DHCP的定义

DHCP的定义

动态主机配置协议(DHCP) 是一种简化主机IP 配置管理的TCP/IP 标准。DHCP 标准为DHCP 服务器的使用提供了一种有效的方法：即管理IP 地址的动态分配以及网络上启用DHCP 客户机的其他相关配置信息。

TCP/IP 网络上的每台计算机都必须有唯一的计算机名称和IP 地址。IP 地址（以及与之相关的子网掩码）标识主计算机及其连接的子网。将计算机移动到不同的子网时，必须更改IP 地址。DHCP 允许您从本地网络上的DHCP 服务器IP 地址数据库中为客户机动态指派IP 地址。

图1

使用DHCP 的好处

安全而可靠的配置

DHCP 避免了由于需要手动在每个计算机上键入值而引起的配置错误。DHCP 还有助于防止由于在网络上配置新的计算机时重用以前指派的IP 地址而引起的地址冲突。

减少配置管理

使用DHCP 服务器可以大大降低用于配置和重新配置网上计算机的时间。可以配置服务器以便在指派地址租约时提供其他配置值的全部范围。这些值是使用DHCP 选项指派的。

另外，DHCP 租约续订过程还有助于确保客户机配置需要经常更新的情况（如使用移动或便携式计算机频繁更改位置的用户），通过客户机直接与DHCP 服务器通讯可以高效自动地进行这些改动。

DHCP 的工作原理

DHCP 使用客户/服务器模型。网络管理员建立一个或多个DHCP 服务器。服务器数据库包含以下信息：

网络上所有客户机的有效配置参数。

在指派到客户机的地址池中维护的有效IP 地址，以及用于手动指派的保留地址。

服务器提供的租约持续时间。租约定义了指派的IP 地址可以使用的时间长度。

通过在网络上安装和配置DHCP 服务器，启用DHCP 的客户机可在每次启动并加入网络时动态地获得其IP 地址和相关配置参数。DHCP 服务器以地址租约的形式将该配置提供给发出请求的客户机。

DHCP 术语

作用域作用域是用于网络的可能IP 地址的完整连续范围。作用域通常定义提供DHCP 服务的网络上的单独物理子网。作用域还为服务器提供管理IP 地址的分配和指派以及与网上客户相关的任何配置参数的主要方法。

超级作用域超级作用域是可用于支持相同物理子网上多个逻辑IP 子网的作用域的管理性分组。超级作用域仅包含可一起激活的成员作用域或子作用域。超级作用域不用于配置

有关作用域使用的其他详细信息。如果想配置超级作用域内使用的多数属性，您需要单独配置成员作用域。

排除范围排除范围是作用域内从DHCP 服务中排除的有限IP 地址序列。排除范围确保在这些范围中的任何地址都不是由网络上的服务器提供给DHCP 客户机的。

地址池在您定义DHCP 作用域并应用排除范围之后，剩余的地址在作用域内形成可用地址池。分池的地址适合于由服务器到您网络上DHCP 客户机的动态指派。

租约租约是客户机可使用指派的IP 地址期间DHCP 服务器指定的时间长度。租用给客户时，租约是活动的。在租约过期之前，客户机一般需要通过服务器更新其地址租约指派。当租约期满或在服务器上删除时，租约是非活动的。租约期限决定租约何时期满以及客户需要用服务器更新它的次数。

保留使用保留创建通过DHCP 服务器的永久地址租约指派。保留确保了子网上指定的硬件设备始终可使用相同的IP 地址。

选项类型选项类型是DHCP 服务器在向DHCP 客户机提供租约服务时指派的其他客户机配置参数。例如，某些公用选项包含用于默认网关（路由器）、WINS 服务器和DNS 服务器的IP 地址。通常，为每个作用域启用并配置这些选项类型。DHCP 控制台还允许您配置由服务器上添加和配置的所有作用域使用的默认选项类型。虽然大多数选项都是在RFC 2132 中预定义的，但若需要的话，您可使用DHCP 控制台定义并添加自定义选项类型。

选项类别选项类别是一种可供服务器进一步管理提供给客户的选项类型的方式。当选项类别添加到服务器时，可为该类别的客户机提供用于其配置的类别特定选项类型。对于Windows 2000，客户机也可指定与服务器通信时的类别ID。对于不支持类别ID 过程的早期DHCP 客户机，服务器可配置成默认类别以便在将客户机归类时使用。选项类别有两种类型：供应商类别和用户类别。

安装配置DHCP 服务器

1、打开Windows 组件向导。

2、在“组件”下，滚动列表并单击“网络服务”。

3、单击“详细信息”。

4、在“网络服务的子组件”下，单击“动态主机配置协议(DHCP)”，然后单击“确定”。

5、如果出现提示，请键入Windows 2000 分发文件的完整路径并单击“继续”。

6、将所需的文件复制到硬盘上。重新启动系统后，可使用DHCP服务器软件。

7、然后为每个物理子网创建作用域，为该作用域定义客户机使用的参数。

配置客户机

如果在客户机“TCP/IP”属性中选择了“获得IP 地址”，则该计算机成为DHCP 客户机。它会自动从服务器接收IP配置。

中继代理配置

DHCP服务器只能作用自身子网中，如果需要对几个子网进行DHCP设置，必需设置DHCP 中继代理。如果您计划将中继代理合并到启用DHCP/BOOTP 的网络中，则有几种中继代理配置选项。包括使用其他路由器、Windows 2000 路由及远程访问服务以及Windows NT Server 4.0 中提供的DHCP 中继代理。

第三方路由器

此图显示了第三方路由器配置。此路由器正在运行子网 A 和子网 B 之间的中继代理以转发DHCP 请求。在DHCP服务器上为子网B配置一个作用域，在路由器上设置DHCP 服务器的IP。子网B就可使用子网A中的DHCP服务器。实际上大多三层交换机也支持这项功能，这也是在组网中用的最多的一种方式。

