如何巧用DHCP服务器

　　为了提高局域网的地址管理效率，相 信很多网络管理员都会在单位内部架设一台DHCP服务器，来为网络中的客户端系统自动分配上网参数，，在这种上网环境下，DHCP服务器的工作安全性，会直 接影响着整个局域网的运行安全性。在实际管理网络的过程中，局域网可能经常会遇到同时存在多台DHCP服务器的现象，这些现象一旦出现，很可能引起资源方 面的冲突，最终引发局域网不能安全、稳定地运行。为了维护局域网的运行安全，我们可以尝试利用DHCP监听技术，对DHCP服务器的工作安全性进行监听， 以及早消除单位内网中潜在的安全隐患。

　　安全维护思路

　　对于DHCP服务器来说，DHCP监听技术其实就是一种过滤DHCP报文的技术。通过在局域网的核心交换机中启用DHCP监听功能，可以将来自局域网中重 要主机或网络设备的不可信任DHCP报文过滤掉，保证客户端系统只能从经过网络管理员特别授权的可信任DHCP服务器那里获得上网参数，那样一来可信任的 DHCP服务器就不会受到非信任DHCP服务器的“干扰”，那么局域网的运行安全性、稳定性就能得到保证。比方说，局域网中原先只有一台可信任的DHCP 服务器，当用户不小心将自带有DHCP服务功能的打印服务器接入到网络后，那么打印服务器就会“摇身”变成一台非信任的DHCP服务器，这时局域网中就会 同时存在两台DHCP服务器，那么普通的客户端系统该从哪一台DHCP服务器中获得上网参数呢?为了保证客户端系统能够获得合法上网参数，我们只要在交换 机上启用了DHCP监听功能，那么普通客户端系统就会忽略打印服务器的存在，而会自动向可信任的DHCP服务器去申请上网参数。

　　DHCP监听功能在工作的时候，交换机会只允许客户端用户发送DCHP请求，同时会将类似提供响应的其他DCHP报文自动丢弃掉，这么一来普通客户端系统 只能从合法的DHCP服务器那里获得有效的上网参数;虽然非法的DHCP服务器也能够对客户端系统的上网请求进行响应，但是交换机的DHCP监听功能会将 非法DHCP服务器的提供响应报文自动丢弃掉，那么客户端系统是无法接受到非法DHCP服务器的回复报文的。此外，通过DHCP监听功能，交换机会将局域 网中的DHCP报文，自动识别为可信任的DHCP报文和不可信任的DHCP报文，对于来自防火墙、外网设备或者没有经过网络管理员授权的DHCP服务器发 送过来的DHCP报文，DHCP监听功能会自动将它识别为不可信任的DHCP报文，同时对这样的报文执行丢弃处理，那样一来没有授权的非信任DHCP服务 器就不会干扰局域网的安全运行。

　　安全维护范围

　　DHCP监听技术在保护局域网的DHCP服务器运行安全时，主要是通过过滤数据报 文的方式，来将DHCP服务器识别为信任端口或非信任端口的，对于来自信任端口的数据信息，交换机会允许其正常接受和发送，而对于来自非信任端口的数据信 息，交换机则不予响应。具体的来说，DHCP监听技术的安全维护范围主要表现在以下几个方面：

　　1、预防地址冲突

　　DHCP监听技 术可以防止非信任DHCP服务器通过地址冲突的方式，干扰信任DHCP服务器的工作稳定性。在实际管理网络的时候，我们经常会发现在相同的工作子网中，可 能同时有多台DHCP服务器存在，这其中有的是网络管理员专门架设的，也有的是无意中接入到网络中的。比方说，ADSL拨号设备可能就内置有DHCP服务 功能，一旦将该设备接入到局域网中后，那么该设备内置的DHCP服务器就会自动为客户端系统分配IP地址。这个时候，经过网络管理员授权的合法DHCP服 务器，就可能与ADSL拨号设备内置的DHCP服务器发生地址上的冲突，从而可能会对整个局域网的安全性带来威胁。这种威胁行为往往比较隐蔽，一时半会很 难找到。一旦使用了DHCP监听技术，我们就可以在局域网的核心交换机后台系统修改IP源绑定表中的参数，并以此绑定表作为每个上网端口接受数据包的检测 过滤标准，来将没有授权的DHCP服务器发送的数据报文自动过滤掉，那样一来就能有效预防非法DHCP服务器引起的地址冲突问题了。

　　2、预防Dos攻击

　　大家知道，一些非常阴险的攻击者往往会单独使用Dos攻击，袭击局域网或网络中的重要主机系统;要是不幸遭遇Dos攻击的话，那么局域网的宝贵带宽资源 或重要主机的系统资源，就会被迅速消耗，轻则导致网络传输速度缓慢或系统反应迟钝，重则出现瘫痪现象。而要是在核心交换机中使用了DHCP监听技术的话， 那么局域网就可以有效抵御Dos攻击了，因为Dos攻击主要是用大量的连接请求冲击局域网或重要主机系统，来消耗带宽资源或系统资源的，而DHCP监听技 术恰好具有报文限速功能，利用这个功能我们可以合理配置许可的每秒数据包流量，这样就能实现抵御Dos攻击的目的了。

　　3、及时发现隐患