现在一个单位局域网用户一般几十上百用户,这么多终端用户,如何保证畅通上网,让网络高效运行,本人根据多年的实践工作经验:设定固定IP及IP-MAC双向绑定是最优选择,理由如下:
一、 可以加快计算机启动时间
操作系统在开机之后自动检测电脑是否联入局域网,如果在网络连接中设置的是自动获取IP地址,系统为了给该机指派一个IP地址就会花很长的时间来搜索DHCP服务器,直到获得IP地址或者服务超时才会停止,这期间即使来到桌面,双击程序也没有任何反映。这也就是很多使用用户反映的进入桌面后出现“死机”10几秒钟的问题!但如果为“本地连接”人工指派一个IP地址就可以简单的解决这个问题,避免系统每次开机的自动网络检测,从而加速启动。
二、 避免局域网内非法DHCP存在,导致自动获取IP无法上网
案例说明:我们单位连接了很多家庭用户,有人接入了普通的家用路由器,并启用了DHCP分配功能,导致经常有那么几个用户获取到192.168.1.xxx的IP,我们内部建有DHCP服务器自动分配的,网段是192.168.0.xxx ,造成获取192.168.1开头的用户无法联网,
现在的企业网络结构,基本上都是内网外网并存。那么在使用DHCP服务器的时候,就有可能出现内网非法DHCP服务器等相关的问题。所以这里我们就来详细探讨一下有关内容。如果公司内网由于用户自行安装了Windows Server版本的操作系统而小心启用了DHCP服务,或其他因素在内网中出现了非授权的DHCP服务器,会给网络造成什么样的影响呢?
DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS 等网络参数,简化了用户网络设置,提高了管理效率。但是,此时如果服务器和客户端没有认证机制,网络上存在的非法的DHCP服务器将会给部分主机的地址分配、网关及DNS参数照成混乱,导致主机无法连接到外部网络。当然,出现这种情况,有很多用户都有自己的解决办法.
1:可以尝试使用ipconfig /release释放获得的网络参数后,然后用ipconfig /renew重新尝试获取正确的DHCP服务器配置服务,但这种方法很被动,往往要十几次甚至几十次才偶尔有可能成功一次,不能从根本解决问题。
2:在windows系统组建的网络中,如果内网非法DHCP服务器也是用Windows系统建立的话我们可以通过“域”的方式对非法DHCP服务器进行过滤。将合法的DHCP服务器添加到活动目录(Active Directory)中,通过这种认证方式就可以有效的制止内网非法DHCP服务器了。原理就是没有加入域中的DHCP Server在相应请求前,会向网络中的其他DHCP Server发送DHCPINFORM查询包,如果其他DHCP Server有响应,那么这个DHCP Server就不能对客户的要求作相应,也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器要高。这样当合法DHCP存在时非法的就不起任何作用了。但是该方法只适用于内网非法DHCP服务器是windows系统,需要用到域和活动目录,配置较复杂,另外对于非Windows的操作系统,就显得力不从心了。
3:就是利用交换机的DHCP监听,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,也就是过滤掉非法DHCP服务器向网络上发送的数据包。首先定义交换机上的信任端口和不信任端口,将DHCP服务器所连接的端口定义为信任端口,其它连接到普通客户端的端口全部定义为不信任端口,对于不信任端口的DHCP报文进行截获和嗅探,drop掉来自这些端口的非正常 DHCP 报文,从而达到过滤内网非法DHCP服务器的目的。
尽管有以上三种方法,但明显会增加网络管理成本,而且真正行之有效的方法配置起来还很复杂,而对于提高网络运行效率也没月多大影响了.
三、 减少网络大量无用数据包的传输,从而影响网络效率
当客户端第一次在网络中获取IP时,要经过以下过程,产生数据包
1.客户发出的IP租用请求报文
2.DHCP回应的IP租用提供报文
3.客户选择IP租用报文
4.DHCP服务器发出IP租用确认报文
5.客户配置成功后发出的公告报文
至此一个客户获取IP的DHCP服务过程基本结束,不过客户获取的IP一般是用租期,到期前需要更新租期,这个过程是通过租用更新数据包来完成的。当租期达到一定时间后,又要进行更新连接.
