網(wǎng)絡構建中，我們通常會使用交換機來構建DHCP服務器。那么針對在局域網(wǎng)工作環(huán)境中，遭遇網(wǎng)絡病毒襲擊總是不可避免的事情，一旦工作站意外感染了網(wǎng)絡病毒，那么它就不能正常上網(wǎng)訪問了。

此外，用戶要是隨意改變IP地址時，局域網(wǎng)中就容易出現(xiàn)IP地址沖突故障現(xiàn)象，一旦發(fā)生這樣的故障現(xiàn)象，工作站也將不能正常上網(wǎng)訪問。為了控制上網(wǎng)訪問穩(wěn)定性，本文現(xiàn)在就從實戰(zhàn)案例出發(fā)，巧妙利用單位局域網(wǎng)三層交換機中的DHCP中繼代理功能，讓普通工作站遠離ARP病毒以及IP地址頻繁沖突故障!

案例要求

某大樓局域網(wǎng)大約擁有1000個左右的網(wǎng)絡節(jié)點，這些節(jié)點平均分布在25層樓上，每一個樓層的網(wǎng)絡節(jié)點全部使用六類千兆雙絞線線路連接到H3C 型號的S3502系列二層交換機上，而所有二層交換機又通過千兆光線線路直接連接到單位局域網(wǎng)的H3C型號S8500系列的核心交換機上;為了方便大樓網(wǎng)絡的管理維護，網(wǎng)絡管理員為這些1000多個節(jié)點劃分了若干個VLAN。由于大樓網(wǎng)絡使用的核心交換機不支持DHCP地址分配功能，網(wǎng)絡管理員特意安裝架設了Windows 2003服務器，并在其中部署了DHCP服務器。

剛開始的時候，大樓局域網(wǎng)一直能夠正常地運行;可是沒有多長時間，局域網(wǎng)中就頻繁地出現(xiàn)由于ARP病毒攻擊和 IP地址沖突而無法上網(wǎng)的故障現(xiàn)象，每次出現(xiàn)這些現(xiàn)象，網(wǎng)絡管理員都馬不停蹄地在各個樓層中來回穿梭。很顯然，頻繁地遭遇ARP病毒攻擊和IP地址沖突現(xiàn)象，不但會讓網(wǎng)絡管理員疲于應付，而且也會讓大樓網(wǎng)絡的運行穩(wěn)定性大打折扣。有鑒于此，單位領導要求網(wǎng)絡管理員必須想辦法對大樓網(wǎng)絡的IP地址進行有效控制，確保大樓網(wǎng)絡的穩(wěn)定運行。

初步方案

為了能夠實現(xiàn)領導提出的網(wǎng)絡控制要求，大樓網(wǎng)絡的幾位網(wǎng)絡管理員分頭行動，咨詢了多家單位的相關解決方案，也上網(wǎng)查詢了不少內容資料，不過這些解決方案或內容資料都不怎么適合單位的大樓網(wǎng)絡。后來，網(wǎng)絡管理員們經(jīng)過認真分析與討論，決定在不增加任何投資的情況下，利用單位網(wǎng)絡中核心交換機上的靜態(tài)ARP表功能，來對局域網(wǎng)中的所有IP地址與網(wǎng)卡物理地址進行綁定操作，以便禁止任何上網(wǎng)用戶隨意更改工作站的IP地址;可是轉念一想，對于一個包含 1000多個節(jié)點的大型局域網(wǎng)，除了要手工統(tǒng)計所有工作站的網(wǎng)卡物理地址以及IP地址外，而且還要將它們的對應關系手工添加到核心交換機的靜態(tài)ARP表中，更麻煩的是這些普通工作站可能還會處于不斷更新、變化之中，所以這種應對方案實施起來相當麻煩。再說了，對于H3C型號S8500系列的核心交換機來說，其靜態(tài)ARP表功能支持的記錄也沒有1000多條，最終這種方案不了了之。

