)#network 192.168.20.0 255.255.255.0 //vlan2客户端使用的地址段Router(dhcp-config)#default-router 192.168.20.1 //网关地址Router(dhcp-config)#dns-server 61.144.56.100 //DNS地址Router(dhcp-config)# lease 2 //租期为2天2.3 保留IP地址因为有些IP 地址我们要用作特殊用途,不希望分配给客户端。
DHCP服务器配置与管理基本概念DHCP(Dynamic Host Configuration Protocol)叫做动态主机配置协议是一个简化主机IP地址分配管理的TCP/IP标准协议。
分配IP地址的方法1、静态分配IP地址,即由管理员或用户手工为每台计算机设置的固定IP地址。
2、动态分配IP地址,由DHCP服务器将IP地址数据库中的IP地址动态分配给网络中的客户机。
好处:1、可以解决IP地址不够用的问题。
2、用户不必自己设置IP信息,可以自动获取IP、网关、DNS 等属性信息,可以将IP与MAC绑定3、可以杜绝IP冲突问题安装DHCP服务确保服务器本身的IP地址必须是固定的,事先规划好提供给DHCP客户端使用的IP地址范围即IP作用域。
添加/删除Windows组件-网络服务-详细信息-动态主机配置协议(DHCP)-确定-下一步-完成注:域控制器/域网络下的DHCP服务安装好后需要授权或激活。
建立IP作用域在DHCP服务器中需设置一段IP地址范围(可用的IP 作用域)。
注:在一台DHCP服务器中,只能针对一个子网设置一个IP作用域。
打开DHCP控制台-右键单击要创建作用域的服务器-定义新作用域的IP范围和子网掩码-根据需要添加排除范围-设置租约期限-否,不配置选项-完成-激活作用域DHCP客户机设置在TCP/IP协议属性中选择自动获取IP地址手工刷新IP信息:cmd-ipconfig /renewIP作用域的维护基本:修改、停用、协调和删除IP作用域保留特定的IP地址实现将特定的IP地址保留给特定的DHCP客户端。
通过IP+MAC绑定来实现(使用ipconfig /all在DHCP 客户端获得)选择作用域-右键保留-新建保留-输入指定保留的IP 地址和客户端的MAC地址-添加DHCP选项设置可以用来利用DHCP服务器在为客户机分配IP地址的同时为客户机分配其它的IP信息。
设置DNS选项:右键单击“DHCP管理器”中的“作用域选项”-“配置选项”-选择某个功能框-输入信息-添加-确定DHCP数据库的维护数据库文件保存在%systemroot%\system32\dhcp下的dhcp.mdb,其它为辅助性文件,不要乱删。
7.2 DHCP服务器配置与管理IP地址在使用时经常会发生冲突,这将给用户使用网络资源带来许多不便,甚至无法正常使用网络和享受网络。
采用DHCP可以帮助我们很容易地完成IP地址分配等问题,以及解决经常发生的IP地址冲突,目前许多局域网都采用这样的办法。
本节对DHCP服务进行了概述,并在此基础上对DHCP服务的工作原理进行了阐述。
7.2.1DHCP服务概述在TCP/IP网络上的每台设备,例如客户端计算机和各种网络设备,都必须有合法的唯一的IP地址和配置数据,TCP/IP配置数据包括:IP地址、子网掩码和附加的IP数据,如路由器信息、DNS服务器地址和WINS服务器地址等。
网络管理员可以手工配置和维护网络客户端的IP配置,也可以使用DHCP为网络中的各种设备自动分配、配置和维护TCP/IP配置数据。
DHCP可以对网络中的IP地址进行集中管理,这就避免了地址冲突并降低了管理员的工作量。
DHCP服务器拥有一个IP地址池,当任何启用DHCP的客户机登录到网络时,可从它那里租借一个IP地址。
IP地址是动态的(租借)而不是静态的(永久分配),不使用的IP地址就自动返回地址池供再分配。
DHCP是一个TCP/IP标准,用于减少网络客户机IP地址配置的复杂度和管理开销。
Windows Server 2003提供DHCP服务,它允许一台计算机作为DHCP服务器,可以配置用户网络中启用DHCP的客户计算机,能够自动集中管理IP地址和用户网络中客户计算机所配置的其它TCP/IP设置。
