第3章局域網安全技術任務1企業局域網接入認證服務任務2企業局域網端口隔離任務3企業局域網端口綁定任務4企業網IP地址安全管理

任務1企業局域網接入認證服務

一、任務描述某公司構建自己的內部企業網，每位員工都有一臺辦公電腦，主機規模近100臺，內部可以實現通信和資源共享。公司的網絡管理員為了方便管理網絡，并提高網絡的安全性，希望只有合法用戶才能接入網絡，非法用戶拒絕接入網絡。

二、任務目標與目的

1.任務目標

針對該公司網絡需求進行網絡規劃設計，通過802.1X技術實現對接入網絡的用戶進行身份驗證，保證只有合法用戶能接入網絡，非法用戶被拒絕接入網絡。

2.任務目的

通過本任務進行交換機的802.1X配置，以幫助讀者在深入了解交換機802.1X配置的基礎上，具備利用802.1X技術對接入網絡用戶進行身份驗證，以提高網絡的安全性，方便進行網絡管理，并具備靈活運用的能力。

三、任務需求與分析

1.任務需求

某公司構建了自己的內部網絡，主機規模近100臺。從網絡安全和方便管理的角度考慮，希望對接入網絡的用戶進行身份驗證，保證只有合法用戶能接入網絡，非法用戶不能

接入網絡。

2.需求分析

需求：公司的每臺電腦在接入網絡時都需要輸入正確的賬戶名和密碼，通過身份驗證才能接入網絡。

分析：通過在接入層交換機部署802.1X技術，對網絡用戶進行身份驗證。

根據任務需求和需求分析，組建公司辦公區的網絡結構，如圖3-1所示。圖3-1公司網絡結構

四、知識鏈接

1.802.1X身份認證

為解決無線局域網網絡安全問題，IEEE802LAN/WAN委員會提出了802.1X協議。802.1X協議起源于802.11協議，后者是IEEE的無線局域網協議，制訂802.1X協議的初衷是為了解決無線局域網用戶的接入認證問題。IEEE802LAN協議定義的局域網并不提供接入認證，只要用戶能接入局域網控制設備(如LANSwitch)就可以訪問局域網中的設備或資源。

2.802.1X體系結構

使用802.1X的系統為典型的Client/Server體系結構，包括三個實體，分別為SupplicantSystem(客戶端)、AuthenticatorSystem(設備端)以及AuthenticationServerSystem(認證服務器)，如圖3-2所示。圖3-2802.1X體系結構

1)客戶端

客戶端是位于局域網段一端的一個實體，由該鏈路另一端的設備端對其進行認證。

2)設備端

設備端是位于局域網段一端的另一個實體，用于對所連接的客戶端進行認證。

3)認證服務器

認證服務器是為設備端提供認證服務的實體。

3.802.1X工作原理

802.1X體系結構中的三個實體涉及四個基本概念：PAE、受控端口、受控方向和端口受控方式。

1)PAE

PAE(PortAccessEntity，端口訪問實體)是認證機制中負責執行算法和協議操作的實體。

2)受控端口

設備端為客戶端提供接入局域網的端口，這個端口被劃分為兩個虛端口：受控端口和非受控端口。

3)受控方向

在非授權狀態下，受控端口可以被設置成單向受控：實行單向受控時，禁止從客戶端接收幀，但允許向客戶端發送幀。缺省情況下，受控端口實行單向受控。

4)端口受控方式

H3C系列交換機支持以下兩種端口受控方式。

(1)基于端口的認證：只要該物理端口下的第一個用戶認證成功后，其他接入用戶無須認證就可使用網絡資源，當第一個用戶下線后，其他用戶也會被拒絕使用網絡。默認情

況下，H3C交換機為基于端口的認證。

(2)基于MAC地址的認證：該物理端口下的所有接入用戶都需要單獨認證，當某個用戶下線時，只有該用戶無法使用網絡，不會影響其他用戶使用網絡資源。

4.802.1X工作機制

IEEE802.1X認證系統利用EAPOL協議，在客戶端和認證服務器之間交換認證信息。802.1X系統認證工作機制如圖3-3所示。圖3-3802.1X系統認證工作機制

(1)在客戶端PAE與設備端PAE之間，EAP協議報文使用EAPOL封裝格式，直接承載于LAN環境中。

(2)在設備端PAE與RADIUS服務器之間，EAP協議報文可以使用EAPOR(EAPOverRADIUS)封裝格式，承載于RADIUS協議中；也可以由設備端PAE進行終結，而在設備端PAE與RADIUS服務器之間傳送PAP協議報文或CHAP協議報文。

(3)當用戶通過認證后，認證服務器會把用戶的相關信息傳遞給設備端，設備端PAE根據RADIUS服務器的指示(Accept或Reject)決定受控端口的授權/非授權狀態。

