- 论坛徽章:
- 0
|
近期由于在社区宽带网络环境,建设基于Microsoft MediaRoom,并使用Motorola机盒,1080P高清电影项目,机顶盒使用DHCP Option 60 防止非机顶盒客户端获取合法ip,实施一系列配置,在网上找到的资料并不是太多..所以贴一下配置
网络与系统环境
(1)Internet Systems Consortium DHCP Server V3.0.5
(2)CentOS 5.0
(3)Cisco 6509
(4)Microsoft MediaRoom
(5)Motorola VIP1208AP
关键点
(1)时间同步
使用同一台NTP Server,并同步时间,用户端获取ip会异常
(2)Dhcp Relay
ip dhcp smart-relay (Seconary IP 也可以作为BootGateway)
ip dhcp relay information option(Dhcp Server 转发 Option 60信息)
ip dhcp relay information policy drop
ip dhcp relay information trust-all
ip helper-address 我就不说了
(3)dhcpd.conf
进行客户端合法性认证选择
class "iptv-clients" {
match if option vendor-class-identifier="MSFT_XXXXXX" or option vendor-class-identifier="MSFT XXXXXX";
}
机顶盒在不同的阶段发出两个vendor-class-identifier,所以增加了or,低版本不支持
当然使用match if substring同样可以解决问题,但我更喜欢match if option
subnet 10.201.16.0 netmask 255.255.255.0 {
option routers 10.201.16.1;
option subnet-mask 255.255.255.0;
option domain-name-servers 192.168.0.1
option time-offset -18000; # Eastern Standard Time
pool {
allow members of "iptv-clients";----注意点,通过认证才分配ip
range 10.201.16.10 10.201.16.254 ;
}
default-lease-time 43200;
max-lease-time 43200;
实施完毕,现在仅是带了vendor-class-identifier的用户可以获取ip,其它正常用户是无法获取合法ip,但仍然有个问题,就是在同一个广播域里,有一些非法Dhcp server会造成机顶合提前获取非法dhcp server的机顶盒,虽然已作了vlan隔离,网络规模太大了,很难避免
个人仍然有个疑问,既然dhcp-server可以根据option 60来分配ip,为何客户端不能发出dhcp option 60时,必需收到option60合法dhcp server来地址?
(4)每个地方都有不同的应用,仅作参考...如有遇到同样问题的朋友请mail huangyonghe at gmail.com
[ 本帖最后由 config t 于 2009-11-25 18:32 编辑 ] |
|
免费注册
发表于 2009-11-25 18:27
发表于 2009-11-25 19:46