Chinaunix

标题: DHCP Server Option 60的配置 [打印本页]

作者: config t 时间: 2009-11-25 18:27
标题: DHCP Server Option 60的配置
近期由于在社区宽带网络环境,建设基于Microsoft MediaRoom,并使用Motorola机盒,1080P高清电影项目,机顶盒使用DHCP Option 60 防止非机顶盒客户端获取合法ip,实施一系列配置,在网上找到的资料并不是太多..所以贴一下配置

网络与系统环境

(1)Internet Systems Consortium DHCP Server V3.0.5
(2)CentOS 5.0
(3)Cisco 6509
(4)Microsoft MediaRoom
(5)Motorola VIP1208AP

关键点

(1)时间同步
使用同一台NTP Server,并同步时间,用户端获取ip会异常

(2)Dhcp Relay

ip dhcp smart-relay  (Seconary IP 也可以作为BootGateway)
ip dhcp relay information option(Dhcp Server 转发 Option 60信息)
ip dhcp relay information policy drop
ip dhcp relay information trust-all

ip helper-address 我就不说了

(3)dhcpd.conf

进行客户端合法性认证选择

class "iptv-clients" {
   match if option vendor-class-identifier="MSFT_XXXXXX" or  option vendor-class-identifier="MSFT XXXXXX";
}

机顶盒在不同的阶段发出两个vendor-class-identifier,所以增加了or,低版本不支持

当然使用match if substring同样可以解决问题,但我更喜欢match if option

subnet 10.201.16.0 netmask 255.255.255.0 {
      option routers                10.201.16.1;
      option subnet-mask             255.255.255.0;
      option domain-name-servers    192.168.0.1
      option time-offset             -18000; # Eastern Standard Time
      pool {
      allow members of "iptv-clients";----注意点,通过认证才分配ip
      range 10.201.16.10 10.201.16.254 ;
      }
      default-lease-time 43200;
      max-lease-time 43200;

实施完毕,现在仅是带了vendor-class-identifier的用户可以获取ip,其它正常用户是无法获取合法ip,但仍然有个问题,就是在同一个广播域里,有一些非法Dhcp server会造成机顶合提前获取非法dhcp server的机顶盒,虽然已作了vlan隔离,网络规模太大了,很难避免

个人仍然有个疑问,既然dhcp-server可以根据option 60来分配ip,为何客户端不能发出dhcp option 60时,必需收到option60合法dhcp server来地址?

(4)每个地方都有不同的应用,仅作参考...如有遇到同样问题的朋友请mail huangyonghe at gmail.com

[ 本帖最后由 config t 于 2009-11-25 18:32 编辑 ]

作者: marsteel 时间: 2009-11-25 18:50
微软这个mediaroom在广州有项目吧

作者: will_smith_sw 时间: 2009-11-25 19:18
1. 终端也可以检查吧。至少ISC-dhclient可以检查。一般不用是因为终端是弱势地位。
2. 非法Dhcp server？内网里还有非法Server。其他威胁是不是更多。
3. 可以给DHCP换个端口。

作者: ssffzz1 时间: 2009-11-25 19:46
如果用户间是隔离的话。DHCP SERVER应该不会造成干扰。

可以考虑调整隔离策略。或者是用dhcp snooping解决。

作者: config t 时间: 2009-11-25 20:36

原帖由 will_smith_sw 于 2009-11-25 19:18 发表
1. 终端也可以检查吧。至少ISC-dhclient可以检查。一般不用是因为终端是弱势地位。
2. 非法Dhcp server？内网里还有非法Server。其他威胁是不是更多。
3. 可以给DHCP换个端口。

嗯.七八万个用户,用户都会用homegateway.偶尔开启dhcp server.应该是很正常,其它威胁也正常.天天DDOS的事情多得去了

给DHCP换个端口?怎么说?

客户端请求时换个端口?

作者: config t 时间: 2009-11-25 20:38

原帖由 ssffzz1 于 2009-11-25 19:46 发表
如果用户间是隔离的话。DHCP SERVER应该不会造成干扰。

可以考虑调整隔离策略。或者是用dhcp snooping解决。

网络规模太大了.不是每个台设备都是cisco

作者: config t 时间: 2009-11-25 20:39

原帖由 marsteel 于 2009-11-25 18:50 发表
微软这个mediaroom在广州有项目吧

国内估计就我们一个项目吧

作者: ssffzz1 时间: 2009-11-25 21:22
哦。原来如此。那就无法了。大网里要搞点策略真的好困难的。

作者: will_smith_sw 时间: 2009-11-25 21:51
标题: 回复 #5 config t 的帖子
可以的。如果Server是专门给你那个是给盒子专用的。可以换个端口。isc-dhcp有参数 -p
如果还个其他用户需要标准端口，可以起多个实例。--- 其实是旁门左道。

另外大网本人没经验。感觉上应该向电信学习，他们用户多

作者: ssffzz1 时间: 2009-11-25 21:52
换端口倒是好法子。也算是解决之道。

作者: yuhuohu 时间: 2009-11-27 08:52
哈很不错收藏

作者: seven007 时间: 2009-11-27 10:37
先来个802.1X呢，做了认证再分ip，在机顶盒里面嵌入这个认证请求，比如设置一张IC卡，插入就能认证

作者: seven007 时间: 2009-11-27 10:43

[ 本帖最后由 seven007 于 2009-11-30 08:39 编辑 ]

作者: cnadl 时间: 2009-11-29 20:10

原帖由 config t 于 2009-11-28 01:42 发表

老外比较弱...

同时也涉及到一个接入端口,同时要上网,也要用IPTV的两个业务并行与分用的问题!

上网现使用pppoe认证,计费上是分开运营的.

不是所有设备都支持802.1x,特别是在大网里...老外的机顶 ...

国内广电没戏，没看N某S连个PM都找不到么

作者: wxw2004gl 时间: 2009-12-15 16:27
使用具有DHCP snooping的交换机设备可以防止非法DHCP Server。最好还能防止ARP欺骗的

作者: kepa520 时间: 2009-12-18 13:41
提示: 作者被禁止或删除内容自动屏蔽

作者: finalfantasy000 时间: 2009-12-20 15:02
我做过option 60的二次开发，可以给你点建议

客户端发送不同的option 60code server根据code的不同来识别客户端，从而分配不同的地址段

client 和server都开发过

作者: jatnet 时间: 2009-12-23 13:24

谢谢

作者: config t 时间: 2009-12-24 12:41

原帖由 finalfantasy000 于 2009-12-20 15:02 发表
我做过option 60的二次开发，可以给你点建议

客户端发送不同的option 60code server根据code的不同来识别客户端，从而分配不同的地址段

client 和server都开发过

是的.这个我们已经可以解决了

问题是如何防止client拿到非法dhcp server分配的地址

client可以发送code,但是没办法根据code来接收.是个主要的问题

server可以根据code来分配ip的

作者: lllaaa 时间: 2010-01-12 17:40
用户侧交换机开启dhcp snooping功能。配置网络侧端口为trust端口。这样交换机将丢弃用户侧发出的dhcp offer和dhcp ack报文。

或者强制用户侧dhcp discover和request直接去上行接口，让其没有机会被非法dhcp服务器

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)