多VLAN环境中DHCP服务的实现
转载:FreeXploiT
在对网络进行升级改造时,必须考虑到各个方面,而如何在多VLAN环境中实现DHCP服务就是其中之一。
原理
使用DHCP方式获取IP地址需要利用广播数据包,按正常情况,DHCP服务只能在同一广播域内实现。而VLAN的建立就是为了隔离广播包,为什么在三层交换机上可以实现DHCP的跨网段呢?这需要我们将DHCP请求的广播数据包转化为单播请求,才会通过三层路由把请求转发到DHCP服务器所在的VLAN,进而实现DHCP的跨VLAN服务。
实现方法
为了实现跨VLAN的DHCP服务,需要从两方面入手,一方面要在交换机上指明DHCP服务器的IP地址,另一方面要在DHCP服务器上创建新的作用域。
下面以Cisco的Catlyst 4506为例介绍具体的操作步骤:
1.在交换机上配置DHCP服务器:
ip dhcp-server 192.168.0.69
2.在交换机中为每个VLAN设置同样的DHCP服务器的IP地址:
interface Vlan11
ip address 192.168.1.254 255.255.255.0
ip helper-address 192.168.0.69 DHCP Server IP
interface Vlan12
ip address 192.168.2.254 255.255.255.0
ip helper-address 192.168.0.69 DHCP Server IP
3.在DHCP服务器上设置网络地址分别为192.168.1.0、192.168.2.0的作用域,并将这些作用域的"路由器"选项设置为对应VLAN的接口IP地址。
用网络设备构筑"铜墙铁壁"
笔者在路由器和交换机上进行ACL(访问控制列表)配置来防范病毒和黑客攻击,效果非常好。经过配置后,在很多主机没打相应补丁的情况下,各网络设备有效地阻止了震荡波的攻击。
由于病毒(特别是系统漏洞病毒)都是利用相应端口进行传播与攻击的,所以我们可以考虑通过在路由器或交换机上设置相应的ACL进行防范。
我们以Cisco产品为例进行说明,具体ACL配置如下:
access-list 101 permit tcp any any established
这个命令是建立一个ACL,它只容许已经建立的连接从外向里传输数据,而对于事先没有建立的连接将被拒绝进行数据传输。最后再把ACL绑定到相应的端口就可以达到预防病毒的目的了。
现在让我们来看看如何利用这一技术迎战震荡波。公司很多计算机没有打补丁,这样外部感染了震荡波的主机会通过445、5554和9996这3个端口向内部主机传播病毒。由于我们设置了ACL,所以当外部的病毒主动向内部445、5554、9996端口传输时,这些数据会被路由器过滤掉,实现真正的防患于未然。而这样的设置对内网中的用户使用网络没有任何影响。
提示
1.由于established语句只支持TCP协议,所以如果公司要传输DNS等信息,还要设置相应的ACL语句把UDP的传输打开,格式为access-list 101 permit udp any any。
2.这样设置之后用户会抱怨FTP使用不了,因为FTP密码验证和数据传输使用的不是同一个端口,密码验证用21端口,而数据传输用20端口,所以我们也要加上相应的ACL,格式为access-list 101 permit tcp any any eq ftp-data或access-list 101 permit tcp any any eq 20。
借助路由器防范恶意攻击nt漏洞
除了ADSL拨号上网外,小区宽带上网也是很普遍的上网方式。如果你采用的是小区宽带上网,是否觉得路由器仅仅就是个上网工具呢?其实不然,利用好你的路由器,还能够防范黑客的攻击呢。下面就让我们来实战一番。
目的:限制外部电脑连接本小区的192.168.0.1这台主机的23(telnet)、80(www)、3128等Port。
前提:Router接内部网络的接口是Ethernet0/1,每一个命令之后按Enter执行,以Cisco路由为准。
步骤1 在开始菜单中选择运行,在弹出的对话框中输入"cmd"并回车,出现窗口后,在提示符下连接路由器,指令格式为"telnet 路由器IP地址"。当屏幕上要求输入telnet password时多数路由器显示的是"Login"字样,输入密码并确认无误后,再输入指令enable,屏幕上显示要求输入enable password时输入密码。
提示:这两个密码一般由路由器生产厂商或者经销商提供,可以打电话查询。
步骤2 输入指令Router# configure termihal即可进入路由器的配置模式,只有在该模式下才能对路由器进行设置。
