實(shí)驗(yàn)室搭建復(fù)雜網(wǎng)絡(luò)環(huán)境下的DHCP服務(wù)及安全防護(hù)

李 澍, 姚 磊

(1. 上海交通大學(xué) 材料學(xué)院塑性成形技術(shù)與裝備研究院， 上海 200030； 2. 江蘇申模數(shù)字化制造技術(shù)有限公司， 江蘇 鎮(zhèn)江 212028)

0 引 言

動(dòng)態(tài)主機(jī)分配協(xié)議(Dynamic Host Configuration Protocol，DHCP)是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，其主要用途為給LAN內(nèi)主機(jī)自動(dòng)分配IP地址，也為內(nèi)部網(wǎng)絡(luò)管理員提供了對(duì)內(nèi)部主機(jī)的管理手段，在局域網(wǎng)中使用非常普遍。

對(duì)于高校實(shí)驗(yàn)室計(jì)算機(jī)網(wǎng)絡(luò)的管理，掌握DHCP配置與管理方法是非常重要的，也是高校計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)開設(shè)課程的重點(diǎn)內(nèi)容。使用DHCP方式獲取IP地址需要利用廣播數(shù)據(jù)包，一般來(lái)說(shuō)DHCP服務(wù)是在同一廣播域內(nèi)實(shí)現(xiàn)。很多高校實(shí)驗(yàn)室計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中DHCP服務(wù)器的配置也是基于一個(gè)單一的網(wǎng)段內(nèi)進(jìn)行的。但在實(shí)際環(huán)境中，為了隔離廣播包，避免網(wǎng)絡(luò)風(fēng)暴，VLAN被大規(guī)模使用，這樣一個(gè)在單一網(wǎng)段內(nèi)配置DHCP的技術(shù)在實(shí)際環(huán)境應(yīng)用中便顯得無(wú)能為力。在真實(shí)的實(shí)驗(yàn)室網(wǎng)絡(luò)環(huán)境中，一般使用的是跨網(wǎng)段的DHCP服務(wù)。僅針對(duì)某一網(wǎng)段的DHCP服務(wù)是很少見的。對(duì)于實(shí)驗(yàn)室計(jì)算機(jī)網(wǎng)絡(luò)管理人員而言，掌握三層復(fù)雜環(huán)境下DHCP服務(wù)的配置和安全防范是非常有必要的。在此，本文將以H3C S3600 三層交換機(jī)和Windows 2008 Server服務(wù)器為平臺(tái)，講述如何在實(shí)驗(yàn)室環(huán)境下搭建跨網(wǎng)段的DHCP服務(wù)器及安全防護(hù)[1-2]。

1 DHCP工作原理

DHCP 采用C/S方式工作；DHCP客戶端計(jì)算機(jī)為了獲取合法的動(dòng)態(tài)IP地址，通常有三種模式獲?。孩?DHCP客戶計(jì)算機(jī)首次登陸網(wǎng)絡(luò)。② DHCP客戶計(jì)算機(jī)再次登陸網(wǎng)絡(luò)。③ DHCP客戶計(jì)算機(jī)延長(zhǎng)IP地址的租用有效期。

DHCP使用UDP協(xié)議、端口：67(服務(wù)器)、68(客戶端)，DHCP客戶計(jì)算機(jī)獲取TCP/IP協(xié)議的過(guò)程是四線回話，即：

(1) 發(fā)現(xiàn)階段。客戶端計(jì)算機(jī)發(fā)出 DHCP DISCOVER報(bào)文，向網(wǎng)絡(luò)發(fā)送廣播，在網(wǎng)絡(luò)內(nèi)搜尋DHCP服務(wù)器；

(2) 提供階段。服務(wù)器接收到 DHCP DISCOVER 報(bào)文后，從自己的地址池中選擇一個(gè)沒(méi)有被分配的IP地址分給客戶端計(jì)算機(jī)，然后向客戶端發(fā)送包含出租IP地址和其他配置的DHCP_Offer 報(bào)文；

