wds option 60 linux dhcp,dhcp server option 60使用方法配置简介

近期由于在社区宽带网络环境,建设基于Microsoft MediaRoom,并使用Motorola机盒,1080P高清电影项目,机顶盒使用DHCP Option 60 防止非机顶盒客户端获取合法ip,实施一系列配置,在网上找到的资料并不是太多..所以贴一下配置

网络与系统环境

(1)Internet Systems Consortium DHCP Server V3.0.5

(2)CentOS 5.0

(3)Cisco 6509

(4)Microsoft MediaRoom

(5)Motorola VIP1208AP

关键点

(1)时间同步

使用同一台NTP Server,并同步时间,用户端获取ip会异常

(2)Dhcp Relay

ip dhcp smart-relay  (Seconary IP 也可以作为BootGateway)

ip dhcp relay information option(Dhcp Server 转发 Option 60信息)

ip dhcp relay information policy drop

ip dhcp relay information trust-all

ip helper-address 我就不说了

(3)dhcpd.conf

进行客户端合法性认证选择

class "iptv-clients" {

match if option vendor-class-identifier="MSFT_XXXXXX" or  option vendor-class-identifier="MSFT XXXXXX";

}

机顶盒在不同的阶段发出两个vendor-class-identifier,所以增加了or,低版本不支持

当然使用match if substring同样可以解决问题,但我更喜欢match if option

subnet 10.201.16.0 netmask 255.255.255.0 {

option routers                  10.201.16.1;

option subnet-mask              255.255.255.0;

option domain-name-servers      192.168.0.1

option time-offset              -18000; # Eastern Standard Time

pool {

allow members of "iptv-clients";----注意点,通过认证才分配ip

range 10.201.16.10 10.201.16.254 ;

}

default-lease-time 43200;

max-lease-time 43200;

实施完毕,现在仅是带了vendor-class-identifier的用户可以获取ip,其它正常用户是无法获取合法ip,但仍然有个问题,就是在同一个广播域里,有一些非法Dhcp server会造成机顶合提前获取非法dhcp server的机顶盒,虽然已作了vlan隔离,网络规模太大了,很难避免

个人仍然有个疑问,既然dhcp-server可以根据option 60来分配ip,为何客户端不能发出dhcp option 60时,必需收到option60合法dhcp server来地址?

(4)每个地方都有不同的应用,仅作参考...如有遇到同样问题的朋友请mail huangyonghe at gmail.com