服務(wù)器配置與管理論文范文
服務(wù)器配置與管理論文范文
服務(wù)器配置,是指根據(jù)企業(yè)的實(shí)際需求針對(duì)安裝有服務(wù)器操作系統(tǒng)的設(shè)備進(jìn)行軟件或者硬件的相應(yīng)設(shè)置、操作,從而實(shí)現(xiàn)企業(yè)的業(yè)務(wù)活動(dòng)需求。下面小編給大家分享一些服務(wù)器配置與管理論文范文,大家快來(lái)跟小編一起欣賞吧。
服務(wù)器配置與管理論文范文篇一
企業(yè)DHCP服務(wù)器配置與管理
摘要:本文主要以典型企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)出發(fā),具體介紹了cisco路由器上如何配置DHCP服務(wù)器,及針對(duì)多個(gè)vlan環(huán)境下DHCP中繼的配置,并討論如何管理DHCP服務(wù)器以提高網(wǎng)絡(luò)的安全性能。
關(guān)鍵詞:DHCP 路由器 VLAN Snooping
隨著信息化技術(shù)的飛速發(fā)展,企業(yè)不斷加強(qiáng)自身信息化建設(shè),網(wǎng)絡(luò)規(guī)模日趨龐大。大規(guī)模的電腦分布,復(fù)雜的子網(wǎng)設(shè)置,DHCP服務(wù)器毋庸置疑是企業(yè)網(wǎng)絡(luò)管理員科學(xué)管理局域網(wǎng)IP地址及配置的首選。有了DHCP服務(wù)器后,使得我們的網(wǎng)絡(luò)管理工作變得游刃有余。本文通過(guò)對(duì)一個(gè)企業(yè)典型的網(wǎng)絡(luò)系統(tǒng)案例,把相關(guān)的知識(shí)點(diǎn)綜合應(yīng)用上來(lái),以實(shí)現(xiàn)一個(gè)安全完整的動(dòng)態(tài)主機(jī)配置服務(wù)系統(tǒng)。
1 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)介紹
企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)鋱D如下:
說(shuō)明:本實(shí)例選用在路由器上配置DHCP服務(wù),為三層交換機(jī)下面Vlan10和Vlan20的電腦分別分配192.168.10.0/24和192.168.20.0/24兩網(wǎng)段的地址。
2 配置DHCP服務(wù)器
在Router路由器上面配置DHCP服務(wù):
2.1 開啟DHCP 功能
Router(config)#service dhcp
2.2 配置DHCP 地址池
Router(config)#ip dhcp pool vlan1 //地址池名為vlan1
Router(dhcp-config)#network 192.168.10.0 255.255.255.0 //vlan1客戶端使用的地址段
Router(dhcp-config)#default-router 192.168.10.1 //網(wǎng)關(guān)地址
Router(dhcp-config)#dns-server 61.144.56.100 //DNS地址
Router(dhcp-config)#lease 2 12 30 //租期為2天12小時(shí)30分(默認(rèn)為一天)
Router(config)#ip dhcp pool vlan2 //地址池名為vlan2
Router(dhcp-config)#network 192.168.20.0 255.255.255.0 //vlan2客戶端使用的地址段
Router(dhcp-config)#default-router 192.168.20.1 //網(wǎng)關(guān)地址
Router(dhcp-config)#dns-server 61.144.56.100 //DNS地址
Router(dhcp-config)# lease 2 //租期為2天
2.3 保留IP地址
因?yàn)橛行㊣P 地址我們要用作特殊用途,不希望分配給客戶端。比如:網(wǎng)關(guān)地址或一些需要固定給某一臺(tái)電腦使用的IP等。所以我們要保留這些地址,這樣服務(wù)器就不會(huì)將這些地址分配給客戶端使用。
Router(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10//保留192.168.10.1到192.168.10.10
Router(config)#ip dhcp excluded-address 192.168.20.1 192.168.20.10