(3) 選擇階段。即DHCP客戶端選擇IP地址，如果有多臺(tái)DHCP服務(wù)器向該客戶端計(jì)算機(jī)發(fā)來(lái)DHCP_Offer 報(bào)文，客戶端計(jì)算機(jī)只接受第一個(gè)收到的 DHCP_Offer 報(bào)文，然后以廣播的方式向各個(gè)DHCP服務(wù)器回應(yīng) DHCP_Request 報(bào)文，該信息中包含向選定DHCP服務(wù)器請(qǐng)求IP地址的內(nèi)容

(4) 確認(rèn)階段。當(dāng)DHCP服務(wù)器收到客戶端計(jì)算機(jī)回應(yīng)的 DHCP_Request報(bào)文后，便向客戶端計(jì)算機(jī)發(fā)送包含它所提供的IP地址和其他配置的 DHCP_ACK 確認(rèn)報(bào)文。然后客戶端計(jì)算機(jī)將其TCP/IP協(xié)議組件與網(wǎng)卡綁定。

客戶端的計(jì)算機(jī)有六種狀態(tài)：初始化狀態(tài)(發(fā)送 discover報(bào)文之前)、選擇狀態(tài)(收到offer報(bào)文之后)、請(qǐng)求狀態(tài)(發(fā)送request時(shí))、綁定狀態(tài)(收到ack)、更新狀態(tài)、重綁定狀態(tài)。

客戶端IP地址續(xù)租：當(dāng)租約到了50%時(shí)，客戶機(jī)向DHCP服務(wù)器發(fā)送單播，請(qǐng)求當(dāng)前IP地址繼續(xù)租用，如果不回應(yīng)，會(huì)重復(fù)發(fā)送信息，最多三次。 當(dāng)?shù)?7.5%的時(shí)候，客戶機(jī)進(jìn)入重綁定狀態(tài)，客戶機(jī)向現(xiàn)在所有可以使用的服務(wù)器發(fā)送REUQEST消息，請(qǐng)求繼續(xù)續(xù)租當(dāng)前IP，如果沒(méi)有回應(yīng)，客戶機(jī)IP地址停止使用，重新進(jìn)行四線回話獲取IP地址如果還是沒(méi)有回應(yīng)，則請(qǐng)用專用IP自動(dòng)編制；生成一個(gè)169.254.0.0網(wǎng)段的IP，用于計(jì)算機(jī)間保障通訊。

服務(wù)器中的作用域和超級(jí)作用域：用于給客戶分配TCP/IP協(xié)議棧信息。兩者的區(qū)別是超級(jí)作用域是

多個(gè)作用域的集合作用域的選項(xiàng)有三個(gè)：缺省全局選項(xiàng)、作用域選項(xiàng)、保留客戶端選項(xiàng)；優(yōu)先級(jí)是保留大于作用域大于全局[3,4,5]。

2 實(shí)驗(yàn)室搭建三層網(wǎng)絡(luò)環(huán)境下的DHCP環(huán)境

2.1 實(shí)驗(yàn)設(shè)備

實(shí)驗(yàn)設(shè)備見表1。

表1 實(shí)驗(yàn)設(shè)備明細(xì)

2.2 實(shí)驗(yàn)網(wǎng)絡(luò)拓?fù)?/h3>

實(shí)驗(yàn)室計(jì)算網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。

圖1 實(shí)驗(yàn)室計(jì)算機(jī)網(wǎng)絡(luò)拓?fù)鋱D

2.3 實(shí)驗(yàn)要求

高校實(shí)驗(yàn)室一般都有包含不同網(wǎng)段的計(jì)算機(jī)網(wǎng)絡(luò)，本實(shí)驗(yàn)內(nèi)容為：利用三層交換機(jī)實(shí)現(xiàn)在四個(gè)不同VLAN間通信，通過(guò)Windows 2008 Server系統(tǒng)上實(shí)現(xiàn)DHCP服務(wù)并三層交換機(jī)上進(jìn)行安全防護(hù)設(shè)置，使得處于不同Vlan的計(jì)算機(jī)在開機(jī)后能獲得DHCP服務(wù)器為他們分配的IP地址，且連接Vlan1獲取的IP地址段為：192.168.100.X/24，連接Vlan2獲取的IP地址段為：192.168.101.X/24，連接Vlan3獲取的IP地址段為：192.168.102.X/24，連接Vlan4獲取的IP地址段為：192.168.103.X/24，各計(jì)算機(jī)之間能相互ping通[6-7]。