图2

Windows 2000 Server 路由和远程访问服务

此图显示了Windows 2000 Server 路由和远程访问配置。Windows 2000 Server 上的DHCP 中继代理必须使用DHCP 服务器的IP 地址进行配置以便中转子网A 和子网B 之间的DHCP 请求。

图3

Windows NT Server 4.0

此图显示了如何能在Windows NT Server 4.0 中使用标准IP 路由器中转子网A 和子网B 之间的DHCP 请求。

图4

dhcp 服务器搭建与配置

dhcp 服务器搭建与配置1. 单个网段 (1)yum install -y dhcp.x86_64 (2) /etc/dhcp/dhcpd.conf ----------主配置文件 (3) man 5 dhcpd.conf ---------查看配置文件的帮助手册 (4) vim /etc/dhcp/dhcpd.conf ddns-update-style interim; //配置dhcp与dns的互动更新模式 ignore client-updates; subnet 192.168.1.0 netmask 255.255.255.0{ //设置子网声明 option routers 192.168.1.254; // 网关 option subnet-mask 255.255.255.0; //子网掩码 option domain-name-servers 222.222.222.222; //DNS服务器IP option time-offset -18000; range dynamic-bootp 192.168.1.105 191.168.1.254; //IP地址池 default -lease-time 21600; //默认的租期时间 max-lease-time 43200; //最大租赁时间 host laoban { //为特定主机绑定IP hardware ethernet 00:0c:29:16:63：dc; //特定主机的mac地址 fixed-address 192.168.1.188; } } (5) service dhcpd restart (6) lsof -i:67 //监听端口号UDP 67 (7) 测试机上，与该DHCP服务器上，设置网卡均为“仅主机” 且，“编辑”--“虚拟网络编辑器---，仅主机，将默认的 dhcp 服务去掉 windows cmd 下 ipconfig /all -------- 查看有关IP的所有信息 ipconfig /release --------释放现有的IP ipconfig /renew --------重新获取IP 2. 超级作用域 ==> 多网段

非法DHCP服务器攻击的防御

非法DHCP服务器攻击的防御 现今校园网络DHCP服务是一种非常常见的服务，该服务简化了海量学生PC、教室PC、服务器的地址配置工作。然而有些校园网用户会产生非法DHCP服务器的攻击行为，这种行为可能是一种恶意操作，也可能是一种无意无操作，比如安装Windows 2000 server的客户端，不小心启用DHCP服务。这种操作无论哪种原因产生的，都会对校园网的运行产生负面影响。第一正常用户从非法DHCP获得非法IP地址，就无法获取正确的网关和DNS等信息；第二有些客户从非法DHCP获得的地址会和其他正常用户产生地址冲突，可能刚好和某些重要校园服务器地址冲突，会影响校园网关键应用的运行。 非法DHCP服务器攻击原理 在某些情况下，入侵者可以将一个DHCP 服务器加入网络，令其“冒充”这个网段的DHCP 服务器。这让入侵者可以为缺省的网关和域名服务器（DNS 和WINS）提供错误的DHCP 信息，从而将客户端指向黑客的主机。这种误导让黑客获得其他用户对保密信息的访问权限，例如用户名和密码，而其他用户对攻击一无所知。过程如下： 用户发出DHCP Request 攻击者将自己的服务器设置成DHCP Server并发出错误的DHCP Offer 用户采用第一个响应其请求的DHCP Server，得到错的DHCP信息 正确的DHCP Server发出DHCP Offer，用户不采用 如何防范非法DHCP服务器攻击－DHCP Snooping 非信任端口

如前所述DHCP Snooping能够过滤来自网络中主机或其他设备的非信任DHCP报文，其中包括对应交换机上不信任的端口的客户端IP地址、MAC地址、端口号、VLAN编号、租用和绑定类型等消息。交换机支持在每个VLAN基础上启用DHCP Snooping特性。 因此，通过使用DHCP Snooping 特性中的端口信任特性来防止用户私自设置DHCP server。一旦在设备上指定专门的DHCP server服务器的接入端口则其他端口的DHCP server的报文将被全部丢弃。 启动DHCP Snooping，将合法DHCP Server的端口设为信任端口，其他端口默认情况下均为非信任端口 用户发出DHCP Request 攻击者将自己的服务器设置成DHCP Server并发出错误的DHCP Offer 交换机自动丢弃所有非信任端口发出的DHCP Offer 用户采用正确的DHCP Server发出DHCP Offer DHCP Snooping 非信任端口是DHCP Snooping的子集。通常在校园网部署时建议将接入交换机的下行端口（用户接口）设置为DHCP Snooping untrust，将上行端口（连向核心网和汇聚网）设置为DHCP Snooping trust。H3C E328/E352 E126A/E152产品支持DHCP Snooping 非信任端口，可以有效防控校园网内部的非法DHCP服务器攻击发生。

linux下dhcp服务器配置(很全)

