当前位置：文档库 › 19章+DHCP

19章+DHCP

DHCP

ISSUE 1.0

日期：

n R

e g

i s

t e

r e

引入

n 手动为局域网中大量主机配置IP 地址、掩码、网关等

参数的工作繁琐，容易出错

n DHCP 可以自动为局域网中主机完成TCP/IP 协议配置

n DHCP 自动配置避免了IP 地址冲突的问题

n R

e g

i s

t e

r e

课程目标

学习完本课程，您应该能够：

DHCP 简介

l DHCP 是Dynamic Host Configuration Protocol （动态主机配置协议）的缩写

DHCP 是从BOOTP （Bootstrap Protocol ）协议发展而来，其作用向主机动态分配IP 地址及其他相关信息

DHCP 采用客户端/服务器模式，服务器负责集中管理，客户端向服务器提出配置申请，服务器根据策略返回相应配置信息

DHCP 报文采用UDP 封装。服务器所侦听的端口号是67，客户端的端口号是68

n R

e g

i s

t e

r e

DHCP 特点

即插即用性

客户端无须配置即能获得IP 地址及相关参数。简化客户端网络配置，降低维护成本

统一管理

所有IP 地址及相关参数信息由DHCP 服务器统一管理，统一分配

使用效率高

通过IP 地址租期管理，提高IP 地址的使用效率

可跨网段实现

通过使用DHCP 中继，可使处于不同子网中的客户端和DHCP 服务器之间实现协议报文交互

n R

e g

i s

t e

r e

DHCP 系统组成

DHCP Server

网络1

DHCP Relay

网络2

DHCP Client l DHCP 服务器

能提供DHCP 功能的服务器或具有DHCP 功能的网络设备l DHCP 中继

一般为路由器或三层交换机等网络设备l

DHCP 客户端

需要动态获得IP 地址的主机

n R

e g i s t e

r e

DHCP 地址分配方式

手工分配

根据需求，网络管理员为某些少数特定的主机（如

DNS 服务器、打印机）绑定固定的IP 地址，其地址不会过期

自动分配

为连接到网络的某些主机分配IP 地址，该地址将长期由该主机使用

动态分配

主机申请IP 地址最常用的方法。DHCP 服务器为客户端指定一个IP 地址，同时为此地址规定了一个租用期限，如果租用时间到期，客户端必须重新申请IP 地址

n R

e g

i s

t e

r e

IP 地址动态获取过程

谁能给我分配IP地址？

我能给你分配IP地址10.0.0.2/24

好，我就用你分配的10.0.0.2/24好，我确认！

DHCP Client

DHCP Server

TCP/IP

n R

e g

i s

t e

r e

IP 地址拒绝及释放

你提供的10.0.0.2/24已经有人使用了，我拒绝使用！

DHCP Client

DHCP Server

TCP/IP

我不想使用你分配的地址，请给其他人使用吧

U n R e g i s t e

r e

DHCP 租约更新

我想继续使用你分配的IP 地址，可以吗？DHCP Client

DHCP Server

OK ，你可以继续使用

使用时间达到租期的50%

我想继续使用你分配的IP 地址，可以吗？

OK ，你可以继续使用

使用时间达到租期的87.5%

TCP/IP

U n R

e g

i s

t e

r e

DHCP 中继工作原理

DHCP Client

DHCP Server

网络1

网络2

DHCP 广播报文

DHCP Relay

DHCP 单播报文

DHCP 广播报文

DHCP 单播报文

n R

e g

i s

t e

r e

使能DHCP l

创建DHCP 地址池

配置动态分配的IP 地址范围

配置为DHCP 客户端分配的网关地址

[Router] dhcp enable

[Router] dhcp server ip-pool pool-name

[Router-dhcp-pool-0] network network-address [mask-length | mask mask ]

[Router-dhcp-pool-0] gateway-list ip-address

n R

e g

i s

t e

r e

配置为DHCP 客户端分配的DNS 服务器地址l

配置DHCP 地址池中不参与自动分配的IP 地址

l l

配置动态分配的IP 地址的租用有效期限

[Router-dhcp-pool-0] dns-list ip-address

[Router] dhcp server forbidden-ip low-ip-address [ high-ip-address ]

[Router-dhcp-pool-0] expired { day day [ hour hour [ minute minute ] ] | unlimited }

n R

e g

i s

t e

r e

DHCP 服务器基本配置示例

[Router] dhcp enable

[Router] server forbidden-ip 192.168.1.10[Router] server forbidden-ip 192.168.1.254[Router] dhcp server ip-pool 0

[Router-dhcp-pool-0] network 192.168.1.0 mask 255.255.255.0[Router-dhcp-pool-0] gateway-list 192.168.1.254[Router-dhcp-pool-0] dns-list 192.168.1.10[Router-dhcp-pool-0] expired day 5

DHCP Client

DHCP Server

Internet

DNS Server 192.168.1.10

n R

e g

i s

t e

r e

DHCP 服务器显示及维护

显示DHCP 地址池的可用地址信息l

显示DHCP 服务器的统计信息

显示DHCP 地址池中不参与自动分配的IP 地址

[Router] display dhcp server free-ip

[Router] display dhcp server statistics

[Router] display dhcp server forbidden-ip

n R

e g

i s

t e

r e

使能DHCP

配置DHCP 服务器组中DHCP 服务器的IP 地址

配置接口工作在DHCP 中继模式

配置接口与DHCP 组关联

[Router] dhcp enable

[Router-Ethernet1/1] dhcp select relay

[Router] dhcp relay server-group group-id ip ip-address

[Router-Ethernet1/1] dhcp relay server-select group-id

n R

e g

i s

t e

r e

[Router] dhcp enable

[Router] dhcp relay server-group 1 ip 192.168.1.10[Router] interface ethernet 1/1

