基于DHCP SNOOPING的中小型企業(yè)網絡接入系統(tǒng)研究

李果果 劉志權

摘要：本文針對中小企業(yè)存在的IP地址管理問題，提出了搭建基于IP DHCP SNOOPING、DAI（Dynamic ARP Inspection）的B/S架構園區(qū)IP地址集中管理系統(tǒng)，從根本上解決中小企業(yè)園區(qū)網絡IP地址管理問題。

關鍵詞：DHCP SNOOPING IP地址 ARP攻擊 DHCP

1 概述

隨著計算機網絡技術以幾何級的增長方式不斷發(fā)展，企業(yè)的網絡規(guī)模不斷壯大，為應對日益復雜的網絡環(huán)境，各種新技術不斷涌現(xiàn)。然而，中小企業(yè)出于成本考量，網絡設備一般隨著企業(yè)規(guī)模增長而逐步增多，設備型號、品牌較多，而且往往忽視、缺乏對相應的網絡管理軟件及系統(tǒng)的投入。用戶非法DHCP服務器、IP地址沖突和ARP攻擊引起的IP地址類故障層出不窮，對于企業(yè)內部的IP地址管理問題，網管人員往往也束手無策。智能化工具的廣泛使用，對于IP地址，如果依然采用手工方式或者EXCEL表格登記的方式進行分配，顯然不能適應信息化的要求。利用交換機中的DHCP SNOOPING技術和DHCP服務器配合，通過簡單的編程開發(fā)，建立B/S架構的IP地址管理系統(tǒng)，可以高效的管理IP地址，為網絡管理員節(jié)省大量寶貴時間。

2 DHCP服務器

通過手動設置IP地址的方式，可以對數量比較少的計算機進行管理。但是，如果劃分了多個子網，并且計算機數量較多時，通過手動方式，為計算機配置和管理IP地址，其工作量和復雜程度就會成倍地增加，而且搬遷到新位置也需要更換IP地址，不符合目前移動辦公的需要。由于這些問題存在于局域網中，于是人們提出使用DHCP 服務器，客戶端主機借助DHCP服務器可以在每次啟動并加入網絡時，上網所需的IP地址、網關和DNS服務器地址等信息就可以自動獲得，進而在一定程度上減少了配置管理的工作量。受自身局限性的影響，DHCP協(xié)議并不能解決非法DHCP服務器、設置固定IP地址所引起的IP地址沖突、ARP攻擊等IP地址類故障。

3 DHCP SNOOPING

通過對不可信DHCP消息進行過濾，DHCP SNOOPING可以進一步增強其安全性，同時建立并維護DHCP綁定數據庫。DAI（dynamic arp inspect）、Source IP Lockdown等功能需要以該數據庫為基礎。DHCP SNOOPING 技術就像是將一道防火墻安裝在非信任端口的主機和DHCP服務器之間，DHCP Offer報文通過信任端口可以進行正常接收和轉發(fā)，而不信任端口會丟棄接收到的DHCP Offer報文，對于DHCP攻擊及私設DHCP服務器等，在一定程度上可以起到防止作用。在啟用了DHCP SNOOPING功能的接口下，DAI/Source IP Lockdown只允許通過DHCP方式獲取到IP地址的主機與網絡進行通信。這樣，對于通過受信任DHCP服務器分配到IP地址的用戶可以接入網絡，其他包括使用固定IP地址的用戶數據包都將被交換機所丟棄。DHCP SNOOPING及DAI、Source IP Lockdown等技術很好的彌補了DHCP協(xié)議的局限性，使得在DHCP環(huán)境下基于DHCP SNOOPING搭建IP地址管理系統(tǒng)能夠取得良好成效。

4 系統(tǒng)功能實現(xiàn)

4.1 IP地址管理

在IP地址管理平臺的控制下，通過編程開發(fā)使DHCP服務器上的配置文件，進一步與后臺MYSQL數據庫同步，DHCP服務器中所用到的網段配置參數、IP地址租約時間等各種參數和數據全部存放在后臺的MYSQL數據庫中。這種方式一方面保留了傳統(tǒng)DHCP的優(yōu)點，大大減少園區(qū)網IP地址管理的復雜度，另一方面加強了DHCP方式管理的可控性。