5.配置命令

H3C系列和Cisco系列交換機上配置802.1X協議的相關命令，如表3-1所示。

五、任務實施

1.實施規劃

實訓拓撲結構

根據任務的需求與分析，實訓的拓撲結構如圖3-4所示，以PC1、PC2模擬公司的員工電腦。圖3-4實訓拓撲結構

實訓設備

根據任務的需求和實訓拓撲結構，每個實訓小組的實訓設備配置建議如表3-2所示。

IP地址規劃

根據需求分析，本任務的IP地址規劃如表3-3所示。

2.實施步驟

(1)根據實訓拓撲結構圖進行交換機、計算機的線纜連接，配置PC1、PC2的IP地址。

(2)使用計算機Windows操作系統的“超級終端”組件程序，通過串口連接到交換機的配置界面，其中超級終端串口的屬性設置還原為默認值(每秒位數9600、數據位8、奇偶校驗無、數據流控制無)。

(3)超級終端登錄到路由器進行任務的相關配置。

(4)Sw1主要配置清單如下：

(5)802.1X客戶端設置。802.1X客戶端的設置可以采用兩種方式：一是采用操作系統自帶的802.1X客戶端軟件(Windows系列操作系統默認安裝)；二是采用第三方開發的

802.1X客戶端軟件。本處先采用第三方開發的802.1X客戶端軟件，然后再演示操作系統自帶的802.1X客戶端軟件。

①第三方開發的802.1X客戶端軟件設置。首先雙擊8021XClientV220-0231-windows客戶端軟件安裝程序，打開程序安裝向導，如圖3-5所示。

圖3-58021XClientV220-0231-windows安裝向導

然后單擊“下一步”按鈕，打開“許可證協議”對話框，選中“我接受許可證協議中的條款”單選按鈕，如圖3-6所示。

圖3-6“許可證協議”對話框

單擊“下一步”按鈕，打開“客戶信息”對話框，如圖3-7所示。設置客戶信息，此處保持默認選項。圖3-7“客戶信息”對話框

單擊“下一步”按鈕，打開“安裝類型”對話框。選擇安裝類型，此處安裝類型選擇“全部”，如圖3-8所示。圖3-8“安裝類型”對話框

單擊“下一步”按鈕，再單擊“完成”按鈕即可完成程序安裝，如圖3-9所示。圖3-9完成程序安裝

程序安裝完成后，需要重啟操作系統進行初始化配置，程序才能正常使用。此時系統會彈出要求用戶重啟計算機的對話框，如圖3-10所示。圖3-10“重新啟動計算機”對話框

禁用再重啟網卡的方法為：首先在電腦桌面右擊“我的電腦”，在彈出的快捷菜單中選擇“屬性”選項，如圖3-11所示。圖3-11“屬性”選項

打開“系統屬性”對話框，選擇“硬件”選項卡，然后再選擇“設備管理器”選項，如圖3-12所示。圖3-12“硬件”選項卡

打開“設備管理器”對話框，展開“網絡適配器”選項，選中網卡，右擊，在彈出的快捷菜單中選擇“禁用”選項，如圖3-13所示。圖3-13禁用網卡

隨后在彈出的警告菜單中單擊“是”按鈕，如圖3-14所示。圖3-14確認禁用網卡

禁用網卡后，再右擊網卡，在彈出的快捷菜單中選擇“啟用”選項，如圖3-15所示。圖3-15啟用網卡

至此，802.1X客戶端完成安裝并成功進行了設置。但由于我們采用的802.1X不是Windows的客戶端，必須要將操作系統自身的802.1X客戶端功能關閉。關閉操作系統的

802.1X客戶端功能的方法為：右擊“我的電腦”，在彈出的快捷菜單中選擇“管理”選項，如圖3-16所示。圖3-16選擇“管理”選項

打開“計算機管理”對話框，依次展開“服務和應用程序”|“服務”選項，如圖3-17所示。圖3-17“服務”選項窗口

在右邊服務列表中找到WirelessConfiguration服務，雙擊打開，然后單擊“停止”按鈕，即可停止802.1X服務，如圖3-18所示。

此時，在客戶端桌面上將生成802.1X的快捷方式，雙擊打開，輸入用戶名和密碼，即可實現客戶端通過802.1X客戶端登錄，如圖3-19所示。圖3-18停止“WirelessConfiguration”服務圖3-19802.1X客戶端登錄

②Windows系列操作系統自身802.1X客戶端設置。在默認情況下，Windows操作系統自身已經安裝并啟用了802.1X客戶端，即上面提到的WirelessConfiguration服務。如果沒有啟用，通過上面的方法將其啟動。然后在桌面上右擊“網上鄰居”，在彈出的快捷菜單中選擇“屬性”選項，如圖3-20所示。圖3-20打開“網上鄰居”的“屬性”選項

打開“網絡連接”窗口，右擊“本地連接”選項，在隨后彈出的快捷菜單中選擇“屬性”選項，如圖3-21所示。圖3-21打開“本地連接”|“屬性”對話框

在“本地連接屬性”對話框中，選擇“身份驗證”選項卡，如圖3-22所示。圖3-22“身份驗證”選項卡

選中“為此網絡啟用IEEE802.1X身份驗證”復選框，并且在“EAP類型”下拉列表中選擇“MD5-質詢”選項，然后單擊“確定”按鈕，即完成了Windows系列操作系統自帶的802.1X客戶端的設置，如圖3-23所示。圖3-23Windows操作系統自帶802.1X客戶端設置

