0引言

　　在局域网内部，客户机可以通过DHCP服务器动态获得IP地址，但目前在很多企事业单位中都划分了多个子网，如果在每个子网中都部署DHCP服务器无疑增加了投资以及管理维护的难度。下面我们将深入研究如何利用一台DHCP服务器提供跨网络服务，从而实现多子网IP地址的统一管理。

　　1 DHCP及DHCP中继代理原理

　　1.1 DHCP原理

　　DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)工作于TCP/IP协议簇的应用层，分为服务器端和客户端两部分，在服务器端建立一个或多个IP地址池,给客户端分配IP地址以及网关地址、子网掩码、DNS地址等信息，具体工作过程分为以下几步：

　　（1）请求：客户端以广播形式(目的IP为255.255.255.255)发出DHCPDISCOVER消息，寻找网内的服务器，网内每一台主机都会收到广播，但只有DHCP服务器才会作出响应。

　　（2）提供：收到DHCPDISCOVER消息的服务器从自己的地址池中选择一个未分配的IP地址，回应一个DHCPOFFER消息，消息中包括分配给客户端得IP地址等配置信息。

　　应用安全

　　（3）选择：客户端选择第一个收到的DHCPOFFER作为自己的网络配置。以广播形式发送DHCPREQUEST消息，DHCPREQUEST将通知所有的服务器客户端选择了哪一个服务器以及IP。

　　（4）确认：被选中的服务器回复确认消息DHCPACK，未被选中的服务器不作回应并收回曾提供的IP。

　　（5）配置：客户端收到DHCPACK后再次检查配置参数，如果合法则将参数配置到客户端。

　　1.2 DHCP中继代理原理

　　由于DHCP客户端必须以广播包的形式向服务器发出请求，而广播包无法跨网络传输，所以当DHCP客户端和服务器不在同一个网络内时，必须使用DHCP中继代理。

　　DHCP中继代理(DHCP Relay Agent)负责沟通不同广播域间的DHCP客户端和DHCP服务器的通讯。在如图1所示的网络中，PC1和DHCP服务器在同一个子网中，PC1可以作为客户端直接从服务器获取IP；而PC2在另外一个子网中，此时可以将连接两个子网的路由器或三层交换机配置为一个DHCP中继代理，它相当于一个转发站，把收到的DHCP请求报文(DHCPDISCOVER)以单播形式转发给服务器，也把收到的DHCP响应报文(DHCPOFFER)以广播形式转发给PC2。

　　2应用及配置实例

　　2.1需求分析

　　下面我们通过一个实例来研究DHCP中继代理的具体配置方法。图2所示网络拓扑图为一个典型的局域网。在此局域网中划分了三个子网(表1)，子网间通过三层交换机连接，使用一台DHCP服务器管理整个局域网内的IP地址分配。

　　表1配置实例子网划分情况

　　2.2配置过程

　　2.2.1配置DHCP服务器

　　DHCP服务器可以是一台电脑，也可以是具备DHCP功能的网络设备如交换机或路由器。

　　如果以电脑作为DHCP服务器，该服务器应接入核心交换机以提高访问速率，一般应安装Windows2003或UNIX/

　　LINUX系统，以Windows2003为例配置如下：

　　（1）通过【开始】→【程序】→【管理工具】→【DHCP】，打开DHCP服务。单击菜单栏【操作】，点击【新建作用域】，建立一个新的作用域即地址池；

　　（2）出现“新建作用域向导”，单击【下一步】，在作用域【名称】框中输入“VLAN1”；

　　（3）单击【下一步】，进入“:IP地址范围”窗口。在【起始IP地址】中输入：192.168.1.2，在【结束IP地址】中输入：

　　192.168.1.254，【子网掩码】中输入255.255.255.0；

　　（4）单击【下一步】，进入“添加排除”界面，在这里输入不想分配给客户机的保留IP地，例如从192.168.1.5到192.

　　168.1.10；

　　（5）添加排除地址后，进入“租约期限”，按照默认即可：然后进入“配置DHCP选项”设置。首先配置“路由器”（即网关)地址，VLAN1的网关地址为192.168.1.1，其次配置“DNS服务器”地址，具体参数取决于网络环境。

　　经过以上步骤，子网1的地址池就建好了，每个子网都应建立一个地址池，子网2/3的地址池配置和子网1类似，不再重复。

　　如果网络设备具备DHCP功能，例如将图2中的核心交换机A，将其作为DHCP服务器，应配置如下：(//后为注释,

　　68 2009.4

　　不同厂商的设备配置语句可能有区别，但原理类似)

　　SwitchA#configure terminal//进入全局配置模式

　　SwitchA(config)#ip dhcp pool VLAN1//建立子网1的地址池

　　SwitchA(config-pool)#network 192.168.1.0 255.255.255.0//配置可分配IP范围

　　SwitchA(config-pool)#default-router 192.168.1.1//配置子网1中DHCP客户端的网关

　　SwitchA(config-pool)#end

　　SwitchA(config)#ip dhcp excluded-address 192.168.1.5 192.

