《[计算机软件及应用]DHCP服务器在校园网中的应用定稿.doc》由会员分享,可在线阅读,更多相关《[计算机软件及应用]DHCP服务器在校园网中的应用定稿.doc(41页珍藏版)》请在三一办公上搜索。
1、湖南安全技术职业学院Hunan Vocational Institute of Safety Technology论 文 题 目: DHCP服务器在校园网中的应用 学 生 姓 名: 方桂香 专 业 班 级: 计算机网络应用 指 导 老 师: 匡芳君 系主任(院长): 刘 坚 评 阅 人 : 2012 年 5 月i摘 要网络管理是大型计算机网络成功的关键因素。高效有序的网络管理可以确保网络的最优化运行,发挥网络的最佳效益。本文通过对DHCP的学习与应用,进行了对诸如校园网等一类大型网管理的技术研究。地址管理在网络世界中非常重要。错误的理解将会带来非常严重的后果。对于一个大型网络,地址管理结构设计
2、不好很容易引起组织对整个网络重新编号。这不仅会引起长时间的停机,而且还会在重新编址阶段引起不稳定。而一个良好的地址管理结构是不需要花费任何代价的,仅需要认真规划和了解问题。关键词:服务器;配置与规划;网络安全;测试与维护AbstractNetwork management is the key factor to success for huge computer network. High effective network management can make sure that the network can perform in optimization. By studying a
3、nd applying DHCP, some research on technology is done to huge network management, such as campus network. Address management is very important and mistaken understand will bring severe result. As to a huge network, bad design to the address management architecture will lead to numbering again to the
4、 whole network, and it will cause not only long time halt, but also instability during the period of numbering again. And a better address management architecture needs little cost, just needs to design carefully and comprehend problems.Key words: server; allocation and planning; network security; t
5、esting and maintenance目 录摘 要IABSTRACTII第一章 引言11.1研究内容11.2研究意义11.3预期目标11.4 DHCP服务现状2第二章 网络规划32.1 网络拓扑结构32.1.1 需求分析32.1.2 网络拓扑结构32.2 设计目的及原则42.3 DHCP网络主干网的技术分析42.4 DHCP网络规划52.4.1 DHCP概述52.4.2 DHCP工作原理62.4.3 DHCP服务器规划6第三章 DHCP服务器的安装与配置83.1 DHCP服务器简介83.2 DHCP服务器的安装93.3 DHCP服务器的授权103.4 DHCP服务器的配置113.5 DH
6、CP客户端的使用153.6 DHCP服务冗余16第四章 DHCP服务器的安全设计184.1 DHCP服务器安全防范及要求184.1.1 安全防范184.1.2 安全防范的要求184.2 DHCP服务器杀毒软件的选择184.3 DHCP服务器防火墙的选择194.4 DHCP服务器的安全配置20第五章 DHCP常见故障解决245.1 客户端故障及排除245.1.1 客户端故障现象245.1.2 客户端故障原因245.1.3 客户端故障排除245.2 服务器端故障及排除285.2.1 服务器端故障现象285.2.2 服务器端故障原因及排除28结 论33参考文献34致 谢35第一章 引言1.1研究内容
