1、創建DHCP服務器管理局域網對于一定規模的局域網，我們一般使用DHCP服務來動態處理客戶端的IP地址配置?？墒钱斈骋豢蛻敉ㄟ^DHCP聯入本地局域網，就可以訪問本地共享資源或帶來病毒，給我們的本地網絡帶來安全隱患。如何才能防止未經授權的機器得到公司網絡中機器的DHCP地址信息呢？局域網中的機器要進行網絡通訊或資源存取前,必須進行基本的網絡參數配置（如IP、DNS、網關等），這種參數可以靜態分配或動態獲得。手工配置地址雖然可靠，但對于一定規模的局域網相當費時并容易出錯。這時我們需要用到DHCP服務（動態主機配置協議），來動態處理客戶端的IP地址配置。DHCP可以通過租約和預置IP相聯系，提供為本地

2、TCP/IP網絡上自動并安全地分配和租用IP地址信息，從而實現IP的集中式管理，基本上不需要管理員的人為干預。但事情總會有其兩面性，雖然DHCP服務可以自動地為客戶端分配IP信息，可是當某一客戶通過DHCP聯入本地局域網，就可以訪問本地共享資源或一些敏感資料。即使對方沒有惡意，但客戶機上可能有一些病毒或木馬會危害本地網絡的安全。所以，不僅是服務器端需要安全配置，對客戶端也應該有些針對性的管理。其實我們可以為客戶端的機器創建一個DHCP類，在DHCP服務器上為該類指定一個網關、DNS信息，如果沒有此DHCP類的機器將無法得到此網關或DNS信息，當然也就無法取得相關配置或權限，如因特網的訪問權。這

3、里我們來探討如何設置DHCP類，來防止未經授權的機器得到公司網絡中機器的DHCP地址信息（以下操作皆在同一網段內實現）。創建DHCP用戶類或供應商類1. 創建一個新用戶或者提供商選項類（1） 啟動DHCP管理器，在控制臺樹結構中，點擊“可使用的DHCP服務器”。這里我們右擊“winsrv服務器”，然后點擊“定義用戶類”來創建一個新的用戶類，或者點擊“定義提供商類”來創建一個新的提供商類。點擊“添加”。（2） 在“新建類別”對話框中，在“顯示名字”編輯框中為新的選項輸入一個描述性的標識名字，在這里我們輸入“long”，在“說明”框中您也可以隨意添加附加信息，這里為了方便我們省略了。在ID或者AS

4、CII下輸入由DHCP客戶端提供的數據，DHCP服務器服務中要用這些數據來匹配類ID。點擊“文本輸入框”的左側，以十六進制字節數值輸入數據。點擊文本輸入框的右側，以ASCII文本字符值輸入數據。這里我們還是輸入“long”，點擊“確定”，然后點擊“關閉”。至此我們已經定義好了一個 ID為Long的DHCP用戶類，下面需要對此用戶類進行配置。2. 配置用戶類右擊“作用域選項”，選擇“高級”，在下面的“用戶類別”中選擇剛才創建的用戶類別“Long”，然后在下面的可用選項中選擇需要配置的選項，一般我們選擇“003路由器”和“006 DNS服務器”，以及“051 租約”等選項。DNS的設置選擇“006

5、 DNS服務器”，在下面的IP地址輸入本地DNS服務器地址，按“添加”就可以了如下圖路由器的設置基本一樣。對于租約的填寫，需要注意的是在下面的長類型中要輸入的是16進制的數字，比如我們假設租約為10天（即864000秒），直接輸入十進制864000，按“確定”，系統會自動顯示為16進制數。為客戶機設置指定的DHCP類ID串連接到基于Windows 2000的DHCP服務器的客戶端計算機，可以使用下面的命令來設置指定的DHCP類ID串：ipconfig /setclassid adapter_name class_id例如，要對一個稱之為“局域網連接”的網卡配置用戶類ID為“myuserclas

6、s”的DHCP類，只需要在命令行中輸入ipconfig /setclassid “Local Area Connection” myuserclass，然后按下回車即可。在客戶端只有一塊網卡，所以這里也可以這樣寫 “ipconfig /setclassid * long”，星號代表本地所有連接，這樣客戶端就會使用ID為Long的DHCP用戶類。圖2為已配置好的Windows 2000系統客戶端的本地網絡參數。從下圖中我們可以看到，租約為10天，就是我們剛才配置的租期。DHCP Class ID 為long，DNS Servers和DHCP Servers還有網關皆為先前所設定值。大功告成啦！目