在DHCP服務器上，通過對配置文件/etc/dhcpd.conf進行修改，可以對地址段進行配置，同時實現(xiàn)對MAC地址訪問的控制。以區(qū)域或者VLAN為類別，將園區(qū)網絡內各主機的MAC地址添加到相應的類別中，只有被添加了MAC地址的主機才能夠在對應的區(qū)域或者VLAN內通過合法的DHCP服務器獲取IP地址配置信息，進而對網絡進行訪問。對于網絡設備來說，由于啟用了DHCP SNOOPING及DAI等功能，用戶不可能通過自行修改IP地址進而獲得訪問權限。對于打印機、考勤機及其它需要使用固定IP地址的服務器，也可以在配置文件中指定固定IP地址，并不需要在網絡設備上再配置靜態(tài)的DAI條目，達到集中管理IP地址分配的目的，降低維護復雜度。顯然，直接由網管人員修改配置文件存在很高的安全風險，通過IP地址管理系統(tǒng)維護數據庫，系統(tǒng)后臺再根據相應情況對DHCP服務器配置文件進行修改，既降低了風險，也降低了對于管理人員的技術要求。

在配置DHCP服務器的過程中，將DHCP服務器中所用到的各種數據和參數保存到數據庫中，進而組成整個園區(qū)網絡的IP地址使用數據庫。園區(qū)網每個地址段中有多少用戶在使用DHCP服務器分配的固定地址上網，以及每個網段有多少個地址用于自動分配等，在管理平臺上，管理人員都可以查詢到。

4.2 上網日志及用戶定位

在每次下發(fā)客戶端DHCP請求的IP地址資源時，DHCP服務器會形成一條記錄。所請求IP的客戶端MAC地址、分配給客戶的IP地址、客戶端的機器名、租約時間范圍等一系列信息都包含在這條記錄中。在數據庫保存這樣的記錄，構建一個IP地址分配情況的數據庫。DHCP服務器借助這個數據庫，對于所分發(fā)的IP地址資源提供了完善的日志記錄功能。通過記錄，在某個時間段內特定IP與MAC的對應關系很容易查詢到，然后對某個IP對應的MAC地址進行查詢。結合SNMP協(xié)議，通過用戶IP地址，查詢在IP地址管理功能中的數據庫可以獲取此用戶IP所對應的接入交換機列表，再通過SNMP指令查詢這些交換機的MAC地址表，可以進一步得到用戶上線時所在的交換機接口信息，這對于管理人員管理維護網絡是非常有幫助的。

5 小結

本文基于真實環(huán)境，提出以部署DHCPSnooping 為基礎，建立B/S架構的IP地址管理系統(tǒng)，對IP地址進行集中管理。DHCP SNOOPING技術目前已基本成為各大主流設備廠商可網管交換機的基礎功能，部署方式非常靈活。系統(tǒng)開發(fā)簡單，投入小，可以直接部署在DHCP服務器上。系統(tǒng)部署后，基本可以杜絕非法DHCP服務器、用戶私設固定地址引起的IP地址沖突及APR攻擊等問題，并能對園區(qū)網絡中的IP地址做到統(tǒng)一、靈活的管理，極大的提高了管理人員的工作效率，使網絡管理趨于規(guī)范化、科學化。

參考文獻：

[1]李果果.多廠商設備環(huán)境下校園網統(tǒng)一接入控制管理系統(tǒng)的設計與實現(xiàn)[D].華南理工大學，2011.

[2]崔亞軍.IP Source Guard配合DHCP在校園信息化建設中的應用[J].職業(yè)技術，2013（10）.

[3]任斌.攻擊分析及防御解決方法[J].長春工程學院學報自然科學版，2008（9）.

作者簡介：

李果果（1982-），男，湖南長沙人，助理工程師，碩士研究生，研究方向：計算機網絡。