怎么用交換機(jī)DHCP中繼增強(qiáng)網(wǎng)絡(luò)穩(wěn)定性
在局域網(wǎng)工作環(huán)境中,遭遇網(wǎng)絡(luò)病毒襲擊總是不可避免的事情,一旦工作站意外感染了網(wǎng)絡(luò)病毒,那么它就不能正常上網(wǎng)訪問了;此外,用戶要是隨意改變IP地址時(shí),局域網(wǎng)中就容易出現(xiàn)IP地址沖突故障現(xiàn)象,一旦發(fā)生這樣的故障現(xiàn)象,工作站也將不能正常上網(wǎng)訪問。為了控制上網(wǎng)訪問穩(wěn)定性,本文現(xiàn)在就從實(shí)戰(zhàn)案例出發(fā),巧妙利用單位局域網(wǎng)三層交換機(jī)中的DHCP中繼代理功能,讓普通工作站遠(yuǎn)離ARP病毒以及IP地址頻繁沖突故障!
案例要求
某大樓局域網(wǎng)大約擁有1000個(gè)左右的網(wǎng)絡(luò)節(jié)點(diǎn),這些節(jié)點(diǎn)平均分布在25層樓上,每一個(gè)樓層的網(wǎng)絡(luò)節(jié)點(diǎn)全部使用六類千兆雙絞線線路連接到 H3C型號的S3502系列二層交換機(jī)上,而所有二層交換機(jī)又通過千兆光線線路直接連接到單位局域網(wǎng)的H3C型號S8500系列的核心交換機(jī)上;為了方便大樓網(wǎng)絡(luò)的管理維護(hù),網(wǎng)絡(luò)管理員為這些1000多個(gè)節(jié)點(diǎn)劃分了若干個(gè)VLAN。由于大樓網(wǎng)絡(luò)使用的核心交換機(jī)不支持DHCP地址分配功能,網(wǎng)絡(luò)管理員特意安裝架設(shè)了Windows 2003服務(wù)器,并在其中部署了DHCP服務(wù)器。
剛開始的時(shí)候,大樓局域網(wǎng)一直能夠正常地運(yùn)行;可是沒有多長時(shí)間,局域網(wǎng)中就頻繁地出現(xiàn)由于ARP病毒攻擊和IP地址沖突而無法上網(wǎng)的故障現(xiàn)象,每次出現(xiàn)這些現(xiàn)象,網(wǎng)絡(luò)管理員都馬不停蹄地在各個(gè)樓層中來回穿梭。很顯然,頻繁地遭遇ARP病毒攻擊和IP地址沖突現(xiàn)象,不但會(huì)讓網(wǎng)絡(luò)管理員疲于應(yīng)付,而且也會(huì)讓大樓網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性大打折扣。有鑒于此,單位領(lǐng)導(dǎo)要求網(wǎng)絡(luò)管理員必須想辦法對大樓網(wǎng)絡(luò)的IP地址進(jìn)行有效控制,確保大樓網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。3lian素材
初步方案
為了能夠?qū)崿F(xiàn)領(lǐng)導(dǎo)提出的網(wǎng)絡(luò)控制要求,大樓網(wǎng)絡(luò)的幾位網(wǎng)絡(luò)管理員分頭行動(dòng),咨詢了多家單位的相關(guān)解決方案,也上網(wǎng)查詢了不少內(nèi)容資料,不過這些解決方案或內(nèi)容資料都不怎么適合單位的大樓網(wǎng)絡(luò)。后來,網(wǎng)絡(luò)管理員們經(jīng)過認(rèn)真分析與討論,決定在不增加任何投資的情況下,利用單位網(wǎng)絡(luò)中核心交換機(jī)上的靜態(tài)ARP表功能,來對局域網(wǎng)中的所有IP地址與網(wǎng)卡物理地址進(jìn)行綁定操作,以便禁止任何上網(wǎng)用戶隨意更改工作站的IP地址;可是轉(zhuǎn)念一想,對于一個(gè)包含 1000多個(gè)節(jié)點(diǎn)的大型局域網(wǎng),除了要手工統(tǒng)計(jì)所有工作站的網(wǎng)卡物理地址以及IP地址外,而且還要將它們的對應(yīng)關(guān)系手工添加到核心交換機(jī)的靜態(tài)ARP表中,更麻煩的是這些普通工作站可能還會(huì)處于不斷更新、變化之中,所以這種應(yīng)對方案實(shí)施起來相當(dāng)麻煩。再說了,對于H3C型號S8500系列的核心交換機(jī)來說,其靜態(tài)ARP表功能支持的記錄也沒有1000多條,最終這種方案不了了之。
新的方案
由于不能額外增加投資,網(wǎng)絡(luò)管理員自然也不會(huì)指望專業(yè)工具或?qū)I(yè)設(shè)備的幫忙,只能寄希望于大樓網(wǎng)絡(luò)現(xiàn)有的網(wǎng)絡(luò)設(shè)備了;于是,網(wǎng)絡(luò)管理員開始查閱H3C型號S8500核心交換機(jī)的操作說明書,經(jīng)過仔細(xì)查閱,網(wǎng)絡(luò)管理員找到了該交換機(jī)支持DHCP中繼代理功能的線索,從該線索的描述信息中,網(wǎng)絡(luò)管理員得知當(dāng)普通工作站通過核心交換機(jī)的DHCP中繼代理功能,訪問局域網(wǎng)的DHCP服務(wù)器并從中獲得有效IP地址的過程中,該中繼代理功能能夠把普通工作站的IP地址與網(wǎng)卡物理地址的動(dòng)態(tài)對應(yīng)關(guān)系自動(dòng)記錄保存下來,同時(shí)自動(dòng)生成動(dòng)態(tài)用戶地址記錄表項(xiàng)。
