我们知道,一般短距离的网络互联(主要指百兆)都使用五类线,而五类线最大连接距离就是100米,如果是质量一般的网线,估计只有50米;如果是远距离的连接,就要使用光缆了,例如城域网之间的互联,都是以几十上百公里来衡量;而如果是中等距离的连接呢?例如一个校园园区或者一个工厂厂区,可能需要连接几百米的距离,这种情况如何解决?
这个问题在我们的论坛上引起过大家的热烈讨论,下面我们把诸子百家的意见逐一介绍分析一下:
意见一:用无线网络
这个想法其实是受到现在无线热点大量普及的启发,而且通过这种方式也比较简单易实现,省去了繁琐的布线工作。不过,一般的无线AP其实并不具备桥接功能,必须使用专业的无线桥接器,这种产品属于无线AP的一个分支,其工作方式跟无线AP其实非常类似,不过它支持更多的工作模式,如果要解决上面说的问题,可以使用Wireless Repeater(无线中继模式):
Wireless Repeater(无线中继模式)
中继模式不是所有的AP都支持,一般的SOHO级AP都不支持此模式,高端商用AP则大多支持。使用这种模式时,一个接入有线局域网的AP作为中心AP,根据需要可采用“AP模式”,而充当中继器的AP不接入有线网络,只接电源,使用“中继模式(Repeater)”,并填入“远程AP的MAC地址(Remote AP MAC)”即可。
中继AP将可与中心AP之间进行桥接(注意中继AP要放置在中心AP的覆盖范围内),同时也可提供自身信号覆盖范围内的客户端接入,从而延伸覆盖范围。一般中心AP最多支持四个远端中继AP接入。此时全部AP须使用相同的SSID、认证模式、密钥和信道,还要将AP的IP设置为同一网段且不要开DHCP。客户端还是会认为这是一个大范围AP,所以客户端设置还是跟单一AP的情况相同。
这种中继模式虽然使无线覆盖变得更容易和灵活,但是却需要高档AP支持,而且如果中心AP出了问题,则整个WLAN将瘫痪,冗余性无法保障。
如果需要连接的两个点距离再远一些,就可以使用加设定向天线的方式来扩大信号,这时候,中继AP就不大必要了,因为定向天线已经可以实现长距离的信号传输,所以用户可以使用点对点桥接模式。
WBridge Point to Point(点对点桥接)
其应用示意如图,两栋建筑物内各有一个局域网:LAN1和LAN2,两个AP:AP- A和AP-B使用点对点桥接模式相连。两个AP都各自连入本地LAN的交换机中,此时这两个AP起到的作用其实就相当于一根“无形的网线”和桥接器了。
A和B两个AP的设置方式相同,都是在AP的管理界面中选择“桥接模式”,并在“远程桥接MAC地址(Remote Bridge MAC)”中输入对方AP的MAC地址。注意两个AP的IP要在同一网段,且使用相同的信道,可以实现两个有线局域网之间通过无线方式的互连和资源共享,也可以实现有线网络的扩展。要注意的是,两个AP都应该采用定向天线。
意见二:使用光纤
不少网友都表示同意这个办法,因为光纤现在的价格也是10多块每米,在两点之间直接拉条光纤成本也不会太高 ;不过,大家也忽略了一个问题:光纤布线时,请人焊接收费是比较高的。
这里需要说明的就是,采用这个方案技术难度比较低,不需要复杂的设置,不过要注意光纤收发器的分类比较多,分别用于不同的场合,大家购买之前要问清楚,以免买错,造成不必要的经济损失:
光纤收发器的分类:
·按光纤性质分类:
单模光纤收发器:传输距离20公里至120公里
多模光纤收发器:传输距离2公里到5公里
·按所需光纤分类:
单纤光纤收发器:接收发送的数据在一根光纤上传输
双纤光纤收发器:接收发送的数据在一对光纤上传输
·按工作层次/速率分类:
100M以太网光纤收发器:工作在物理层
10/100M自适应以太网光纤收发器:工作在数据链路层
·按结构分类:
桌面式(独立式)光纤收发器:独立式用户端设备
机架式(模块化)光纤收发器:安装于十六槽机箱,采用集中供电方式
·按管理类型分类:
非网管型以太网光纤收发器:即插即用,通过硬件拨码开关设置电口工作模式
网管型以太网光纤收发器:支持电信级网络管理
·按电源分类:
内置电源光纤收发器:内置开关电源为电信级电源
外置电源光纤收发器:外置变压器电源多使用在民用设备上
意见三:多拉一条线,使用VPN
这个办法其实非常实用,毕竟多拉一条线成本非常低,然后通过路由器的VPN功能就能实现两地资源的共享,而且共享的安全性和可管理性也比较高。