7、的基本達到了，可是總是會有新的問題出現。顯然這種手動為客戶端設置的方法工作量是很大的，為了解決這個問題，我們可以通過域給客戶端設置登錄腳本，讓用戶登錄域的同時自動執行此腳本。設置登錄腳本首先編寫一個批處理文件DHCP.BAT。EchoIpconfig/setclassid * long (*代表所有本地連接，這里針對的是客戶端只有一塊網卡)將此腳本放在DC的NETLOGON目錄下，并在域中為相應的OU或用戶設置登錄腳本，這樣當用戶登錄到域時，會自動執行這個腳本命令，客戶端也會得到相應的IP配置信息，這樣未被授權的用戶就沒辦法登錄網絡。當然我們還可以對DHCP服務器進行授權管理，這需要通過DC上

8、的DHCP服務對域內的其他服務器進行連接，并授權管理，這樣未被授權的DHCP服務器在域中也是沒有辦法運行的。解決在DHCP環境下私自指定IP和私自搭建DHCP服務器的方法DHCP（動態主機配置協議）是一種簡化主機IP地址配置管理的TCP/IP標準。該標準為DHCP服務器的使用提供了一種有效的方法：即管理網絡中客戶機IP地址的動態分配以及啟用網絡上DHCP客戶機的其它相關配置信息。在基于TCPIP協議的網絡中，每臺計算機都必須有唯一的IP地址才能訪問網絡上的資源，網絡中計算機之間的通信是通過IP地址來實現的，并且通過IP地址和子網掩碼來標識主計算機及其所連接的子網。在局域網中如果計算機的數量比較

9、少，當然可以手動設置其IP地址，但是如果在計算機的數量較多并且劃分了多個子網的情況下，為計算機配置IP地址所涉及的管理員工作量和復雜性就會相當繁重，而且容易出錯，如在實際使用過程中，我們經常會遇到因IP地址沖突、網關或DNS服務器地址的設置錯誤導致無法訪問網絡、機器經常變動位置而不得不頻繁地更換IP地址等問題。DHCP則很好地解決了上述的問題，通過在網絡上安裝和配置DHCP服務器，啟用了DHCP的客戶機可在每次啟動并加入網絡時自動地獲得其上網所需的IP地址和相關的配置參數。從而減少了配置管理，提供了安全而可靠的配置。配置DHCP服務的服務器可以為每一個網絡客戶提供一個IP地址、子網掩碼、缺省網

10、關，以及DNS服務器的地址。DHCP避免了因手工設置IP地址及子網掩碼所產生的錯誤，也避免了把一個IP地址分配給多臺主機所造成的地址沖突。降低了IP地址管理員的設置負擔，使用DHCP服務器可以大大地縮短配置網絡中主機所花費的時間。但是，隨著DHCP服務的廣泛應用，也產生了一些問題。首先，DHCP服務允許在一個子網內存在多臺DHCP服務器，這就意味著管理員無法保證客戶端只能從管理員所設置的DHCP服務器中獲取合法的IP地址，而不從一些用戶自建的非法DHCP服務器中取得IP地址；其次，在部署DHCP服務的子網中，指定了合法的IP地址、掩碼和網關的主機也可以正常地訪問網絡，而DHCP服務器卻仍然會有

11、可能將該地址分配給其他主機，這樣就會造成地址沖突，影響IP地址的正常分配。DHCP服務在網絡中的廣泛應用，極大地減輕了網絡管理員的負擔，方便了用戶使用網絡。但是由于有些用戶私自指定IP地址，造成了IP地址自動分配時引起的IP地址沖突，進而影響其他用戶的使用。我們經過實際測試，給出了上述解決方案，本方法不僅適合于Cisco的3750交換機，也適用于Cisco的65系列交換機。DHCP防指定IP地址的方法在我校已經得到了成功的應用，經過實踐檢驗，我們認為這是一個非常實用的功能。在系統設置好以后，網絡中的用戶只有設置為自動獲取IP地址才能上網，否則將無法上網。從而解決了在使用DHCP的網絡中，用戶私

12、自指定IP地址而帶來的IP地址沖突問題。如果公司內網由于用戶自行安裝了Windows Server版本的操作系統而小心啟用了DHCP服務，或其他因素在內網中出現了非授權的DHCP服務器，會給網絡造成什么樣的影響呢？DHCP server可以自動為用戶設置網絡IP地址、掩碼、網關、DNS、WINS 等網絡參數，簡化了用戶網絡設置，提高了管理效率。但是，此時如果服務器和客戶端沒有認證機制，網絡上存在的非法的DHCP服務器將會給部分主機的地址分配、網關及DNS參數照成混亂，導致主機無法連接到外部網絡。出現這種情況，如何解決這些問題呢？作為客戶端計算機來說，可以嘗試使用ipconfig /releas