[Router-Ethernet1/1] dhcp select relay

[Router-Ethernet1/1] dhcp relay server-select 1

DHCP Client

DHCP Server

DHCP Relay

192.168.1.10

E1/1

n R

e g

i s t e

r e d

DHCP 中继显示及维护

显示接口对应的DHCP 服务器组的信息

显示DHCP 服务器组中服务器的IP 地址

显示DHCP 中继的相关报文统计信息

[Router] display dhcp relay { all | interface interface-type interface-number }

[Router] display dhcp relay server-group { group-id | all }

[Router] display dhcp relay statistics [ server-group { group-id | all } ]

n R

e g

i s

t e

r e

n DHCP 是基于客户端/服务器的架构

n DHCP 可以自动为客户端分配IP 地址n DHCP 通过租期管理IP 地址来提高使用效率n DHCP 中继能够使DHCP 跨越子网工作

n 路由器可配置为DHCP 服务器和DHCP 中继

本章总结

n R

e g

i s

t e

r e

杭州华三通信技术有限公司

https://www.wendangku.net/doc/3814027920.html,

n R

e g

i s

t e

r e

非法DHCP服务器攻击的防御

非法DHCP服务器攻击的防御现今校园网络DHCP服务是一种非常常见的服务，该服务简化了海量学生PC、教室PC、服务器的地址配置工作。然而有些校园网用户会产生非法DHCP服务器的攻击行为，这种行为可能是一种恶意操作，也可能是一种无意无操作，比如安装Windows 2000 server的客户端，不小心启用DHCP服务。这种操作无论哪种原因产生的，都会对校园网的运行产生负面影响。第一正常用户从非法DHCP获得非法IP地址，就无法获取正确的网关和DNS等信息；第二有些客户从非法DHCP获得的地址会和其他正常用户产生地址冲突，可能刚好和某些重要校园服务器地址冲突，会影响校园网关键应用的运行。非法DHCP服务器攻击原理在某些情况下，入侵者可以将一个DHCP 服务器加入网络，令其“冒充”这个网段的DHCP 服务器。这让入侵者可以为缺省的网关和域名服务器（DNS 和WINS）提供错误的DHCP 信息，从而将客户端指向黑客的主机。这种误导让黑客获得其他用户对保密信息的访问权限，例如用户名和密码，而其他用户对攻击一无所知。过程如下：用户发出DHCP Request 攻击者将自己的服务器设置成DHCP Server并发出错误的DHCP Offer 用户采用第一个响应其请求的DHCP Server，得到错的DHCP信息正确的DHCP Server发出DHCP Offer，用户不采用如何防范非法DHCP服务器攻击－DHCP Snooping 非信任端口

如前所述DHCP Snooping能够过滤来自网络中主机或其他设备的非信任DHCP报文，其中包括对应交换机上不信任的端口的客户端IP地址、MAC地址、端口号、VLAN编号、租用和绑定类型等消息。交换机支持在每个VLAN基础上启用DHCP Snooping特性。因此，通过使用DHCP Snooping 特性中的端口信任特性来防止用户私自设置DHCP server。一旦在设备上指定专门的DHCP server服务器的接入端口则其他端口的DHCP server的报文将被全部丢弃。启动DHCP Snooping，将合法DHCP Server的端口设为信任端口，其他端口默认情况下均为非信任端口用户发出DHCP Request 攻击者将自己的服务器设置成DHCP Server并发出错误的DHCP Offer 交换机自动丢弃所有非信任端口发出的DHCP Offer 用户采用正确的DHCP Server发出DHCP Offer DHCP Snooping 非信任端口是DHCP Snooping的子集。通常在校园网部署时建议将接入交换机的下行端口（用户接口）设置为DHCP Snooping untrust，将上行端口（连向核心网和汇聚网）设置为DHCP Snooping trust。H3C E328/E352 E126A/E152产品支持DHCP Snooping 非信任端口，可以有效防控校园网内部的非法DHCP服务器攻击发生。

linux下dhcp服务器配置(很全)

Linux下配置完整安全的DHCP服务器详解（1）一、建立DHCP服务器配置文件二、建立客户租约文件三、启动和检查DHCP服务器四、配置DHCP客户端五、DHCP配置常见错误排除六、DHCP服务器的安全 DHCP是动态主机配置协议.这个协议用于向计算机自动提供IP地址,子网掩码和路由信息。网络管理员通常会分配某个范围的IP地址来分发给局域网上的客户机。当设备接入这个局域网时，它们会向DHCP 服务器请求一个IP 地址。然后DHCP服务器为每个请求的设备分配一个地址，直到分配完该范围内的所有IP 地址为止。已经分配的IP地址必须定时地延长借用期。这个延期的过程称作leasing，确保了当客户机设备在正常地释放IP地址之前突然从网络断开时被分配的地址可以归还给服务器。本文以Redhat Linux 9.0为例，介绍如何建立一个完整和安全的DHCP服务器。一、建立DHCP服务器配置文件可以使用Redhat Linux 9.0自身携带rpm包安装。安装结束后, DHCP 端口监督程序dhcpd 配置文件是/etc目录中的名为dhcpd.conf的文件。下面手工建立/etc/dhcpd.conf文件。/etc /dhcpd.conf通常包括三部分：parameters、declarations 、option。 1.DHCP配置文件中的parameters（参数）：表明如何执行任务，是否要执行任务，或将哪些网络配置选项发送给客户。主要内容见表1 参数解释 ddns-update-style 配置DHCP-DNS 互动更新模式。 default-lease-time 指定确省租赁时间的长度，单位是秒。 max-lease-time 指定最大租赁时间长度，单位是秒。 hardware 指定网卡接口类型和MAC地址。 server-name 通知DHCP客户服务器名称。 get-lease-hostnames flag 检查客户端使用的IP地址。 fixed-address ip 分配给客户端一个固定的地址。authritative 拒绝不正确的IP地址的要求。 2. DHCP配置文件中的declarations （声明）：解释用来描述网络布局、提供客户的IP地址等。主要内容见表2：声明 shared-network用来告知是否一些子网络分享相同网络。subnet描述一个IP地址是否属于该子网。 range 起始IP 终止IP提供动态分配IP 的范围。 host 主机名称参考特别的主机。 group为一组参数提供声明。

