用交換機DHCP中繼增強網絡穩定性

　　在局域網工作環境中，遭遇網絡病毒襲擊總是不可避免的事情，一旦工作站意外感染了網絡病毒，那麼它就不能正常上網訪問了;此外，用戶要是隨意改變IP地址時，局域網中就容易出現IP地址沖突故障現象，一旦發生這樣的故障現象，工作站也將不能正常上網訪問。為了控制上網訪問穩定性，本文現在就從實戰案例出發，巧妙利用單位局域網三層交換機中的DHCP中繼代理功能，讓普通工作站遠離ARP病毒以及IP地址頻繁沖突故障!

案例要求

某大樓局域網大約擁有1000個左右的網絡節點，這些節點平均分布在25層樓上，每一個樓層的網絡節點全部使用六類千兆雙絞線線路連接到 H3C型號的S3502系列二層交換機上，而所有二層交換機又通過千兆光線線路直接連接到單位局域網的H3C型號S8500系列的核心交換機上;為了方便大樓網絡的管理維護，網絡管理員為這些1000多個節點劃分了若干個VLAN。由於大樓網絡使用的核心交換機不支持DHCP地址分配功能，網絡管理員特意安裝架設了Windows 2003服務器，並在其中部署了DHCP服務器。

剛開始的時候，大樓局域網一直能夠正常地運行;可是沒有多長時間，局域網中就頻繁地出現由於ARP病毒攻擊和IP地址沖突而無法上網的故障現象，每次出現這些現象，網絡管理員都馬不停蹄地在各個樓層中來回穿梭。很顯然，頻繁地遭遇ARP病毒攻擊和IP地址沖突現象，不但會讓網絡管理員疲於應付，而且也會讓大樓網絡的運行穩定性大打折扣。有鑒於此，單位領導要求網絡管理員必須想辦法對大樓網絡的IP地址進行有效控制，確保大樓網絡的穩定運行。3lian素材

初步方案

為了能夠實現領導提出的網絡控制要求，大樓網絡的幾位網絡管理員分頭行動，咨詢了多家單位的相關解決方案，也上網查詢了不少內容資料，不過這些解決方案或內容資料都不怎麼適合單位的大樓網絡。後來，網絡管理員們經過認真分析與討論，決定在不增加任何投資的情況下，利用單位網絡中核心交換機上的靜態ARP表功能，來對局域網中的所有IP地址與網卡物理地址進行綁定操作，以便禁止任何上網用戶隨意更改工作站的IP地址;可是轉念一想，對於一個包含 1000多個節點的大型局域網，除了要手工統計所有工作站的網卡物理地址以及IP地址外，而且還要將它們的對應關系手工添加到核心交換機的靜態ARP表中，更麻煩的是這些普通工作站可能還會處於不斷更新、變化之中，所以這種應對方案實施起來相當麻煩。再說了，對於H3C型號S8500系列的核心交換機來說，其靜態ARP表功能支持的記錄也沒有1000多條，最終這種方案不了了之。

新的方案

由於不能額外增加投資，網絡管理員自然也不會指望專業工具或專業設備的幫忙，只能寄希望於大樓網絡現有的網絡設備了;於是，網絡管理員開始查閱H3C型號S8500核心交換機的操作說明書，經過仔細查閱，網絡管理員找到了該交換機支持DHCP中繼代理功能的線索，從該線索的描述信息中，網絡管理員得知當普通工作站通過核心交換機的DHCP中繼代理功能，訪問局域網的DHCP服務器並從中獲得有效IP地址的過程中，該中繼代理功能能夠把普通工作站的IP地址與網卡物理地址的動態對應關系自動記錄保存下來，同時自動生成動態用戶地址記錄表項。

此外，核心交換機的DHCP中繼代理功能也允許用戶手工輸入IP地址與網卡物理地址對應關系記錄，並生成靜態用戶地址記錄表項。為了控制網絡接入安全，網絡管理員決定啟用DHCP中繼代理功能，並對支持DHCP中繼代理的地址啟用地址匹配檢查功能，來限制非法用戶或包含病毒的計算機隨意配置一個IP地址就能自由接入網絡的現象;日後，只要普通工作站的IP地址與網卡物理地址關系記錄，沒有出現在DHCP中繼的動態地址或靜態地址記錄表項中，那麼該工作站就不能通過DHCP服務器，自由接入到單位大樓網絡中，如此一來就能控制大樓網絡的運行穩定性了。

方案實施

選好了合適方案後，實施起來自然也就不那麼困難了。由於DHCP中繼代理功能只對VLAN有效，我們必須對每一個VLAN進行相同的控制設置，才能讓對應VLAN中的工作站始終穩定上網訪問;為了方便敘述，本文就以控制VLAN 1的上網穩定性為操作藍本，向各位朋友詳細敘述一下具體的方案實施步驟：

首先以系統管理員權限進入DHCP服務器所在的主機系統，打開對應系統的DHCP控制台窗口，再進入對應VLAN 1的作用域屬性設置對話框，在其中根據每一個虛擬網絡節點數的多少將VLAN 1的地址池以及其他參數設置好，這裡就不重點敘述了;

其次遠程登錄進核心交換機的後台管理界面，在該界面的命令行中執行“sys”命令，將後台系統切換到系統全局配置狀態，在該配置狀態下繼續執行“inter vlan-interface 1”命令，將系統切換到VLAN 1接口模式狀態;

下面在VLAN 1接口模式狀態下，我們輸入字符串命令“dhcp relay address-check enable”，單擊回車鍵後，VLAN 1接口就能正常使用DHCP中繼的地址匹配檢查功能了;一旦啟用了該功能後，普通工作站就不能隨意配置IP地址進行自由上網了，那麼網絡運行的安全性與穩定性也就得到有效保證了。

當然，局域網中有一些重要的計算機必需要使用靜態的IP地址才能上網，為了保證該地址不被其他人隨意搶用，我們可以采用手工方法將靜態IP地址與重要主機的網卡物理地址綁定關系添加到DHCP中繼功能的靜態用戶地址配置條目中，這樣一來重要主機就能一直使用靜態地址進行穩定地上網訪問了;例如，要將10.176.1.3地址與55-66-88-77-33-77地址的對應關系添加到DHCP中繼功能的靜態用戶地址配置條目中時，可以在 VLAN 1接口模式狀態下，執行“dhcp relay security static 10.176.1.3 55-66-88-77-33-77”命令就可以了。