- 论坛徽章:
- 0
|
|
近期由于在社区宽带网络环境,建设基于Microsoft MediaRoom,并使用Motorola机盒,1080P高清电影项目,机顶盒使用DHCP Option 60 防止非机顶盒客户端获取合法ip,实施一系列配置,在网上找到的资料并不是太多..所以贴一下配置\r\n\r\n\r\n网络与系统环境\r\n\r\n(1)Internet Systems Consortium DHCP Server V3.0.5\r\n(2)CentOS 5.0\r\n(3)Cisco 6509 \r\n(4)Microsoft MediaRoom\r\n(5)Motorola VIP1208AP\r\n\r\n关键点\r\n\r\n(1)时间同步\r\n使用同一台NTP Server,并同步时间,用户端获取ip会异常\r\n\r\n(2)Dhcp Relay\r\n\r\nip dhcp smart-relay (Seconary IP 也可以作为BootGateway)\r\nip dhcp relay information option(Dhcp Server 转发 Option 60信息)\r\nip dhcp relay information policy drop\r\nip dhcp relay information trust-all\r\n\r\nip helper-address 我就不说了\r\n\r\n(3)dhcpd.conf\r\n\r\n进行客户端合法性认证选择\r\n\r\nclass \"iptv-clients\" {\r\n match if option vendor-class-identifier=\"MSFT_XXXXXX\" or option vendor-class-identifier=\"MSFT XXXXXX\";\r\n}\r\n\r\n机顶盒在不同的阶段发出两个vendor-class-identifier,所以增加了or,低版本不支持\r\n\r\n当然使用match if substring同样可以解决问题,但我更喜欢match if option\r\n\r\n\r\n\r\n\r\nsubnet 10.201.16.0 netmask 255.255.255.0 {\r\n option routers 10.201.16.1;\r\n option subnet-mask 255.255.255.0;\r\n option domain-name-servers 192.168.0.1\r\n option time-offset -18000; # Eastern Standard Time\r\n pool {\r\n allow members of \"iptv-clients\";----注意点,通过认证才分配ip\r\n range 10.201.16.10 10.201.16.254 ;\r\n }\r\n default-lease-time 43200;\r\n max-lease-time 43200;\r\n\r\n\r\n实施完毕,现在仅是带了vendor-class-identifier的用户可以获取ip,其它正常用户是无法获取合法ip,但仍然有个问题,就是在同一个广播域里,有一些非法Dhcp server会造成机顶合提前获取非法dhcp server的机顶盒,虽然已作了vlan隔离,网络规模太大了,很难避免\r\n\r\n个人仍然有个疑问,既然dhcp-server可以根据option 60来分配ip,为何客户端不能发出dhcp option 60时,必需收到option60合法dhcp server来地址?\r\n\r\n\r\n(4)每个地方都有不同的应用,仅作参考...如有遇到同样问题的朋友请mail huangyonghe at gmail.com\n\n[ 本帖最后由 config t 于 2009-11-25 18:32 编辑 ] |
|
免费注册
发表于 2009-11-25 18:27
发表于 2009-11-25 19:46
\n\n[ 本帖最后由 seven007 于 2009-11-30 08:39 编辑 ]