强制性使用DHCP获取ip地址

限制用户使用静态IP，只能通过DHCP获取地址的方法 L3（dhcp server/93 1/0/0）------(0/0/3)L2(33 0/0/1口)-----pc（4487-fc43-2dea）需求:要求L3作dhcp server，仅为某一些mac分配固定的ip，其他未明示的mac不允许获得ip，同时已经明示的mac只能使用指定的ip，不能私自修改ip. 1、在dhcp server组里做静态的ip和mac绑定，使ip分配正确。 2、在dhcp server全局再单独做ip和mac的静态表，并在接口开启ip check/arp check,使用户私改ip无法上网，同时也不会产生arp冲突。 3、在L2上作静态表，只写mac，然后在接口开启ip检查，或者在vlan开启ip检查. L2配置： !Software Version V100R005C01SPC100 sysnameQuidway # vlan batch 10 # user-bind static mac-address 4487-fc43-2dea--------允许pc mac通过，不能写ip，因为dhcp discover交互的报文没有ip。 user-bind static mac-address 0018-82b3-c6ff--------允许服务器的mac。 # undo http server enable # drop illegal-mac alarm # vlan 10 ip source check user-bind enable-------------------在vlan里开启ip检查。 ip sour # L3配置： [Quidway]dis cu # !Software Version V100R003C00SPC200 sysnameQuidway # vlan batch 1 6 10 20 # dhcp enable

dhcp 服务器搭建与配置

dhcp 服务器搭建与配置1. 单个网段 (1)yum install -y dhcp.x86_64 (2) /etc/dhcp/dhcpd.conf ----------主配置文件 (3) man 5 dhcpd.conf ---------查看配置文件的帮助手册 (4) vim /etc/dhcp/dhcpd.conf ddns-update-style interim; //配置dhcp与dns的互动更新模式 ignore client-updates; subnet 192.168.1.0 netmask 255.255.255.0{ //设置子网声明 option routers 192.168.1.254; // 网关 option subnet-mask 255.255.255.0; //子网掩码 option domain-name-servers 222.222.222.222; //DNS服务器IP option time-offset -18000; range dynamic-bootp 192.168.1.105 191.168.1.254; //IP地址池 default -lease-time 21600; //默认的租期时间 max-lease-time 43200; //最大租赁时间 host laoban { //为特定主机绑定IP hardware ethernet 00:0c:29:16:63：dc; //特定主机的mac地址 fixed-address 192.168.1.188; } } (5) service dhcpd restart (6) lsof -i:67 //监听端口号UDP 67 (7) 测试机上，与该DHCP服务器上，设置网卡均为“仅主机” 且，“编辑”--“虚拟网络编辑器---，仅主机，将默认的 dhcp 服务去掉 windows cmd 下 ipconfig /all -------- 查看有关IP的所有信息 ipconfig /release --------释放现有的IP ipconfig /renew --------重新获取IP 2. 超级作用域 ==> 多网段

DHCP服务器怎么设置

DHCP服务器怎么设置 DHCP服务器是一台安装其专用的操作系统的计算机，它的操作系统是Windows 2000 ，DHCP服务器必须同意TCP协议的安装，还需要其他一些内容例如默认网关的设置，DHCP是一个提供服务的设备组件，我们必须将它进行手动添加才能够进行安装，你想知道DHCP服务器是怎么样设置的呢?下面小编带你去了解一下DHCP服务器的设置方法。 DHCP服务器需要对计算机当中的IP地址的申请已经IP地址的分配管理，在这些过程中，DHCP服务器是作为路由器或者是网络主机，下面就是DHCP服务器的设置方法。第一步：将浏览器打开并进入，然后在网址栏输入所要登录的网址打开浏览器，然后在将打开路由器的管理页面，进入路由器的管理页面以后将路由器的用户名和路由器的密码输入，接着点击登录。第二步：找到DHCP服务器的，然后点击进入，在启用DHCP 服务器的前面的方框内使用鼠标勾选，然后输入地址池开始地址和地址池结束地址的相关设置，同时要保证路由器的网段和这两个地址的设置相同。

第三步：完成DHCP服务器的地址池的相关数据设置以后，将设置的内容进行保存操作，然后将路由器进行重新启动操作，既可以完成地址池的设置。第四步：这一步是进行电脑方面的设置操作，首先将控制面板开启，然后将网络共享中心打开，点击进入适配器的设置。第五步：将鼠标箭头在本地连接上面右击，选择属性的选项，进入属性的设置页面以后，选择IPV4协议同时使用鼠标对其双击。第六步：IPV4协议同意以后，将IP地址的自动获取选项和DNS

服务器的自动获取选项同时选择同意，这样就完成了电脑端的设置，DHCP服务器的设置也就完成。以上就是DHCP服务器的设置方法，设置完成以后我们便可以轻松方便的使用DHCP服务器进行上网，不需要我们再去担心IP地址的分配等等问题了，赶快学习一下，让我们自己动手进行DHCP 服务器的设置。

Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法

Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法网络管理员:现在用户真是不省心，自己改个IP地址;私接AP、忘关DHCP，还有的下个小黑客程序，就想在你内网里试试。单靠交换机能管吗, 测试工程师:能～很多交换机上的小功能都可帮大忙。测试实况: IP与MAC绑定思科的Catalyst 3560交换机支持DHCPSnooping功能，交换机会监听DHCP的过程，交换机会生成一个IP和MAC地址对应表。思科的交换机更进一步的支持IP sourceguard和Dynamic ARP Inspection功能，这两个功能任启一个都可以自动的根据DHCPSnooping监听获得的IP和MAC地址对应表，进行绑定，防止私自更改地址。 Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击(见图4)。思科在DHCP Snooping上还做了一些非常有益的扩展功能，比如Catalyst3560交换机可以限制端口通过的DHCP数据包的速率，粒度是pps，这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst3560交换机还支持DHCPTracker，在DHCP请求中插入交换机端口的ID，从而限制每个端口申请的IP 地址数目，防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。华硕虽然不能调整速率，但是也会限制DHCP请求的数量。 DHCP(动态主机配置协议)是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供了一种有效的方法:即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。

DHCP服务器的配置

服务器的配置DHCP实验要求： DHCP）工作原理。1．了解动态主机配置协议（服务器。2．熟练配置DHCP DHCP服务的优点3．了解实验步骤：服务器DHCP1．安装→“治理您的服）单击“开始”→“所有程序”→“治理工具”（1，再按“下一步”按钮。配置向导自动检；单击“添加或删除角色”务器”测所有网络连接的设置情形，若没有发觉咨询题则进入“服务器角色”向所示。导页，如图1 图1 服务器角色（2）单击“下一步”，会显现“选择总结”向导页，如果总结里面有“安装DHCP服务器”和“运行新建作用域向导配置一个新的DHCP 作用域”，则单击“下一步”。提示你插入Windows 2003 Server 光盘，按提示做即可安装完成。 2．配置DHCP服务器

完成DHCP服务器的安装后并不能赶忙为客户端运算机自动分配IP 地址，还需要通过一些设置工作。第一要做的确实是按照网络中的结点或运算机数确定一段IP地址范畴，创建一个IP作用域。具体操作步骤如下：（1）单击“开始”→“所有程序”→“治理工具”→“DHCP”，打开“DHCP”操纵台窗口。在左窗格中右击DHCP服务器名称，执行“新建作用域”命令。（2）打开“新建作用域向导”对话框，单击“下一步”按钮打开“作用域名”向导页。在“名称”编辑框中为该作用域输入一个名称和一段描述性信息，单击“下一步”按钮。（3）在打开的“IP地址范畴”向导页中，分不在“起始IP地址”和地址IP地址范畴的起止IP地址”编辑框中输入差不多确定好的IP“终止．

按，单击“下一步”（按照实际网络结构填写，或者老师先分配好IP 地址）2所示。钮。如图地址范畴IP图2 IP）打开“添加排除”向导页，在那个地点能够指定需要排除的（4。IP地址）IP地址范畴（按照实际网络结构填写，或者老师先分配好地址或地址并单击“添加”按钮。重复地址”编辑框中输入排除的IP 在“起始IP3 所示。操作即可，接着单击“下一步”按钮，如图添加排除图3

DHCP用户类别的配置与使用

DHCP用户类别的配置与使用一、用户类别的工作原理选项类别为作用域内的客户端提供了另一种方法来组合DHCP提供的详细配置信息。对于运行Windows Server 2003操作系统的计算机，有以下两种类型的选项类别可用于次级管理选项。用户类别：用于向标识为共享相似DHCP选项配置的共同需求的客户端指派选项。用户类别使DHCP客户端可以通过指定用户类别选项区分自己。用于客户端时，此选项包括用户确定的类别ID，此ID有助于组合作用域中有相似配置需求的客户端。例如，通过在DHCP服务器上配置用户类别并在客户端计算机上设置相关类别ID，您可以支持有移动计算需求的用户和计算机。需要保留涵盖了标识客户端计算机的特殊需求的单独选项时，用户类别很有用，例如，为频繁移动或经常用于远程访问的便携计算机提供较短的租约时间。在此示例中，您可以配置DHCP服务器来分配专用于客户端需求的不同选项。例如，较短的租约可以指派给移动式客户端。用户类别功能在配置网络上的DHCP客户端方面赋予您更大的灵活性，但是标准DHCP不需要使用这一类别。如果用户定义的选项类别没有配置，则选项是通过相应服务器、作用域或客户端选项设置提供的。运行Windows Server 2003的DHCP服务器（支持用户类别ID的识别）执行以下附加步骤向根据此步骤标识自己的客户端提供租约。（1）服务器确定由客户端在其租约请求中标识的用户类别是否为可识别的类别（即以前在服务器上定义的类别）。如果预定义的用户类别已在服务器上而且已经配置，则启用基于类别的指派。对于其他用户类别，在可以使用之前必须首先在服务器上添加并配置。（2）如果用户类别被识别，则服务器确定是否在当前租约环境中为此类别配置其他DHCP选项，当前租约环境是服务器为客户端提供租用服务的地方，它可以是作用域，也可以是客户端保留地址。（3）如果配置了作用域或者保留选项来为客户端的用户定义类别提供选项，服务器会将这些选项作为为确认租约而发送的DHCP确认消息（DHCPACK）的一部分返给客户端。二、配置步骤： 1、服务器设置：点击“开始”---“程序”---“管理工具”---“DHCP”，打开DHCP服务器管理工具，点击“VS1”---“右键.”如下图所示：