2.4 實(shí)驗(yàn)步驟

2.4.1在三層交換機(jī)上的配置

(1) 配置前準(zhǔn)備。通過(guò)Console口登錄交換機(jī)。

第一步：建立本地配置環(huán)境，只需將PC機(jī)(或終端)的串口通過(guò)配置電纜與以太網(wǎng)交換機(jī)的Console口連接，如圖2所示。

圖2 通過(guò)Console 口搭建本地配置環(huán)境

第二步：在PC機(jī)上運(yùn)行終端仿真程序(如Windows 2000/Windows XP的超級(jí)終端等)，選擇與交換機(jī)相連的串口，設(shè)置終端通信參數(shù)：傳輸速率為9600bit/s、8 位數(shù)據(jù)位、1位停止位、無(wú)校驗(yàn)和無(wú)流控。

第三步：將三層交換機(jī)啟動(dòng)，終端上顯示設(shè)備自檢信息，自檢結(jié)束后提示用戶鍵入回車，之后將出現(xiàn)命令行提示符(如。

第四步：鍵入命令，配置三層交換機(jī)或查看交換機(jī)運(yùn)行狀態(tài)。需要幫助可以隨時(shí)鍵入“?”，具體的配置命令可以參考配置手冊(cè)中相關(guān)部分的內(nèi)容[8]。

(2) DHCP創(chuàng)建與相關(guān)參數(shù)的設(shè)置。

第一步：在三層交換機(jī)上進(jìn)行Vlan設(shè)置，

system- view 進(jìn)入系統(tǒng)視圖

[H3C]vlan2 創(chuàng)建Vlan2，Vlan1是三層交換機(jī)默認(rèn)的Vlan

[H3C- vlan2]quit

[H3C]vlan3 創(chuàng)建Vlan3

[H3C- vlan3]quit

[H3C]vlan4 創(chuàng)建Vlan4

[H3C- vlan3]quit

[H3C]vlan2 進(jìn)入Vlan2配置接口

[H3C- vlan2]port Ethernet1/0/2 將三層交換機(jī)的2號(hào)端口分配給Vlan2

H3C- vlan2]quit

[H3C]vlan3 進(jìn)入Vlan3配置接口

[H3C- vlan3]port Ethernet1/0/3 將三層交換機(jī)的3號(hào)端口分配給Vlan3

[H3C- vlan3]quit

H3C]vlan4 進(jìn)入Vlan4配置接口

[H3C- vlan3]port Ethernet1/0/4 將三層交換機(jī)的4號(hào)端口分配給Vlan4

[H3C- vlan3]quit 這里為了防止某個(gè)端口出現(xiàn)故障從而影響Vlan的網(wǎng)絡(luò)正常通訊，可以將2個(gè)以上的網(wǎng)絡(luò)端口分配在同一個(gè)Vlan下