7、随着计算机的普及,现代生活网络化,信息化的发展,无论在学习生活还是在科研应用等各个领域,都离不开网络。在这个网络时代,沟通与交流已经成为人们不可分割的一部分,要实现这些网上交流,网络协议是必不可少的。在各个客户端之间的交流,必须要通过服务器来进行,服务器在管理众多客户的时候通过发放IP地址来给客户提供上网服务,使得每个客户都可以轻松的进行网上畅游。但是对于管理员而言,如果需要一个一个的在客户端上设置IP地址的话,对于大中型的网络来说几乎是不可想象的,其繁重的工作量无法令人承受。那么,怎么解决这个问题呢?DHCP于是应运而生了。DHCP可以帮助管理员自动将IP地址分配给每一个发出申请的用户,而不
8、需要管理员对每一个客户端进行手动设置,这将极大的方便管理员对网络的管理,在减轻了工作强度的同时还大大的提高了工作效率。那么,DHCP是如何进行IP地址的分配,管理员又是如何进行DHCP的设置和管理使用的呢,这就是我们要研究的内容。1.2研究意义Internet给人们提供了一个相互交流的广泛空间,在Internet里存在着无数个大大小小的网络,它们本身与相互间都需要各种各样的协议来进行沟通,也需要众多管理员来进行日常管理与维护,DHCP对于管理员而言,无疑是手中的一大法宝,一个精通DHCP服务的管理员,不但可以很好的处理好各个客户端的IP地址分配问题,还可以通过DHCP relay来进行更大范围
9、的网络管理。而在进行这些看似繁重的工作的同时,甚至可以足不出户就可以达到预期的效果,因此,对DHCP进行深入的研究,广义来说,对Internet的发展有着极其深远的意义;狭义来说,对于如何把自己培养成一个合格的网络原理员,如何管理好自己负责的网络,保持网络的畅通,解决网络连接的各种问题是很重要的。1.3预期目标确实的掌握DHCP服务的性质,了解DHCP的工作原理,学会安装、设置、维护等各种对DHCP应用的技能。在对单一的DHCP服务器有了初步的使用与管理的技能后,再进行对多台DHCP服务器的服务器组、对使用了中继的DHCP服务器组的管理与应用进行学习。使自身能充分掌握DHCP服务的各种理论,具
10、备对DHCP服务的实际动手能力,切实的学会使用DHCP。1.4 DHCP服务现状自从Windows NT后,DHCP服务就随之产生,因其良好的功能以及方便快捷的服务,很快被广大用户接受,迅速的得到了应用与普及。目前国内外的许多公司、单位、学校在网络的管理方面都使用了DHCP服务,例如著名的微软、苹果、大众等企业,据调查他们内部的网络都应用了DHCP来进行管理。DHCP的出现不但大大提高了整个网络的运转效率,还极大的减轻了网络管理员的工作强度,提高了工作效率,使得网络的所有者减少了网络运营与维护的成本。我校的DHCP服务是基于Windows 2003 Server下的,而目前国内许多使用DHCP
11、服务的企业单位,都还是在Windows 2000 Server下,虽然两者不存在太大的区别,但无论在其提供的功能还是效果上来说,前者还是强于后者,这样的区别对客户来说并没什么影响,但对网络管理员及研究DHCP的学习者来说却是不一样,本文正是针对Windows 2003 Server下的DHCP来进行研究与学习,了解和掌握我校在网络中对DHCP的应用,将更有利于建设和维护我们的校园网,对校园网络的发展有着莫大的意义。33第二章 网络规划2.1 网络拓扑结构2.1.1 需求分析2.1.2 网络拓扑结构湖南安全技术职业学院是湖南省人民政府与国家安全生产监督管理总局共同建设、为全社会特别是安全生产行业
12、培养各类应用型专门人才的公办全日制普通高等学校。学院现有专门的实验大楼,教学仪器设备总值3000余万元,与教学相适应的实验室40余个,实训基地近20家,同时建有国家级的安全生产技术支撑中心;学院有知行楼、精业楼、明礼楼、图书馆,知行楼设有机房,精业楼有多媒体教室。根据学院现状,结合层校园次化网络,分析现有网络架构,网络拓扑结构如图2-1所示。图2-1 网络拓扑结构图学院园区网中核心和各个节点以光纤连接,采用千兆以太网技术,充分满足应用发展对主干带宽的需求,并能顺利过渡到万兆以太网。各个分支节点以100M交换到桌面为OA、文件传输、视频应用等服务提供了充足的桌面带宽。2.2 设计目的及原则建设校