如何解决局域网非法DHCP服务器问题

如何解决局域网非法DHCP服务器问题? 最近公司里部分计算机频繁出现不能上网的问题，这些计算机都是自动获得IP的，但经过检查我发现他们获得的网关地址是错误的，按照常理DHCP不会把错误的网关发送给客户端计算机的。后来我使用ipconfig /release释放获得的网络参数后，用ipconfig /renew可以获得真实的网关地址，而大部分获得的仍然是错误的数据。所以我断言局域网中肯定存在其他的DHCP服务器，也叫做非法DHCP服务器。为什么真正的DHCP服务器分配的网络参数无法正确传输到客户机上呢？首先来了解下DHCP的服务机制：一般公司内部都会有一个DHCP服务器来给客户端计算机提供必要的网络参数信息的，例如IP地址，子网掩码，网关，DNS等地址，很多情况路由器就可以担当此重任。每次客户端计算机启动后都会向网络中发送广播包寻找DHCP服务器（前提是该计算机被设置为自动获得IP地址），广播包随机发送到网络中，当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息，同时从自己的地址池中抽取一个IP地址分配给该计算机。为什么非法DHCP会被客户端计算机认为是合法的？根据DHCP的服务机制，客户端计算机启动后发送的广播

包会发向网络中的所有设备，究竟是合法DHCP服务器还是非法DHCP服务器先应答是没有任何规律的，客户端计算机也没有区分合法和非法的能力。这样网络就被彻底扰乱了，原本可以正常上网的机器再也不能连接到intelnet。解决方法： 1、ipconfig /release 和ipconfig /renew 我们可以通过多次尝试广播包的发送来临时解决这个问题，直到客户机可以得到真实的地址为止。即先使用ipconfig /release释放非法网络数据，然后使用ipconfig /renew尝试获得网络参数，如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。提醒：这种方法治标不治本，反复尝试的次数没有保证，另外当DHCP租约到期后客户端计算机需要再次寻找DHCP服务器获得信息，故障仍然会出现。 2、通过“域”的方式对非法DHCP服务器进行过滤将合法的DHCP服务器添加到活动目录（Active Directory）中，通过这种认证方式就可以有效的制止非法DHCP服务器了。原理就是没有加入域中的DHCP Server在相应请求前，会向网络中的其他DHCP Server发送DHCPINFORM 查询包，如果其他DHCP Server有响应，那么这个DHCP Server就不能对客户的要求作相应，也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器

dhcp服务器如何设置

dhcp服务器如何设置在一个使用TCP/IP协议的网络中，每一台计算机都必须至少有一个IP地址，才能与其他计算机连接通信。为了便于统一规划和管理网络中的IP地址，DHCP （Dynamic Host Configure Protocol，动态主机配置协议）应运而生了。这种网络服务有利于对校园网络中的客户机IP地址进行有效管理，而不需要一个一个手动指定IP地址。 DHCP服务的安装 DHCP指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。首先，DHCP服务器必须是一台安装有Windows 2000 Server/Advanced Server系统的计算机；其次，担任DHCP服务器的计算机需要安装TCP/IP协议，并为其设置静态IP地址、子网掩码、默认网关等内容。默认情况下，DHCP作为Windows 2000 Server的一个服务组件不会被系统自动安装，必须把它添加进来： 1. 依次点击“开始→设置→控制面板→添加/删除程序→添加/删除Windows组件”，打开相应的对话框。添加IP地址范围当DHCP服务器被授权后，还需要对它设置IP地址范围。通过给DHCP服务器设置IP地址范围后，当DHCP客户机在向DHCP服务器申请IP地址时，DHCP 服务器就会从所设置的IP地址范围中选择一个还没有被使用的IP地址进行动态分配。添加IP地址范围的操作如下： 1. 点击“开始→程序→管理工具→DHCP”，打开DHCP控制台窗口。 2. 选中DHCP服务器名，在服务器名上点击鼠标右键，在出现的快捷菜单中选择“新建作用域”，在出现的窗口中单击[下一步]按钮，在出现的对话框中输入相关信息，单击[下一步]按钮，如图1所示。 3. 在图1所示的窗口中，根据自己网络的实际情况，对各项进行设置，然后单击[下一步]按钮，出现如图2所示的窗口。 4. 在图2所示的窗口中，输入需要排除的IP地址范围。由于校园网络中有很多网络设备需要指定静态IP地址（即固定的IP地址），如服务器、交换机、路由

Cisco 解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法

网络管理员：现在用户真是不省心，自己改个IP地址；私接AP、忘关DHCP，还有的下个小黑客程序，就想在你内网里试试。单靠交换机能管吗？测试工程师：能！很多交换机上的小功能都可帮大忙。测试实况： IP与MAC绑定思科的Catalyst 3560交换机支持DHCPSnooping功能，交换机会监听DHCP的过程，交换机会生成一个IP和MAC地址对应表。思科的交换机更进一步的支持IP sourceguard和Dynamic ARP Inspection功能，这两个功能任启一个都可以自动的根据DHCPSnooping监听获得的IP和MAC地址对应表，进行绑定，防止私自更改地址。 Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击（见图4）。思科在DHCP Snooping上还做了一些非常有益的扩展功能，比如Catalyst3560交换机可以限制端口通过的DHCP数据包的速率，粒度是pps，这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst3560交换机还支持DHCPTracker，在DHCP请求中插入交换机端口的ID，从而限制每个端口申请的IP 地址数目，防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。华硕虽然不能调整速率，但是也会限制DHCP请求的数量。 DHCP（动态主机配置协议）是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供了一种有效的方法：即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。在基于TCP／IP协议的网络中，每台计算机都必须有唯一的IP地址才能访问网络上的资源，网络中计算机之间的通信是通过IP地址来实现的，并且通过IP地址和子网掩码来标识主计算机及其所连接的子网。在局域网中如果计算机的数量比较少，当然可以手动设置其IP地址，但是如果在计算机的数量较多并且划分了多个子网的情况下，为计算机配置IP地址所涉及的管理员工作量和复杂性就会相当繁重，而且容易出错，如在实际使用过程中，我们经常会遇到因IP地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP 地址等问题。 DHCP则很好地解决了上述的问题，通过在网络上安装和配置DHCP服务器，启用了DHCP的客户机可在每次启动并加入网络时自动地获得其上网所需的IP地址和相关的配置参数。从而减少了配置管理，提供了安全而可靠的配置。配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关，以及DNS服务器的地址。DHCP避免了因手工设置IP地址及子网掩码所产生的错误，也避免了把一个IP地址分配给多台主机所造成的地址冲突。降低了IP 地址管理员的设置负担，使用DHCP服务器可以大大地缩短配置网络中主机所花费的时间。但是，随着DHCP服务的广泛应用，也产生了一些问题。首先，DHCP服务允许在一个子网内存在多台DHCP服务器，这就意味着管理员无法保证客户端只能从管理员所设置的DHCP服务器中获取合法的IP地址，而不从一些用户自建的非法DHCP 服务器中取得IP地址；其次，在部署DHCP服务的子网中，指定了合法的IP地址、掩码和网关的主机也可以正常地访问网络，而DHCP服务器却仍然会有可能将该地