六、任務驗收

1.設備驗收

根據實訓拓撲結構圖檢查、驗收路由器、計算機的線纜連接，檢查PC1、PC2的IP地址。

2.配置驗收

查看802.1X配置列表：

3.功能驗收

在PC1、PC2上通過ping命令進行通信(從斷開恢復到正常通信)測試，如圖3-24所示。圖3-24在PC1、PC2上通過ping命令進行通信

七、任務總結

針對某公司辦公區網絡改造任務的內容和目標，根據需求分析進行了實訓的規劃和實施，本任務進行了交換機的802.1X配置，并通過802.1X進行驗證，實現了只有合法用戶可登錄網絡，非法用戶被拒之門外，從而提高了網絡的安全性，也方便了網絡管理。

任務2企業局域網端口隔離一、任務描述某公司有普通辦公區和技術部兩個部門，構建了自己的內部企業網，每位員工都有一臺辦公電腦，主機規模近100臺，內部可以實現通信。為了辦公需要，公司在技術部部署了一臺FTP服務器，以實現公司內部的資源共享。從網絡安全與管理的角度考慮，網絡管理員希望內部普通辦公區員工的主機之間不能相互通信，但員工電腦均可正常訪問公司的FTP服務器。請你規劃并實施網絡。該公司組織結構如圖3-25所示。圖3-25公司組織結構

二、任務目標和目的

1.任務目標

針對該公司網絡需求，通過局域網端口隔離技術，實現對局域網內部主機之間通信的相互隔離。

2.任務目的

通過本任務進行交換機的端口隔離配置，以幫助讀者在深入了解交換機的基礎上，具備利用端口隔離技術提高網絡性能和數據轉發的安全性，并靈活運用的能力。

三、任務需求與分析

1.任務需求

公司在內部部署了一臺FTP服務器，以實現公司內部的資源共享。從網絡安全與管理的角度考慮，網絡管理員希望普通辦公區員工的主機之間不能相互通信，但員工電腦均可正常訪問公司的FTP服務器。部門具體計算機分布如表3-4所示。

根據任務需求和需求分析組建公司的網絡結構，如圖3-26所示。圖3-26公司網絡結構

2.需求分析

需求1：從安全和可管理的角度考慮，普通辦公區的電腦之間不能相互通信。

分析1：通過交換機端口隔離技術，實現普通辦公區主機之間通信的隔離。

需求2：普通辦公區的員工主機均可正常訪問技術部的FTP服務器。

分析2：通過端口隔離的Uplink端口技術，實現普通辦公區的員工主機均可訪問技術部的FTP服務器。

四、知識鏈接

1.端口隔離的基本概念

端口隔離是為了實現報文之間的二層隔離，以提升網絡安全性。一般而言，要實現二層報文隔離，人們首先想到的是VLAN技術，即將不同的端口加入不同的VLAN，如圖3-27所示。圖3-27采用VLAN技術實現二層報文隔離

但采用VLAN技術實現二層報文隔離，會帶來以下兩

個嚴重問題。

(1)浪費有限的VLAN資源。

(2)VLAN數過多，浪費大量的三層接口，導致管理不便。

2.端口隔離的原理

端口隔離實現同一VLAN內端口之間隔離，使得隔離組內的主機無法通信，更安全、更靈活和方便。交換機所有端口屬于一個隔離組，隔離組內的端口類型分為以下兩種。

1)普通端口

普通端口被二層隔離，連接在普通端口之下的主機之間無法相互通信，通信被隔離。

2)上行端口(Uplink端口)

上行端口可以和所有普通端口進行通信。

圖3-28為端口隔離典型應用案例。隔離組內的主機之間的通信被隔離，但它們均可以和連接在上行端口之下的服務器進行通信。

圖3-28端口隔離典型應用案例

3.配置命令

H3C系列和Cisco系列交換機上配置端口隔離協議的相關命令如表3-5所示。

五、任務實施

1.實施規劃

實訓拓撲結構

根據任務的需求與分析，實訓的拓撲結構如圖3-29所示，以PC1、PC2模擬公司普通辦公區的員工電腦，PC3模擬公司的文件服務器(FTPServer)。圖3-29實訓的拓撲結構

實訓設備

根據任務的需求和實訓拓撲結構，每個實訓小組的實訓設備配置建議如表3-6所示。

IP地址規劃

根據需求分析本任務的IP地址規劃，如表3-7所示。

2.實施步驟

(1)根據實訓拓撲結構圖進行交換機、計算機的線纜連接，配置PC1、PC2、FTPServer的IP地址。

(2)使用計算機Windows操作系統的“超級終端”組件程序，通過串口連接到交換機的配置界面，其中超級終端串口的屬性設置還原為默認值(每秒位數9600、數據位8、奇偶校驗無、數據流控制無)。