此外,核心交換機(jī)的DHCP中繼代理功能也允許用戶手工輸入IP地址與網(wǎng)卡物理地址對應(yīng)關(guān)系記錄,并生成靜態(tài)用戶地址記錄表項(xiàng)。為了控制網(wǎng)絡(luò)接入安全,網(wǎng)絡(luò)管理員決定啟用DHCP中繼代理功能,并對支持DHCP中繼代理的地址啟用地址匹配檢查功能,來限制非法用戶或包含病毒的計(jì)算機(jī)隨意配置一個(gè)IP地址就能自由接入網(wǎng)絡(luò)的現(xiàn)象;日后,只要普通工作站的IP地址與網(wǎng)卡物理地址關(guān)系記錄,沒有出現(xiàn)在DHCP中繼的動(dòng)態(tài)地址或靜態(tài)地址記錄表項(xiàng)中,那么該工作站就不能通過DHCP服務(wù)器,自由接入到單位大樓網(wǎng)絡(luò)中,如此一來就能控制大樓網(wǎng)絡(luò)的運(yùn)行穩(wěn)定性了。
方案實(shí)施
選好了合適方案后,實(shí)施起來自然也就不那么困難了。由于DHCP中繼代理功能只對VLAN有效,我們必須對每一個(gè)VLAN進(jìn)行相同的控制設(shè)置,才能讓對應(yīng)VLAN中的工作站始終穩(wěn)定上網(wǎng)訪問;為了方便敘述,本文就以控制VLAN 1的上網(wǎng)穩(wěn)定性為操作藍(lán)本,向各位朋友詳細(xì)敘述一下具體的方案實(shí)施步驟:
首先以系統(tǒng)管理員權(quán)限進(jìn)入DHCP服務(wù)器所在的主機(jī)系統(tǒng),打開對應(yīng)系統(tǒng)的DHCP控制臺窗口,再進(jìn)入對應(yīng)VLAN 1的作用域?qū)傩栽O(shè)置對話框,在其中根據(jù)每一個(gè)虛擬網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)的多少將VLAN 1的地址池以及其他參數(shù)設(shè)置好,這里就不重點(diǎn)敘述了;
其次遠(yuǎn)程登錄進(jìn)核心交換機(jī)的后臺管理界面,在該界面的命令行中執(zhí)行“sys”命令,將后臺系統(tǒng)切換到系統(tǒng)全局配置狀態(tài),在該配置狀態(tài)下繼續(xù)執(zhí)行“inter vlan-interface 1”命令,將系統(tǒng)切換到VLAN 1接口模式狀態(tài);
下面在VLAN 1接口模式狀態(tài)下,我們輸入字符串命令“dhcp relay address-check enable”,單擊回車鍵后,VLAN 1接口就能正常使用DHCP中繼的地址匹配檢查功能了;一旦啟用了該功能后,普通工作站就不能隨意配置IP地址進(jìn)行自由上網(wǎng)了,那么網(wǎng)絡(luò)運(yùn)行的安全性與穩(wěn)定性也就得到有效保證了。
當(dāng)然,局域網(wǎng)中有一些重要的計(jì)算機(jī)必需要使用靜態(tài)的IP地址才能上網(wǎng),為了保證該地址不被其他人隨意搶用,我們可以采用手工方法將靜態(tài)IP地址與重要主機(jī)的網(wǎng)卡物理地址綁定關(guān)系添加到DHCP中繼功能的靜態(tài)用戶地址配置條目中,這樣一來重要主機(jī)就能一直使用靜態(tài)地址進(jìn)行穩(wěn)定地上網(wǎng)訪問了;例如,要將10.176.1.3地址與55-66-88-77-33-77地址的對應(yīng)關(guān)系添加到DHCP中繼功能的靜態(tài)用戶地址配置條目中時(shí),可以在 VLAN 1接口模式狀態(tài)下,執(zhí)行“dhcp relay security static 10.176.1.3 55-66-88-77-33-77”命令就可以了。
【怎么用交換機(jī)DHCP中繼增強(qiáng)網(wǎng)絡(luò)穩(wěn)定性】相關(guān)文章:
路由器怎么當(dāng)交換機(jī)用08-30
交換機(jī)怎么設(shè)置10-08
作文開篇的沖擊力怎么增強(qiáng)10-31
你知道網(wǎng)絡(luò)機(jī)頂盒怎么用嗎?11-26
你知道網(wǎng)絡(luò)機(jī)頂盒怎么用嗎11-26
企業(yè)如何升級自己的企業(yè)級交換機(jī)網(wǎng)絡(luò)知識10-15
什么是交換機(jī)08-19
中繼教個(gè)人學(xué)習(xí)計(jì)劃01-07
怎么做到網(wǎng)絡(luò)安全12-19