dhcp服务器手动设置ip

dhcp服务器手动设置ip 宽带路由器DHCP功能如何设置如果你启用DHCP服务才会涉及到“地址租期”。因为DHCP为客户机分配ip地址是随机而且有期限的，期限到了就会收回再重新分配一个新的给你，这个时间就是“地址租期”了。你内部通过路由器上网，计算机不算多，所以ip地址不紧张，你的租期可以相对设置的比较长，一般12小时比较合适吧。收回再重新分配可以是新的地址，但一般DHCP服务器都会将原来的地址重新分配给你，也有人称之为“续租”，一般不会对你的网络访问带来影响。你的租期设置的短，那么每次地址到期都会在网络上出现小的流量进行“续租”活动，如果你的计算机多的话就是个不小的流量了，而且对DHCP服务器也带来不必要的负担。 TCP/IP大家都非常清楚,在一个使用协议的网络中，每一台计算机都必须至少有一个IP地址，才能与其他计算机连接通信。在TCP/IP网络上，每台工作站要能与其他计算机进行互联，都必须进行基本的网络配置，除了IP地址还有子网掩码、缺省网关、DNS 等。对于小型网络，为每台计算机逐一配置这样的属性也许还可以承受，但对于一个规模比较大的网络来说,为每台计算机做这样同样

的工作不但非常繁琐,而且也存在着IP地址不用分配的情况。 DHCP 的产生很好的解决了上述问题 DHCP就是动态主机配置协议(Dynamic Host Configuration Protocol)，它的目的就是为了减轻TCP/IP网络的规划、管理和维护的负担，解决IP地址空间缺乏问题。这种网络服务有利于对网络中的客户机IP地址进行有效管理。 DHCP功能分为两个部份:一个是服务器端，而另一个是客户端(客户端不用安装，windows 9x/2000/xp 在默认情况下都启动DHCP Client服务)。DHCP透过“租约”的概念，有效且动态的分配客户端的TCP/IP设定。下面我们将说明一下DHCP的IP地址的分配方式，并结合TP-LINK的宽带路由器TL-R410具体说明DHCP服务器的功能。 DHCP功能的IP分配方式

解决局域网中干扰DHCP服务器的办法

解决局域网中干扰DHCP服务器的办法~[复制链接]发表于 2010-10-8 10:45 |来自51CTO网页 [只看他]楼主一般在局域网环境下，如果是规模比较大的工厂或者宿舍，如果是相对简单的局域网架构的话，很容易受到非法DHCP设备的干扰。比如说，IP地址是172.16.xx.xx是合法的地址，DHCP地址池比如172.16.0.1~172.16.1.254 是合法的。一般情况下，桌面级网络设备，我们会使用八口或者16口的交换机。但遇到管理不严格的单位会有些人在办公室私接共享用的小宽带路由器，或者是无线宽带路由器。而这些设备的DHCP又是默认开启的，一般不熟悉网络的人，不会去关闭。于是就会造成一个局域网中有两个DHCP服务器，一个是合法的，一个是非法的。前提是所有的交换机都是智能可管理的，而且最好是对新技术支持比较好的例如我用的H3C 的1626交换机。首先，我把H3C 1626的DHCP-SNOOPING功能开启。这样交换机可以自动监视DHCP的请求和应答信息，并记录这些信息来自的以太端口和IP >system #dhcp-snooping 然后将交换机的上联口和下联口都设置为信任端口，这样交换机可以接收到上级交换机传下来的DHCP信息，也可以将这个DHCP信息传递到下级交换机。但是到终端电脑的其他端口都设置为非信任端口。（注意，默认所有的交换机端口都是信任端口） int eth 0/x dhcp-snooping trust 设置为信任端口 undo dhcp-snoop trust 设置为非信任端口这样可以防止掉非法的DHCP信息怎样找出那个非法源呢？可以查看DHCP-SNOOPING记录的表 dis dhcp-snooping 找到非法的DHCP源IP地址条目后，将该条目相应的以太网口down掉。

DHCP服务器和交换机配置

H3C交换机设置DHCP中继多VLAN提供DHCP 2010-04-19 17:18:02| 分类：IT TECH | 标签：|举报|字号大中小订阅 H3C交换机设置DHCP中继，配合Linux 服务器为多VLAN提供DHCP地址分配服务最近在单位用Linux做了一台DHCP服务器，使用H3C S7506R交换机做中继，为两个VLAN 提供DHCP服务，经过两个月的测试效果很好。在这里把服务器和交换机的设置方法写出来供有相似需求的朋友参考。首先贴一下网络拓扑：