13、园网的根本目的是为学校教学、科研和管理提供先进实用的硬件支撑环境。为实现这一目的必须考虑采用先进实用的计算机技术和网络通信技术,把校园网建设成为具有高速、稳定、可靠、安全的校园骨干兼顾应用服务系统,提供现代化教学、科研的办公及管理系统,同时拓展校园内多方面的应用。为此提出一条总原则:“分期建设;逐步实施;先教学系统后扩展应用;精选设备;软件配套”。具体说来有以下几条原则必须考虑:实用性:校园网DHCP建设强调网络系统与网络应用,以应用推动建设,重视信息资源的开发、利用和效果。先进性:主干采用先进成熟的网络技术和产品,适应大量数据和多媒体信息传输、处理、交换的需要,使网络具有较强的生命力。开放性
14、:网络系统支持有关国际和国家标准,支持异构型边缘子网互联与集成,易于网络的扩充和升级,使有限的投资得到保护。安全性:对网上信息提供多层次的、基于策略的安全保护措施。可靠性:网络机构、网络设备、网络系统与应用系统间接口、供应商的产品与服务的信誉等,均具可靠性。简洁性:网络拓扑结构简洁,硬件和软件按需要进行灵活配置。可管理性:采用较先进的管理软件,实现全网的检测、资源分配、负荷调节、故障定位等功能,并具有良好的人机操作界面。2.3 DHCP网络主干网的技术分析(1)网络主干技术:交换式快速以太网、千兆位以太网及ATM技术标准的制定和完善,为园区高速主干提供多种技术选择;针对校园网系统各自不同的需要
15、,量体裁衣,真正适合自身应用技术才是最好的。(2)骨干路由:由于新的应用涌现,多媒体技术的普及,巨大的信息流量不仅仅限于本地工作组网络,而大量穿梭于网络的骨干。此外,为数众多的部门划分的虚拟网络在一定程度上隔离了网络风暴、保护了部门内部信息,却使得虚拟网络间的路由对骨干交换设备的IP包转发、背板容量提出了很高的要求。对IP转发能力、背板容量的要求将使硬件投资快速增加。(3)虚拟网络技术:由于学校的行政设置、建筑物的集中布线方式以及一些应用和安全的考虑,基于第三层交换的虚拟网络的划分是必须的。此外,用户需要的不仅仅是简单的划分,更多的是如何有效、简便、动态地管理、修改和配置。(4)应用需求的变化
16、:传统的网络体系结构正在被Client/Server的体系结构所取代,越来越多的客户应用系统与中心服务器发生联系,Internet/Intranet结构的兴起,使得传统80/20的原则翻转,大流量涌向网络主干,对于主干的要求进一步提高。因此采用较高的网络主干是必要的,而根据目前的性价比分析,采用1000M全星形以太网主干最好。将来在ATM技术标准成为主流时可方便地将主干升级到ATM,而将以太网作为边缘子网。(5)多媒体的需要:随着新技术的出现及硬件成本的降低,在网络上传送视频、音频等。(6)可靠性和安全性:校园网是各种应用的统一通信平台,平均无故障时间以及故障恢复时间,要保持在一个允许范围之内
17、。对于校园网,安全性问题不仅来自外部网络,更主要的威胁来自内部网络。如何有效地设计安全方案是一个很重要的问题。(7)网络管理:校园网系统分布在校园的各个角落,日常网络维护和操作的工作量大,校园网络系统需要一个可靠、便捷、功能强大的网络管理系统来充分有效地管理和利用校园网络资源。同时,开通网络之后涉及用户上网计费的问题,而采用先进的计费软件也是完善校园网管理的一个手段。2.4 DHCP网络规划2.4.1 DHCP概述DHCP是Dynamic Host Configuration Protocol的缩写,它是TCPIP协议簇中的一种,主要是用来给网络客户机分配动态的IP地址。这些被分配的IP地址都
18、是DHCP服务器预先保留的一个由多个地址组成的地址集,并且它们一般是一段连续的地址。 DHCP 的分配形式:首先,必须至少有一台 DHCP 工作在网络上面,它会监听网络的 DHCP 请求,并与客户端磋商 TCP/IP 的设定环境。它提供两种 IP 定位方式:Automatic Allocation自动分配,其情形是:一旦 DHCP 客户端第一次成功的从 DHCP 服务器端租用到 IP 地址之后,就永远使用这个地址。Dynamic Allocation 动态分配,当 DHCP 第一次从 HDCP 服务器端租用到 IP 地址之后,并非永久的使用该地址,只要租约到期,客户端就得释放(release)
