《计算机网络原理课程设计》由会员分享,可在线阅读,更多相关《计算机网络原理课程设计(17页珍藏版)》请在金锄头文库上搜索。
1、课程设计报告书课程名称:计算机网络原理题 目:局域网协议DHCP服务配置及安全防护学生姓名:专 业: 计算机班 另IJ: 学 号:指导老师:日 期: 2012 年 12 月 30 日局域网协议DHCP服务配置及安全防护目录1. 设计目的 32. 设计内容 32.1 DHCP服务的配置 32.2 DHCP的安全防护32.2.1临时保护DHCP 3222长期保护DHCP 32.2.3基本防范 43. DHCP 简介53.1 DHCP 介绍53.2 DHCP地址分配 63.2.1 Manual Allocation 63.2.2 Automatic Allocation 63.2.3Dynamic
2、Allocation 63.3 DHCP工作原理73.3.1 寻找 Server 7332提供IP租用地址83.3.3接受IP租约83.3.4租约确认 93.4 DHCP 的责任104配置DHCP用到的软件程序 104.1 VMware Workstation 10411VM简介104.2 Red Hat Enterprise Linux5 企业版 114.2.1 RedHat公司介绍 114.2.2 RedHat软件 114.2.3 RedHatEnterprise Linux5 企业版 115. 配置DHCP服务过程 135.1 安装DHCP服务 135.2 DHCP服务配置 145.3
3、DHCP的保留配置166. 总结 171. 设计目的1.1 了解局域网协议DHCP服务的基本配置。1.2为了提高网络管理效率。1.3保护合法DHCP服务器的运行安全性,以避免其受到不合法DHCP服务器的“冲 击”!2. 设计内容2.1 DHCP服务的配置2.2 DHCP的安全防护2.2.1临时保护DHCPDHCP的工作机制是:普通工作站系统是通过广播方式向局域网网络发送上网参 数请信息的,局域网中的所有网络设备都会收到来自普通工作站的上网请求,这自 然也包括合法的DHCP服务器、不合法的DHCP服务器,不过究竟是合法的DHCP服务 器还是不合法的DHCP服务器,优先应答普通工作站的上网请求,是
4、没有什么规律的。因此当遇到普通工作站系统无法获得有效上网参数现象时,有以下几种临时方 法可保护DHCP:A. 可以尝试通过反复发送广播信息的办法,来临时保证普通工作站与合法DHCP 服务器建立连接,直到普通工作站能够从合法DHCP服务器那里得到有效的上网参数 为止。B. 可以打开故障工作站系统的DOS命令行工作窗口,并在DOS命令行提示符下 执行“ ipconfig /release ”字符串命令,来将之前获得的不正确上网参数释放出 来。然后尝试执行“ ipconfig/renew ”字符串命令,来重新向局域网发送上网参数 请求数据包,如果上述命令返回错误的结果信息,那么我们可以在本地系统运行
5、对 话框中继续执行“ ipconfig /release”、“ipconfig /renew ”字符串命令,直到 普通工作站获得有效的上网参数信息为止。2.2.2长期保护DHCP通常情况下,局域网中的普通工作站安装使用的都是Windows操作系统,在 Windows工作站系统为主的局域网工作环境中,我们可以通过域管理模式来保护合 法DHCP服务器的运行安全性,同时过滤不合法的DHCP服务器,确保该DHCP服务器 不会为局域网普通工作站分配错误的上网参数信息。我们只要在局域网域控制器中, 将合法有效的DHCP服务器主机加入到局域网活动目录中,就能保证局域网中的所有 普通工作站都会自动从合法有效的
6、DHCP服务器那里,获得正确的上网参数信息了 ; 这是因为域中的普通工作站向网络发送广播信息,申请上网参数地址时,位于同一 个域中的合法有效的DHCP服务器,会自动优先响应普通工作站的上网请求,如果局 域网指定域中的DHCP服务器不存在或失效时,那些没有加入指定域中的不合法DHCP服务器才有可能响应普通工作站的上网请求。要将合法有效的DHCP服务器加入到局域网指定域中时,我们可以按照下面的设 置步骤来操作:首先以系统管理员权限登录进入局域网指定域控制器所在主机系统,打开该系 统桌面上的“开始”菜单,从中依次点选“程序” / “管理工具” /“DHCP ”选项, 打开对应系统的DHCP服务器控制
7、台窗口;其次在目标控制台窗口的左侧显示区域,用鼠标右键单击目标服务器主机,从 弹出的快捷菜单中执行“添加服务器”命令,单击其中的“浏览”按钮,在其后出 现的选择计算机对话框中,选中合法有效的DHCP服务器所在主机名称,也可以直接 在“此服务器”文本框中输入DHCP服务器所在主机的IP地址,最后单击“确定” 按钮完成设置操作。如此一来,局域网指定域中的普通工作站日后上网访问时,就 会自动优先从合法有效的DHCP服务器那里获得正确的上网参数信息了。2.2.3基本防范首先定义交换机上的信任端口和不信任端口,对于不信任端口的DHCP报文进 行截获和嗅探,DROP掉来自这些端口的非正常DHCP报文,如下
8、图所示:ClientWEtP Snapping Enabk-dUntruatnEt18k-ok ougp口eng/ alt&r3OK DHGP 口eng 9/ olt&r3 ack, nakRogue ServerRogue Serverack, nakDHCPServerBAODtiOPBAODtiOPiistSCN.tdriltost sc Hydril Mk.nak基本配置示例如下表:IOS全局命令:ip dhep snooping vlan 100,200 /* 定义哪些 VLAN 启用 DHCP 嗅探 ip dhep snooping接口命令 ip dhep snooping tru