(3)超級終端登錄到路由器進行任務的相關配置。

(4)Sw1主要配置清單如下：

六、任務驗收

1.設備驗收

根據實訓拓撲結構圖檢查、驗收路由器、計算機的線纜連接，檢查PC1、PC2、FTPServer的IP地址。

2.配置驗收

3.功能驗收

1)隔離組內主機通信測試

在隔離組內的PC1上運行ping命令測試其與PC2的通信情況，顯示為無法通信，如圖3-30所示。圖3-30PC1與PC2無法通信

同樣，在隔離組內的PC2上運行ping命令測試其與PC1的通信情況，顯示為無法通信，如圖3-31所示。圖3-31PC2與PC1無法通信

2)隔離組內主機與Uplink端口下服務器通信測試

在隔離組內的PC1上運行ping命令，測試其與Uplink端口下的Server之間的通信情況，顯示為連通狀態，如圖3-32所示。圖3-32PC1與Server之間處于連通狀態

在隔離組內的PC2上運行ping命令，測試其與Uplink端口下的Server之間的通信情況，顯示為連通狀態，如圖3-33所示。圖3-33PC2與Server之間處于連通狀態

七、任務總結

針對某公司辦公區網絡改造任務的內容和目標，根據需求分析進行了實訓的規劃和實施。本任務使用交換機的端口隔離技術配置交換機的服務，通過端口隔離技術，使公司普

通辦公區電腦之間的通信被隔離，但均可以與服務器進行通信，既實現了資源共享，提高了網絡的安全性，也方便了網絡管理員進行網絡管理。

任務3企業局域網端口綁定

一、任務描述某公司構建自己的內部企業網，每位員工都有一臺辦公電腦，主機規模近100臺，內部可以實現通信和資源共享。公司的網絡管理員為了方便管理網絡，并提高網絡安全性，希望公司中的每一位員工都分配固定的IP地址、固定的位置，一旦員工擅自修改電腦的位置和IP地址，將不能上網，也不能與內部員工進行通信。請你規劃并實施網絡。

二、任務目標與目的

1.任務目標

針對該公司的網絡需求進行網絡規劃設計，通過端口綁定技術實現對接入網絡的用戶主機進行IP地址、接入端口等參數的綁定，降低網絡用戶的自由度。

2.任務目的

通過本任務進行交換機的端口綁定配置，以幫助讀者在深入了解交換機的基礎上，具備利用端口綁定技術實現網絡用戶綁定，降低網絡用戶的自由度，提高網絡安全性，增強

網絡管理的能力。

三、任務需求與分析

1.任務需求

某公司構建了自己的內部網絡，主機規模近100臺。從網絡安全和方便管理的角度考慮，網絡工程師為每位員工分配了固定的IP地址，要求員工只能在自己的電腦上使用指定的IP地址才能夠接入網絡，一旦修改了IP地址，或者將IP地址借給其他員工用將無法接入網絡。

2.需求分析

需求：公司每臺電腦只能使用指定的IP地址才能上網，一旦修改了地址，或把IP地址借給其他員工使用，都無法上網。

分析：通過端口綁定技術對網絡用戶進行嚴格控制，降低其自由度，實現每個網絡用戶只能使用自己的PC及固定的IP地址才能接入公司網絡，從而提高網絡的安全性，也方便網絡管理員對網絡進行管理和控制。

根據任務需求和需求分析組建公司的網絡結構，如圖3-34所示。圖3-34公司網絡結構

四、知識鏈接

1.端口綁定的基本概念

端口綁定技術，即將主機MAC地址、主機IP地址和交換機的端口三個要素進行綁定，實現對設備轉發報文進行過濾，提高安全性。

2.端口綁定實現原理

端口綁定技術一般是指網絡工程師通過手工方式在交換機內部配置“MAC+IP+Port”的綁定表。交換機收到報文，檢測報文源MAC地址、源IP地址與交換機內部的綁定表是否一致，如果一致，交換機的端口將轉發該報文；如果不一致，交換機的端口將丟棄該報文。端口綁定實現原理如圖3-35所示。圖3-35端口綁定實現原理

1)E1/0/2端口

從E1/0/2端口收到的報文，交換機檢測其源MAC地址、源IP地址，發現雖然源IP地址與該端口綁定的IP地址一致，但源MAC地址與該端口綁定的MAC地址不一致，因此，交換機將丟棄該報文，即PCA不能接入網絡。

2)E1/0/3端口

從E1/0/3端口收到的報文，交換機檢測其源MAC地址、源IP地址，發現兩者均和該端口綁定的MAC地址、IP地址一致，因此，交換機將轉發該報文，即PCB被允許接入

網絡。

3)E1/0/4端口

從E1/0/4端口收到的報文，交換機檢測其源MAC地址、源IP地址，發現雖然源MAC地址與該端口綁定的MAC地址一致，但源IP地址與該端口綁定的IP地址不一致，因此，