以上就是路由器上開啟DHCP服務(wù)以及如何配置服務(wù)器的具體方法,如果客戶端直接連接路由器端口就可以申請(qǐng)到對(duì)應(yīng)端口網(wǎng)段的IP地址了。但現(xiàn)在客戶端電腦是通過(guò)三層交換機(jī)來(lái)連接路由器的,這樣客戶端是無(wú)法順利申請(qǐng)到IP地址的,因?yàn)榭蛻舳说腄HCP請(qǐng)求到達(dá)交換機(jī)以后不知道向路由器申請(qǐng)。因此我們接下來(lái)配置三層交換機(jī)上的DHCP中繼,來(lái)實(shí)現(xiàn)DHCP請(qǐng)求順利到達(dá)路由器上。
3 配置三層交換機(jī)
企業(yè)為了局域網(wǎng)內(nèi)部的管理及控制廣播風(fēng)暴,通常在計(jì)算機(jī)數(shù)量比較多的情況下采用基于端口的方法來(lái)劃分VLAN(虛擬局域網(wǎng)),我們把f0/2、f0/3分別加入vlan10、vlan20(其它端口默認(rèn)屬于vlan1)。
3.1 配置vlan及相應(yīng)接口信息
Switch(config)#vlan 10 //創(chuàng)建vlan10
Switch(config-vlan)#exit
Switch(config)#int vlan 10 //設(shè)置vlan10的IP地址
Switch(config-if)#ip address 192.168.10.1 255.255.255.0
Switch(config-if)#exit
Switch(config)#int f0/2 //配置端口F0/2,把該端口加入vlan10
Switch(config-if)#switchitchport mode access
Switch(config-if)#switchitchport access vlan 10
Switch(config-if)#exit
同理,創(chuàng)建vlan20,設(shè)vlan20的IP地址為192.168.20.1/24,把F0/3加入vlan20。
3.2 配置DHCP中繼
配置DHCP中繼通常在交換機(jī)、路由器或服務(wù)器版操作系統(tǒng)上配置,這些設(shè)備通常處在DHCP服務(wù)器與DHCP客戶端中間,使得DHCP客戶端的請(qǐng)求廣播不能到達(dá)對(duì)應(yīng)DHCP服務(wù)器,從而使得客戶端的申請(qǐng)失敗。而配置DHCP中繼就是讓客戶端的廣播包單播發(fā)向?qū)?yīng)的DHCP服務(wù)器,我們通過(guò)ip help-address功能來(lái)實(shí)現(xiàn)。
Switch(config)#int vlan 10
Switch(config-if)#ip helper-address 192.168.0.1 //單播前轉(zhuǎn)DHCP 廣播到192.168.0.1
Switch(config-if)#exit
Switch(config)#int vlan 20
Switch(config-if)#ip helper-address 192.168.0.1
同樣,如果現(xiàn)實(shí)中這三層交換機(jī)是路由器,我們也是在路由器接客戶端的接口上設(shè)置ip helper-address來(lái)實(shí)現(xiàn)DHCP中繼。
3.3 配置路由器上的路由
配置基本完成,最后一定要記得配置路由,讓DHCP服務(wù)器能與客戶端通信。
Router (config)#ip route 192.168.10.0 255.255.255.0 192.168.0.2
Router (config)#ip route 192.168.20.0 255.255.255.0 192.168.0.2
通過(guò)以上幾步配置,Vlan10里的電腦PC1便能獲得地址192.168.10.11,Vlan20里的電腦PC2便能獲得地址192.168.20.11。為什么不同vlan之間能獲得各自網(wǎng)段的IP地址呢?因?yàn)槿龑咏粨Q機(jī)收到PC1的DHCP廣播包后,將giaddr的參數(shù)改成了192.168.10.1,收到PC2的DHCP廣播包后,將giaddr的參數(shù)改成了192.168.20.1,所以最后DHCP服務(wù)器能夠根據(jù)giaddr=192.168.10.1的包,把192.168.10.0/24的有效地址分配給PC1。根據(jù)giaddr=192.168.20.1的包,把192.168.20.0/24的有效地址分配給PC2。
4 管理DHCP服務(wù)器
4.1 綁定IP與MAC地址