DHCP还提供一体化的活动目录服务和域名系统服务、高级服务器监视和统计信息报告、特定厂商选项和用户类别支持、组播地址分配和诈骗DHCP服务器检测。
对于基于TCP/IP的网络,必须要进行IP数据的配置,例如IP地址、子网掩码或者默认网关等。
TCP/IP配置有手动配置和自动配置两种方式。
手动TCP/IP配置可以通过手动输入的方式为网络上的每个设备设置其IP配置数据,如图7-42所示。
DHCP服务配置与管理DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一种网络协议,它能够在网络中自动分配IP地址、子网掩码、默认网关等网络配置参数给客户端设备。
通过配置和管理DHCP服务,网络管理员可以简化IP地址管理,并提高网络的可扩展性和效率。
本文将介绍DHCP服务的配置和管理方法。
一、DHCP服务的基本概念DHCP服务是一个基于客户-服务器模型的协议,它由DHCP服务器和DHCP客户端组成。
DHCP服务器负责为客户端分配IP地址和其他相关网络配置,而客户端则通过DHCP协议向DHCP服务器请求并接收配置信息。
DHCP服务器配置和管理主要包括以下几个方面:IP地址范围划分、租约管理、选项设置和故障排除。
二、IP地址范围划分在配置DHCP服务之前,需要确定IP地址范围划分的方式。
IP地址范围的划分应该考虑到网络中的设备数量和设备的类型。
通常情况下,一个小型网络可以通过划分一个连续的IP地址范围来满足需求,而大型网络可能需要划分多个子网。
在进行IP地址范围划分时,需要注意以下几点:1. 确定网络的子网掩码,它将决定IP地址范围的大小和可用主机数量。
2. 避免IP地址重叠,确保每个设备在网络中拥有唯一的IP地址。
3. 确保DHCP服务器的IP地址在划分的IP地址范围之外,以避免地址冲突。
三、租约管理租约是指DHCP服务器向客户端分配给定IP地址的时间。
通过租约管理,网络管理员可以配置IP地址的过期时间,并对长时间未使用的IP地址进行回收和再分配。
在进行租约管理时,可以考虑以下几个方面:1. 确定租约的过期时间,以合理控制IP地址的使用期限。
2. 监控租约的使用情况,及时回收长时间未使用的IP地址。
3. 配置租约的续约策略,确保客户端能够及时更新租约并保持网络连接。
四、选项设置DHCP选项是一种用于扩展DHCP协议功能的机制,通过配置选项,可以向客户端提供额外的网络信息,如默认网关、DNS服务器等。
企业DHCP服务器配置与管理摘要:本文主要以典型企业网络结构出发,具体介绍了cisco路由器上如何配置DHCP服务器,及针对多个vlan环境下DHCP中继的配置,并讨论如何管理DHCP服务器以提高网络的安全性能。
关键词:DHCP 路由器VLAN Snooping随着信息化技术的飞速发展,企业不断加强自身信息化建设,网络规模日趋庞大。
大规模的电脑分布,复杂的子网设置,DHCP服务器毋庸置疑是企业网络管理员科学管理局域网IP地址及配置的首选。
有了DHCP服务器后,使得我们的网络管理工作变得游刃有余。
本文通过对一个企业典型的网络系统案例,把相关的知识点综合应用上来,以实现一个安全完整的动态主机配置服务系统。
1 企业网络结构介绍企业网络结构拓扑图如下:说明:本实例选用在路由器上配置DHCP服务,为三层交换机下面Vlan10和Vlan20的电脑分别分配192.168.10.0/24和192.168.20.0/24两网段的地址。
2 配置DHCP服务器在Router路由器上面配置DHCP服务:2.1 开启DHCP 功能Router(config)#service dhcp2.2 配置DHCP 地址池Router(config)#ip dhcp pool vlan1 //地址池名为vlan1Router(dhcp-config)#network 192.168.10.0 255.255.255.0 //vlan1客户端使用的地址段Router(dhcp-config)#default-router 192.168.10.1 //网关地址Router(dhcp-config)#dns-server 61.144.56.100 //DNS地址Router(dhcp-config)#lease 2 12 30 //租期为2天12小时30分(默认为一天)Router(config)#ip dhcp pool vlan2 //地址池名为vlan2Router(dhcp-config)#network 192.168.20.0 255.255.255.0 //vlan2客户端使用的地址段Router(dhcp-config)#default-router 192.168.20.1 //网关地址Router(dhcp-config)#dns-server 61.144.56.100 //DNS地址Router(dhcp-config)# lease 2 //租期为2天2.3 保留IP地址因为有些IP 地址我们要用作特殊用途,不希望分配给客户端。
比如:网关地址或一些需要固定给某一台电脑使用的IP等。
所以我们要保留这些地址,这样服务器就不会将这些地址分配给客户端使用。
Router(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10//保留192.168.10.1到192.168.10.10Router(config)#ip dhcp excluded-address 192.168.20.1 192.168.20.10以上就是路由器上开启DHCP服务以及如何配置服务器的具体方法,如果客户端直接连接路由器端口就可以申请到对应端口网段的IP地址了。
但现在客户端电脑是通过三层交换机来连接路由器的,这样客户端是无法顺利申请到IP地址的,因为客户端的DHCP请求到达交换机以后不知道向路由器申请。
因此我们接下来配置三层交换机上的DHCP中继,来实现DHCP请求顺利到达路由器上。
3 配置三层交换机企业为了局域网内部的管理及控制广播风暴,通常在计算机数量比较多的情况下采用基于端口的方法来划分VLAN(虚拟局域网),我们把f0/2、f0/3分别加入vlan10、vlan20(其它端口默认属于vlan1)。
3.1 配置vlan及相应接口信息Switch(config)#vlan 10 //创建vlan10Switch(config-vlan)#exitSwitch(config)#int vlan 10 //设置vlan10的IP地址Switch(config-if)#ip address 192.168.10.1 255.255.255.0Switch(config-if)#exitSwitch(config)#int f0/2 //配置端口F0/2,把该端口加入vlan10Switch(config-if)#switchitchport mode accessSwitch(config-if)#switchitchport access vlan 10Switch(config-if)#exit同理,创建vlan20,设vlan20的IP地址为192.168.20.1/24,把F0/3加入vlan20。
3.2 配置DHCP中继配置DHCP中继通常在交换机、路由器或服务器版操作系统上配置,这些设备通常处在DHCP服务器与DHCP客户端中间,使得DHCP客户端的请求广播不能到达对应DHCP服务器,从而使得客户端的申请失败。
而配置DHCP中继就是让客户端的广播包单播发向对应的DHCP服务器,我们通过ip help-address功能来实现。
Switch(config)#int vlan 10Switch(config-if)#ip helper-address 192.168.0.1 //单播前转DHCP 广播到192.168.0.1Switch(config-if)#exitSwitch(config)#int vlan 20Switch(config-if)#ip helper-address 192.168.0.1同样,如果现实中这三层交换机是路由器,我们也是在路由器接客户端的接口上设置ip helper-address来实现DHCP中继。
3.3 配置路由器上的路由配置基本完成,最后一定要记得配置路由,让DHCP服务器能与客户端通信。