19、这个 IP 地址,以给其它工作站使用。2.4.2 DHCP工作原理视乎客户端是否第一次登录网路,DHCP的工作形式会有所不同。第一次登录的时候:寻找Server。当DHCP客户端第一次登录网路的时候,也就是客户发现本机上没有任何IP资料设定,它会向网路发出一个DHCPDISCOVER封包。因为客户端还不知道自己属于哪一个网路,所以封包的来源地址会为0.0.0.0,而目的地址则为255.255.255.255,然后再附上Dhcpdiscover的信息,向网路进行广播。提供IP租用地址。当DHCP伺服器监听到客户端发出的Dhcpdiscover广播后,它会从那些还没有租出的地址范围内,选择最前面的
20、空置IP,连同其它TCP/IP设定,回应给客户端一个DHCPOFFER封包。由于客户端在开始的时候还没有IP位址,所以在其Dhcpdiscover封包内会带有其MAC地址信息,并且有一个XID编号来辨别该封包,DHCP伺服器回应的Dhcpoffer封包则会根据这些资料传递给要求租约的客户。根据伺服器端的设定,Dhcpoffer封包会包含一个租约期限的信息。接受IP租约。如果客户端收到网路上多台DHCP伺服器的回应,只会挑选其中一个Dhcpoffer而已(通常是最先抵达的那个),并且会向网路发送一个Dhcprequest广播封包,告诉所有DHCP服务器它将指定接受哪一台伺服器提供的IP位址。同时
21、,客户端还会向网路发送一个ARP封包,查询网路上面有没有其它机器使用该IP位址;如果发现该IP已经被占用,客户端则会送出一个DHCPDECLINE封包给DHCP伺服器,拒绝接受其Dhcpoffer,并重新发送Dhcpdiscover信息。2.4.3 DHCP服务器规划根据学校的整个网络拓扑结构,对整体网络进行分析:(1)学校的管理机房设置在知行楼,三层交换机,路由器,服务器,以及机柜等核心网络设备都放置在知行楼的专用机房里面。(2)图书馆放置一台汇聚交换机,以便于汇聚行政办公区域的网络流量。教学汇聚楼区放置一台汇聚交换机,以便于汇聚教学办公区域的网络流量。(3)学生宿舍会聚楼区另放置汇聚交换机
22、安装到该区域专用机房的机柜中。(4)核心交换机与汇聚交换机使用光纤连接。在使用子网划分网段的路由网络中,对 DHCP服务的选项进行规划必须遵循一些特定的要求,以便完全实现DHCP服务。这些要求包括:在路由网络中,一个DHCP服务器必须至少位于一个子网中。为了使 DHCP 服务器能支持其他被路由器分开的远程子网上的客户端,必须使用路由器或远程计算机作为 DHCP 和 BOOTP 中继代理程序以支持子网之间DHCP通信的转发。IP地址规划原则(1)校园网内部私网IP地址的分配内部地址的分配原则是按建筑物进行的,视用户的数量,1/4、1/2、整个C的划分。对于相对固定不变的教学区采用静态分配IP地址
23、,为防止地址盗用,采用IP地址与MAC地址绑定,对于流动性大、用户人数多、用户增长快的学生区采用动态分配IP地址,采用By Port的Vlan,小范围地限制地址盗用问题。对上网用户的管理,是基于用户名、密码的代理认证WEB认证过程进行,校园网内的网络资源不需认证就可访问,但访问校外的资源就必须经过认证, 用户开机时,从DHCP服务器获得校园IP地址,并可以直接访问校园网和教育网。(2)中心交换机支持静态或动态的IP地址分配,并支持动态 IP 地址分配方式下DHCP-Relay功能,DHCP SERVER可安放在园区内部。(3)对于固定IP地址用户,需要针对标识符(MAC地址)设定保留IP地址。
24、(4)操作系统的选择因为根据实际情况分析,在此选择 WINDOWS系列网络操作系统的WINDOWS SERVER 2003 做为DHCP服务器的网络操作系统。WINDOWS SERVER 2003相对与WINDOWS SERVER 2000增强了DHCP的服务性,有如下一些新特征:a.自动分配IP地址如果DHCP服务器不能提供分配IP地址,网络上已起用了DHCP客户,现在可以使用临时IP地址来自己配置。客户可以每5分钟联系依次DHCP服务器,要求有效的IP地址。b.增强的性能监视和服务报告功能c.扩展作用域以支持多址广播域和超级域d.对用户指定选项类的支持 e.DHCP和DNS的集成f.恶意D
