园区网防范非法DHCP服务策略

开篇：润墨网以专业的文秘视角，为您筛选了一篇园区网防范非法DHCP服务策略范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘要：本文就网络中非法DHCP服务的成因及危害进行了分析和探讨，并提出了具体的解决办法。

关键词：DHCP服务器；局域网；路由器；交换机

中图分类号：TP393.08文献标识码：A

Policy of Guarding against Fraud DHCP Server on Campus Networks

Wei chen(Qinghai normal university, Network & information management center, Qinghai Xining 810008)

Abstract：The paper analyzes the causes and compromises of fraud DHCP server, and provides the specific solutions.

Keywords：DHCP Server；LAN；Router；Switch

1 引言

所谓DHCP是指Dynamic Host Configuration Protocol的缩写，即动态主机配置协议。一般在中大型园区网的内部为了简化对IP地址和其他网络参数信息的配置管理，会在网络中设立DHCP服务器或利用路由器、防火墙的DHCP服务功能为用户提供动态的网络配置服务。这样，网络中任意使用DHCP客户端的主机，在接入网络时都会与DHCP服务器互动，从预设的地址池中获取一个合法的IP地址及相关参数信息，并自动配置好该主机。

2 非法DHCP服务的成因及危害

归纳日常非法DHCP服务的成因大体可分为：①网络中不当使用带DHCP Server功能的家用型路由器；②无意安装并打开了随操作系统所提供的DHCP服务程序；③出于某种目的有意捕获正常用户数据报文；④有意扰乱正常用户使用网络。无论是恶意的还是非恶意的，也无论是有意的还是无意的，在园区网络中如果同时存在合法和非法的DHCP服务，那么势必影响整个园区网络运行的稳定性。

3 防范非法dhcp服务器的措施

(1) 重复尝试法

普通用户主机是通过广播方式向网络发送DHCP参数请求报文的，园区网中的所有网络设备都会收到来自用户主机的DHCP请求报文，因此，当遇到用户主机系统无法获得有效上网参数的现象时，可以通过反复发送DHCP请求广播报文的方法，尝试能否让用户主机系统与合法DHCP服务器建立连接，直到用户主机能够从合法的DHCP服务器那里得到有效的上网参数为止。

(2) 域保护法

对于Windows操作系统为主的局域网环境，通过启用域管理模式就可以保护合法的DHCP服务器安全运行，将合法有效的DHCP服务器主机加入到局域网活动目录中，以确保局域网中的所有用户主机都会从合法有效的DHCP服务器获得正确的网络参数信息。

(3) 封杀端口法

DHCP服务主要使用的是UDP的67和68端口，可以在路由器、核心层交换机防火墙乃至接入层交换机上通过访问控制列表来屏蔽或限制除合法DHCP服务器以外的其他所有接口的DHCP报文，即将68端口封闭。在接入层交换机下联端口过滤DHCP Server响应的DHCP offer报文和DHCP ACK报文，使得正常的DHCP客户机收不到来自接入交换机之内的非法DHCP服务器的响应报文，从而防范了本接入交换机之内的非法DHCP服务器；除此之外，在接入交换机二层交换机的上联端口只允许通过合法DHCP Server响应的DHCP offer报文和DHCP ACK报文，而过滤所有其他非法的DHCP offer报文和DHCP ACK报文。

(4) 阻断非法服务法

利用合适的方法查找到非法DHCP服务器的MAC地址，然后登录到可网管交换机上，执行show mac-address-table address dhcp服务器IP地址，结果能够找到非法DHCP服务器在交换机上连接的接口号。通过输入interface“接口号”命令进入该接口，然后使用shutdown关闭该接口，也可以利用访问控制列表来限制或阻断该计算机与外界的联系，从而达到防范非法DHCP服务的目的。

(5) DHCP-Snooping法

在交换机IOS中，DHCP-Snooping命令的主要作用就是通过配置非信任端口来隔绝非法的DHCP server，当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP ACK报文中提取并记录IP地址和MAC地址信息。

4 结语

实践证明，对网络结构进行合理的规划，对网络参数进行合理的设置同时保留详细的备案信息，当发现问题时就能够依据所保留的数据迅速找到出现问题的关键点，并及时予以解决。

参考文献

[1]刘晓辉.网络安全设计、配置与管理大全[M].电子工业出版社，2009.

[2]雷震甲.网络工程师教程[M].北京:清华大学出版社，2004.