Router (config)#ip route 192.168.10.0 255.255.255.0 192.168.0.2Router (config)#ip route 192.168.20.0 255.255.255.0 192.168.0.2通过以上几步配置,Vlan10里的电脑PC1便能获得地址192.168.10.11,Vlan20里的电脑PC2便能获得地址192.168.20.11。
为什么不同vlan之间能获得各自网段的IP地址呢?因为三层交换机收到PC1的DHCP广播包后,将giaddr的参数改成了192.168.10.1,收到PC2的DHCP广播包后,将giaddr的参数改成了192.168.20.1,所以最后DHCP服务器能够根据giaddr=192.168.10.1的包,把192.168.10.0/24的有效地址分配给PC1。
根据giaddr=192.168.20.1的包,把192.168.20.0/24的有效地址分配给PC2。
4 管理DHCP服务器4.1 绑定IP与MAC地址在企业日常维护中,常有一些IP地址需要固定给某一台客户机。
Cisco路由器上可以通过单独创建一个地址池host pool,然后通过client-identifier来实现IP 地址与MAC地址的绑定。
比如一个主机网卡MAC地址为0013.77B9.2774,要绑定IP地址192.168.10.100/24。
实现如下:Router(config)#ip dhcp pool client1Router(dhcp-config)#host 192.168.10.100 255.255.255.0Router(dhcp-config)#client-identifier 0100.1377.B927.74 //前面新增的01表示走的Ethernet,后面接MAC4.2 禁止非法DHCP服务器欺骗在企业网络中,难免某一个子网中多出一个带DHCP服务功能的服务器或路由器,结果导致客户端电脑获取到一个非法的IP地址配置信息,导致电脑无法正常使用。
其原因是DHCP客户端发出的DHCP请求是以广播形式发出的,在同一个广播域,也就是说同一个vlan里所有的设备都会收到。
事实上,非法的DHCP报文在该子网的传播要比合法的DHCP报文快,用户必将先获取到非法DCHP服务器所提供的IP地址。
其实防止非法DHCP服务器,可以通过交换机上的DHCP-snooping 功能来实现。
DHCP Snooping技术是一种通过在交换机上建立DHCP Snooping Binding数据库,过滤非信任的DHCP消息,从而保证网络安全的特性。
本案例具体可以在三层交换机上配置如下:Switch(config)#ip dhcp snooping //开启DHCP SnoopingSwitch(config)#ip dhcp snooping vlan 1,10,20 //在VLAN1、10和20中开启dhcp snooping功能默认情况下开启dhcp snooping功能后,相应的端口全部为不可信任的,只要把对应DHCP服务器的连接端口设为信任端口就可以了。
Switch(config)#int f0/1Switch(config-if)#ip dhcp snooping trust //设f0/1为信任端口。
通过以上配置,三层交换机上F0/1接口的设备才能应答DHCP请求,其它接口过来的DHCP应答将会被丢弃。
同时要注意的是,配置了DHCP Snooping 的交换机默认会产生中继效果,会将DHCP 请求包的giaddr 的参数改成了0.0.0.0,而且交换机的这种中继效果是无法关闭的。
当服务器收到giaddr 设置为0.0.0.0 而不是IP 地址的请求包时,默认是要丢弃该数据包而不作应答的,所以DHCP 服务器将丢弃该请求数据包。
要想让客户端能够正常收到DHCP 提供的IP 地址,就应该让DHCP 服务器对即使giaddr 为0.0.0.0的请求包也作出应答。
配置如下:Router (config-if)#ip dhcp relay information trusted5 结束语在Cisco设备上配置DHCP服务是即经济又有效的办法,不仅仅节省了资源,同时能更加稳定的给整个网络分配IP地址和网络参数。
本文通过对企业内典型局域网的DHCP服务器设计,完整的把Cisco设备上DHCP服务器的配置及日常管理作了一次详细的总结,相信能给大家在日常网络管理中提供帮助。
(弘利教育)。