交換機將丟棄該報文，即PCC被拒絕接入網絡。

3.端口綁定配置命令

H3C系列和Cisco系列交換機上配置端口綁定協議的相關命令如表3-8所示。

五、任務實施

1.實施規劃

實訓拓撲結構

根據任務的需求與分析，本實訓的拓撲結構如圖3-36所示，以PC1、PC2模擬公司的員工電腦。圖3-36實訓的拓撲結構

實訓設備

根據任務的需求和實訓拓撲結構，每個實訓小組的實訓設備配置建議如表3-9所示。

IP地址規劃

根據需求分析，本任務的IP地址規劃及每臺主機的MAC地址如表3-10所示。

2.實施步驟

(1)根據實訓拓撲結構圖進行交換機、計算機的線纜連接，配置PC1、PC2的IP地址。

(2)使用計算機Windows操作系統的“超級終端”組件程序，通過串口連接到交換機的配置界面，其中超級終端串口的屬性設置還原為默認值(每秒位數9600、數據位8、奇偶校驗無、數據流控制無)。

(3)超級終端登錄到路由器進行任務的相關配置。

(4)Sw1主要配置清單如下：

六、任務驗收

1.設備驗收

根據實訓拓撲結構圖檢查、驗收路由器、計算機的線纜連接，檢查PC1、PC2的IP地址。

2.配置驗收

3.功能驗收

在PC1上通過ping命令與PC2通信始終處于通信狀態。如果任意更改一臺主機的IP地址以后，通信狀態變為斷開狀態，如圖3-37所示。圖3-37修改IP地址前后的網絡測試對比

在PC2上通過ping命令與PC1通信始終處于通信狀態，如果任意更改一臺主機所連的交換機的端口，通信狀態變為斷開狀態，如圖3-38所示。圖3-38修改主機所連交換機端口前后的網絡測試對比

七、任務總結

針對某公司辦公區網絡改造任務的內容和目標，根據需求分析進行了實訓的規劃和實施。本任務進行了交換機的端口綁定技術配置，通過端口綁定技術，使得員工一旦擅自修

改自己電腦的位置或IP地址，將不能上網，也不能與內部員工進行通信，最大程度降低網絡用戶的自由度，方便網絡管理員進行網絡管理和維護，在一定程度上也提高了網絡的安全性和可靠性。

任務4企業網IP地址安全管理

一、任務描述某公司采用當前主流的交換技術構建了自己的內部企業網，每位員工都有一臺辦公電腦，主機規模近100臺，內部可以實現通信和資源共享。為了方便網絡管理，公司網絡工程師希望能通過自動方式為網絡中的主機分配IP地址，并提供一定的安全保障機制。請你規劃并實施網絡。

二、任務目標和目的

1.任務目標

針對該公司的網絡需求，進行網絡規劃設計，通過DHCP、DHCPSnooping等技術為該公司提供安全的IP地址管理手段。

2.任務目的

通過本任務進行DHCP、DHCPSnooping的配置，以幫助讀者在深入了解服務器DHCP、交換機DHCPSnooping配置的基礎上，具備利用DHCP、DHCPSnooping等技術為公司網絡提供高安全性的IP地址管理手段，在方便網絡管理的同時也提高網絡的安全性，并具備靈活運用的能力。

三、任務需求與分析

1.任務需求

某公司采用當前主流的交換技術構建了自己的內部企業網，每位員工都有一臺辦公電腦，主機規模近100臺。從安全和方便管理的角度考慮，網絡管理員希望能為公司網絡提

供安全的IP地址分配和管理手段，即希望公司網絡既能實現自動的IP地址分配管理，又能杜絕自動分配IP地址帶來的安全性薄弱的問題，具備較好的安全性。

2.需求分析

需求1：公司網絡具備IP地址的自動分配和管理功能，以提高網絡管理效率，降低網絡管理員的工作負擔。

分析1：通過DHCP協議實現IP地址的自動分配和管理，即在網絡中部署一臺DHCP服務器，控制整個公司網絡的IP地址資源，當網絡中的主機開機，即可自動從DHCP服務器租賃一個地址。

需求2：要求公司網絡能自動分配和管理IP地址，具備較高的安全性。

分析2：DHCP協議雖然實現了IP地址的自動分配和管理，提高了管理效率，但本身缺乏身份驗證機制，無法識別合法和非法的DHCP報文，因此安全性較差。采用DHCPSnooping可以有效識別網絡中合法和非法的DHCP報文，保證網絡中的主機只會從合法的DHCP服務器租賃IP地址，從而保證了網絡IP地址的安全。

根據任務需求和需求分析組建公司的網絡結構，如圖3-39所示。

圖3-39公司網絡結構

四、知識鏈接

1.DHCP協議

隨著網絡規模的不斷擴大和網絡復雜度的提高，計算機的數量經常超過可供分配的IP地址數量。

1)DHCP基本概念

DHCP是TCP／IP協議簇中的一種，主要用于網絡中的主機請求IP地址、默認網關、DNS服務器地址并將其分配給主機的協議。DHCP是一種C/S協議，它簡化了客戶機IP地址的配置和管理工作，以及其他TCP/IP參數的分配。