25、HCP服务器检测:g.对BOOTP客户的动态支持h.对DHCP管理器的只读控制台的访问第三章 DHCP服务器的安装与配置3.1 DHCP服务器简介在一个使用TCP/IP协议的网络中,每一台计算机都必须至少有一个IP地址,才能与其他计算机连接通信。对于IP地址的分配,目前有两中方案:一种是使用动态IP地址分配(DHCP),一种是静态的地址分配。DHCP的最大优点是客户端的网络配置非常简单,在无需网络管理员帮助的情况下,拥护就可以进行网络连接设置。但其缺点就是:IP地址是动态分配的,管理员无法从IP地址上辨别和坚定用户的身份,这样就导致了IP层管理失去作用。使用静态IP地址分配可以对各部门进行合理
26、的IP地址规划,能够在第三层上方便的跟踪管理,从网络管理角度上来说静态是强于动态的。但是,这也只是相对于一个小型或较小型的网络而言。对于一个大型或超大型网络,静态分配IP地址,就其工作量而言,几乎是不可能实现的,无论对客户还是管理员来说都是非常的麻烦和困难。因此,为了便于统一规划和管理大型网络中的IP地址,DHCP自然就成了最佳的选择。这种网络服务有利于对大型网络中的客户机IP地址进行有效管理,而不需要一个个手动指定IP地址。DHCP是动态主机配置协议(Dynamic Host Configure Protocol)的缩写,它能自动地为网络中的客户机的TCP/IP配置分配IP地址、子网掩码以及
27、缺省网关、DNS服务器和WINS服务器的IP地址。它能使网络管理员不用前往现场对每台计算机上的TCP/IP参数进行配置,一切设置的修改只需直接在服务器上即可完成。利用DHCP服务,可以高效地利用有限的IP地址。因为,比如:网络管理员在进行网络安装的时候,已经配置好了DHCP服务器,则当客户端启动时,DHCP服务器就自动临时发放包含IP地址的相关TCP/IP配置参数给它,从而使它能够正常连入网络;而客户端只需装上TCP/IP协议即可,不用再作其他任何设置。当使用过程中,如果DHCP服务器本身的相关资源(比如服务器的IP地址等)发生了变化,则只需修改它的DHCP设定后,就可以自动为客户端发送新的配
28、置值。由于包含IP地址的相关TCP/IP配置参数是DHCP服务器临时发放给客户端使用的,所以当客户机断开与服务器的连接后,旧的IP地址将被释放以便重用,根据这个特性,比如你只拥有20个合法的IP地址,而你管理的机器有50台,只要这50台机器同时使用服务器DHCP服务的不超过20台,则你就不会产生IP地址资源不足的情况。3.2 DHCP服务器的安装DHCP指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。首先,DHCP服务器必须是一台安装有Windows 2003 Server系统的计算机;其次,担任DHCP服务器的计算机需要安装TCP/IP协议
29、,并为其设置静态IP地址、子网掩码、默认网关等内容。默认情况下,DHCP作为Windows 2003 Server的一个服务组件不会被系统自动安装,必须把 它添加进来:(1) 点击“开始设置控制面板添加/删除程序添加/删除Windows组件”打开相应的对话框,如图3-1。图3-1添加或删除程序(2) 用鼠标左键点击选中对话框的“组件”列表框中的“网络服务”一项,单击详细信息按钮,出现带有具体内容的对话框,如图3-2。图3-2 添加网络服务(3) 在对话框“网络服务的子组件”列表框中勾选“动态主机配置协议(DHCP)”,单击确定按钮,根据屏幕提示放入Windows 2003安装光盘,复制 所需要