客户IP租用更新报文,产生数据包
(1)在当前租期已过去50%时,DHCP客户机直接向为其提供IP地址的DHCP服务器发送DHCPREQUEST消息包。如果客户机接收到该服务器回应的DHCPACK消息包,客户机就根据包中所提供的新的租期以及其它已经更新的TCP/IP参数,更新自己的配置,IP租用更新完成。如果没收到该服务器的回复,则客户机继续使用现有的IP地址,因为当前租期还有50%。
(2)如果在租期过去50%时未能成功更新,则客户机将在当前租期过去87.5%时再次向为其提供IP地址的DHCP联系。如果联系不成功,则重新开始IP租用过程。
(3)如果DHCP客户机重新启动时,它将尝试更新上次关机时拥有的IP租用。如果更新未能成功,客户机将尝试联系现有IP租用中列出的缺省网关。如果联系成功且租用尚未到期,客户机则认为自己仍然位于与它获得现有IP租用时相同的子网上(没有被移走)继续使用现有IP地址。 如果未能与缺省网关联系成功,客户机则认为自己已经被移到不同的子网上,将会开始新一轮的IP租用过程。
DHCP客户机在发出IP租用请求的DHCPDISCOVER广播包后,将花费1秒钟的时间等待DHCP服务器的回应,如果1秒钟没有服务器的回应,它会将这一广播包重新广播四次(以2,4,8和16秒为间隔,加上1~1000毫秒之间随机长度的时间)。四次之后,如果仍未能收到服务器的回应,则运行Windows 2000的DHCP客户机将从169.254.0.0/16这个自动保留的私有IP地址(APIPA)中选用一个IP地址,而运行其他操作系统的DHCP客户机将无法获得IP地址。DHCP客户机仍然每隔5分钟重新广播一次,如果收到某个服务器的回应,则继续IP租用过程。
从以直过程可以看出,客户端要在网络中自动获取IP,保证网络畅通.要向网络发送大量广播数据包,找到提供DHCP的服务器,然后和它之间有很多的数据包交换来确保得到一个可用的IP。试想在同一网段内,有二百台左右的计算机都在进行如此频繁的数据包交换,对整个网络的运行肯定是有影响的。
四、 减少网络运行成本或网关负荷
一般来讲,大型公司用户数目过多,如果采取自动IP,会专门设立一台DHCP服务器,以保证网络畅通运行,但一时DHCP服务器出现故障,整个网络将陷入混乱。如果规模小的公司,可能直接在网关(路由器)上开启DHCP服务,这无疑大大增加了网关的负荷,影响网络运行效率。
五、 可以完全预防ARP病毒的攻击
ARP病毒可让我们苦恼了一阵子,即便现在,对于初入网络的朋友来讲,如果不做好防范,仍然是头痛的事。当然,现在大多功能软件都集成了ARP绑定功能,将本网段内的网关IP-MAC绑定了。但如果是自动获取IP,是无法在路由器段绑定客房端的IP-MAC,这样给ARP欺骗病毒有了可乘之机。它可以直接攻击路由器,向它发送一个虚拟的客户端的MAC-IP,这样就达到欺骗的目.让用户和管理员防不胜防,不知所措.
六、 有助于方便排除网络故障
一旦局域网内出现了网络不能,或者某台客户机有意无意中毒或木马造成网络故障,查找起来很是麻烦,因IP不固定,即使锁定了IP,也不知道具体的物理位置,如果是固定IP,可以根据IP很快锁定故障客户机的物理位置。
不足之处:当然固定IP的设定,会给笔记本用户还来不必要的麻烦:比如换了网络环境,需要更改相应网络设置。但是为确保整个网络高效安全运行,这个麻烦还是值的。

文章如转载,请注明转载自:http://www.5iadmin.com/post/926.html