Linux下配置完整安全的DHCP服务器详解 （1） 一、建立DHCP服务器配置文件 二、建立客户租约文件 三、启动和检查DHCP服务器 四、配置DHCP客户端 五、DHCP配置常见错误排除 六、DHCP服务器的安全 DHCP是动态主机配置协议.这个协议用于向计算机自动提供IP地址,子网掩码和路由信息。网络管理员通常会分配某个范围的IP地址来分发给局域网上的客户机。当设备接入这个局域网时，它们会向DHCP 服务器请求一个IP 地址。然后DHCP服务器为每个请求的设备分配一个地址，直到分配完该范围内的所有IP 地址为止。已经分配的IP地址必须定时地延长借用期。这个延期的过程称作leasing，确保了当客户机设备在正常地释放IP地址之前突然从网络断开时被分配的地址可以归还给服务器。本文以Redhat Linux 9.0为例，介绍如何建立一个完整和安全的DHCP服务器。 一、建立DHCP服务器配置文件 可以使用Redhat Linux 9.0自身携带rpm包安装。安装结束后, DHCP 端口监督程序dhcpd 配置文件是/etc目录中的名为dhcpd.conf的文件。下面手工建立/etc/dhcpd.conf文件。/etc /dhcpd.conf通常包括三部分：parameters、declarations 、option。 1.DHCP配置文件中的parameters（参数）：表明如何执行任务，是否要执行任务，或将哪些网络配置选项发送给客户。主要内容见表1 参数解释 ddns-update-style 配置DHCP-DNS 互动更新模式。 default-lease-time 指定确省租赁时间的长度，单位是秒。 max-lease-time 指定最大租赁时间长度，单位是秒。 hardware 指定网卡接口类型和MAC地址。 server-name 通知DHCP客户服务器名称。 get-lease-hostnames flag 检查客户端使用的IP地址。 fixed-address ip 分配给客户端一个固定的地址。authritative 拒绝不正确的IP地址的要求。 2. DHCP配置文件中的declarations （声明）： 解释 用来描述网络布局、提供客户的IP地址等。 主要内容见表2：声明 shared-network用来告知是否一些子网络分享相同网络。subnet描述一个IP地址是否属于该子网。 range 起始IP 终止IP提供动态分配IP 的范围。 host 主机名称参考特别的主机。 group为一组参数提供声明。

DHCP服务器的配置

服务器的配置DHCP实验要求： DHCP）工作原理。1．了解动态主机配置协议（服务器。2．熟练配置DHCP DHCP服务的优点3．了解实验步骤：服务器DHCP1．安装→“治理您的服）单击“开始”→“所有程序”→“治理工具”（1，再按“下一步”按钮。配置向导自动检；单击“添加或删除角色”务器”测所有网络连接的设置情形，若没有发觉咨询题则进入“服务器角色”向所示。导页，如图1 图1 服务器角色 （2）单击“下一步”，会显现“选择总结”向导页，如果总结里面有“安装DHCP服务器”和“运行新建作用域向导配置一个新的DHCP 作用域”，则单击“下一步”。提示你插入Windows 2003 Server 光盘，按提示做即可安装完成。 2．配置DHCP服务器

完成DHCP服务器的安装后并不能赶忙为客户端运算机自动分配IP 地址，还需要通过一些设置工作。第一要做的确实是按照网络中的结点或运算机数确定一段IP地址范畴，创建一个IP作用域。具体操作步骤如下： （1）单击“开始”→“所有程序”→“治理工具”→“DHCP”，打开“DHCP”操纵台窗口。在左窗格中右击DHCP服务器名称，执行“新建作用域”命令。 （2）打开“新建作用域向导”对话框，单击“下一步”按钮打开“作用域名”向导页。在“名称”编辑框中为该作用域输入一个名称和一段描述性信息，单击“下一步”按钮。 （3）在打开的“IP地址范畴”向导页中，分不在“起始IP地址”和地址IP地址范畴的起止IP地址”编辑框中输入差不多确定好的IP“终止．

按，单击“下一步”（按照实际网络结构填写，或者老师先分配好IP 地址）2所示。钮。如图 地址范畴IP图2 IP）打开“添加排除”向导页，在那个地点能够指定需要排除的（4。IP地址）IP地址范畴（按照实际网络结构填写，或者老师先分配好地址或地址并单击“添加”按钮。重复地址”编辑框中输入排除的IP 在“起始IP3 所示。操作即可，接着单击“下一步”按钮，如图 添加排除图3

强制性使用DHCP获取ip地址

限制用户使用静态IP，只能通过DHCP获取地址的方法 L3（dhcp server/93 1/0/0）------(0/0/3)L2(33 0/0/1口)-----pc（4487-fc43-2dea） 需求:要求L3作dhcp server，仅为某一些mac分配固定的ip，其他未明示的mac不允许获得ip，同时已经明示的mac只能使用指定的ip，不能私自修改ip. 1、在dhcp server组里做静态的ip和mac绑定，使ip分配正确。 2、在dhcp server全局再单独做ip和mac的静态表，并在接口开启ip check/arp check,使用户私改ip无法上网，同时也不会产生arp冲突。 3、在L2上作静态表，只写mac，然后在接口开启ip检查，或者在vlan开启ip检查. L2配置： !Software Version V100R005C01SPC100 sysnameQuidway # vlan batch 10 # user-bind static mac-address 4487-fc43-2dea--------允许pc mac通过，不能写ip，因为dhcp discover交互的报文没有ip。 user-bind static mac-address 0018-82b3-c6ff--------允许服务器的mac。 # undo http server enable # drop illegal-mac alarm # vlan 10 ip source check user-bind enable-------------------在vlan里开启ip检查。 ip sour # L3配置： [Quidway]dis cu # !Software Version V100R003C00SPC200 sysnameQuidway # vlan batch 1 6 10 20 # dhcp enable

DHCP服务器的搭建与配置

Windows 网络服务架构系列课程详解（一） ---------DHCP服务器的搭建与配置 实验背景： 企业网络环境中在没有配置DHCP服务器时，经常会遇到这样的情况，用户不懂怎么去配置IP地址；IP地址经常冲突；管理员单个配置IP地址会经常出错；笔记本计算机的客户，经常从一个子网移动到另一个子网，需要不断地手动更换IP地址；IP地址资源不足，但实际在同一时间段内使用的用户小于IP地址的数量等等。 实验目的： 1、了解Windows DHCP服务器的安装过程 2、了解Windows DHCP服务器的工作过程 3、掌握Windows DHCP服务器的配置和管理 4、理解DHCP中继代理概念，会用windows客户机或者路由器做DHCP中继代 理获取TCP/IP参数。 5、掌握备份和还原DHCP数据库 6、浅谈路由器做DHCP服务器或DHCP中继代理 实验网络拓扑：