VPN技术在近两年迅速走红,是有其独到优势的,安全和廉价就是它的最大特色,在这个方案中,有网友提出使用VPN,确实有其独到之处,跟ISP多拉一条线,收费当然是低于自己去拉条线啦;不过,对于大部分用户来说,怎么建立VPN,还是需要求助于系统集成公司,所以总体成本还要把系统集成商的收费计算在内。
关于VPN,要说的就太多了,这里只简单介绍一下两种主流的VPN技术吧:
SSL VPN
安全套接字层(Secure Socket Layer,SSL)属于高层安全机制,广泛应用于Web浏览程序和Web服务器程序。在SSL中,身份认证是基于证书的。
优点:SSL VPN技术帮助用户通过标准的Web浏览器就可以访问重要的企业应用。这使得企业员工出差时不必再携带自己的笔记本电脑,仅仅通过一台接入了Internet的计算机就能访问企业资源,这为企业提高了效率也带来了方便。
缺点:对于非web页面的文件访问,往往要借助于应用转换。有的SSL VPN产品所能支持的应用转换器和代理的数量非常少,有的能很好地支持了FTP、网络文件系统和微软文件服务器的应用转换。 但是并不能真正形成局域网对局域网的应用,形成一个大的私有网络。
从上面的分析来看,SSL VPN的部署和应用会非常方便。但是如果考虑到企业今后的应用,比如说一些网络协同开发软件的使用,一些局域网内部非基于web页面的应用,IP语音的安全应用等,则SSL VPN则可能达不到很好的支撑。
IPSec VPN
IPSec是IETF支持的标准之一,它是第三层即IP层的加密。 IPSec不是某种特殊的加密算法或认证算法,也没有在它的数据结构中指定某种特殊的加密算法或认证算法,它只是一个开放的结构,定义在IP数据包格式中,不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施。
信息产业部电信研究院通信标准研究所的专家何宝宏曾经指出,IPSec是到目前为止最为安全的协议。同时IPSec VPN能够真正解决局域网之间的互联,形成一个真正的私有网络。另外,从发展的角度来看,IPSec VPN也能够为将来的应用发展提供良好的支撑,不局限于应用的形势是基于web还是其他环境。
意见四:使用“网络延长器”
这是一个设备生产商提出的意见,而且对于解决700米以内的两地互接确实比较方便。不过对于“网络延长器”这种产品,大家所知甚少,而且也没有什么知名品牌推出过相关设备,都是一些名不见经传的中小型网络产品生产商弄出来的,其质量究竟如何大家心里都没底,因此这套方案在论坛上也没有得到众人的认可。
这种产品的使用方法如下,类似于一台交换机:
总结:
所谓八仙过海,各显神通,以上方式仅供大家参考,如果各位读者还有更多更好的办法,欢迎在文章下面的评论里发言。
#p#
四、应用实例
我校1#学生公寓,PC拥有数量大约1000台。采用DHCP分配IP地址,拥有4个C类地址,实际可用地址数约1000个。由于楼内经常存在私开的DHCP服务器,导致大量主机无法分配到合法IP地址;另外,由于有相当数量的主机指定IP地址,因此造成了与DHCP分配的IP地址冲突。以上两方面,均造成了该公寓楼大量主机无法正常访问网络。
经过一段时间的分析、实验,我们决定对该公寓楼部署DHCP Snooping和Dynamic ARP Inspection两项技术,以保证网络的正常运行。
该公寓网络设备使用情况如下,接入层为××台Cisco 2950交换机上联至堆叠的4台Cisco 3750,再通过光纤上联至汇聚层的Cisco 3750交换机。同时汇聚层的Cisco 3750交换机还兼做DHCP服务器。
部署过程
首先按如下过程配置DHCP Snooping
1 configure terminal
2 ip dhcp snooping 在全局模式下启用DHCP Snooping
3 ip dhcp snooping vlan 103 在VLAN 103中启用DHCP Snooping
4 ip dhcp snooping information option Enable the switch to insert and remove DHCP relay information(option-82 field) in forwarded DHCP request messages to the DHCP server. The default is enabled.