步骤3 进入配置模式后,输入指令Router(config)#access -list 101 deny tcp any host 192.168.0.1 eq telnet,该指令的作用是设定访问列表access list,该命令表示拒绝连接到IP地址为192.168.0.1的主机的属于端口Port 23(telnet)的任何请求。
步骤4 输入Router config#aecess -list 101 deny tcp any host 192.168.0.1 eq www 指令以拒绝来自任何地方对IP地址为192.168.0.1的主机的属于端口80(www)的请求。
步骤5 最后需要拒绝的是来自任何地方对IP地址为192.168.0.1的主机属于端口3128的访问,这需要输入指令Routerconfig#access list 101 deny tcp any host 192.168.0.1 eq 3128来完成。
步骤6 到此,已经设置好我们预期的访问列表了,但是,为了让其他的所有IP能够顺利访问,我们还需要输入Routerconfig#aceess -list 101 permit ip any any来允许其他访问请求。
但是,为了让路由器能够执行我们所做的访问列表,我们还需要把这个列表加入到接口检查程序,具体操作如下。
输入指令Routerconfig#interface eO/1进入接口interface ethernet 0/1,然后键入指令Routerconfig-if#ip access-group 101 out 将访问列表实行于此接口上。这样一来,任何要离开接口的TCP封包,均须经过此访问列表规则的检查,即来自任何地方对IP地址为192.168.0.1的主机,端口(port)属于telnet(23),www(80),3128的访问一律拒绝通过。最后,输入指令write将设定写入启动配置,就大功告成了。
这样一来,你的主机就安全多了,虽然只是禁止了几个常用端口,但是能把不少搞恶作剧的人拒之门外。另外,如果看见有什么端口可能会遭到攻击或者有漏洞了,你也可以通过上面的方法来将漏洞堵住。
Windows2000 Server/Advance Server NAT共享上网路由设置
Windows 2000 Server / Advance Server 作为微软网络产品的核心,具有强大的网络管理服务功能,我们可以直接利用它们内置的路由服务功能实现局域网的共享上网,而不是使用所搭载的ICS(共享上网功能)。
在ADSL虚拟拨号环境下,对于使用模拟56K拨号的PPPoE程序,由于PPPoE始终不是标准拨号,路由服务无法确认拨号端口和设备故我们没有调试成功,对于使用模拟局域网网卡的Enternet系列下可以轻松实现,专线方式ADSL与此类似。
首先以Administrator管理员身份进入服务器,打开路由设置,如下图所示
进入"路由和远程访问"控制台以后,我们选择"配置并启用路由和远程访问",
然后进入配置向导界面,单击下一步,在公共设置中我们应为是要让服务器作为共享上网服务器,所以我们选择"Internet 连接服务器"
然后向导将让我们决定使用简单的ICS(Internet连接共享),还是功能更强大的NAT路由服务器。(ICS我们已经在本栏目介绍了).我们选择设置成为路由器
接着服务器将让我们设定所使用的连接互联网的接口,使用Enternet系列拨号的就选择 Efficient Networks P.P.P.o.E Adapter 即可,使用专线方式的那么选择连接ADSL邦定ISP提供的IP设置的网卡即可。当然如果你使用56K拨号等,则选择 "创建一个新的请求拨号Internet连接",按照新向导完成设置即可,PPPoE模拟56K拨号的存在问题还不能实现。
然后向导将提示我们DNS地址解析设置,为了正确访问Internet网址,我们选择使用Internet上的 DNS 就可以了
最后安装向导将提示你,路由服务将为局域网地址范围内用户提供NAT路由服务,一般向导能正确自动检测出来局域网地址范围,点击下一步即可完成设置。
完成设置以后我们可以在控制台看到"网络地址转换(NAT)",里面定义了内部连接和外部连接的接口,查看属性可以确认是否选择了正确的接口。
服务器设置完成以后,需要对局域网内客户机进行设置。设置方法也很简单,把网关和DNS都设置指向Windows 2000 Server/Advance Server即可
客户端我们测试了 HTTP,POP3,SMTP,FTP,MSN,ICQ,QQ2000,CouterStrike,Diablo II等多种网络应用均顺利实现共享上网,在访问某些国内网站的时候也出现了HTTP不能打开的问题,通过降低MTU数值得到解决。
转载:FreeXploiT