30、的程序。(4) 重新启动计算机后,在“开始程序管理工具”下就会出现“DHCP”一项,说明DHCP服务安装成功。3.3 DHCP服务器的授权出于对网络安全管理的考虑,并不是在Windows 2003 Server中安装了DHCP功能后就能直接使用,还必须进行授权操作,未经授权操作的服务器无法提供DHCP服务。对DHCP服务器授权操作的过程如下:(1) 点击“开始程序管理工具DHCP”,打开DHCP控制台窗口。(2) 在控制台窗口中,用鼠标左键点击选中服务器名,然后单击右键,在快捷菜单中选中“授权”,此时需要几分钟的等待时间。注意:如果系统长时间没有反应,可以按F5键或选择菜单工具中的“操作” 下
31、的“刷新”进行屏幕刷新,或先关闭DHCP控制台,在服务器名上用鼠标右键点击。如果快捷菜单中的“授权”已经变为“撤消授权”,则表示对DHCP服务器授权成功。此时,最明显的标记是服务器名前面红色向上的箭头变成了绿色向下的箭头。这样,这台被授权的DHCP服务器就有分配IP的权利了。3.4 DHCP服务器的配置(1) 确保已安装好了DHCP服务。(2) 选开始菜单程序管理工具DHCP即可打开你的DHCP管理器。(3) 如果是第一次进入时列表中还没有任何服务器名,则需要在左边的树栏中选中DHCP项,并在其上单击右键,选添加服务器;选此服务器,再按浏览选择(或直接输入)服务器名server(即你的服务器的
32、名字)。在一般情况下,不需要做这一步,因为默认的,你可以看到里面已经有了你的服务器的FQDN( Fully Qualified Domain Name,完全合格域名),比如为。(4) 这时会进入到作用域名对话框,在名称(必填)和说明(可不填)处填入任意内容。比如在名称处填写swfc,再下一步,输入IP地址范围,如图3-3。图3-3 IP地址范围(5) 在IP地址范围中,需要在输入此作用域分配的地址范围下的起始IP地址和结束IP地址处输入欲用来分配给客户端的IP地址的范围;系统会自动填充长度和子网掩码两项中的内容。(6) 随后得到的是添加排除的界面。你可以在起始地址IP地址处输入单个的欲保留的I
33、P地址,再按添加按钮把它加入到下面的排除的地址范围列表中;也可以在起始IP地址和结束IP地址处输入一个欲保留的IP地址的范围添加进去;可以进行多次操作,直到将所有不欲分配给客户端使用的保留IP地址全添加进去,如图3-4。图3-4添加排除(7) 接着就是设租约期限,也就是为分配给客户端的这些IP地址设定一个有限期,当超过这个有效期之后,客户端就将不再能够得到那些供分配的IP地址。在限制为下面进行相关设置即可;最大有效期限为999天23分59秒,建议设为此值。补充一点,在此处进行设置时,有一个小窍门:如果需要修改其中的天或分或秒的值,可以直接在相关栏内输入所需内容,或用键盘上的上下光标键(按住不放
34、)来迅速得到你所需要的数目;但如果用鼠标选择的话,就必须一下一下地点(按住不放不生效),比较麻烦,如图3-5。图3-5租约期限(8) 以上所作的设置只是为客户端设定了用于自动分配的IP地址,如果还要给它们设定自动分配的DNS和网关地址,则还必须在系统询问您现在想为此作用域配置DHCP选项吗下选是,我想现在配置这些选项,然后按下一步按钮继续,如图3-6。图3-6配置DHCP选项(9) 在路由器(默认网关)的IP地址处输入本网内路由器(默认网关)的IP地址(通常为DHCP服务器的IP地址)之后再按添加。在域名称和DNS服务器的IP地址项输入DNS服务器的IP地址(通常为DHCP服务器的IP地址)之
35、后再添加即可;其他各接下来的WINS服务器中同样加入WINS服务器的IP地址(通常为DHCP服务器的IP地址)之后再添加即可。其他项可不填,如图3-7、图3-8。图3-7 路由器(默认网关)图3-8 域名称和DNS服务器(10) 最后,根据提示按是的,我想现在激活此作用域,再单击完成按钮即可最终完成DHCP服务器的建立和配置。于是,你就可以在DHCP管理器中左边的树栏中看到已建立成功了一个名为swfc、IP地址为218.194.112.0的作用域,其下地址池在右边的详细列表栏目中即可看到已建立好的用于分配给客户端的IP地址范围和排除范围了,如图3-9。图3-9 DHCP地址池3.5 DHCP客