5 interface GigabitEthernet1/0/28,进入交换机的第28口
6 ip dhcp snooping trust 将第28口设置为受信任端口
7 ip dhcp snooping limit rate 500 设置每秒钟处理DHCP数据包上限
9 end 退出
完成配置后,可用如下命令观察DHCP Snooping运行状况:
show ip dhcp snooping
得到如下信息:
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
103
Insertion of option 82 is enabled
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
GigabitEthernet1/0/22 yes unlimited
GigabitEthernet1/0/24 yes unlimited
GigabitEthernet1/0/27 yes unlimited
GigabitEthernet1/0/28 no 500
show ip dhcp snooping binding,得到如下信息:
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ---- -----------------------------------------------------------
00:11:09:11:51:16 210.77.5.201 3209 dhcp-snooping 103 GigabitEth ernet1/0/28
00:50:8D:63:5A:05 210.77.6.134 2466 dhcp-snooping 103 GigabitEthernet1/0/28
00:E0:4C:A17:80 210.77.4.26 3070 dhcp-snooping 103 GigabitEthernet1/0/28
00:0F:EA:A8:BC:22 210.77.5.198 1887 dhcp-snooping 103 GigabitEthernet1/0/28
10:E0:8C:50:805 210.77.5.95 3034 dhcp-snooping 103 GigabitEthernet1/0/28
00:03:0D:0E:9A:A5 210.77.6.230 3144 dhcp-snooping 103 GigabitEthernet1/0/28
00:50:8D:6C:08:9F 210.77.4.17 3012 dhcp-snooping 103 GigabitEthernet1/0/28
00:E0:50:00:0B:54 210.77.6.18 3109 dhcp-snooping 103 GigabitEthernet1/0/28
00:0F:EA:13:40:54 210.77.7.7 2631 dhcp-snooping 103 GigabitEthernet1/0/28
00:E0:4C:45:21:E9 210.77.7.77 2687 dhcp-snooping 103 GigabitEthernet1/0/28
#p#
接下来配置Dynamic ARP Inspection
1 show cdp neighbors 检查交换机之间的连接情况
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID Local Intrfce Holdtme Capability Platform Port ID
ap Gig 1/0/23 149 T AIR-AP1230Fas 0
hall-3750 Gig 1/0/27 135 S I WS-C3750-2Gig 1/0/1
1#west-3750 Gig 1/0/28 173 S I WS-C3750G-Gig 1/0/25
2 configure terminal 进入全局配置模式
3 ip arp inspection vlan 103 在VLAN 103上启用Dynamic ARP Inspection
4 interface GigabitEthernet1/0/28 进入第28端口
5 ip arp inspection trust 将端口设置为受信任端口
The switch does not check ARP packets that it receives from the other switch on the trusted interface. It simply forwards the packets.
6 end
配置完成后可以用如下命令观察Dynamic ARP Inspection的运行情况
show arp access-list [acl-name] Displays detailed information about ARP ACLs.
show ip arp inspection interfaces [interface-id] Displays the trust state and the rate limit of ARP packets for the specified interface or all interfaces.
Interface Trust State Rate (pps) Burst Interval
--------------- ----------- ---------- --------------
Gi1/0/21 Untrusted 15 1
Gi1/0/22 Trusted None N/A
Gi1/0/23 Untrusted 15 1
Gi1/0/24 Trusted None N/A
Gi1/0/25 Untrusted 15 1
Gi1/0/26 Untrusted 15 1
Gi1/0/27 Trusted None N/A
Gi1/0/28 Untrusted None N/A
show ip arp inspection vlan vlan-range, Displays the configuration and the operating state of dynamic ARP inspection for all VLANs configured on the switch, for a specified VLAN, or for a range of VLANs.