实验说明 本实验是在域环境下搭建的，因为，windows的大部分服务只有在域的环境下才能发挥初更好的效果来；其次，本实验无论是从域的角度去看，还是从DHCP 服务器以及DHCP中继代理的角度去看都实现的是双备份冗余服务。因为，只有这样具有备份冗余的环境才能使企业的网络更加稳定，安全。 实验步骤 1.配置DHCP服务器的安装过程（主要配置DC—域控制器 上DHCP服务器，BDC-副域控制器上的原理与DC上配置相同） 1.1、配置之前，首先要知道DHCP服务器的要求。DHCP服务器要求在 Windows Server 版的计算机上运行，本实验是在Windows Server 2003上运行的配置。由于DHCP服务器要运行稳定，必须有静态的IP地址、子网掩码和其他的TCP/IP参数。 下面是在DC上配置的TCP/IP参数。可以看出DHCP服务器的地址是，DNS服务器的地址也是，网关（R1路由接口E0/1的IP地址

Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法

Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服 务器的方法 网络管理员:现在用户真是不省心，自己改个IP地址;私接AP、忘关DHCP，还有的下个小黑客程序，就想在你内网里试试。单靠交换机能管吗, 测试工程师:能～很多交换机上的小功能都可帮大忙。 测试实况: IP与MAC绑定 思科的Catalyst 3560交换机支持DHCPSnooping功能，交换机会监听DHCP的过程，交换机会生成一个IP和MAC地址对应表。思科的交换机更进一步的支持IP sourceguard和Dynamic ARP Inspection功能，这两个功能任启一个都可以自动的根据DHCPSnooping监听获得的IP和MAC地址对应表，进行绑定，防止私自更改地址。 Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击(见图4)。 思科在DHCP Snooping上还做了一些非常有益的扩展功能，比如Catalyst3560交换机可以限制端口通过的DHCP数据包的速率，粒度是pps，这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst3560交换机还支持DHCPTracker，在DHCP请求中插入交换机端口的ID，从而限制每个端口申请的IP 地址数目，防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。华硕虽然不能调整速率，但是也会限制DHCP请求的数量。 DHCP(动态主机配置协议)是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供了一种有效的方法:即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。

dhcp服务器如何设置

dhcp服务器如何设置 在一个使用TCP/IP协议的网络中，每一台计算机都必须至少有一个IP地址，才能与其他计算机连接通信。为了便于统一规划和管理网络中的IP地址，DHCP （Dynamic Host Configure Protocol，动态主机配置协议）应运而生了。这种网络服务有利于对校园网络中的客户机IP地址进行有效管理，而不需要一个一个手动指定IP地址。 DHCP服务的安装 DHCP指的是由服务器控制一段IP地址范围，客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。首先，DHCP服务器必须是一台安装有Windows 2000 Server/Advanced Server系统的计算机；其次，担任DHCP服务器的计算机需要安装TCP/IP协议，并为其设置静态IP地址、子网掩码、默认网关等内容。默认情况下，DHCP作为Windows 2000 Server的一个服务组件不会被系统自动安装，必须把它添加进来： 1. 依次点击“开始→设置→控制面板→添加/删除程序→添加/删除Windows组件”，打开相应的对话框。 添加IP地址范围 当DHCP服务器被授权后，还需要对它设置IP地址范围。通过给DHCP服务器设置IP地址范围后，当DHCP客户机在向DHCP服务器申请IP地址时，DHCP 服务器就会从所设置的IP地址范围中选择一个还没有被使用的IP地址进行动态分配。添加IP地址范围的操作如下： 1. 点击“开始→程序→管理工具→DHCP”，打开DHCP控制台窗口。 2. 选中DHCP服务器名，在服务器名上点击鼠标右键，在出现的快捷菜单中选择“新建作用域”，在出现的窗口中单击[下一步]按钮，在出现的对话框中输入相关信息，单击[下一步]按钮，如图1所示。 3. 在图1所示的窗口中，根据自己网络的实际情况，对各项进行设置，然后单击[下一步]按钮，出现如图2所示的窗口。 4. 在图2所示的窗口中，输入需要排除的IP地址范围。由于校园网络中有很多网络设备需要指定静态IP地址（即固定的IP地址），如服务器、交换机、路由

如何解决局域网非法DHCP服务器问题

如何解决局域网非法DHCP服务器问题? 最近公司里部分计算机频繁出现不能上网的问题，这些计算机都是自动获得IP的，但经过检查我发现他们获得的网关地址是错误的，按照常理DHCP不会把错误的网关发送给客户端计算机的。后来我使用ipconfig /release释放获得的网络参数后，用ipconfig /renew可以获得真实的网关地址，而大部分获得的仍然是错误的数据。所以我断言局域网中肯定存在其他的DHCP服务器，也叫做非法DHCP服务器。为什么真正的DHCP服务器分配的网络参数无法正确传输到客户机上呢？ 首先来了解下DHCP的服务机制： 一般公司内部都会有一个DHCP服务器来给客户端计算机提供必要的网络参数信息的，例如IP地址，子网掩码，网关，DNS等地址，很多情况路由器就可以担当此重任。每次客户端计算机启动后都会向网络中发送广播包寻找DHCP服务器（前提是该计算机被设置为自动获得IP地址），广播包随机发送到网络中，当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息，同时从自己的地址池中抽取一个IP地址分配给该计算机。 为什么非法DHCP会被客户端计算机认为是合法的？ 根据DHCP的服务机制，客户端计算机启动后发送的广播

