具有一定規(guī)模的企業(yè)網(wǎng)絡(luò)，一般會部署DHCP服務(wù)器來為客戶端提供網(wǎng)絡(luò)服務(wù)，這大大方便了網(wǎng)絡(luò)管理。客戶端連入網(wǎng)絡(luò)后會發(fā)送DHCP請求包，DHCP服務(wù)器會應(yīng)答并提供IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)，DNS等信息。但是，而當(dāng)網(wǎng)絡(luò)中出現(xiàn)另外一臺非法的DHCP服務(wù)器將會怎樣呢?顯而易見，這必然造成網(wǎng)絡(luò)的混亂?！皟?nèi)鬼”難防，下面筆者結(jié)合自己的經(jīng)驗(yàn)談?wù)勅绾卧诰钟蚓W(wǎng)中保護(hù)合法的DHCP服務(wù)器。

1、客戶端不斷請求

既然廣播包會發(fā)向網(wǎng)絡(luò)中的所有設(shè)備，合法還是非授權(quán)服務(wù)器先應(yīng)答是沒有任何規(guī)律的，那么我們可以通過多次嘗試廣播包的發(fā)送來臨時(shí)解決這個(gè)問題，直到客戶機(jī)可以得到真實(shí)的地址為止。

客戶端在命令行中先敲入命令“ipconfig /release”釋放非授權(quán)網(wǎng)絡(luò)數(shù)據(jù)，然后輸入命令“ipconfig /renew”嘗試獲得網(wǎng)絡(luò)參數(shù)。如果還是獲得錯(cuò)誤信息則再次嘗試上面兩條命令，直到得到正確信息。不過這種方法治標(biāo)不治本，反復(fù)嘗試的次數(shù)沒有保證，一般都需要十幾次甚至是幾十次，另外當(dāng)DHCP租約到期后客戶端需要再次尋找DHCP服務(wù)器獲得信息，故障仍然會出現(xiàn)。

2、通過DC對DHCP授權(quán)

一般我們使用的操作系統(tǒng)都是Windows，微軟為我們提供了一個(gè)官方解決辦法。在windows系統(tǒng)組建的網(wǎng)絡(luò)中，如果非授權(quán)DHCP服務(wù)器也是用Windows系統(tǒng)建立的話我們可以通過“域”的方式對非授權(quán)DHCP服務(wù)器進(jìn)行過濾。將合法的DHCP服務(wù)器添加到活動目錄(Active Directory)中，通過這種認(rèn)證方式就可以有效的制止非授權(quán)DHCP服務(wù)器了。

原理就是沒有加入域中的DHCP Server在相應(yīng)請求前，會向網(wǎng)絡(luò)中的其他DHCP Server發(fā)送DHCP INFORM查詢包,如果其他DHCP Server有響應(yīng)，那么這個(gè)DHCP Server就不能對客戶的要求作相應(yīng)，也就是說網(wǎng)絡(luò)中加入域的DHCP服務(wù)器的優(yōu)先級比沒有加入域的DHCP服務(wù)器要高。這樣當(dāng)合法DHCP存在時(shí)非授權(quán)的就不起任何作用了。

授權(quán)合法DHCP的過程如下：“開始→程序→管理工具→DHCP”，選擇DHCP, 用鼠標(biāo)右鍵單擊選擇“添加服務(wù)器”，然后瀏覽選擇需要認(rèn)證的服務(wù)器。點(diǎn)“添加”按鈕, 輸入要認(rèn)證的DHCP服務(wù)器IP地址, 完成授權(quán)操作。 (圖1)

這種方法效果雖然不錯(cuò)，但需要域的支持。要知道對于眾多中小企業(yè)來說“域”對他們是大材小用，基本上使用工作組就足以應(yīng)對日常的工作了。所以這個(gè)方法是微軟推薦的，效果也不錯(cuò)，但不太適合實(shí)際情況。另外該方法只適用于非授權(quán)DHCP服務(wù)器是windows系統(tǒng)，對非Windows的操作系統(tǒng)甚至是NT4這樣的系統(tǒng)都會有一定的問題。

您正在閱讀：如何保護(hù)合法的DHCP服務(wù)器

【編輯推薦】

1. 實(shí)現(xiàn)文件雙向傳輸 搭建FTP服務(wù)器
2. ISA教程：用ISA2006搭建VPN服務(wù)器
3. Windows 2008服務(wù)器管理應(yīng)用之角色配置