[H3C]interface vlan1

[H3C- Vlan- interface1]ip address 192.168.100.5 255.255.255.0 為Vlan1 設(shè)置IP地址

[H3C- Vlan- interface1]quit

[H3C]interface vlan2

[H3C- Vlan- interface2]ip address 192.168.101.1 255.255.255.0 為Vlan2 設(shè)置IP地址

[H3C- Vlan- interface2]quit

[H3C]interface vlan3

[H3C- Vlan- interface3]ip address 192.168.102.1 255.255.255.0 為Vlan3 設(shè)置IP地址

[H3C- Vlan- interface3]quit

[H3C]interface vlan4

[H3C- Vlan- interface4]ip address 192.168.103.1 255.255.255.0 為Vlan4設(shè)置IP地址

[H3C- Vlan- interface4]quit

第二步： 開啟三層交換機(jī)的DHCP中繼代理功能，

[H3C]dhcpenable 開啟DHCP能功能

[H3C]dhcp- server 1 ip 192.168.100.6 指定DHCP 服務(wù)器地址為192.168.100.6

第三步：在VLAN中指定DHCP服務(wù)器，

[H3C]interface vlan2

[H3C- Vlan- interface2]dhcp- server 1 在Vlan2中指定DHCP服務(wù)器

[H3C- Vlan- interface2]quit

[H3C]interface vlan3

[H3C- Vlan- interface3]dhcp- server 1 在Vlan3中指定DHCP服務(wù)器

[H3C- Vlan- interface3]quit

[H3C]interface vlan4

[H3C- Vlan- interface4]dhcp- server 1 在Vlan4中指定DHCP服務(wù)器

[H3C- Vlan- interface4]quit

[H3C]save 保存以上配置信息

第四步： 正確配置默認(rèn)端口(Ethernet1/0/1)，

[H3C]interface Ethernet1/0/1

[H3C- Ethernet1/0/1]port link-type hybrid

[H3C- Ethernet1/0/1] port hybrid vlan 1 2 3 4 untagged 正確配置Ethernet1/0/1為Hybrid端口，能夠接收vlan1、2、3、4發(fā)過(guò)來(lái)的報(bào)文

[H3C- Ethernet1/0/1]quit[9,10]

第五步： 在H3C U200-C 路由器上正確配置靜態(tài)路由 如圖3所示。

圖3 靜態(tài)路由設(shè)置

由于三層交換機(jī)缺省條件下各Vlan之間能夠互相通信，所以在客戶端計(jì)算機(jī)只需正確配置對(duì)應(yīng)網(wǎng)絡(luò)參數(shù)(如：IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)、DNS)即可。如：Vlan1中的計(jì)算機(jī)網(wǎng)絡(luò)設(shè)置如圖4所示。Vlan2中的計(jì)算機(jī)默認(rèn)網(wǎng)關(guān)的IP地址是192.168.101.1，DNS服務(wù)器IP地址都是一樣的，Vlan3、Vlan4中的計(jì)算機(jī)的網(wǎng)絡(luò)設(shè)置以此類推。此時(shí)，各Vlan計(jì)算機(jī)之間已經(jīng)能相互ping 通。

圖4 客戶端計(jì)算機(jī)網(wǎng)絡(luò)設(shè)置

2.4.2在服務(wù)器上建立動(dòng)態(tài)IP地址作用域的配置

Windows Server2008 R2是微軟最新的視窗Server操作系統(tǒng)，是基于Windows Server 2008的硬件基礎(chǔ)而設(shè)計(jì)的，較以前的版本有更好的穩(wěn)定性。Windows Server 2008通過(guò)加強(qiáng)操作系統(tǒng)和保護(hù)網(wǎng)絡(luò)環(huán)境提高了安全性，通過(guò)加快IT系統(tǒng)的部署與維護(hù)、使服務(wù)器和應(yīng)用程序的合并與虛擬化更加簡(jiǎn)單、提供直觀管理工具，Windows Server2008還為IT專業(yè)人員提供了靈活

性，為高校實(shí)驗(yàn)室的計(jì)算機(jī)服務(wù)器和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)奠定了最好的基礎(chǔ)。

配置步驟：

(1) 在Windows Server2008 R2系統(tǒng)中啟動(dòng)服務(wù)器管理器，在DHCP服務(wù)器的IPV4網(wǎng)絡(luò)中，分別新建試驗(yàn)要求的四個(gè)Vlan 的IP地址段的動(dòng)態(tài)地址分配作用域；

(2) 新作用域的名稱、描述建議用各自Vlan的名稱，這樣便于記憶和分類，

(3) 動(dòng)態(tài)分配的IP地址范圍、排除地址范圍都需要根據(jù)實(shí)際需要進(jìn)行設(shè)定，可以設(shè)置排除地址范圍，這項(xiàng)功能在以前的系統(tǒng)中是沒(méi)有的；

(4) IP地址租期設(shè)定，默認(rèn)是8天，這里建議采用默認(rèn)的；

(5) 路由IP地址，這里針對(duì)不同的Vlan設(shè)置不同,如：針對(duì)Vlan1，這里要設(shè)置成Vlan1的接口IP地址(192.168.100.5)；

(6) DNS服務(wù)和DHCP服務(wù)安裝在同一臺(tái)服務(wù)器上，所以DNS IP地址也設(shè)為192.168.100.6,父域名稱設(shè)置為該域的域名；