在企業(yè)日常維護(hù)中,常有一些IP地址需要固定給某一臺(tái)客戶機(jī)。Cisco路由器上可以通過(guò)單獨(dú)創(chuàng)建一個(gè)地址池host pool,然后通過(guò)client-identifier來(lái)實(shí)現(xiàn)IP地址與MAC地址的綁定。比如一個(gè)主機(jī)網(wǎng)卡MAC地址為0013.77B9.2774,要綁定IP地址192.168.10.100/24。實(shí)現(xiàn)如下:
Router(config)#ip dhcp pool client1
Router(dhcp-config)#host 192.168.10.100 255.255.255.0
Router(dhcp-config)#client-identifier 0100.1377.B927.74 //前面新增的01表示走的Ethernet,后面接MAC
4.2 禁止非法DHCP服務(wù)器欺騙
在企業(yè)網(wǎng)絡(luò)中,難免某一個(gè)子網(wǎng)中多出一個(gè)帶DHCP服務(wù)功能的服務(wù)器或路由器,結(jié)果導(dǎo)致客戶端電腦獲取到一個(gè)非法的IP地址配置信息,導(dǎo)致電腦無(wú)法正常使用。其原因是DHCP客戶端發(fā)出的DHCP請(qǐng)求是以廣播形式發(fā)出的,在同一個(gè)廣播域,也就是說(shuō)同一個(gè)vlan里所有的設(shè)備都會(huì)收到。事實(shí)上,非法的DHCP報(bào)文在該子網(wǎng)的傳播要比合法的DHCP報(bào)文快,用戶必將先獲取到非法DCHP服務(wù)器所提供的IP地址。其實(shí)防止非法DHCP服務(wù)器,可以通過(guò)交換機(jī)上的DHCP-snooping功能來(lái)實(shí)現(xiàn)。DHCP Snooping技術(shù)是一種通過(guò)在交換機(jī)上建立DHCP Snooping Binding數(shù)據(jù)庫(kù),過(guò)濾非信任的DHCP消息,從而保證網(wǎng)絡(luò)安全的特性。
本案例具體可以在三層交換機(jī)上配置如下:
Switch(config)#ip dhcp snooping //開啟DHCP Snooping
Switch(config)#ip dhcp snooping vlan 1,10,20 //在VLAN1、10和20中開啟dhcp snooping功能
默認(rèn)情況下開啟dhcp snooping功能后,相應(yīng)的端口全部為不可信任的,只要把對(duì)應(yīng)DHCP服務(wù)器的連接端口設(shè)為信任端口就可以了。
Switch(config)#int f0/1
Switch(config-if)#ip dhcp snooping trust //設(shè)f0/1為信任端口。
通過(guò)以上配置,三層交換機(jī)上F0/1接口的設(shè)備才能應(yīng)答DHCP請(qǐng)求,其它接口過(guò)來(lái)的DHCP應(yīng)答將會(huì)被丟棄。同時(shí)要注意的是,配置了DHCP Snooping 的交換機(jī)默認(rèn)會(huì)產(chǎn)生中繼效果,會(huì)將DHCP 請(qǐng)求包的giaddr 的參數(shù)改成了0.0.0.0,而且交換機(jī)的這種中繼效果是無(wú)法關(guān)閉的。當(dāng)服務(wù)器收到giaddr 設(shè)置為0.0.0.0 而不是IP 地址的請(qǐng)求包時(shí),默認(rèn)是要丟棄該數(shù)據(jù)包而不作應(yīng)答的,所以DHCP 服務(wù)器將丟棄該請(qǐng)求數(shù)據(jù)包。要想讓客戶端能夠正常收到DHCP 提供的IP 地址,就應(yīng)該讓DHCP 服務(wù)器對(duì)即使giaddr 為0.0.0.0的請(qǐng)求包也作出應(yīng)答。配置如下:
Router (config-if)#ip dhcp relay information trusted
5 結(jié)束語(yǔ)
在Cisco設(shè)備上配置DHCP服務(wù)是即經(jīng)濟(jì)又有效的辦法,不僅僅節(jié)省了資源,同時(shí)能更加穩(wěn)定的給整個(gè)網(wǎng)絡(luò)分配IP地址和網(wǎng)絡(luò)參數(shù)。本文通過(guò)對(duì)企業(yè)內(nèi)典型局域網(wǎng)的DHCP服務(wù)器設(shè)計(jì),完整的把Cisco設(shè)備上DHCP服務(wù)器的配置及日常管理作了一次詳細(xì)的總結(jié),相信能給大家在日常網(wǎng)絡(luò)管理中提供幫助。
點(diǎn)擊下頁(yè)還有更多>>>服務(wù)器配置與管理論文范文