36、户端的使用(1)将任何一台本网内的工作站的网络属性中设置成自动获得IP地址,并让DNS服务器设为禁用,网关栏保持为空(即无内容),重新启动成功后,运行winipcfg.exe(win9x中)或ipconfig.exe(WinNT/Win2K/WinXP/Win2003中)即可看到各项已分配成功。如图3-10。图3-10 配置(2)当客户端关机或重机启动或用其他方式退出本网络后,自动分配给它临时占用的IP地址等资源即能自动释放,DHCP服务又可将它们分配给新的客户机;客户端机器并不需要一定要设置登录到本域,也能使用DHCP服务。3.6 DHCP服务冗余(1)以我校校园网为例,在校园网中,成百上千
37、台计算机的IP地址管理是一个很麻烦的问题。为了解决这个问题,校园网络管理中心采用了DHCP来动态的给客户机分配IP地址。但是这就存在一个问题:如果该DHCP服务器因某种原因而瘫痪了,那么DHCP服务自然就无法提供,客户机也就无法获得正确的IP地址,从而影响了整个校园网的正常运行。针对这一问题,应该如何解决呢?(2)其实很简单,只要配置两台以上的DHCP服务器就可以了,如果其中的一台服务器有了故障,那么另一台就会自动承担起分配IP地址的任务,而对于用户来说,这个过程是透明的,用户并不知道服务器的变化,这个变化也不会影响校园网的正常运行。(3)在Windows NT中,DHCP服务器的架设并不需要
38、授权,也就是说,如果有人在网络中架设了另外一台不同的DHCP服务器,它的DHCP服务也会起作用,这样显然不利于网络安全。在Windows 2003 Server中则不同,一台服务器即使启动了DHCP服务,如果得不到活动目录服务器的认证,DHCP服务也不会启动,会出现“找不到DHCP服务器”的错误提示。因此必须先要授权与需要进行DHCP服务的服务器。只有通过授权以后,DHCP服务才能开始生效。(4)在设置冗余的DHCP服务时,需要注意的是:网络中至少有两台Windows 2003 Server服务器,其中一台必须安装有活动目录服务(既域控制器),而且服务器之间的网络连通必须是完好的。经过这些设置
39、后,DHCP服务的冗余就得到了实现,校园网IP地址的分配问题也就得到了解决。(5)当校园网络中实现了DHCP服务的冗余而存在两台或多台DHCP服务器,并且彼此间又比较分散的时候,如果分别对每一台DHCP服务器进行单独管理,不仅工作量较大,而且会给管理带来困难。其实,我们可以选择其中一台DHCP服务器作为管理服务器,用它来管理其他的DHCP服务器。因此,只要把其他的DHCP服务器添加到管理服务器的DHCP控制台内,就可以利用这台管理服务器对其他的DHCP服务器进行管理了。实现的方法如图3-11。图3-11添加服务器在充当管理服务器的一台DHCP服务器上选择“开始程序管理工具DHCP”,打开DHC
40、P控制台窗口。在DHCP窗口选择“树”目录中的“DHCP”,然后单击鼠标右键,在出现的快捷菜单中选择“添加服务器”选项,出现如附图所示的窗口。在对话框的“此服务器”下方选择一台DHCP服务器(当然此服务器必须是在运行状态),然后单击确定按钮,就显示了新添加的DHCP服务器。如果网络中还有其他的DHCP服务器,可以用同样的方法将它们添加到这台服务器的DHCP控制台中。经过以上设置后,网络管理员就可以通过一台服务器来控制多台服务器,在提高了工作效率的同时还大大减轻了工作强度。第四章 DHCP服务器的安全设计4.1 DHCP服务器安全防范及要求4.1.1 安全防范一个安全的DHCP服务器应该具有可靠
41、性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全,还要保护数据安全等。因此针对计算机网络本身可能存在的安全问题,实施网络安全保护方案以确保计算机网络自身的安全性是每一个计算机网络都要认真对待的一个重要问题。网络安全防范的重点主要有两个方面:一是计算机病毒,二是黑客犯罪。计算机病毒是我们大家都比较熟悉的一种危害计算机系统和网络安全的破坏性程序。黑客犯罪是指个别人利用计算机高科技手段,盗取密码侵入他人计算机网络,非法获得信息、盗用特权等,如非法转移银行资金、盗用他人银行帐号购物等。随着网络经济的发展和电子商务的展开,严防黑客入侵、切实保障网络交易