(7) 激活作用域，啟動(dòng)DHCP服務(wù)。

2.5 實(shí)驗(yàn)結(jié)果驗(yàn)證

(1) 分別在不同Vlan的計(jì)算機(jī)上運(yùn)行ipconfig/all命令，看其是否獲得了相應(yīng)的IP地址，并相互使用ping命令，看是否連通。如果連通說(shuō)明實(shí)驗(yàn)成功。

(2) 在服務(wù)器上啟動(dòng)DHCP服務(wù)后，如圖5，可以看出Vlan1～ Vlan4四個(gè)動(dòng)態(tài)IP地址分配作用域都已經(jīng)啟動(dòng)，連接到Vlan1的幾臺(tái)客戶端計(jì)算機(jī)已經(jīng)獲取到了IP地址。

圖5 DHCP服務(wù)啟動(dòng)

3 實(shí)驗(yàn)室網(wǎng)絡(luò)DHCP常見安全故障探討

在實(shí)驗(yàn)室的網(wǎng)絡(luò)中目前多采用DHCP 服務(wù)器動(dòng)態(tài)進(jìn)行IP 地址的分配，雖然解決了IP 地址管理中的難題，但由于DHCP 在設(shè)計(jì)之初并沒(méi)有充分考慮到可能引起的安全的問(wèn)題，導(dǎo)致隨之而出現(xiàn)的各種各樣的DHCP安全問(wèn)題成為了網(wǎng)絡(luò)管理者的困惑。本文從DHCP 的工作原理入手，分析幾種常見的DHCP 安全問(wèn)題并提出解決措施，希望對(duì)實(shí)驗(yàn)室網(wǎng)絡(luò)管理人員有所幫助。在局域網(wǎng)中比較常見的由DHCP 引起的安全問(wèn)題有：DHCP欺騙、IP 地址重復(fù)分配導(dǎo)致沖突、DOS 攻擊、系統(tǒng)癱瘓配置參數(shù)丟失等，下面就這些問(wèn)題進(jìn)行探討。

3.1 非法DHCP 服務(wù)器引起的安全故障

如果實(shí)驗(yàn)室的網(wǎng)絡(luò)中有私自架設(shè)的DHCP 服務(wù)器，當(dāng)客戶端計(jì)算機(jī)申請(qǐng)IP 地址時(shí)，這臺(tái)DHCP 服務(wù)器就可能會(huì)與DHCP 客戶端進(jìn)行交互，導(dǎo)致客戶端獲得錯(cuò)誤的IP 地址，這種私設(shè)的DHCP 服務(wù)器稱為偽(非法)DHCP 服務(wù)器。在DHCP服務(wù)器上開啟偽DHCP 服務(wù)器檢測(cè)功能后，當(dāng)DHCP 服務(wù)器接收到siaddr字段(為客戶端分配IP地址的服務(wù)器IP地址)不為0的DHCP報(bào)文時(shí)，DHCP服務(wù)器會(huì)記錄報(bào)文中siaddr 字段的值及接收到報(bào)文的接口信息，以便管理員及時(shí)發(fā)現(xiàn)并處理偽DHCP 服務(wù)器。

開啟偽DHCP 服務(wù)器檢測(cè)功能后，對(duì)所有DHCP 服務(wù)器都會(huì)進(jìn)行記錄，包括合法的DHCP 服務(wù)器。管理員需要從系統(tǒng)日志中查找偽DHCP 服務(wù)器。開啟偽DHCP 服務(wù)器檢測(cè)功能后，對(duì)每個(gè)DHCP 服務(wù)器只記錄一次。

配置偽DHCP 服務(wù)器檢測(cè)功能。

配置方法：進(jìn)入H3CS3600系統(tǒng)視圖 system-view，開啟偽DHCP 服務(wù)器檢測(cè)功能，dhcp server detect，缺省情況下，偽DHCP 服務(wù)器檢測(cè)功能處于關(guān)閉狀態(tài)[11]。