9、stno ip dhep snooping trust (Default)ip dhep snooping limit rate 10 (pps) /*一定程度上防止 DHCP 拒绝服 /*务攻击手工添加 DHCP 绑定表ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi1/1 expiry 1000 导出 DHCP 绑定表到 TFTP 服务器ip dhcp snooping database tftp:/ 10.1.1 .1/directory/file 需要注意的是 DHCP 绑定表要存在本地存贮器 (Bootfalsh 、
10、slot0 、ftp 、 tftp) 或导出到指定 TFTP 服务器上,否则交换机重启后 DHCP 绑定表丢失,对于 已经申请到 IP 地址的设备在租用期内,不会再次发起 DHCP 请求,如果此时交换 机己经配置了下面所讲到的 DAI 和 IP Source Guard 技术,这些用户将不能访问 网络。高级防范通过交换机的端口安全性设置每个 DHCP 请求指定端口上使用唯一的 MAC 地 址,通常 DHCP 服务器通过 DHCP 请求的报文中的 CHADDR 段判断客户端 MAC 地 址,通常这个地址和客户端的真是 IP 相同,但是如果攻击者不修改客户端的 MAC 而修改 DHCP 报文中 C
11、HADDR ,实施 Dos 攻击, Port Security 就不起作用了, DHCP 嗅探技术可以检查 DHCP 请求报文中的 CHADDR 字段,判断该字段是否和 DHCP 嗅探表相匹配。这项功能在有些交换机是缺省配置的,有些交换机需要配置, 具体需要参考相关交换机的配置文档。3. DHCP简介3.1 DHCP 介绍DHCP 是 Dyn amic Host Con figuration Protocol(动态主机配置协议)缩写, 它的前身是BOOTP。BOOTP原本是用于无磁盘主机连接的网络上面的:网络主 机使用BOOT ROM而不是磁盘启动并连接上网络,BOOTP则可以自动地为那些 主
12、机设定TCP/IP环境。但BOOTP有一个缺点:您在设定前须事先获得客户端 的硬件地址,而且,与IP的对应是静态的。换而言之,BOOTP非常缺乏动态 性,若在有限的IP资源环境中,BOOTP的一对一对应会造成非常严重的资源 浪费。DHCP可以说是BOOTP的增强版本,它分为两个部份:一个是服务器端, 而另一个是客户端。所有的IP网络设定数据都由DHCP服务器集中管理,并负 责处理客户端的DHCP要求;而客户端则会使用从服务器分配下来的IP环境数据。 比较起BOOTP,DHCP透过租约的概念,有效且动态的分配客户端的 TCP/IP设定,而且,作为兼容考虑,DHCP也完全照顾了 BOOTP Cli
13、ent的需求。DHCP的分配形式首先,必须至少有一台DHCP工作在网络上面,它会监听网 络的DHCP请求,并与客户端磋商TCP/IP的设定环境。3.2 DHCP地址分配3.2.1 Manual Alloca tion人工分配,获得的IP也叫静态地址,网络管理员为某些少数特定的在网计算机 或者网络设备绑定固定IP地址,且地址不会过期。同一个路由器一般可以通过设置来划分静态地址和动态地址的IP段,比如一般 家用TP-LINK路由器,常见的是从192.168.1.100192.168.1.254,这样如果你的 电脑是自动获得IP的话,一般就是192.168.1.100,下一台电脑就会由DHCP自动
14、分到为 192.168.1.101c 而 192.168.1.2192.168.1.99 为手动配置 IP 段。3.2.2 Automatic Alloca tion自动分配,其情形是:一旦DHCP客户端第一次成功的从DHCP服务器端 租用到IP地址之后,就永远使用这个地址。32 3Dynamic Allocation动态分配,当DHCP客户端第一次从DHCP服务器端租用到IP地址之后, 并非永久的使用该地址,只要租约到期,客户端就得释放(release)这个IP地址, 以给其它工作站使用。当然,客户端可以比其它主机更优先的更新(renew)租约, 或是租用其它的IP地址。动态分配显然比手动分
15、配更加灵活,尤其是当您的实际IP地址不足的时候,例如:您是一家ISP,只能提供200个IP地址用来给拨接 客户,但并不意味着您的客户最多只能有200个。因为要知道,您的客户们不可能 全部同一时间上网的,除了他们各自的行为习惯的不同,也有可能是电话线路的限 制。这样,您就可以将这200个地址,轮流的租用给拨接上来的客户使用了。这也 是为什么当您查看IP地址的时候,会因每次拨接而不同的原因了(除非您申请的 是一个固定IP,通常的ISP都可以满足这样的要求,这或许要另外收费)。当然, ISP不一定使用DHCP来分配地址,但这个概念和使用IP Pool的原理是一样的。 DHCP除了能动态的设定IP地址之外,还可以将一些IP保留下来给一些特殊用 途的机器使用,它可以按照硬件地址来固定的分配IP地址,这样可以给您更大的 设计空间。同时,DHCP还可以帮客户端指定router、netmask、DNS Server、WINS Server、等等项目,您在客户端上面,除了将DHCP选项打勾之外,几乎无需做任 何的IP环境设定。3.3 DHCP工作原理3.3.1 寻找 Server当DHCP客户端第一次