13、e釋放獲得的網絡參數后，然后用ipconfig /renew重新嘗試獲取正確的DHCP服務器配置服務，但這種方法很被動，往往要十幾次甚至幾十次才偶爾有可能成功一次，不能從根本解決問題。另外一個解決辦法，在windows系統組建的網絡中，如果非法DHCP服務器也是用Windows系統建立的話我們可以通過“域”的方式對非法DHCP服務器進行過濾。將合法的DHCP服務器添加到活動目錄（Active Directory）中，通過這種認證方式就可以有效的制止非法DHCP服務器了。原理就是沒有加入域中的DHCP Server在相應請求前，會向網絡中的其他DHCP Server發送DHCPINFORM查詢包

14、，如果其他DHCP Server有響應，那么這個DHCP Server就不能對客戶的要求作相應，也就是說網絡中加入域的DHCP服務器的優先級比沒有加入域的DHCP服務器要高。這樣當合法DHCP存在時非法的就不起任何作用了。授權合法DHCP的過程如下：第一步：開始->程序->管理工具->DHCP第二步：選擇DHCP root, 用鼠標右鍵單擊，然后瀏覽選擇需要認證的服務器。第三步：點“添加”按鈕, 輸入要認證的DHCP服務器IP地址, 完成授權操作。但是該方法只適用于非法DHCP服務器是windows系統，需要用到域和活動目錄，配置較復雜，另外對于非Windows的操作系統,就

15、顯得力不從心了。還有更好的方法，就是利用交換機的DHCP監聽，通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP信息，也就是過濾掉非法DHCP服務器向網絡上發送的數據包。首先定義交換機上的信任端口和不信任端口，將DHCP服務器所連接的端口定義為信任端口，其它連接到普通客戶端的端口全部定義為不信任端口，對于不信任端口的DHCP報文進行截獲和嗅探，drop掉來自這些端口的非正常 DHCP 報文，從而達到過濾非法DHCP服務器的目的。用好DHCP服務器三法現代企業網絡的規模越來越大，面對數量如此眾多的客戶機，在客戶端手工為每臺機器逐一進行TCP/IP配置是非常麻煩的，因此很多網管人

16、員使用Windows 系統的DHCP（Dynamic Host Configuration Protocol）服務器來動態分配TCP/IP配置。對DHCP服務器想必大家都不陌生，但你真的用好了嗎？可能還有很多實用的DHCP服務器配置小技巧，平時你并沒有注意過，下修改網關和DNS服務器面就一起來看吧！圖1 修改網關地址由于工作需要，有些局域網經常要修改網關和DNS服務器地址。其實DHCP服務器中就集成了配置網關和DNS服務器功能，只是大家平時僅僅注意到它的動態IP地址分配功能，忽略了其它。既然在DHCP服務器中可以配置默認網關和DNS服務器，那么修改客戶機使用的默認網關和DNS服務器就變得非常簡

17、單了，在DHCP服務器中就能完成。在DHCP管理器窗口中，展開作用域，選中“作用域選項”，右側框體中顯示出路由器和DNS服務器項。雙擊“路由器”，彈出“作用域選項”對話框（如圖1），在默認網關列表框中選中原來的網關IP地址后，點擊“刪除”，接著在“IP地址”欄中輸入新網關IP地址，點擊“添加”按鈕即可，最后點擊“確定”按鈕完成默認網關的修改。DNS服務器的修改方法是相同的，就不在贅述了。捆綁IP地址和MAC地址為防止非法盜用IP地址，網管人員采取多種手段，實現IP地址和MAC地址的捆綁，使用DHCP服務器就是其中一種，它也集成了綁定功能。查找客戶MAC地址要想使用DHCP服務器，實現IP地址和

18、MAC地址的綁定，首先要知道客戶機的MAC地址。在客戶端，可以使用“ipconfig/all”命令實現MAC地址的查詢?？焖俳壎▓D2 綁定MAC地址知道客戶機的MAC地址后，就可以在DHCP服務器端進行IP地址和MAC地址的綁定了。打開DHCP管理器，展開客戶機所使用的作用域，右鍵點擊“保留”選項，選擇“新建保留”，彈出配置對話框（如圖2）。在“保留名稱”欄中為該項目起個名，然后在“IP地址”欄中輸入客戶機要使用的IP地址，“MAC地址”欄中輸入該客戶機的MAC地址，然后在“支持類型”框中選擇“兩者”選項，最后點擊“添加”按鈕，完成了客戶機的IP地址和MAC地址綁定?？缱泳W使用DHCP服務器為

19、了提高網絡的安全性，規模稍大的局域網通常要劃分為多個子網。但DHCP服務器只能為本子網的機器提供服務，每個子網都配置DHCP服務器又會造成浪費。如何讓一臺DHCP服務器能同時為多個子網提供TCP/IP配置服務呢？筆者以所管理的兩個子網A、B為例，子網A中配置了一臺DHCP服務器，子網B中沒有DHCP服務器，下面在子網B進行如下配置操作：1 配置路由在子網B中選擇一臺Windows 2003機器，將其配置成路由器，用來連接A、B兩個子網。進入“控制面板管理工具”，運行“路由和遠程訪問”工具，右鍵點擊本地服務器，選擇“配置并啟用路由及遠程訪問”，彈出安裝向導對話框，選擇“自定義配置”，點擊“下一步