3.2 IP 地址重復(fù)分配導(dǎo)致地址沖突的問(wèn)題

IP 地址沖突也是實(shí)驗(yàn)室局域網(wǎng)常見故障，可造成客戶無(wú)法獲取IP 地址。這種現(xiàn)象常被判斷為與ARP 病毒有關(guān)，然而DHCP 問(wèn)題也可以導(dǎo)致該現(xiàn)象。ARP 病毒爆發(fā)時(shí)IP 地址沖突、網(wǎng)絡(luò)速度變慢，而有時(shí)會(huì)發(fā)現(xiàn)僅僅是IP 地址沖突，將發(fā)生沖突的故障機(jī)斷網(wǎng)后，局域網(wǎng)中不見其他異常，這提示我們有可能是IP設(shè)置引起的沖突而已，與ARP 病毒可能無(wú)關(guān)。局域網(wǎng)中的打印機(jī)、郵件服務(wù)器、防火墻等設(shè)備需要靜態(tài)分配的IP，當(dāng)采用自動(dòng)獲取方式的客戶端獲取的IP 與這些靜態(tài)分配的IP 相同時(shí)，就會(huì)出現(xiàn)IP 地址沖突現(xiàn)象。解決的辦法是可以將分配的靜態(tài)IP 地址排除在DHCP 的地址池之外。

為防止IP 地址重復(fù)分配導(dǎo)致地址沖突，DHCP 服務(wù)器為客戶端分配地址前，需要先對(duì)該地址進(jìn)行探測(cè)。地址探測(cè)是通過(guò)ping 功能實(shí)現(xiàn)的，通過(guò)檢測(cè)是否能在指定時(shí)間內(nèi)得到響應(yīng)來(lái)判斷是否有地址沖突。DHCP 服務(wù)器發(fā)送目的地址為待分配地址的ICMP 回顯請(qǐng)求報(bào)文，如果在指定時(shí)間內(nèi)收到回顯響應(yīng)報(bào)文，DHCP 服務(wù)器從地址池中選擇新的IP地址，并重復(fù)上述操作；如果在指定時(shí)間內(nèi)沒(méi)有得到回顯響應(yīng)報(bào)文，則繼續(xù)發(fā)送ICMP 回顯請(qǐng)求報(bào)文，直到發(fā)送的回顯請(qǐng)求報(bào)文達(dá)到最大值，如果仍然沒(méi)有收到回顯響應(yīng)報(bào)文，則可將地址分配給客戶端，從而確?？蛻舳吮环值玫腎P 地址是唯一的。

配置方法：進(jìn)入H3CS3600系統(tǒng)視圖system-view ，配置DHCP 服務(wù)器發(fā)送回顯請(qǐng)求報(bào)文的最大數(shù)目，dhcp server ping packets 2(缺省情況最大數(shù)為2)，配置DHCP 服務(wù)器等待回顯響應(yīng)報(bào)文的超時(shí)時(shí)間，dhcp server ping timeout 500(缺省情況為500毫秒)[12]。

3.3 DOS 攻擊導(dǎo)致IP 地址資源耗盡

實(shí)驗(yàn)室局域網(wǎng)中的DHCP安全問(wèn)題也可能源于客戶端計(jì)算機(jī)。如果有人惡意的在客戶端通過(guò)惡意軟件不斷修改該機(jī)的MAC地址連續(xù)向DHCP SERVER發(fā)送DISCOVER、REQUEST報(bào)文，那么服務(wù)器端的IP 地址池中的IP地址將很快耗盡，這會(huì)導(dǎo)致其他正?？蛻舳擞?jì)算機(jī)因?yàn)闊o(wú)法獲取到IP地址而不能進(jìn)行網(wǎng)絡(luò)通訊，這就是DOS攻擊。另外，故障機(jī)不斷地發(fā)送報(bào)文且這種報(bào)文是廣播的方式，對(duì)DHCP 服務(wù)器的所在的主機(jī)和網(wǎng)絡(luò)是一種負(fù)擔(dān)。DOS 攻擊的防御可以通過(guò)DHCP SNOOPING 綁定表來(lái)解決。DHCP SNOOPING 綁定表是根據(jù)DHCP 報(bào)文建立的，項(xiàng)目包括客戶的MAC、IP、租約期限、VLAN_ID、接口等。當(dāng)客戶端發(fā)送DHCP 報(bào)文時(shí)，會(huì)檢查綁定表中的各項(xiàng)內(nèi)容，如果和綁定表數(shù)據(jù)庫(kù)內(nèi)容匹配則允許通過(guò)，否則丟棄。這樣可以防止客戶端修改IP和MAC實(shí)施DOS攻擊，同時(shí)這種方法還可以防止中間人攻擊。