42、的安全,不仅关系到个人的资金安全、商家的货物安全,还关系到国家的经济安全、国家经济秩序的稳定问题,因此各级组织和部门必须给予高度重视。4.1.2 安全防范的要求(1)个人用户的安全要求个人用户在接入网络之后,个人用户的隐私和机密信息,以及数据传输的完整性,真实性都应该受到保护,避免出现信息窃听,假冒,破坏,以及非授权使用,诽谤等。(2)服务端的安全要求向用户提供安全,真实,完整的信息数据,保证访问服务安全,确保自身服务器的安全,防止病毒的感染,防止被动攻击,主动攻击,物理临近攻击,内部人员攻击,分发攻击等非法网络攻击与入侵行为。4.2 DHCP服务器杀毒软件的选择卡巴斯基反病毒服务器版生产厂商
43、: KASPERSKY/卡巴斯基市场定位: 针对企业用户 硬件要求: PC兼容机Intel R 80 486DX 66MHz或更高,最少32 MB RAM,最少25MB硬盘空间,Microsoft Internet Explorer (IE) 4.01或更高版运行平台: Windows NT/2000/2003 Server,Linux Server,Novell Netware,Solaris (Intel-based) FreeBSD/OpenBSD/BSDi。针对中小型企业用户的卡巴斯基服务器版的反病毒软件,使用了最新的卡巴斯基实验室的技术成果。它提供了所有类型的抗病毒防护:抗病毒扫描仪
44、,监控器,行为阻段和完全检验。它支持几乎是所有的普通操作系统、e-mail 通路和防火墙。Kaspersky控制所有可能的病毒进入端口,它强大的功能和局部灵活性以及网络管理工具为自动信息搜索、中央安装和病毒防护控制提供最大的便利和最少的时间来建构你的抗病毒分离墙。4.3 DHCP服务器防火墙的选择瑞星2007服务器版防火墙。保护网络安全,免受黑客攻击,内嵌“木马墙”技术,彻底解决账号、密码丢失问题,可疑文件定位列出系统正在运行的所有进程,使病毒无以遁形,内置细化的规则设置,使网络保护更加智能,IP攻击追踪,使用户在面对黑客攻击时变为“主动出击”。通过过滤不安全的网络访问服务,极大地提高了用户电
45、脑的上网安全,瑞星防火墙不仅提供了通用防火墙的所有功能,还集成了主动式的入侵检测功能、VPN功能、网关防毒、网络防病毒等功能,多个安全产品同时工作,起到多重安全保护的功能。硬件防火墙的选择根据学校具体网络规模和经济实力,硬件防火墙选择思科的Cisco Secure PIX 525企业级硬件防火墙。其主要特性和优点:Cisco端到端的解决方案的组成部分 ,允许各无缝的网络基础设施扩展到分支机构;最低的拥有成本安装、配置简单,网络中断时间更少;允许透明地支持Internet多媒体应用;非UNIX的安全、实时和嵌入式系统消除了通用操作系统所带来的风险,提供了突出的性能;基于标准的虚拟专网使管理员可以
46、降低通过Internet或其它公共IP网络将移动用户和远程站点与企业网络相连的成本;自适应安全算法为所有的TCP/IP对话提供静态安全性,以保护敏感的保密资源;静态故障切换/热备用提供高可用性,使网络可靠性最大;网络地址转换(NAT)节省宝贵的IP地址;扩展网络地址空间;隐藏IP地址,使之不被外部得到;截断通过代理提供业界最高的认证性能;通过重新使用现有认证数据库降低拥有成本;多种网络接口卡为Web和所有其它的公共访问服务器、与不同合作伙伴的多种外部网链路、得到保护的记录和URL过滤服务器提供强大的安全性;支持多达28万个同时连接部署很少的防火墙就能极大地提高代理服务器的性能;防止拒绝服务攻击
47、保护防火墙及其后面的服务器和客户机不受破坏性的黑客攻击;持各种应用全面降低防火墙对网络用户的影响;Java Applet过滤使防火墙可以在每个客户机或每个IP地址上终止具有潜在危险的Java应用;无需特殊的客户机配置;设置简单只需6条命令就能实现一般的安全策略;紧凑设计可以更加容易地部署在桌面或更小的办公设置中。4.4 DHCP服务器的安全配置(1)启用DHCP审核记录以Windows2003服务器为例,依次点击“开始程序管理工具DHCP”后,弹出DHCP控制台窗口,右键点击你的服务器,在菜单中选择“属性”,弹出属性设置对话框,切换到“常规”标签页,确保一定要选中“启用DHCP审核记录”选项,最后点击“确定”按钮就启用了DHCP服务器的审核记录,它的日志文件默认保存在“C:WINNTSystem32dhcp”目录下。为了防止“不法之徒”恶意删除日志,可以修改DHCP日志文件的存放路径。切换到“