包会发向网络中的所有设备，究竟是合法DHCP服务器还是非法DHCP服务器先应答是没有任何规律的，客户端计算机也没有区分合法和非法的能力。这样网络就被彻底扰乱了，原本可以正常上网的机器再也不能连接到intelnet。解决方法： 1、ipconfig /release 和ipconfig /renew 我们可以通过多次尝试广播包的发送来临时解决这个问题，直到客户机可以得到真实的地址为止。即先使用ipconfig /release释放非法网络数据，然后使用ipconfig /renew尝试获得网络参数，如果还是获得错误信息则再次尝试/release与/renew直到得到正确信息。 提醒：这种方法治标不治本，反复尝试的次数没有保证，另外当DHCP租约到期后客户端计算机需要再次寻找DHCP服务器获得信息，故障仍然会出现。 2、通过“域”的方式对非法DHCP服务器进行过滤 将合法的DHCP服务器添加到活动目录（Active Directory）中，通过这种认证方式就可以有效的制止非法DHCP服务器了。原理就是没有加入域中的DHCP Server在相应请求前，会向网络中的其他DHCP Server发送DHCPINFORM 查询包，如果其他DHCP Server有响应，那么这个DHCP Server就不能对客户的要求作相应，也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器

Cisco 解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法

网络管理员：现在用户真是不省心，自己改个IP地址；私接AP、忘关DHCP，还有的下个小黑客程序，就想在你内网里试试。单靠交换机能管吗？ 测试工程师：能！很多交换机上的小功能都可帮大忙。 测试实况： IP与MAC绑定 思科的Catalyst 3560交换机支持DHCPSnooping功能，交换机会监听DHCP的过程，交换机会生成一个IP和MAC地址对应表。思科的交换机更进一步的支持IP sourceguard和Dynamic ARP Inspection功能，这两个功能任启一个都可以自动的根据DHCPSnooping监听获得的IP和MAC地址对应表，进行绑定，防止私自更改地址。 Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击（见图4）。 思科在DHCP Snooping上还做了一些非常有益的扩展功能，比如Catalyst3560交换机可以限制端口通过的DHCP数据包的速率，粒度是pps，这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst3560交换机还支持DHCPTracker，在DHCP请求中插入交换机端口的ID，从而限制每个端口申请的IP 地址数目，防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。华硕虽然不能调整速率，但是也会限制DHCP请求的数量。 DHCP（动态主机配置协议）是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供了一种有效的方法：即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。 在基于TCP／IP协议的网络中，每台计算机都必须有唯一的IP地址才能访问网络上的资源，网络中计算机之间的通信是通过IP地址来实现的，并且通过IP地址和子网掩码来标识主计算机及其所连接的子网。在局域网中如果计算机的数量比较少，当然可以手动设置其IP地址，但是如果在计算机的数量较多并且划分了多个子网的情况下，为计算机配置IP地址所涉及的管理员工作量和复杂性就会相当繁重，而且容易出错，如在实际使用过程中，我们经常会遇到因IP地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP 地址等问题。 DHCP则很好地解决了上述的问题，通过在网络上安装和配置DHCP服务器，启用了DHCP的客户机可在每次启动并加入网络时自动地获得其上网所需的IP地址和相关的配置参数。从而减少了配置管理，提供了安全而可靠的配置。 配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关，以及DNS服务器的地址。DHCP避免了因手工设置IP地址及子网掩码所产生的错误，也避免了把一个IP地址分配给多台主机所造成的地址冲突。降低了IP 地址管理员的设置负担，使用DHCP服务器可以大大地缩短配置网络中主机所花费的时间。 但是，随着DHCP服务的广泛应用，也产生了一些问题。首先，DHCP服务允许在一个子网内存在多台DHCP服务器，这就意味着管理员无法保证客户端只能从管理员所设置的DHCP服务器中获取合法的IP地址，而不从一些用户自建的非法DHCP 服务器中取得IP地址；其次，在部署DHCP服务的子网中，指定了合法的IP地址、掩码和网关的主机也可以正常地访问网络，而DHCP服务器却仍然会有可能将该地

DHCP服务器的建立与管理

4.5 DHCP服务器的建立与管理 4.5.1 实训目的 （1）掌握DHCP服务器的安装、配置和管理。 （2）掌握DHCP服务的组成。 （3）掌握DHCP服务的测试。 4.5.2 实训内容 （1）安装DHCP服务组件。 （2）为DHCP服务器授权。 （3）创建DHCP作用域。 （4）配置DHCP作用域选项。 （5）配置DHCP保留地址。 4.5.3 实训理论基础 1．DHCP DHCP即Dynamic Host Configuration Protocol（动态主机配置协议）。DHCP服务器利用租约生成（lease generation）过程，为客户机分配在指定时间内有效的IP地址。IP地址通常是临时的，因此DHCP客户机必须通过DHCP服务器周期性地尝试更新它们的租约。即可以通过DHCP服务器自动地为DHCP客户机分配IP地址，减少了管理员逐个配置客户机所带来的工作量和因为手工操作而引起的错误机会。