H3C S3600交換機(jī)可以通過(guò)運(yùn)行在數(shù)據(jù)鏈路層的DHCP Snooping功能監(jiān)聽DHCP報(bào)文，記錄用戶的IP 地址信息。另外，在網(wǎng)絡(luò)中如果有私自架設(shè)的DHCP 服務(wù)器，將可能導(dǎo)致用戶得到錯(cuò)誤的IP地址。為了使用戶能通過(guò)合法的DHCP 服務(wù)器獲取IP 地址，DHCP Snooping 安全機(jī)制允許將端口設(shè)置為信任端口與不信任端口。① 信任端口是與合法的DHCP 服務(wù)器直接或間接連接的端口。信任端口對(duì)接收到的DHCP報(bào)文正常轉(zhuǎn)發(fā)，從而保證了DHCP 客戶端獲取正確的IP 地址。② 不信任端口是不與合法的DHCP服務(wù)器連接的端口。如果從不信任端口接收到DHCP服務(wù)器響應(yīng)的DHCP-ACK 和DHCP-OFFER 報(bào)文則會(huì)丟棄，從而防止了DHCP 客戶端獲得錯(cuò)誤的IP 地址。[13]

配置方法：進(jìn)入H3CS3600系統(tǒng)視圖system-view，開啟交換機(jī)DHCP Snooping功能，dhcp-snooping(缺省情況下，交換機(jī)的DHCP Snooping功能處于關(guān)閉狀態(tài))，進(jìn)入以太網(wǎng)端口視圖，interface Ethernet1/0/2，配置當(dāng)前端口為DHCP Snooping 信任端口，dhcp-snooping trust。

以上討論了實(shí)驗(yàn)室網(wǎng)絡(luò)中DHCP服務(wù)三種典型的安全故障，還有服務(wù)器超載運(yùn)行、地租租約等，這些故障比較容易解決，如解決地址租約問(wèn)題：① 增加 IP 地址，充實(shí)DHCP服務(wù)器的 IP 地址池；② 縮短租約時(shí)間，使空閑的IP地址及時(shí)收回，及時(shí)下發(fā)，而不使用默認(rèn)周期[14-15]。

4 結(jié) 語(yǔ)

DHCP服務(wù)已經(jīng)成為高校實(shí)驗(yàn)室局域網(wǎng)中IP地址分配的主要方式，在復(fù)雜網(wǎng)絡(luò)環(huán)境下的配置和使用以及DHCP安全問(wèn)題也日益顯現(xiàn)。首先要了解DHCP工作的基本原理，仔細(xì)分析，合理的規(guī)劃網(wǎng)絡(luò)架構(gòu)，對(duì)復(fù)雜網(wǎng)絡(luò)環(huán)境下的DHCP服務(wù)的搭建，常見的DHCP 欺騙、地址沖突、DOS 攻擊、超載運(yùn)行、地址租約等問(wèn)題都能得到有效的解決。另外，在實(shí)際實(shí)驗(yàn)室網(wǎng)絡(luò)管理中還應(yīng)該對(duì)各類故障問(wèn)題進(jìn)行仔細(xì)分析和認(rèn)真總結(jié)，則可以妥善解決實(shí)驗(yàn)室網(wǎng)絡(luò)中的DHCP故障。

[1] 朱文良,楊明來(lái).仿真軟件在計(jì)算機(jī)網(wǎng)絡(luò)通信教學(xué)中的應(yīng)用[J].網(wǎng)絡(luò)與通訊,2010 (11): 98-99.

ZHU Wen-liang,YANG Ming-lai.The Application of Simulation Software in Computer Network CommunicationTeachin[J]. NETWORKANDCOMMUNICATION,2010 (11): 98-99.