yql-2#-3750#sh ip arp inspection vlan 103
Source Mac Validation : Disabled
Destination Mac Validation : Disabled
IP Address Validation : Disabled
Vlan Configuration Operation ACL Match Static ACL
---- ------------- --------- --------- ----------
103 Enabled Active
Vlan ACL Logging DHCP Logging
---- ----------- ------------
103 Deny Deny
注意事项:
DHCP Snooping
l 在配置DHCP Snooping以前,必须确认该设备作为DHCP服务器。
l 建议对非信任端口的上限不要超过100。对于被设置为受信任的trunk端口,需要适当增加
Dynamic ARP Inspection
必须限制trunk端口处理ARP包的数量
五、一些问题的讨论
在实际使用过程中我们发现,在配置完上述命令后,Cisco 3750交换机会在运行一段时间以后变得缓慢,CPU利用率达到100%,性能严重下降。经过分析我们发现,在开始应用Dynamic ARP Inspection时,交换机会记录大量的数据包,当端口通过的数据包过多时,交换机会认为遭受DoS攻击,从而将端口自动errdisable,造成通信中断。为了解决这个问题,我们需要加入命令errdisable recovery cause arp-inspection。
由于Cisco 3750交换机能力有限,因此我们建议在使用Cisco 3750交换机配置上述命令时应逐级增大port limit rate。
六、小结
DHCP服务在网络中的广泛应用,极大地减轻了网络管理员的负担,方便了用户使用网络。但是由于有些用户私自指定IP地址,造成了IP地址自动分配时引起的IP地址冲突,进而影响其他用户的使用。我们经过实际测试,给出了上述解决方案,本方法不仅适合于Cisco的3750交换机,也适用于Cisco的65系列交换机。
DHCP防指定IP地址的方法在我校已经得到了成功的应用,经过实践检验,我们认为这是一个非常实用的功能。在系统设置好以后,网络中的用户只有设置为自动获取IP地址才能上网,否则将无法上网。从而解决了在使用DHCP的网络中,用户私自指定IP地址而带来的IP地址冲突问题。
如果公司内网由于用户自行安装了Windows Server版本的操作系统而小心启用了DHCP服务,或其他因素在内网中出现了非授权的DHCP服务器,会给网络造成什么样的影响呢?
DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS 等网络参数,简化了用户网络设置,提高了管理效率。但是,此时如果服务器和客户端没有认证机制,网络上存在的非法的DHCP服务器将会给部分主机的地址分配、网关及DNS参数照成混乱,导致主机无法连接到外部网络。出现这种情况,如何解决这些问题呢?
作为客户端计算机来说,可以尝试使用ipconfig /release释放获得的网络参数后,然后用ipconfig /renew重新尝试获取正确的DHCP服务器配置服务,但这种方法很被动,往往要十几次甚至几十次才偶尔有可能成功一次,不能从根本解决问题。
另外一个解决办法,在windows系统组建的网络中,如果非法DHCP服务器也是用Windows系统建立的话我们可以通过“域”的方式对非法DHCP服务器进行过滤。将合法的DHCP服务器添加到活动目录(Active Directory)中,通过这种认证方式就可以有效的制止非法DHCP服务器了。原理就是没有加入域中的DHCP Server在相应请求前,会向网络中的其他DHCP Server发送DHCPINFORM查询包,如果其他DHCP Server有响应,那么这个DHCP Server就不能对客户的要求作相应,也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器要高。这样当合法DHCP存在时非法的就不起任何作用了。
授权合法DHCP的过程如下:
第一步:开始->程序->管理工具->DHCP
第二步:选择DHCP root, 用鼠标右键单击,然后浏览选择需要认证的服务器。
第三步:点“添加”按钮, 输入要认证的DHCP服务器IP地址, 完成授权操作。
但是该方法只适用于非法DHCP服务器是windows系统,需要用到域和活动目录,配置较复杂,另外对于非Windows的操作系统,就显得力不从心了。
还有更好的方法,就是利用交换机的DHCP监听,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,也就是过滤掉非法DHCP服务器向网络上发送的数据包。首先定义交换机上的信任端口和不信任端口,将DHCP服务器所连接的端口定义为信任端口,其它连接到普通客户端的端口全部定义为不信任端口,对于不信任端口的DHCP报文进行截获和嗅探,drop掉来自这些端口的非正常 DHCP 报文,从而达到过滤非法DHCP服务器的目的。
基本配置示例:
switch(config)#ip dhcp snooping vlan 100,200
/* 定义哪些 VLAN 启用 DHCP 嗅探
switch(config)#ip dhcp snooping
switch(config)#int fa4/10 /* dhcp服务器所在端口
switch(config-if)#ip dhcp snooping trust
switch(config)#int range fa3/1 - 48 /* 其它端口
switch(config-if)#no ip dhcp snooping trust (Default)
switch(config-if)#ip dhcp snooping limit rate 10 (pps)
/* 一定程度上防止 DHCP 拒绝服 /* 务攻击
|