在較大型的本地網絡中，或者用戶經常變更的網絡中，可使用DHCP來為用戶計算機提供IP地址。與由網絡管理員為每臺工作站手工分配IP地址的做法相比，采用DHCP自動分配IP地址的方法更高效。DHCP協議允許主機在連入網絡時動態獲取IP地址。主機連入網絡時，聯系DHCP服務器并請求IP地址，DHCP服務器從已配置的地址范圍(也稱為“地址池”)中選擇一條地址，并將其臨時“租”給主機一段時間。DHCP工作模型如圖3-40所示。圖3-40DHCP工作模型

2)DHCP的優點

(1)減少錯誤：減少手工配置IP地址導致的錯誤，例如已分配的IP地址再次分配給另一設備引起的地址沖突。

(2)減少網絡管理：TCP/IP配置是集中化和自動完成的，不需手工配置，如集中定義全局和特定子網的TCP/IP配置。

3)DHCP系統的構成

一個完整的DHCP系統由三大要素構成：DHCP客戶端、DHCP服務器和DHCP中繼代理，如圖3-41所示。

提供DHCP服務的主機一般稱為DHCP服務器(DHCPServer)，接收信息的主機稱為DHCP客戶端(DHCPClient)。同時，DHCP還為客戶端提供了一種可從不同子網的服務器

中獲取信息的機制，稱為DHCP中繼代理(DHCPRelayAgent)。圖3-41DHCP系統的構成

(1)DHCP客戶端。DHCP客戶端通過DHCP來獲得網絡IP配置參數。

(2)DHCP服務器。DHCP服務器提供網絡設置參數給DHCP客戶端。

(3)DHCP中繼代理。DHCP中繼代理是指在DHCP客戶端和服務器之間轉發DHCP消息的主機或路由器。

4)DHCP的工作原理

DHCP是基于“客戶/服務器”模式的，由一臺指定的主機分配網絡地址、傳送網絡配置參數給需要的網絡設備或主機。

為了獲取并使用一個合法的動態IP地址，在不同的階段，DHCP客戶端需要與服務器之間交互不同的信息。以客戶端第一次登錄網絡，通過DHCP獲取IP地址為例，客戶端與服務器的交互包括下面四個過程，如圖3-42所示。

圖3-42DHCP工作過程

(1)發現階段(DHCPDiscover)。即DHCP客戶端尋找DHCP服務器的階段。

(2)提供階段(DHCPOffer)。即DHCP服務器提供IP地址的階段。

(3)選擇階段(DHCPRequest)。即DHCP客戶端選擇某臺DHCP服務器提供的IP地址的階段。

(4)確認階段(DHCPAck)。即DHCP服務器確認所提供的IP地址的階段。

5)DHCP作用域

DHCP作用域是DHCP服務器為客戶端分配IP地址的重要功能，主要用于設置分配的IP地址范圍、需要排除的IP地址、IP地址租約期限等信息。注意：必須創建作用域才能讓DHCP服務器分配IP地址給DHCP客戶端。

每一個作用域具有以下屬性：

(1)租用給DHCP客戶端的IP地址范圍；可在其中設置排除選項，排除的IP地址將不分配給DHCP客戶端使用。

(2)子網掩碼，用于確定給定IP地址的子網；此選項創建作用域后無法修改。

(3)創建作用域時指定的名稱。

(4)租約期限值，分配給DHCP客戶端的IP地址的使用期限。當客戶端使用分配到的IP地址時間超過了此租期，服務器將收回分配給客戶端的IP地址。

(5)DHCP作用域選項，如DNS服務器、路由器IP地址和WINS服務器地址等。

(6)保留(可選)，用于確保某個確定MAC地址的DHCP客戶端總是能從此DHCP服務器獲得相同的IP地址。

6)DHCP中繼代理

由于在IP地址動態獲取過程中采用廣播方式發送報文，而路由器會隔離廣播，因此DHCP只適用于DHCP客戶端和服務器處于同一個子網內的情況。在默認情況下，一個物

理子網中的DHCP服務器無法為其他物理子網中的DHCP客戶端分配IP地址，如果要為多個網段進行動態主機配置，需要在所有網段上都設置一個DHCP服務器，這顯然是很不經濟和實用的。

為了使網絡中所有的DHCP客戶端都能獲得IP地址租約，采用DHCP中繼代理可以避免在每個物理網段都要有DHCP服務器的必要，它可以將消息傳遞到位于不同物理子網的DHCP服務器，也可以將服務器的消息傳回給位于不同物理子網的DHCP客戶端。DHCP中繼代理的典型應用如圖3-43所示。

圖3-43跨子網的DHCP中繼代理

DHCP中繼代理的工作過程是修改DHCP消息中的相應字段，把DHCP的廣播包改成單播包，并負責在服務器與客戶端之間轉換，如圖3-44所示。圖3-44DHCP中繼代理工作過程