　　168.1.10//配置保留ip

　　子网2/3的配置语句和子网1类似。

　　2.2.2配置子网首先在汇聚层交换机上配置三层接口（VLAN网关），以子网2为例，其网关在交换机C上，所以对交换机C配置如下：

　　SwitchC#configure terminal

　　SwitchC(config)#interface vlan 2

　　SwitchC(config)#ip address 192.168.2.1 255.255.255.0//配置VLAN2的网关和IP范围

　　SwitchC(config)#no shutdown

　　其次在接入层交换机上配置VLAN端口，以子网2为例，应对交换机F配置如下：

　　SwitchF#configure terminal

　　SwitchF(config)#interface range fastethernet 0/1-24

　　SwitchF(config)#switchport access vlan 2

　　SwitchF(config)#no shutdown

　　2.2.3配置DHCP中继代理

　　DHCP服务器不在子网1/2/3中，所以只有配置了DHCP中继代理，子网1/2/3中的终端才能够和DHCP服务器通信。在图2中，应配置交换机B为子网1的DHCP中继代理，配置交换机C为子网2和子网3的DHCP中继代理。以交换机C为例配置如下：

　　SwitchC#configure terminal

　　SwitchC(config)#service dhcp//打开交换机C的DHCP

　　中继代理功能

　　SwitchC(config)#ip helper address 10.1.1.1//指定

　　DHCP服务器的地址

　　2.2.4配置过程中需要注意的问题

　　在DHCP协议中，DHCP客户端使用UDP68端口，DHCP

　　服务器使用UDP67端口。如果服务器和客户端之间的路由器或三层交换机上配置了访问控制列表，则需要允许UDP67、68端口相应的报文通过，保证客户端与服务器的之间的正常通信。

　　2.3配置结果及分析配置完成后，在客户端的TCP/IP属性中设置“自动获得

　　（8）智能网络管理

　　校园网的管理至关重要。校园网的管理分行政手段管理和技术手段管理：行政手段的管理主要是制定切实可行的用户、设备、系统管理制度，采取一定的奖惩手段，保障管理的顺利开展；技术手段管理主要是指利用相关的技术措施，管理和维护学院内部网络和各项系统的顺利运行。采用网络管理平台能提供整个网络的拓扑结构，能对以太网络中的任何通用IP设备、SNMP管理型设备进行管理，通过对网络的全面监控，网络管理员可以重构网络结构，使网络达到最佳效果。

　　（9）网络安全设计

　　构建全程全网的访问控制体系是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。

　　①接入安全

　　接入交换机采用支持802.1X用户入网认证，核心技术采用802.1x+Radius协议构成；整个认证计费系统由安全交换机，为最终用户提供认证、计费和管理等功能，通过与接入设备配合使用，在交换机上开启802.1x功能，实现对所有用户进行认证和计费。

　　②访问安全

　　多业务万兆核心路由交换机支持802.1Q VLAN，可使用VLAN划分隔离用户访问。同时还支持VLAN隧道技术。并且万兆核心路由交换机支持完善的ACL，可以基于MAC、IP、TCP/UDP端口号进行流量控制，以有效的防范和控制网络蠕虫病毒(如冲击波)的传播和危害。

　　（10）网络防病毒设计

　　网络防病毒设计设计思想为：

　　①以网为本

　　防治病毒应该从网络整体考虑，从方便减少管理人员的工作上着手，透过网络管理PC机。提供在线报警功能，网络上每IP地址”和“自动获得DNS服务器地址”，这样客户端的IP地址以及网关地址、子网掩码、DNS地址等参数就可以通过DHCP中继代理从服务器获得。可以在客户端使用ipconfig/all命令查看结果。

　　可以发现，不同子网内的客户端获得的是不同地址池范围中的IP,那么DHCP服务器是如何识别不同的客户端的呢？这是因为DHCP中继代理在接收到客户端以广播包形式发出的请求数据包DHCPDISCOVER时，会将其中的网关地址由0.0.0.0改为客户端所在的子网网关，在将该数据包转发给

　　应用安全

　　DHCP服务器，因此DHCP服务器可以根据DHCPDISCOVER数据包中的网关地址来确定客户端来自哪一个子网，从而分配属于该子网的IP给客户端。一台机器出现故障、病毒侵入，应从管理中心处予以解决。

　　②多层防御

　　新的防毒手段应将病毒检测、多层数据保护和集中式管理功能集成起来，形成多层防御体系。任何一种反病毒的解决方案都应该既具有稳健的病毒检测功能，又具有客户机、服务器数据保护功能，也就是覆盖全网的多层次防御。

　　③重视服务器上防毒

　　大量的病毒存在于信息共享的网络介质上，因而要在网络前端实时杀毒。防范手段应集中在网络整体上。在个人计算机的硬件和软件、LAN服务器、服务器上的网关、Internet及Intranet的WebSite上，层层设防，对每种病毒都实行隔离、过滤。在后台实时进行监控，发现病毒，随时清除，而前端用户根本没有感应，甚至根本不知道杀毒的过程，这才是比较科学的全面的解决方案。

　　④安全管理规范和应急人员配备

　　优秀的防病毒系统需要很好的维护，坚固的防护系统也需要用户协助。在网络安全问题上，应制定严格的安全规范。这些规范是网络安全运行必不可少的规范制度。网络安全管理应专门配备防病毒应级处理技术人员，长期维护防病毒系

　　统和跟踪病毒信息等一些必不可少的工作。

　　4结束语

　　职业技术学院校园网的建设对教学、科研和管理特别是行政管理、财务管理、教学管理、信息服务等各个方面，成为学校办公、教学、科研、交流必不可少的手段和服务平台重要的意义。同时校园网的建设必须要有基本的目标和原则。

　　校园网的具体建设也要根据实际情况来组建。