在对网络进行升级改造时,必须考虑到各个方面,而如何在多VLAN环境中实现DHCP服务就是其中之一。
原理
使用DHCP方式获取IP地址需要利用广播数据包,按正常情况,DHCP服务只能在同一广播域内实现。而VLAN的建立就是为了隔离广播包,为什么在三层交换机上可以实现DHCP的跨网段呢?这需要我们将DHCP请求的广播数据包转化为单播请求,才会通过三层路由把请求转发到DHCP服务器所在的VLAN,进而实现DHCP的跨VLAN服务。
实现方法
为了实现跨VLAN的DHCP服务,需要从两方面入手,一方面要在交换机上指明DHCP服务器的IP地址,另一方面要在DHCP服务器上创建新的作用域。
下面以Cisco的Catlyst 4506为例介绍具体的操作步骤:
1.在交换机上配置DHCP服务器:
ip dhcp-server 192.168.0.69
2.在交换机中为每个VLAN设置同样的DHCP服务器的IP地址:
interface Vlan11
ip address 192.168.1.254 255.255.255.0
ip helper-address 192.168.0.69 DHCP Server IP
interface Vlan12
ip address 192.168.2.254 255.255.255.0
ip helper-address 192.168.0.69 DHCP Server IP
3.在DHCP服务器上设置网络地址分别为192.168.1.0、192.168.2.0的作用域,并将这些作用域的"路由器"选项设置为对应VLAN的接口IP地址。
用网络设备构筑"铜墙铁壁"
笔者在路由器和交换机上进行ACL(访问控制列表)配置来防范病毒和黑客攻击,效果非常好。经过配置后,在很多主机没打相应补丁的情况下,各网络设备有效地阻止了震荡波的攻击。
由于病毒(特别是系统漏洞病毒)都是利用相应端口进行传播与攻击的,所以我们可以考虑通过在路由器或交换机上设置相应的ACL进行防范。
我们以Cisco产品为例进行说明,具体ACL配置如下:
access-list 101 permit tcp any any established
这个命令是建立一个ACL,它只容许已经建立的连接从外向里传输数据,而对于事先没有建立的连接将被拒绝进行数据传输。最后再把ACL绑定到相应的端口就可以达到预防病毒的目的了。
现在让我们来看看如何利用这一技术迎战震荡波。公司很多计算机没有打补丁,这样外部感染了震荡波的主机会通过445、5554和9996这3个端口向内部主机传播病毒。由于我们设置了ACL,所以当外部的病毒主动向内部445、5554、9996端口传输时,这些数据会被路由器过滤掉,实现真正的防患于未然。而这样的设置对内网中的用户使用网络没有任何影响。
提示
1.由于established语句只支持TCP协议,所以如果公司要传输DNS等信息,还要设置相应的ACL语句把UDP的传输打开,格式为access-list 101 permit udp any any。
2.这样设置之后用户会抱怨FTP使用不了,因为FTP密码验证和数据传输使用的不是同一个端口,密码验证用21端口,而数据传输用20端口,所以我们也要加上相应的ACL,格式为access-list 101 permit tcp any any eq ftp-data或access-list 101 permit tcp any any eq 20。
借助路由器防范恶意攻击nt漏洞
除了ADSL拨号上网外,小区宽带上网也是很普遍的上网方式。如果你采用的是小区宽带上网,是否觉得路由器仅仅就是个上网工具呢?其实不然,利用好你的路由器,还能够防范黑客的攻击呢。下面就让我们来实战一番。
目的:限制外部电脑连接本小区的192.168.0.1这台主机的23(telnet)、80(www)、3128等Port。
前提:Router接内部网络的接口是Ethernet0/1,每一个命令之后按Enter执行,以Cisco路由为准。
步骤1 在开始菜单中选择运行,在弹出的对话框中输入"cmd"并回车,出现窗口后,在提示符下连接路由器,指令格式为"telnet 路由器IP地址"。当屏幕上要求输入telnet password时多数路由器显示的是"Login"字样,输入密码并确认无误后,再输入指令enable,屏幕上显示要求输入enable password时输入密码。
提示:这两个密码一般由路由器生产厂商或者经销商提供,可以打电话查询。
步骤2 输入指令Router# configure termihal即可进入路由器的配置模式,只有在该模式下才能对路由器进行设置。