具體的工作過程如下：

(1)具有DHCP中繼功能的網絡設備(通常是路由器)收到DHCP客戶端以廣播方式發送的DHCPDiscover或DHCPRequest報文后，將報文中的giaddr字段填充為DHCP中繼代理的IP地址，并根據配置將報文單播轉發給指定的DHCP服務器。

(2)DHCP服務器根據giaddr字段為客戶端分配IP地址等參數，并通過DHCP中繼代理將配置信息轉發給客戶端，完成對客戶端的動態配置。

7)DHCP報文

DHCP客戶端、DHCP服務器和DHCP中繼代理三大要素要完成IP地址的租賃、回收、續租、地址釋放等功能，主要是通過交換若干報文實現的。具體而言，DHCP系統中主要有七大報文，如圖3-45所示。圖3-45DHCP報文

2.DHCPSnooping

1)DHCP協議漏洞

DHCP是在網絡中提供動態地址分配服務的協議，采用DHCP服務器可以自動為用戶設置IP地址、掩碼、網關、DNS等網絡參數，簡化了用戶的網絡設置，提高了管理效

率。

2)DHCPSnooping基本概念

DHCP監聽(DHCPSnooping)是交換機的一種安全特性，它能通過過濾網絡中接入的非法DHCP服務器發送的DHCP報文增強網絡安全性。

3)DHCPSnooping的作用

DHCPSnooping是DHCP的一種安全特性，具有如下功能。

(1)保證客戶端從合法的服務器獲取IP地址。

(2)記錄DHCP客戶端IP地址與MAC地址的對應關系。

利用這些信息可以實現以下內容：

①ARPDetection：根據DHCPSnooping表項來判斷發送ARP報文的用戶是否合法，從而防止非法用戶的ARP攻擊。ARPDetection的詳細介紹請參見“IP業務分冊”中的“ARP配置”。

②IPSourceGuard：通過動態獲取DHCPSnooping表項對端口轉發的報文進行過濾，防止非法報文通過該端口。IPSourceGuard的詳細介紹請參見“安全分冊”中的“IPSourceGuard配置”。

4)DHCPSnooping的實現原理

為了使DHCP客戶端能通過合法的DHCP服務器獲取IP地址，DHCPSnooping安全機制允許將端口設置為信任端口和不信任端口。

(1)信任端口：正常轉發接收到的DHCP報文。

(2)不信任端口：接收到DHCP服務器響應的DHCPAck和DHCPOffer報文后，丟棄該報文。

連接DHCP服務器和其他DHCPSnooping設備的端口需要設置為信任端口，以便DHCPSnooping設備正常轉發DHCP服務器的應答報文，其他端口設置為不信任端口，從而保證DHCP客戶端只能從合法的DHCP服務器獲取IP地址，私自架設的偽DHCP服務器無法為DHCP客戶端分配IP地址。DHCPSnooping信任端口典型應用場景如圖3-46所示。圖3-46DHCPSnooping信任端口典型應用場景

5)DHCPSnooping級聯網絡

在多個DHCPSnooping設備級聯的網絡中，與其他DHCPSnooping設備相連的端口需要配置為信任端口。DHCPSnooping級聯網絡如圖3-47所示。圖3-47DHCPSnooping級聯組網圖

圖3-47中設備各端口的角色如表3-11所示。

3.配置命令

H3C系列和Cisco系列交換機上配置DHCPSnooping協議的相關命令，如表3-12所示。

五、任務實施

1.實施規劃

實訓拓撲結構

根據任務的需求與分析，實訓的拓撲結構如圖3-48所示，以PC1模擬公司員工電腦，PC2模擬非法DHCP服務器，DHCPServer模擬合法DHCP服務器。圖3-48實訓的拓撲結構

實訓設備

根據任務的需求和實訓拓撲，每個實訓小組的實訓設備配置建議如表3-13所示。

IP地址規劃

根據需求分析，本任務的IP地址規劃如表3-14所示。

2.實施步驟

(1)根據實訓拓撲結構圖進行交換機、計算機的線纜連接，配置PC2、DHCPServer的IP地址。

(2)部署合法DHCP服務器。

①安裝DHCP服務組件。首先為合法DHCP服務器設置IP地址，然后開始安裝DHCP服務組件。在桌面左下角單擊“服務器管理器”圖標，打開“服務器管理器”窗口，如圖3-49所示。圖3-49“服務器管理器”窗口

雙擊“角色”選項，打開“角色”窗口，此時可以看到該臺主機所安裝的服務種類，單擊“添加角色”按鈕，如圖3-50所示，即可打開“添加角色向導”對話框。圖3-50打開“添加角色向導”