一DHCP服务器设置步骤如下： 1)安装好Linux操作系统，我用的发行版本是CentOS 5.2。 2)设置服务器的网络参数如下 IP地址:192.168.6.7 子网掩码:255.255.255.0 网关:192.168.6.254 DNS:192.168.6.10 3)安装DHCP服务 CentOS和Red Hat Enterprise Linux等系统默认并不安装DHCP服务。可以使用这个命令来检查系统是否已经安装DHCP服务： rpm –q dhcp 如果返回提示“package dhcp is not installed”，说明没有安装DHCP服务。把CentOS安装DVD 光盘放入光驱，执行以下命令： cd /media/CentOS_5.2_Final/CentOS rpm –ivh dhcp-3.0.5-13.el5.i386.rpm 系统会安装进度，安装成功后再次执行“rpm –q dhcp”命令，系统会返回消息“dhcp-3.0.5-13.el5”，说明DHCP服务已正确安装。 4)把配置文件模板复制为dhcpd.conf DHCP服务的配置要靠编辑/etc/dhcpd.conf来进行。DHCP服务程序默认没有建立dhcpd.conf 配置文件，但自带配置模板，只要稍加修改就可以使用。执行 “cp /usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample /etc/dhcpd.conf”命令，可以把系统自带的配置文件模板复制到/etc目录并重命名为dhcpd.conf。 5)用“vi /etc/dhcpd.conf”命令编辑配置文件内容如下：引用: #cat /etc/dhcpd.conf ddns-update-style interim; ignore client-updates; default-lease-time 86400;

DHCP多作用域

DHCP及DHCP多作用域服务器工作原理 2007-11-18 20:39:02 标签：DHCP职场休闲多作用域服务器一、DHCP服务是什么 DHCP称为动态主机配置协议。DHCP服务允许工作站连接到网络并且自动获取一个IP地址。配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关、一个WINS服务器的IP地址，以及一个DNS服务器的IP地址。二、DHCP服务在实际应用中的常见问题 1、在一个子网内是否可以存在多台DHCP服务器，如果存在的话，那么该子网中的客户机能否正确获取地址，将会获取哪个DHCP服务器所分配的地址，是否能控制客户机器能从管理人员所设置的DHCP服务器中获取地址而不会从一些非法用户自建的DHCP服务器中取得非法得IP？ 2、如果网络中存在多个子网，而子网的客户机需要DHCP服务器提供地址配置，那么是采取在各个子网都安装一台DHCP服务器，还是只在某一个子网中安装DHCP服务器，让它为多个子网的客户机分配IP地址，应该如何实现？ 3、如果采取在一个子网中安装DHCP服务器，让它为多个子网的客户机分配IP地址，那么应该需要在一台DHCP服务器中创建多个不同范围的作用域，而我们如何可以准确地保证相应范围的地址峙涓嘤ψ油刂骰兀? 4、如果客户机器无法从DHCP服务器中获取IP地址，那么Windows2000客户机器将会如何处理自己的TCP/IP

设置？三、DHCP的工作原理要解析第二点中所提的问题，首先要搞清楚DHCP的实际的工作过程及原理，下面就对此做简单介绍：DHCP 是一个基于广播的协议，它的操作可以归结为四个阶段，这些阶段是IP租用请求、IP租用提供、IP租用选择、IP租用确认。 1. 寻找Server。当DHCP客户端第一次登录网路的时候﹐也就是客户发现本机上没有任何IP资料设定﹐它会向网路发出一个DHCPDISCOVER封包。因为客户端还不知道自己属于哪一个网路﹐所以封包的来源地址会为0.0.0.0﹐而目的地址则为255.255.255.255﹐然后再附上DHCPdiscover的信息﹐向网路进行广播。网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息，但只有DHCP服务器才会做出响应.DHCPdiscover的等待时间预设为1秒也就是当客户端将第一个DHCPdiscover封包送出去之后在1秒之内没有得到回应的话就会进行第二次DHCPdiscover广播。在得不到回应的情况下客户端一共会有四次DHCPdiscover广播(包括第一次在内)除了第一次会等待1秒之外其余三次的等待时间分别是9 13 16秒。如果都没有得到DHCP服务器的回应客户端则会显示错误信息宣告DHCPdiscover的失败。之后基于使用者的选择系统会继续在5分钟之后再重一次DHCPdiscover的要求。 2. 提供IP租用位址。当DHCP服务器监听到客户端发出的DHCPdiscover广播后﹐它会从那些还没有租出的位址范围内﹐选择最前面的的空置IP，连同其它TCP/IP设定，回应给客户端一个DHCPOFFER封包。由于客户端在开始的时候还没有IP位址﹐所以在其DHCPdiscover封包内会带有其MAC位址信息﹐并

网络安全方面题目

第一章 1、端口号的分类范围 ●Well-known 端口0-1023：一般固定分配给一些服务 ●注册端口：1024-49151：它们被LANA分配给每个专用程序 ●动态或私有端口：49152-65535: 2、OSI7层物理层（最底层、第一层），这一层的数据叫比特；数据链路层，交换机，这一层的数据叫帧；网络层，路由器，这一层的数据叫数据包；传输层，定义了一些传输数据的协议和端口号（WWW端口80等；工作在传输层的一种服务是T C P / I P 协议套中的T C P （传输控制协议），另一项传输层服务是I P X / S P X 协议集的S P X （序列包交换）。这一层数据叫段；会话层，通过传输层（端口号：传输端口与接收端口）建立数据传输的通路；表示层，表示层管理数据的解密与加密，如系统口令的处理；表示层协议还对图片和文件格式信息进行解码和编码；应用层，终端应用；文件传输、文件管理及电子邮件的信息处理。 3、常见端口号 ●21端口分配给FTP(文件传输协议)服务 ●25端口分配给SMTP（简单邮件传输协议）服务， ●80端口分配给HTTP服务， ●135端口分配给RPC（远程过程调用）服务等等。 4、危险的端口号，是什么服务：135；端口：135 服务：Location Service 说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。 5、137端口号，主要作用是什么，IP地址查询；138，136，139 端口：137、138、139 ，服务：NETBIOS Name Service 说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows 文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。 6、TCP三次握手，四次挥手连接断开第二章 1、什么是对称加密，什么是非对称加密，意义在哪里，区别在哪里，要理解掌握 2、公钥(非对称加密)跟私钥（对称加密）要理解，相关关系要明白。 3、流密码和分组密码都属于对称密钥算法。流密码的基本思想是利用密钥产生一个密钥流，并通过相应的规则对明文串进行寄卖合计没处理。而分组密码是将明文分为固定长度的分组，然后通过若干轮函数的迭代操作来产生密文。函数由于在每一轮的操作中都是用，所以称为轮函数，其本轮的输入时上一轮的输出加上密钥。 4、流密码有：基于移位寄存器及硬件实现的A5/1算法；基于软件实现的流密码RC4算法。 5、分组加密有：DES、3DES、AES、IDEA、RC5/RC6，TEA。 6、非对称加密算法：RSA，DH算法，椭圆曲线算法 7、Des加密算法（大题），流程图，怎么实现这个加密，要看懂

