打开文本图片集

摘要： 本文介绍在内网虚拟化企业云平台上基于Windows Server2012系统下的DHCP服务器安装配置实例，详细介绍在虚拟化DHCP服务器下运用作用域、策略和筛选器实现DHCP+IP+MAC绑定的配置。介绍了交换机SNMP、DHCP SNOOPING技术实现网络采集和安全转发的应用配置，进一步提出采用防火墙安全策略和流量控制设备实现对入网设备的准入和流量控制。有效掌控内网主机IP地址改变带来的故障主机定位难问题，有效管控入网设备和防止网络近源攻击。以确保对内部网络设备的安全监控和管理。

关键词： 虚拟化平台；DHCP服务器；IP+MAC绑定及自动获取；SNMP；防火墙技术；流控

在TCP/IP的内部网络中， 设备必须获取唯一的、独立的IP地址后， 才能和其他设备进行通信. 在大型企业网络中，企业通常采用静态IP地址， 如果采用静态IP地址来说，则会面临IP地址冲突问题。企业或者部署DHCP服务器用于动态分配IP地址，也会存地终端IP地经常在改变，在出现网络安全事件通报时定位难，定位时间长等问题。然而以前的DHCP动态分配方式不是有效的管理，它没有对IP+MAC进行绑定，同时也不能限制手动去更改IP的用户接入网络。

为了保证企业网络终端的安全可控、安全和准入，本文结合企业实际应用现有网络安全技术， 设计了基于DHCP+MAC+IP地址绑定，同进结合防火墙和流量控制技术，对企业的内部网络设备入网进行管理和控制，有效管理和监控内部网络设备与互联网的交互、流量、日志和互联网准入。解决企业内部网络多终端、多网段的网络安全管理和准入问题。

1、DHCP服务工作原理

DHCP工作在C/S模式下， 并采用租赁的方式分配IP地址给接入网络的设备， 当终端设备接入网络时， 终端设备会广播一个DHCP DISCOVER消息， DHCP服务器响应这个消息， 并发送一个DHCP OFFER 消息给终端设备， 终端响应收到的第一个DHCP OFFER消息， 并向提供DHCP OFFER消息的DHCP服务器发送DHCP REQUEST消息， DHCP服务器响应并发送DHCP ACK消息进行确认， 至此设备就获得了动态分配的IP 地址。

在利用动态IP地址的过程中，无需通过计算机手工输入IP地址、DNS以及默认网关等相关信息，通过DHCP服务器实现自动化分配给客户端，计算机能够自动化获取IP地址进而避免人为输入导致错误，从一定程度上帮助工作人员减轻工作强度，提升工作效率，因此对于大中型网络来说，采用DHCP服务是比较适合的。

我们结合企业实际情况，利用DHCP服务的原理和优势，结合入网终端MAC地址，在DHCP服务器上的应用作用域、安全策略和筛选器，通过内网防火墙IP+MAC绑定，实现了只有允许和授权的终端才能获取DHCP服务器分配的IP地址，然后通过防火墙把终端IP地址添加进入绑定列表实现许可上网的功能。

2、虚拟化企业云平台及DHCP服务器搭建

整个企业内部网络管控系统基于企业现有的虚拟化企业云平台，在企业云平台上搭建DHCP服务器，安装Windows  server 2012 R2 服务器操作系统，激活服务器操作系统并对操作系统进行主机加固和安全性设置，安装杀毒软件，然后在服务器上添加和启用DHCP服务器功能，根据企业内部网段使用情况创建作用域， 然后在作用域下创建地址池、保留、作用域选项和策略，把DHCP服务器分配的地址段、DNS、网关、MAC地址与IP地址绑定的信息配置，最后在筛选器下把MAC地址与主机名加入，只有筛选器下允许的MAC地址主机才能从DHCP服务器上获取相对应的MAC地址。这样就能有效对入网终端IP的管理的控制。

3、配置网络设备的DHCP中继和DHCP SNOOPING功能

为了实现不同网段的客户端通过三层从DHCP Server获得IP地址， 须在网络设备中配置DHCP中继. 同时为了防止非授权DHCP服务器的存在和地址分配，我们通过配置网络设备的 DHCP SNOOPING功能，配置信任端口实现网络采集和安全转发的应用，保障每个网段的办公电脑能从授权的DHCP服务器获取合规的IP地址。