2．DHCP工作过程 DHCP租约生成分4个阶段： （1）请求IP租约。当某个客户机第一次启动或初始化TCP/IP时，租约生成过程开始，客户机为IP寻址信息广播一个DHCPDISCOVER消息，并且以0.0.0.0作为源地址，使用255.255.255.255作为目的地址，即消息广播。租约请求是以广播的形式向网络上发出的，网络上的所有DHCP服务器都能够接收到这个请求。 （2）提供IP租约。对于DHCP服务器，如果有一个IP地址，而且对该客户机连接的网络段来说是合法的IP地址，那所有这样的DHCP服务器都要回答一个DHCPOFFER消息，这个消息包含内容为： 客户机的硬件地址 所提供IP地址 子网掩码 租约期限长度 服务器标示符（即提供DHCP服务的服务器IP的地址）（3）选择IP租约。DHCP客户机在它接收到的第一个提供（OFFER）后，广播一个DHCPREQUEST消息作为回应，这个消息包括该服务器（即发出该提供并已经被接收的服务器）的标识。然后，所有其他DHCP服务器将收回它们的提供。 （4）确认IP租约。提供被接受的DHCP服务器将广播一个DHCPACK 消息，确认这个成功的租约，此消息包含针对这个IP地址的合法租约以及其他配置信息，比如默认网关地址、DNS服务器地址。DHCP客户机接收到这个确认消息后，TCP/IP即利用DHCP服务器提供的配置信息初始化。 3．DHCP服务的组成 （1）作用域。一个作用域就是一个地址池，是一些IP地址的组合，就是一个合法的IP地址范围，DHCP服务器利用该范围向客户机出租或分配IP地址。为了防止发生重复的IP地址问题，不应在多个作用域中使用相同的IP地址。作用域可以利用作用域选项向客户机提供其他的配置信息，如默认网关、DNS服务器的IP地址。 （2）排除地址。可以指定一个或多个要从作用域中排除的范围，被排除的地址将不被指定给DHCP客户机。这些被排除的IP地址通常用于打印机或服务器等使用静态IP地址的计算机。 （3）子网掩码。提供给DHCP客户机的子网掩码。为了配置这个参数，输入构成该子网掩码的二进制位数，或者输入该子网掩码的IP地址。 注意：当创建了一个作用域后，不能修改该作用域指定的子网掩码。为了修改这个参数，需要先删除该作用域，再重新利用正确的信息创建该作用域。 （4）租约期限。IP地址租约的时间长度，用天数、小时和分钟表示。默认时间是8天，表示DHCP客户机可以使用它所得到的IP地址租约

DHCP服务器配置的实验报告

信息科学与技术学院实验报告 一、实验目的及要求 目的： 1.了解DHCP 服务的基本概念，工作原理 2.学会安装DHCP服务器； 3.配置与管理DHCP服务器。 要求： 理解DHCP服务器和客户端的工作原理。 按照步骤完成DHCP服务器的配置。 理解每一步的实验的作用。 二、实验仪器、设备或软件 安装了Windows Server 2003的PC机或者是虚拟机 三、实验内容及原理 DHCP是Dynamic Host Configuration Protocol(动态主机配置协议)的缩写，DHCP 是一个简化主机IP地址分配管理的TCP/IP 标准协议。用户可以利用DHCP服务器管理动态的IP地址分配及其他相关的环境配置工作（如：DNS、WINS、Gateway的设置）。在使用TCP/IP协议的网络上，每一台计算机都拥有唯一的计算机名和IP 地址。IP地址（及其子网掩码）用于鉴别它所连接的主机和子网，当用户将计算机 从一个子网移动到另一个子网的时候，一定要改变该计算机的IP地址。如采用静态IP 地址的分配方法将增加网络管理员的负担，而DHCP是计算机向DHCP服务器临时申请一个IP 地址，并且在一定时期内租用该号码，这就大大减少了在管理上 所耗费的时间。 DHCP提供了安全、可靠且简单的TCP/IP网络配置，确保不会发生地址冲突，并且 通过地址分配的集中管理预留IP地址。DHCP提供了计算机IP地址的动态配置，系统管理员通过限定租用时间来控制IP地址的分配。 在使用DHCP时，整个网络至少有一台服务器上安装了DHCP服务，其他要使用DHCP 功能的工作站也必须设置成利用DHCP获得IP地址

解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法

解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法 现在用户真是不省心，自己改个IP地址；私接AP、忘关DHCP，还有的下个小 黑客程序，就想在你内网里试试。单靠交换机能管吗？ IP与MAC绑定 思科的Catalyst 3560交换机支持DHCP Snooping功能，交换机会监听DHCP的过程，交换机会生成一个IP和MAC地址对应表。思科的交换机更进一 步的支持IP source guard和Dynamic ARP Inspection功能，这两个功能任启 一个都可以自动的根据DHCP Snooping监听获得的IP和MAC地址对应表，进行绑定，防止私自更改地址。 Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间 人攻击（见图4）。 思科在DHCP Snooping上还做了一些非常有益的扩展功能，比如Catalyst 3560交换机可以限制端口通过的DHCP数据包的速率，粒度是pps，这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst 3560交换机还支持DHCP Tracker，在DHCP请求中插入交换机端口的ID，从而限制每个端口申请的IP地址数目，防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。华硕虽然不能调整速率，但是也会限制DHCP请求的数量。 DHCP（动态主机配置协议）是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供了一种有效的方法：即管理网络中客户机IP 地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。 在基于TCP／IP协议的网络中，每台计算机都必须有唯一的IP地址才能访问网络上的资源，网络中计算机之间的通信是通过IP地址来实现的，并且通过IP 地址和子网掩码来标识主计算机及其所连接的子网。在局域网中如果计算机的数量比较少，当然可以手动设置其IP地址，但是如果在计算机的数量较多并且划分了多个子网的情况下，为计算机配置IP地址所涉及的管理员工作量和复杂性就会相当繁重，而且容易出错，如在实际使用过程中，我们经常会遇到因IP 地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP地址等问题。 DHCP则很好地解决了上述的问题，通过在网络上安装和配置DHCP服务器，启用了DHCP的客户机可在每次启动并加入网络时自动地获得其上网所需的IP地址和相关的配置参数。从而减少了配置管理，提供了安全而可靠的配置。 配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关，以及DNS服务器的地址。DHCP避免了因手工设置IP地址及子网掩码所产生的错误，也避免了把一个IP地址分配给多台主机所造成的地址冲突。