新的方案

由于不能額外增加投資，網(wǎng)絡管理員自然也不會指望專業(yè)工具或專業(yè)設備的幫忙，只能寄希望于大樓網(wǎng)絡現(xiàn)有的網(wǎng)絡設備了;于是，網(wǎng)絡管理員開始查閱 H3C型號S8500核心交換機的操作說明書，經(jīng)過仔細查閱，網(wǎng)絡管理員找到了該交換機支持DHCP中繼代理功能的線索，從該線索的描述信息中，網(wǎng)絡管理員得知當普通工作站通過核心交換機的DHCP中繼代理功能，訪問局域網(wǎng)的DHCP服務器并從中獲得有效IP地址的過程中，該中繼代理功能能夠把普通工作站的IP地址與網(wǎng)卡物理地址的動態(tài)對應關系自動記錄保存下來，同時自動生成動態(tài)用戶地址記錄表項。

此外，核心交換機的DHCP中繼代理功能也允許用戶手工輸入IP地址與網(wǎng)卡物理地址對應關系記錄，并生成靜態(tài)用戶地址記錄表項。為了控制網(wǎng)絡接入安全，網(wǎng)絡管理員決定啟用DHCP中繼代理功能，并對支持DHCP中繼代理的地址啟用地址匹配檢查功能，來限制非法用戶或包含病毒的計算機隨意配置一個 IP地址就能自由接入網(wǎng)絡的現(xiàn)象;日后，只要普通工作站的IP地址與網(wǎng)卡物理地址關系記錄，沒有出現(xiàn)在DHCP中繼的動態(tài)地址或靜態(tài)地址記錄表項中，那么該工作站就不能通過DHCP服務器，自由接入到單位大樓網(wǎng)絡中，如此一來就能控制大樓網(wǎng)絡的運行穩(wěn)定性了。

方案實施

選好了合適方案后，實施起來自然也就不那么困難了。由于DHCP中繼代理功能只對VLAN有效，我們必須對每一個VLAN進行相同的控制設置，才能讓對應VLAN中的工作站始終穩(wěn)定上網(wǎng)訪問;為了方便敘述，本文就以控制VLAN 1的上網(wǎng)穩(wěn)定性為操作藍本，向各位朋友詳細敘述一下具體的方案實施步驟：

首先以系統(tǒng)管理員權限進入DHCP服務器所在的主機系統(tǒng)，打開對應系統(tǒng)的DHCP控制臺窗口，再進入對應VLAN 1的作用域屬性設置對話框，在其中根據(jù)每一個虛擬網(wǎng)絡節(jié)點數(shù)的多少將VLAN 1的地址池以及其他參數(shù)設置好，這里就不重點敘述了;其次遠程登錄進核心交換機的后臺管理界面，在該界面的命令行中執(zhí)行“sys”命令，將后臺系統(tǒng)切換到系統(tǒng)全局配置狀態(tài)，在該配置狀態(tài)下繼續(xù)執(zhí)行“inter vlan-interface 1”命令，將系統(tǒng)切換到VLAN 1接口模式狀態(tài);

下面在VLAN 1接口模式狀態(tài)下，我們輸入字符串命令“dhcp relay address-check enable”，單擊回車鍵后，VLAN 1接口就能正常使用DHCP中繼的地址匹配檢查功能了;一旦啟用了該功能后，普通工作站就不能隨意配置IP地址進行自由上網(wǎng)了，那么網(wǎng)絡運行的安全性與穩(wěn)定性也就得到有效保證了。

當然，局域網(wǎng)中有一些重要的計算機必需要使用靜態(tài)的IP地址才能上網(wǎng)，為了保證該地址不被其他人隨意搶用，我們可以采用手工方法將靜態(tài)IP地址與重要主機的網(wǎng)卡物理地址綁定關系添加到DHCP中繼功能的靜態(tài)用戶地址配置條目中，這樣一來重要主機就能一直使用靜態(tài)地址進行穩(wěn)定地上網(wǎng)訪問了;例如，要將10.176.1.3地址與55-66-88-77-33-77地址的對應關系添加到DHCP中繼功能的靜態(tài)用戶地址配置條目中時，可以在VLAN 1接口模式狀態(tài)下，執(zhí)行“dhcp relay security static 10.176.1.3 55-66-88-77-33-77”命令就可以了。