在局域網工作環境中,遭遇網絡病毒襲擊總是不可避免的事情,一旦工作站意外感染了網絡病毒,那麼它就不能正常上網訪問了;此外,用戶要是隨意改變IP地址時,局域網中就容易出現IP地址沖突故障現象,一旦發生這樣的故障現象,工作站也將不能正常上網訪問。為了控制上網訪問穩定性,本文現在就從實戰案例出發,巧妙利用單位局域網三層交換機中的DHCP中繼代理功能,讓普通工作站遠離ARP病毒以及IP地址頻繁沖突故障!
案例要求
某大樓局域網大約擁有1000個左右的網絡節點,這些節點平均分布在25層樓上,每一個樓層的網絡節點全部使用六類千兆雙絞線線路連接到 H3C型號的S3502系列二層交換機上,而所有二層交換機又通過千兆光線線路直接連接到單位局域網的H3C型號S8500系列的核心交換機上;為了方便大樓網絡的管理維護,網絡管理員為這些1000多個節點劃分了若干個VLAN。由於大樓網絡使用的核心交換機不支持DHCP地址分配功能,網絡管理員特意安裝架設了Windows 2003服務器,並在其中部署了DHCP服務器。
剛開始的時候,大樓局域網一直能夠正常地運行;可是沒有多長時間,局域網中就頻繁地出現由於ARP病毒攻擊和IP地址沖突而無法上網的故障現象,每次出現這些現象,網絡管理員都馬不停蹄地在各個樓層中來回穿梭。很顯然,頻繁地遭遇ARP病毒攻擊和IP地址沖突現象,不但會讓網絡管理員疲於應付,而且也會讓大樓網絡的運行穩定性大打折扣。有鑒於此,單位領導要求網絡管理員必須想辦法對大樓網絡的IP地址進行有效控制,確保大樓網絡的穩定運行。3lian素材
初步方案
為了能夠實現領導提出的網絡控制要求,大樓網絡的幾位網絡管理員分頭行動,咨詢了多家單位的相關解決方案,也上網查詢了不少內容資料,不過這些解決方案或內容資料都不怎麼適合單位的大樓網絡。後來,網絡管理員們經過認真分析與討論,決定在不增加任何投資的情況下,利用單位網絡中核心交換機上的靜態ARP表功能,來對局域網中的所有IP地址與網卡物理地址進行綁定操作,以便禁止任何上網用戶隨意更改工作站的IP地址;可是轉念一想,對於一個包含 1000多個節點的大型局域網,除了要手工統計所有工作站的網卡物理地址以及IP地址外,而且還要將它們的對應關系手工添加到核心交換機的靜態ARP表中,更麻煩的是這些普通工作站可能還會處於不斷更新、變化之中,所以這種應對方案實施起來相當麻煩。再說了,對於H3C型號S8500系列的核心交換機來說,其靜態ARP表功能支持的記錄也沒有1000多條,最終這種方案不了了之。
新的方案
由於不能額外增加投資,網絡管理員自然也不會指望專業工具或專業設備的幫忙,只能寄希望於大樓網絡現有的網絡設備了;於是,網絡管理員開始查閱H3C型號S8500核心交換機的操作說明書,經過仔細查閱,網絡管理員找到了該交換機支持DHCP中繼代理功能的線索,從該線索的描述信息中,網絡管理員得知當普通工作站通過核心交換機的DHCP中繼代理功能,訪問局域網的DHCP服務器並從中獲得有效IP地址的過程中,該中繼代理功能能夠把普通工作站的IP地址與網卡物理地址的動態對應關系自動記錄保存下來,同時自動生成動態用戶地址記錄表項。
此外,核心交換機的DHCP中繼代理功能也允許用戶手工輸入IP地址與網卡物理地址對應關系記錄,並生成靜態用戶地址記錄表項。為了控制網絡接入安全,網絡管理員決定啟用DHCP中繼代理功能,並對支持DHCP中繼代理的地址啟用地址匹配檢查功能,來限制非法用戶或包含病毒的計算機隨意配置一個IP地址就能自由接入網絡的現象;日後,只要普通工作站的IP地址與網卡物理地址關系記錄,沒有出現在DHCP中繼的動態地址或靜態地址記錄表項中,那麼該工作站就不能通過DHCP服務器,自由接入到單位大樓網絡中,如此一來就能控制大樓網絡的運行穩定性了。
方案實施
選好了合適方案後,實施起來自然也就不那麼困難了。由於DHCP中繼代理功能只對VLAN有效,我們必須對每一個VLAN進行相同的控制設置,才能讓對應VLAN中的工作站始終穩定上網訪問;為了方便敘述,本文就以控制VLAN 1的上網穩定性為操作藍本,向各位朋友詳細敘述一下具體的方案實施步驟:
首先以系統管理員權限進入DHCP服務器所在的主機系統,打開對應系統的DHCP控制台窗口,再進入對應VLAN 1的作用域屬性設置對話框,在其中根據每一個虛擬網絡節點數的多少將VLAN 1的地址池以及其他參數設置好,這裡就不重點敘述了;
其次遠程登錄進核心交換機的後台管理界面,在該界面的命令行中執行“sys”命令,將後台系統切換到系統全局配置狀態,在該配置狀態下繼續執行“inter vlan-interface 1”命令,將系統切換到VLAN 1接口模式狀態;
下面在VLAN 1接口模式狀態下,我們輸入字符串命令“dhcp relay address-check enable”,單擊回車鍵後,VLAN 1接口就能正常使用DHCP中繼的地址匹配檢查功能了;一旦啟用了該功能後,普通工作站就不能隨意配置IP地址進行自由上網了,那麼網絡運行的安全性與穩定性也就得到有效保證了。
當然,局域網中有一些重要的計算機必需要使用靜態的IP地址才能上網,為了保證該地址不被其他人隨意搶用,我們可以采用手工方法將靜態IP地址與重要主機的網卡物理地址綁定關系添加到DHCP中繼功能的靜態用戶地址配置條目中,這樣一來重要主機就能一直使用靜態地址進行穩定地上網訪問了;例如,要將10.176.1.3地址與55-66-88-77-33-77地址的對應關系添加到DHCP中繼功能的靜態用戶地址配置條目中時,可以在 VLAN 1接口模式狀態下,執行“dhcp relay security static 10.176.1.3 55-66-88-77-33-77”命令就可以了。