解决局域网中干扰DHCP服务器的办法

解决局域网中干扰DHCP服务器的办法~[复制链接]发表于 2010-10-8 10:45 |来自51CTO网页 [只看他]楼主 一般在局域网环境下，如果是规模比较大的工厂或者宿舍，如果是相对简单的局域网架构的话，很容易受到非法DHCP设备的干扰。 比如说，IP地址是172.16.xx.xx是合法的地址，DHCP地址池比如172.16.0.1~172.16.1.254 是合法的。一般情况下，桌面级网络设备，我们会使用八口或者16口的交换机。但遇到管理不严格的单位会有些人在办公室私接共享用的小宽带路由器，或者是无线宽带路由器。而这些设备的DHCP又是默认开启的，一般不熟悉网络的人，不会去关闭。于是就会造成一个局域网中有两个DHCP服务器，一个是合法的，一个是非法的。 前提是所有的交换机都是智能可管理的，而且最好是对新技术支持比较好的 例如我用的H3C 的1626交换机。 首先，我把H3C 1626的DHCP-SNOOPING功能开启。这样交换机可以自动监视DHCP的请求和应答信息，并记录这些信息来自的以太端口和IP >system #dhcp-snooping 然后将交换机的上联口和下联口都设置为信任端口，这样交换机可以接收到上级交换机传下来的DHCP信息，也可以将这个DHCP信息传递到下级交换机。但是到终端电脑的其他端口都设置为非信任端口。（注意，默认所有的交换机端口都是信任端口） int eth 0/x dhcp-snooping trust 设置为信任端口 undo dhcp-snoop trust 设置为非信任端口 这样可以防止掉非法的DHCP信息 怎样找出那个非法源呢？ 可以查看DHCP-SNOOPING记录的表 dis dhcp-snooping 找到非法的DHCP源IP地址条目后，将该条目相应的以太网口down掉。

DHCP多作用域

DHCP及DHCP多作用域服务器工作原理 2007-11-18 20:39:02 标签：DHCP职场休闲多作用域服务器 一、DHCP服务是什么 DHCP称为动态主机配置协议。DHCP服务允许工作站连接到网络并且自动获取一个IP地址。配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关、一个WINS服务器的IP地址，以及一个DNS服务器的IP地址。 二、DHCP服务在实际应用中的常见问题 1、在一个子网内是否可以存在多台DHCP服务器，如果存在的话，那么该子网中的客户机能否正确获取地址，将会获取哪个DHCP服务器所分配的地址，是否能控制客户机器能从管理人员所设置的DHCP服务器中获取地址而不会从一些非法用户自建的DHCP服务器中取得非法得IP？ 2、如果网络中存在多个子网，而子网的客户机需要DHCP服务器提供地址配置，那么是采取在各个子网都安装一台DHCP服务器，还是只在某一个子网中安装DHCP服务器，让它为多个子网的客户机分配IP地址，应该如何实现？ 3、如果采取在一个子网中安装DHCP服务器，让它为多个子网的客户机分配IP地址，那么应该需要在一台DHCP服务器中创建多个不同范围的作用域，而我们如何可以准确地保证相应范围的地址峙涓 嘤ψ油 刂骰 兀? 4、如果客户机器无法从DHCP服务器中获取IP地址，那么Windows2000客户机器将会如何处理自己的TCP/IP

设置？ 三、DHCP的工作原理 要解析第二点中所提的问题，首先要搞清楚DHCP的实际的工作过程及原理，下面就对此做简单介绍：DHCP 是一个基于广播的协议，它的操作可以归结为四个阶段，这些阶段是IP租用请求、IP租用提供、IP租用选择、IP租用确认。 1. 寻找Server。当DHCP客户端第一次登录网路的时候﹐也就是客户发现本机上没有任何IP资料设定﹐它会向网路发出一个DHCPDISCOVER封包。因为客户端还不知道自己属于哪一个网路﹐所以封包的来源地址会为0.0.0.0﹐而目的地址则为255.255.255.255﹐然后再附上DHCPdiscover的信息﹐向网路进行广播。网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息，但只有DHCP服务器才会做出响应.DHCPdiscover的等待时间预设为1秒也就是当客户端将第一个DHCPdiscover封包送出去之后在1秒之内没有得到回应的话就会进行第二次DHCPdiscover广播。在得不到回应的情况下客户端一共会有四次DHCPdiscover广播(包括第一次在内)除了第一次会等待1秒之外其余三次的等待时间分别是9 13 16秒。如果都没有得到DHCP服务器的回应客户端则会显示错误信息宣告DHCPdiscover的失败。之后基于使用者的选择系统会继续在5分钟之后再重一次DHCPdiscover的要求。 2. 提供IP租用位址。当DHCP服务器监听到客户端发出的DHCPdiscover广播后﹐它会从那些还没有租出的位址范围内﹐选择最前面的的空置IP，连同其它TCP/IP设定，回应给客户端一个DHCPOFFER封包。由于客户端在开始的时候还没有IP位址﹐所以在其DHCPdiscover封包内会带有其MAC位址信息﹐并

DHCP服务器和交换机配置

H3C交换机设置DHCP中继多VLAN提供DHCP 2010-04-19 17:18:02| 分类：IT TECH | 标签：|举报|字号大中小订阅 H3C交换机设置DHCP中继，配合Linux 服务器为多VLAN提供DHCP地址分配服务 最近在单位用Linux做了一台DHCP服务器，使用H3C S7506R交换机做中继，为两个VLAN 提供DHCP服务，经过两个月的测试效果很好。在这里把服务器和交换机的设置方法写出来供有相似需求的朋友参考。 首先贴一下网络拓扑：