單擊“下一步”按鈕，打開“選擇服務器角色”對話框，此時選中“DHCP服務器”復選框，如圖3-51所示。圖3-51選擇“DHCP服務器”的角色類型

連續多次單擊“下一步”按鈕，此時打開的若干個對話框中均采用空白設置(主要有設置IP地址范圍、DNS服務器地址、網關等，這些可以在后面創建作用域時設置)。最后單擊“安裝”按鈕，即可開始DHCP組件的安裝，如圖3-52所示。圖3-52DHCP組件的安裝

DHCP服務組件的安裝過程如圖3-53所示。圖3-53DHCP服務組件的安裝過程

最后單擊“關閉”按鈕，即可完成DHCP組件的安裝，如圖3-54所示。圖3-54完成DHCP組件安裝

②創建作用域。完成了DHCP組件安裝后，就需要創建作用域，作用域包含了DHCP服務器可以提供的IP地址范圍，一般情況下是一個網段設置一個作用域(當然也有例外，例如超級作用域)。此處只有一個網段，因此我們就只需要設置一個作用域。設置作用域的方法如下：

通過“服務器管理器”打開“角色”選項，此時可以看到我們剛才安裝的DHCP組件已經在系統中顯示，如圖3-55所示。圖3-55“角色”對話框中顯示“DHCP服務器”組件

選擇“DHCP服務器”選項，即可打開“DHCP服務器”窗口，在此窗口中依次展開“DHCP服務器”、服務器的名字(此處為“win2008-03”)、IPv4等選項，如圖3-56所示。圖3-56DHCP選項展開

此時選中IPv4選項，右擊，在彈出的快捷菜單中選擇“新建作用域”選項，如圖3-57所示。圖3-57打開“新建作用域”向導

此時，打開“新建作用域向導”，單擊“下一步”按鈕，打開“作用域名稱”對話框，在此對話框中設置該作用域的名稱(一般而言，在實際應用中，每一個作用域代表一個網段，網絡管理員在進行網絡管理時，往往需要通過作用域來識別該作用域究竟是為哪個網段提供IP地址租賃服務，因此作用域的名稱應該統一規劃)，此處我們將作用域名稱設置為office-01，如圖3-58所示。圖3-58設置作用域名稱

完成作用域名稱設置后，單擊“下一步”按鈕，打開“IP地址范圍”對話框，在此對話框中設置該作用域可以分配的IP地址范圍，此處設置為～54，子網掩碼采用24位掩碼，如圖3-59所示。圖3-59作用域IP地址范圍設置

完成IP地址范圍設置后，單擊“下一步”按鈕，打開“添加排除”對話框，在此對話框中設置剛才設置的IP地址范圍中哪些IP地址不想用于分配，此處設置排除的地址范圍為：0～0。當然，此處也可以不用設置。設置完排除地址范圍后一定要單擊“添加”按鈕，此時在“排除的地址范圍”部分會生成一條排除地址的記錄，才表明地址排除設置成功，如圖3-60所示。圖3-60IP地址排除地址范圍設置

設置完排除的地址范圍后，單擊“下一步”按鈕，設置地址租用期限，WindowsServer2008的操作系統對于DHCP的租期默認為8天，在此對話框中可以進行修改。一般對于網絡結構比較穩定的網絡，為了避免DHCP客戶端頻繁地向服務器發送續租IP地址的請求而浪費網絡資源，建議盡量將租期設置得長一點；對于網絡結構頻繁變動的網絡，為了能更好地回收IP地址，節約IP地址，建議盡量將租期設置得短一點。此處，我們保持默認的8天租期，如圖3-61所示。圖3-61IP地址租期設置

完成IP地址租期設置后，單擊“下一步”按鈕，打開“配置DHCP選項”對話框。DHCP配置選項主要包含網關、DNS服務器IP地址、WINS服務器IP地址。如果要配置這些參數，就需要選中“是，我想現在配置這些選項”單選按鈕；如果不想配置這些參數，或暫時不需要配置這些參數，就選中“否，我想稍后配置這些選項”單選按鈕。由于本實訓無需網關、DNS、WINS等參數，因此，此處我們選中“否，我想稍后配置這些選項”單選按鈕，如圖3-62所示。圖3-62DHCP選項配置選擇

單擊“下一步”按鈕后再單擊“完成”按鈕，即完成了DHCP作用域的創建，如圖3-63所示。圖3-63完成作用域創建

完成作用域創建后，可以看到在IPv4選項下面會生成一條剛創建好的作用域記錄。但該作用域的圖標顯示為紅色，表明該作用域并未激活，此時需要激活該作用域。選中該作

用域，右擊，在彈出的快捷菜單中選擇“激活”選項，即可完成對該作用域的激活，如圖3-64所示。圖3-64激活作用域

③DHCP客戶端配置。PC1作為DHCP客戶端，需要將其IP地址獲取的方式設置為自動獲取。在桌面選中“網上鄰居”圖標，右擊，在彈出的快捷菜單中選擇“屬性”選項，將打開“網絡連接”窗口，如圖3-65所示。圖3-65“網絡連接”窗口

在“網絡連接”窗口中選擇“本地連接”圖標，右擊，在彈出的快捷菜單中選擇“屬性”選項，將打開“本地連接