DHCP服务中继配置：

/***********************************/

#定义的DHCP Server

ip dhcp-server xxx.xxx.xxx.xxx（DHCP服务器IP地址）

#在交换机上开启DHCP 数据包UDP端口

ip forward-protocol udp 67

ip forward-protocol udp 68

#在三层接口下启用DHCP 中继配置

interface Vlan-interface11

ip helper-address xxx.xxx.xxx.xxx（DHCP服务器IP地址）

/**********************************/

DHCP服务SNOOPING配置：

/***********************************/

#中心交换机和接入交换机上启用DHCP SNOOPING

dhcp snooping enable

#在信任接口下启用DHCP SNOOPING

interface GigabitEthernet 1/0/49

dhcp-snooping trust

/**********************************/

4、SNMP管理及防火墙策略配置

通过在内网防火墙上配置接口和安全域，把互联网的接口接入到相关区安全域，自定义添加IP地址组和服务器，在策略配置中配置IP-MAC绑定策略，在绑定列表中把准许访问互联网的IP和MAC地址添加进入列表，然后在IP地址策略中把企业内网的哑终端（打印机，摄像头等）限制访问互联网。配置SNMP主动探测，配置跨三层IP-MAC绑定配置，设置主机地址、OID、SNMP版本和团体字，防火墙算法就可以通过跨三层探测结果比对相关的IP地址和MAC地址信息，防火墙策略会根据对比信息与绑定列表是否一致，一致就放行上网，不一致就把相关数据包丢弃，拒绝终端上网。

SNMP服务配置：

/***********************************/

#在三层核心交换机上启用SNMP

snmp-server start

snmp-server view default 1.3.6.1 include

snmp-server community public view default ro

snmp-server community public view default rw

#SNMP信息发送到SNMP接收的防火墙上

snmp-server enable traps

snmp-server host xxx.xxx.xxx.xxx（snmp接收防火墙IP地址） traps community public version v2c

/**********************************/

5、终端流量控制及设置

通过布置流量控制设备实现对总出口和单个用户的流量控制，对特殊应用终端的IP地址进行保障带宽策略，单个IP地址实施最大带宽限制策略，根据企业的总体带宽对单个IP进行带宽分配和限制，从而在整体上有效分配网络带宽资源，保障重要业务出口访问和局域网内整体出口访问速度。

企业内部网络联网终端配置为DHCP自动获取模式，网络终端会自动从DHCP服务器上获取到授权的IP地址，如果联网终端DHCP地址失效，可以通过开始—运行—CMD，然后在命令提示符下输入命令来释放联网终端以前获取的DHCP IP地址，清理缓存和重新获取已授权和绑定MAC地址的IP地址。

6结束语

通过基于DHCP+MAC+IP地址绑定并结合防火墙技术、流量控制设备的内部网络管控系统配置与实现，防止由于人工手工操作导致IP地址设置造成的错误，同时也能够有效避免将一IP地址分配给多台计算机形成的地址冲突问题，能经济高效的解决企业未绑定IP+MAC地址，主机IP地址随时改变、故障主机定位难、 网络设备入网未进行有效区分管理、新接入设备未能在技术上进行上网登记和管控等诸多问题。减少企业办公网络的暴露面，消除办公网络中不安全隐患和缺陷。有效管理和控制企业入网设备和防止网络安全中的近源攻击，保障了内部网络设备的网络安全接入，有利于企业网络安全的监控和管理。

参考文献

[1]刘侃.DHCP中继实验基于Packet Tracer的设计与实现[J].电脑与信息技术，2019，027（004）：33-35.

[2]刘景云.Windows Server中DHCP服务的妙用[J].电脑知识与技术（经验技巧），2020（6）.

[3]万春艳.DHCP完全系统架构的研究.杭州：浙江大学，2007.

[4]刘婷婷.Windows系统下DHCP服务器配置与实现分析.知网，2021.

作者简介

刘兴全（1980—），男，本科，网络规划师、信息系统项目管理师、网络工程师、CISP，主要从事电力计算机监测控制系统网络安全及信息通讯运维工作。