http://blog.chinaunix.net/space.php?uid=683300&do=blog&cuid=2105070
近期由於在社區寬帶網絡環境,建設基於Microsoft
MediaRoom,並使用Motorola機盒,1080P高清電影項目,機頂盒使用DHCP Option 60
防止非機頂盒客戶端獲取合法ip,實施一系列配置,在網上找到的資料並不是太多..所以貼一下配置
網絡與系統環境
(1)Internet Systems Consortium DHCP Server V3.0.5
(2)CentOS 5.0
(3)Cisco 6509
(4)Microsoft MediaRoom
(5)Motorola VIP1208AP
關鍵點
(1)時間同步
使用同一臺NTP Server,並同步時間,用戶端獲取ip會異常
(2)Dhcp Relay
ip dhcp smart-relay (Seconary IP 也可以作爲BootGateway)
ip dhcp relay information option(Dhcp Server 轉發 Option 60信息)
ip dhcp relay information policy drop
ip dhcp relay information trust-all
ip helper-address 我就不說了
(3)dhcpd.conf
進行客戶端合法性認證選擇
class "iptv-clients" {
match if option vendor-class-identifier="MSFT_XXXXXX" or option vendor-class-identifier="MSFT XXXXXX";
}
機頂盒在不同的階段發出兩個vendor-class-identifier,所以增加了or,低版本不支持
當然使用match if substring同樣可以解決問題,但我更喜歡match if option
subnet 10.201.16.0 netmask 255.255.255.0 {
option routers 10.201.16.1;
option subnet-mask 255.255.255.0;
option domain-name-servers 192.168.0.1
option time-offset -18000; # Eastern Standard Time
pool {
allow members of "iptv-clients";----注意點,通過認證才分配ip
range 10.201.16.10 10.201.16.254 ;
}
default-lease-time 43200;
max-lease-time 43200;
實
施完畢,現在僅是帶了vendor-class-identifier的用戶可以獲取ip,其它正常用戶是無法獲取合法ip,但仍然有個問題,就是在同一
個廣播域裏,有一些非法Dhcp server會造成機頂合提前獲取非法dhcp
server的機頂盒,雖然已作了vlan隔離,網絡規模太大了,很難避免
個人仍然有個疑問,既然dhcp-server可以根據option 60來分配ip,爲何客戶端不能發出dhcp option 60時,必需收到option60合法dhcp server來地址?
(4)每個地方都有不同的應用,僅作參考...如有遇到同樣問題的朋友請mail huangyonghe at gmail.com