一DHCP服务器设置步骤如下： 1)安装好Linux操作系统，我用的发行版本是CentOS 5.2。 2)设置服务器的网络参数如下 IP地址:192.168.6.7 子网掩码:255.255.255.0 网关:192.168.6.254 DNS:192.168.6.10 3)安装DHCP服务 CentOS和Red Hat Enterprise Linux等系统默认并不安装DHCP服务。可以使用这个命令来检查系统是否 已经安装DHCP服务： rpm –q dhcp 如果返回提示“package dhcp is not installed”，说明没有安装DHCP服务。把CentOS安装DVD 光盘放 入光驱，执行以下命令： cd /media/CentOS_5.2_Final/CentOS rpm –ivh dhcp-3.0.5-13.el5.i386.rpm 系统会安装进度，安装成功后再次执行“rpm –q dhcp”命令，系统会返回消息“dhcp-3.0.5-13.el5”， 说明DHCP服务已正确安装。 4)把配置文件模板复制为dhcpd.conf DHCP服务的配置要靠编辑/etc/dhcpd.conf来进行。DHCP服务程序默认没有建立dhcpd.conf 配置文件， 但自带配置模板，只要稍加修改就可以使用。执行 “cp /usr/share/doc/dhcp-3.0.5/dhcpd.conf.sample /etc/dhcpd.conf”命令，可以把系统自带的配置文 件模板复制到/etc目录并重命名为dhcpd.conf。 5)用“vi /etc/dhcpd.conf”命令编辑配置文件内容如下： 引用: #cat /etc/dhcpd.conf ddns-update-style interim; ignore client-updates; default-lease-time 86400;

网络安全方面题目

第一章 1、端口号的分类范围 ●Well-known 端口0-1023：一般固定分配给一些服务 ●注册端口：1024-49151：它们被LANA分配给每个专用程序 ●动态或私有端口：49152-65535: 2、OSI7层 物理层（最底层、第一层），这一层的数据叫比特；数据链路层，交换机，这一层的数据叫帧；网络层，路由器，这一层的数据叫数据包；传输层，定义了一些传输数据的协议和端口号（WWW端口80等；工作在传输层的一种服务是T C P / I P 协议套中的T C P （传输控制协议），另一项传输层服务是I P X / S P X 协议集的S P X （序列包交换）。这一层数据叫段；会话层，通过传输层（端口号：传输端口与接收端口）建立数据传输的通路；表示层，表示层管理数据的解密与加密，如系统口令的处理；表示层协议还对图片和文件格式信息进行解码和编码；应用层，终端应用；文件传输、文件管理及电子邮件的信息处理。 3、常见端口号 ●21端口分配给FTP(文件传输协议)服务 ●25端口分配给SMTP（简单邮件传输协议）服务， ●80端口分配给HTTP服务， ●135端口分配给RPC（远程过程调用）服务等等。 4、危险的端口号，是什么服务：135； 端口：135 服务：Location Service 说明：Microsoft在这个端口运行DCE RPC end-point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和RPC的服务利用计算机上的end-point mapper注册它们的位置。远端客户连接到计算机时，它们查找end-point mapper找到服务的位置。HACKER扫描计算机的这个端口是为了找到这个计算机上运行Exchange Server吗？什么版本？还有些DOS攻击直接针对这个端口。 5、137端口号，主要作用是什么，IP地址查询；138，136，139 端口：137、138、139 ，服务：NETBIOS Name Service 说明：其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows 文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。 6、TCP三次握手，四次挥手连接断开 第二章 1、什么是对称加密，什么是非对称加密，意义在哪里，区别在哪里，要理解掌握 2、公钥(非对称加密)跟私钥（对称加密）要理解，相关关系要明白。 3、流密码和分组密码都属于对称密钥算法。流密码的基本思想是利用密钥产生一个密钥流，并通过相应的规则对明文串进行寄卖合计没处理。而分组密码是将明文分为固定长度的分组，然后通过若干轮函数的迭代操作来产生密文。函数由于在每一轮的操作中都是用，所以称为轮函数，其本轮的输入时上一轮的输出加上密钥。 4、流密码有：基于移位寄存器及硬件实现的A5/1算法；基于软件实现的流密码RC4算法。 5、分组加密有：DES、3DES、AES、IDEA、RC5/RC6，TEA。 6、非对称加密算法：RSA，DH算法，椭圆曲线算法 7、Des加密算法（大题），流程图，怎么实现这个加密，要看懂

DHCP服务器详细配置

DHCP服务器详细配置(转贴) 觉得很好,所以转贴给大家,出处 https://www.wendangku.net/doc/6615250063.html,/docs/RH9/rhl-c...ng-server.html 18.2. 配置DHCP 服务器 你可以使用配置文件/etc/dhcpd.conf 来配置DHCP 服务器。 DHCP 还使用/var/lib/dhcp/dhcpd.leases 文件来贮存客户租期数据库。详情请参阅第18.2.2 节。 18.2.1. 配置文件 配置DHCP 服务器的第一步是创建贮存客户网络信息的配置文件。全局选项可以为所有客户声明，可选选项可以为每个客户系统声明。 该配置文件可以使用任何附加的制表符或空行来进行简单格式化。关键字是区分大小写的，起首为井号（#）的行是注释。 目前实现了两种DNS 更新方案—特殊DNS 更新模式和过渡性DHCP-DNS 互动草图更新模式。如果这两种模式被接受为IETF 标准进程的一部分，就会出现第三个模式—标准DNS 更新方法。DHCP 服务器必须配置使用这两种当前方案中的一种。版本3.0b2pl11 以及更早的版本使用特殊模式；不过，这种模式已经过时。如果你想保留相同的行为方式，在配置文件的开头添加以下一行： ddns-update-style ad-hoc; 要使用推荐的模式，在配置文件的开头添加以下一行： ddns-update-style interim; 请阅读dhcpd.conf 的说明书（man）页来获得有关不同模式的细节。 配置文件中有两类陈述： 参数—表明如何执行任务，是否要执行任务，或将哪些网络配置选项发送给客户。 声明—描述网络的布局；描述客户；提供客户的地址；或把一组参数应用到一组声明中。 某些参数必须以option 关键字开头，它们也被称为选项。选项配置DHCP 的可选选项；而参数配置的是必选的或控制DHCP 服务器行为的值。