20、”后，選擇“LAN路由”，最后點擊“完成”。2 配置中繼代理在路由和遠程訪問窗口中，展開“本地服務器IP路由選擇常規”，右鍵點擊“常規”，選擇“新增路由協議”，接著在新路由協議窗口中選擇“DHCP中繼代理程序”，點擊“確定”按鈕。右鍵點擊DHCP中繼代理程序，選擇“屬性”，彈出“DHCP中繼代理程序屬性”對話框，在“常規”標簽頁的“服務器地址”欄中輸入子網A的DHCP服務器的IP地址，然后點擊“添加”按鈕，最后點擊“確定”即可。右鍵再次點擊DHCP中繼代理程序，選擇“新增接口”，彈出DHCP中繼代理程序的新接口對話框，在“接口”框中選中可以訪問子網A的那個接口，也就是連接子網A的網卡，點擊“確

21、定”按鈕。接著在彈出的“DHCP中繼站屬性”對話框中，確保選中“中繼DHCP數據包”后，就啟用了它的中繼功能，最后點擊“確定”按鈕。完成以上配置，子網B的客戶機就可以使用子網A的DHCP服務器了。提示：中繼代理是為不在同一子網中的DHCP客戶機和DHCP服務器之間中轉DHCP/BOOTP消息的小程序，下面把這臺Windows 2003機器配置成DHCP中繼代理服務器。這樣當子網B的客戶機發出請求時，中繼代理就把這個請求轉發給子網A的DHCP服務器，接著再把DHCP服務器返回的TCP/IP配置信息轉發給子網B的客戶機。MAC地址的原理分析以及相關應用介紹IP地址與MAC地址< /P>

22、在日常的計算機使用過程中，大家都知道IP地址只要規劃合理，你可以任意更改IP地址。修改的方法也是比較簡單的，只要在對應網卡的TCP/IP協議上雙擊一下然后修改參數就行了。那么MAC地址與IP地址同為地址，它們之間有什么地方相似又有什么地方不同呢？下面就讓我們一起來看看吧，了解它們的差異與類似之處便于我們更好的掌握。在OSI（Open System Interconnection，開放系統互連）7層網絡協議參考模型中，第二層為數據鏈路層（Data Link）。MAC地址也叫物理地址、硬件地址或鏈路地址，由網絡設備制造商生產時寫在硬件內部。IP地址與MAC地址在計算機里都是以二進制表示的，IP地址

23、是32位的，而MAC地址則是48位的。MAC地址的長度為48位（6個字節），通常表示為12個16進制數，每2個16進制數之間用冒號隔開，如：08:00:20:0A:8C:6D就是一個MAC地址，其中前6位16進制數08:00:20代表網絡硬件制造商的編號，它由IEEE（電氣與電子工程師協會）分配，而后3位16進制數0A:8C:6D代表該制造商所制造的某個網絡產品（如網卡）的系列號。只要你不去更改自己的MAC地址，那么你的MAC地址在世界是惟一的。與MAC地址相關的命令與軟件在人類社會社交中，我們認識一個人往往只會知道他的姓名，而身份證號碼在一般的人際交往中會被忽略。同樣在網絡中，我們往往只會知

24、道同事或者網友的IP地址，并不會去過多地關心對方的MAC地址。要成長為網絡高手，我們可以使用一些方法去了解對方的MAC地址。在這里介紹兩種常用的方法，在Windows 9x 中可用WinIPcfg獲得，在Windows 2000/XP中可用IPconfig -all獲得。使用命令只能單條獲得MAC地址，而且使用起來也是很麻煩的。對于網管人員，更希望有一款簡單化操作的軟件，我們可以利用“MAC掃描器（局域網 MAC 網卡地址掃瞄器 MacDraw221 ）”遠程批量獲取MAC地址。它是用于批量獲取遠程計算機網卡物理地址的一款網絡管理軟件。該軟件運行于網絡(局域網、Internet都可以)內的一臺機器上，即可監控整個網絡的連接情況，實時檢測各用戶的IP、MAC、主機名、用戶名等并記錄以供查詢，可以由用戶自己加以備注；能進行跨網段掃描，能和數據庫中得IP和MAC地址進行比較，有修改IP的或使用虛假MAC地址的，都能報警。更改MAC地址一般MAC地址在網卡中是固定的，當然也有網絡高手會想辦法去修改自己的MAC地址。修改自己的MAC地址有兩種方法，一種是硬件修改，另外一種是軟件修改。硬件的方法就是直接對網卡進行操作，修改保存在網卡的EPROM里面的MAC地址，通過網卡生產廠