基于DHCP的局域网地址绑定技术研究与应用

刘志刚+戴昭+魏晓光+万光明

【摘要】 本文介绍了一种基于DHCP技术的局域网地址绑定方法，基于局域网终端动态和静态两种IP地址获取方式，利用网络交换机作为DHCP中继代理，在DHCP服务器上设置终端IP与MAC地址绑定，实现了局域网IP地址与终端的高效管理，同时避免了IP地址容易被他人占用、非法DHCP服务器干扰等安全性问题。

【关键词】 DHCP 地址 绑定

一、引言

DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）常被用于局域网集中管理IP地址分配，网络终端动态获取IP地址、网关、DNS服务器地址等信息。本文介绍了一种基于DHCP的局域网地址绑定技术，终端从DHCP服务器获取IP地址，却无法冒用其它用户的IP，从而实现了局域网IP和MAC地址绑定。

二、DHCP服务器地址分配方式

DHCP服务有三种IP地址机制分配：1、自动永久分配方式。DHCP服务器为终端自动分配一个永久性的IP地址，DHCP客户端成功从服务器租用到IP地址后就可以永久性的使用该地址。2、动态分配方式。DHCP服务器为终端动态分配一个有时间限制的IP地址，到期或终端不再续约时，该地址可以被其他主机使用。3、手工固定分配方式。终端的IP和MAC地址是预先配置在DHCP服务器上的，DHCP服务器只是将指定的IP地址分配给相应MAC地址的终端。

三、DHCP中继代理

DHCP终端与DHCP服务器在同一个VLAN，终端方可正确地获得服务器分配的IP地址。如果不在同一个VLAN，就需要通过DHCP中继代理（DHCP Relay Agent）来实现，DHCP中继代理可以把其它子网终端DHCP消息到传递给服务器，也可以将服务器的消息传回给不在同一个子网的DHCP终端。DHCP中继的原理是当DHCP客户端初始化时，它会在本机所在VLAN广播请求报文，如果存在DHCP服务器，则可以直接获取到DHCP 配置，如果本地网络没有DHCP服务器，该广播报文会被DHCP中继代理接收，然后转发给预先配置的DHCP服务器，从而完成DHCP地址分配。在局域网中最适合做DHCP中继代理的设备，就是终端设备IP网关所在的核心或汇聚交换机。

四、交换机配置

1、启用DHCP中继。在交换机上配置DHCP中继，以华三交换机为例有以下几个步骤：1）启用DHCP服务。2）配置VLAN Interface接口工作在DHCP中继模式。处于DHCP中继模式的VLAN虚接口工作，当收到DHCP客户端发来的报文时，会将报文转发给DHCP服务器。3）指定DHCP服务器的IP地址。为了提高获取IP地址的可靠性，需要在局域网DHCP中继代理上配置多个 DHCP 服务器，当 DHCP 中继收到某一终端发来的DHCP报文时，会同时转发给所有的DHCP服务器。指定DHCP服务器的IP地址不能与作为DHCP中继的虚接口IP地址在同一网段，否则可能导致终端无法获得IP地址。

2、启用DHCP Snooping。由于本地网络的DHCP报文是广播方式通信的，终端无法鉴别DHCP服务器的合法性。网络中如果存在私自架设的非法DHCP服务器，可能导致DHCP客户端获取到错误的IP地址和网络配置参数，导致终端无法正常上网。为了使避免DHCP 终端从非法的DHCP服务器那里获取IP地址，DHCP Snooping 安全机制允许将端口设置为信任端口和非信任端口，信任端口正常转发接收到的 DHCP 报文， 不信任端口接收到DHCP服务器响应的DHCP-ACK和DHCP-OFFER报文后丢弃。在 DHCP Snooping设备上指向DHCP服务器方向的端口需要设置为信任端口，其他端口设置为非信任端口，从而保证DHCP客户端只能从合法的DHCP服务器获取IP地址，而私自架设的伪DHCP服务器无法为DHCP客户端分配 IP 地址。

3、终端IP和MAC地址绑定。1）交换机启用地址匹配检查。为了防止非法主机修改静态IP 地址并访问外部网络，必须启用 DHCP 中继的地址匹配检查功能。启用该功能后，当客户端通过DHCP中继从DHCP 服务器获取到IP地址时，DHCP中继可以自动记录客户端IP地址与硬件地址的绑定关系，生成DHCP中继的用户地址表项。2）静态DHCP地址匹配表项。为满足用户采用静态配置 IP 地址的需求，DHCP中继也支持静态配置用户地址表项，在 DHCP 中继上手工配置 IP 地址与 MAC 地址的绑定关系。静态IP分配终端由于不发送DHCP报文，所以只有配置了DHCP relay security static表項之后网络才可以通，动态IP分配终端可以不用配置。

3、配置DHCP中继动态用户地址表项定时刷新功能。DHCP 终端释放动态获取的IP地址时，会向DHCP服务器单播发送 DHCP-RELEASE 报文，DHCP中继不会处理该报文的内容。如果此时DHCP中继上记录了该IP地址与MAC地址的绑定关系，则会造成DHCP中继的用户地址表项无法实时刷新，而发生网络中断。

结语：基于DHCP的交换机地址绑定技术，不仅为局域网IP管理带来方便快捷，而且在提升网络接入安全管理水平方面也发挥了重要作用。

参 考 文 献

[1] 陈平仲 .大型局域网中IP地址非法使用解决方案探讨 [J].计算机系统应用，2006（4）

[2] 贾小东，孙向辉，彭四伟 .DHCP协议缺点及其解决方案 [J].计算机工程，2007， 33（23）