windows2008 DHCP服务器图文详解配置

Windows2008 DHCP图文详解配置 DHCP服务器大家用路由器都会知道，DHCP是一个分配IP地址的一个服务。基于C/S模式，以MAC地址为基础，得到高级地址IP地址的一个过程。首先介绍相关DHCP的事情：关于工作过程。。。获取过程是这样的，首先，客户端向网络发送广播包，找DHCP服务器。若找不到DHCP服务器的，会从微软指定的IP地址库（169.254.XXX.XXX里面）随机选一个作为临时IP地址，若电脑对电脑传送可以使用这段IP地址的，路由器也不会阻止（但不能跨越路由器）紧接着，DHCP服务器收到客户端发来的DHCP请求，在自己的DHCP库里面查询剩余IP 地址多少，延迟等相关信息。之后，DHCP服务器通过广播回复，发送相关DHCP查询信息给客户端（每台DHCP服务器发一份），根据谁的DHCP信息先到，客户端就先选先到的DHCP信息表。客户端根据先到的DHCP信息表，发送广播给服务器指定哪一台DHCP服务器若服务器收到的是不使用该DHCP服务器的，则不发ACK确认信息。若收到的是使用该DHCP服务器的，从DHCP地址池里面划出一个IP，则通过广播发送ACK确认信息包给客户端。关于ACK确认包的内容：根据服务器配置情况会有：分配的IP地址，子网掩码，网关（若不跨越网段则不需要），DNS地址（若不需要DNS解析则不需要）跟租约期限关于收到IP的类型：

若是公网地址，则为公用DHCP服务器若为10.X.X.X，一般为大型独立DHCP服务器群若为172.XX.X.X，一般为中型独立DHCP服务器若为192.168.X.X，一般为基础DHCP服务器（或者路由器）若为169.254.X.X，则找不到DHCP服务器，为微软随机挑的IP地址。更多内容，将会在以后补充。 DHCP基础搭建设置 DHCP服务在SERVER里面很常用的一个功能，在SERVER 2000里面就开始有这个功能了。（其实NT内核都可以实现，不过实现的方式不一样，效果也不一样。具体分析下）若是客户端操作系统：WINDOWS 2000 PROFESSIONAL，WINDOWS XP HOME\PROFESSIONAL，WINDOWS VISTA，WINDOWS 7这类是通过共享INTERNET设置实现。（需要搭双网卡）若是服务器操作系统：WINDOWS 2000 SERVER,WINDOWS 2003 SERVER,WINDOWS 2008 SERVER,WINDOWS 2008 SERVER R2的，通过添加DHCP服务器角色来实现（单双网卡都可以）基础DHCP其实很简单，几乎菜鸟的看几下说明书都可以操刀完成。现在以WINDOWS 2008 SERVER R2为例子，开始介绍如何设置DHCP服务器（基础篇）

dhcp服务器无法绑定到udp端口号67

竭诚为您提供优质文档/双击可除dhcp服务器无法绑定到udp端口号67 篇一：无法启用Dhcp 如上图所示，在启用深度网吧ghosT辅助工具Dhcp时失败，提示：引用内容 couldnotbindsocket.Addressandportarealreadyinuse. 原因是服务需要的端口被其他应用程序占用了，那问题是本服务需要使用哪个端口？该端口又被哪个应用程序占用了呢？如果能回答这两个问题，那问题也就解决了。解决步骤 ①.在另一台机子上安装深度网吧ghosT辅助工具，启用Dhcp服务后查看其使用的端口：从上图得知，Dhcp 服务是使用 uDp的67和69端口。 ②.在服务器上查看uDp的67和69端口都被谁占用了：

检查发现uDp67端口是辅助工具自己使用，而uDp69端口被其他应用程序占用了：好了，将3cTFTps.exe 关闭后深度网吧ghosT辅助工具Dhcp服务就能启用了查看进程占用的端口号和ID：netstat–ano 篇二：Dhcp服务器的配置实验报告(1) 云南师范大学信息学院实验报告 1 2 3 4 5 篇三：如何解决局域网非法Dhcp服务器问题如何解决局域网非法Dhcp服务器问题? 最近公司里部分计算机频繁出现不能上网的问题，这些计算机都是自动获得Ip的，但经过检查我发现他们获得的网关地址是错误的，按照常理Dhcp不会把错误的网关发送给客户端计算机的。后来我使用ipconfig/release释放获得的网络参数后，用ipconfig/renew可以获得真实的网关地址，而大部分获得的仍然是错误的数据。所以我断言局域网中肯定存在其他的Dhcp服务器，也叫做非法Dhcp服务器。