步骤3 进入配置模式后,输入指令Router(config)#access -list 101 deny tcp any host 192.168.0.1 eq telnet,该指令的作用是设定访问列表access list,该命令表示拒绝连接到IP地址为192.168.0.1的主机的属于端口Port 23(telnet)的任何请求。
步骤4 输入Router config#aecess -list 101 deny tcp any host 192.168.0.1 eq www 指令以拒绝来自任何地方对IP地址为192.168.0.1的主机的属于端口80(www)的请求。
步骤5 最后需要拒绝的是来自任何地方对IP地址为192.168.0.1的主机属于端口3128的访问,这需要输入指令Routerconfig#access list 101 deny tcp any host 192.168.0.1 eq 3128来完成。
步骤6 到此,已经设置好我们预期的访问列表了,但是,为了让其他的所有IP能够顺利访问,我们还需要输入Routerconfig#aceess -list 101 permit ip any any来允许其他访问请求。
但是,为了让路由器能够执行我们所做的访问列表,我们还需要把这个列表加入到接口检查程序,具体操作如下。
输入指令Routerconfig#interface eO/1进入接口interface ethernet 0/1,然后键入指令Routerconfig-if#ip access-group 101 out 将访问列表实行于此接口上。这样一来,任何要离开接口的TCP封包,均须经过此访问列表规则的检查,即来自任何地方对IP地址为192.168.0.1的主机,端口(port)属于telnet(23),www(80),3128的访问一律拒绝通过。最后,输入指令write将设定写入启动配置,就大功告成了。
这样一来,你的主机就安全多了,虽然只是禁止了几个常用端口,但是能把不少搞恶作剧的人拒之门外。另外,如果看见有什么端口可能会遭到攻击或者有漏洞了,你也可以通过上面的方法来将漏洞堵住。
Windows2000 Server/Advance Server NAT共享上网路由设置
Windows 2000 Server / Advance Server 作为微软网络产品的核心,具有强大的网络管理服务功能,我们可以直接利用它们内置的路由服务功能实现局域网的共享上网,而不是使用所搭载的ICS(共享上网功能)。
在ADSL虚拟拨号环境下,对于使用模拟56K拨号的PPPoE程序,由于PPPoE始终不是标准拨号,路由服务无法确认拨号端口和设备故我们没有调试成功,对于使用模拟局域网网卡的Enternet系列下可以轻松实现,专线方式ADSL与此类似。
首先以Administrator管理员身份进入服务器,打开路由设置,如下图所示
进入"路由和远程访问"控制台以后,我们选择"配置并启用路由和远程访问",
然后进入配置向导界面,单击下一步,在公共设置中我们应为是要让服务器作为共享上网服务器,所以我们选择"Internet 连接服务器"
然后向导将让我们决定使用简单的ICS(Internet连接共享),还是功能更强大的NAT路由服务器。(ICS我们已经在本栏目介绍了).我们选择设置成为路由器
接着服务器将让我们设定所使用的连接互联网的接口,使用Enternet系列拨号的就选择 Efficient Networks P.P.P.o.E Adapter 即可,使用专线方式的那么选择连接ADSL邦定ISP提供的IP设置的网卡即可。当然如果你使用56K拨号等,则选择 "创建一个新的请求拨号Internet连接",按照新向导完成设置即可,PPPoE模拟56K拨号的存在问题还不能实现。
然后向导将提示我们DNS地址解析设置,为了正确访问Internet网址,我们选择使用Internet上的 DNS 就可以了
最后安装向导将提示你,路由服务将为局域网地址范围内用户提供NAT路由服务,一般向导能正确自动检测出来局域网地址范围,点击下一步即可完成设置。
完成设置以后我们可以在控制台看到"网络地址转换(NAT)",里面定义了内部连接和外部连接的接口,查看属性可以确认是否选择了正确的接口。
服务器设置完成以后,需要对局域网内客户机进行设置。设置方法也很简单,把网关和DNS都设置指向Windows 2000 Server/Advance Server即可
客户端我们测试了 HTTP,POP3,SMTP,FTP,MSN,ICQ,QQ2000,CouterStrike,Diablo II等多种网络应用均顺利实现共享上网,在访问某些国内网站的时候也出现了HTTP不能打开的问题,通过降低MTU数值得到解决。
3838
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