[2] 劉 毅,王 亮.如何在實(shí)驗(yàn)室中搭建三層環(huán)境下的DHCP服務(wù)器[J].科技風(fēng), 2010 (06): 214-215.

LIU Yi,WANG Liang. Implement DHCP Service and under Three Layer Network Enviorment for Lab[J].Technology Trend,2010 (06): 214-215.

[3] 黃慶和. 略論實(shí)驗(yàn)室網(wǎng)絡(luò)中網(wǎng)絡(luò)風(fēng)暴的產(chǎn)生及應(yīng)對(duì)之策[J]. 現(xiàn)代測(cè)量與實(shí)驗(yàn)管理,2007(4): 58-59.

HUANG Qin-he. On the causes and Countermeasures of network laboratory network in the storm[J]. Advanced Measurement and Laboratory Management,2007(4): 58-59.

[4] 李金方,祁 林,饒德勝. DHCP服務(wù)在多VLAN中的應(yīng)用[J].電信快報(bào), 2008(12):17-18.

LI Jin-fang,QI Lin,RAO De-sheng. Application of DHCP services in multiple in VLAN[J].Telecommunications Information,2008(12):17-18.

[5] 王 偉.局域網(wǎng)中DHCP故障問(wèn)題研究[J].大眾科技,2012(2):44-45.

WANG Wei. Study on failures of DHCP in the LAN [J]. Popular Science & Technology,2012(2):44-45.

[6] 方水良,孟 君.基于網(wǎng)絡(luò)的ASP服務(wù)平臺(tái)監(jiān)控系統(tǒng)[J].中國(guó)機(jī)械工程,2008(8) :1703-1704.

FANG Shui-liang,MENG Jun. ASP Platform Management System Based on Grid Services [J]. China Mechanical Engineering,2008(8) :1703-1704.

[7] 路曉麗,董云衛(wèi),趙宏斌.一種面向?qū)ο蟮腤eb Application測(cè)試模型[J].計(jì)算機(jī)科學(xué),2010(9):881-882.

LU Xiao-li, DONG Yun-wei,ZHAO Hong-bin. Object oriented Web Application Testing Model [J]. Computer Science,2010(9):881-882.

[8] 馬 龍.信息化環(huán)境下的高校教學(xué)科研儀器設(shè)備維修管理[J].中國(guó)新技術(shù)新產(chǎn)品, 2010(19):555-556.

MA Long.The Equipment of university teaching and research repair management Under the information environment[J]. China New Technologies and Products,2010(19):555-556.

[9] 劉 強(qiáng).面向?qū)ο蟮南到y(tǒng)分析設(shè)計(jì)[J].CSDN, 2007(08):221-222.

LIU Qiang. Analysis and design of object oriented systems [J].CSDN, 2007(08):221-222.

[10] 阿力甫·依不拉音,陳家勝.基于Web的儀器設(shè)備管理系統(tǒng)的實(shí)現(xiàn)與應(yīng)用[J].實(shí)驗(yàn)室研究與探索,2005(3):1361-1362.

ALIFU Yibulayin, CHEN Jia-sheng.On the Implementation and Operation of the Web-Based Equipment Management System [J]. Research and Exploration in Laboratory,2005(3):1361-1362.

[11] 張梁斌,高 昆,梁世斌.基于Packet Tracer的小型企業(yè)網(wǎng)絡(luò)應(yīng)用架構(gòu)的仿真實(shí)驗(yàn)[J].實(shí)驗(yàn)室研究與探索, 2012(10):878-879.

ZHANG Liang-bin,GAO Kun,LIANG Shi-bin. Simulation Experiment of Small Enterprise Network Application Infrastructure Based on Packet Tracer [J]. Research and Exploration in Laboratory,2012(10):878-879.

[12] 楊 峰,伍祥生.基于復(fù)雜網(wǎng)絡(luò)的軟件系統(tǒng)建模及應(yīng)用研究[J].湖南中學(xué)物理,2013(3):323-324.

YANG Feng,WU Xiang-sheng.The modeling of software system and Application Research Based on complex network [J]. Hunan Middle School Physics,2013(3) ):323-324.

[13] 周赟山.跨網(wǎng)絡(luò)DHCP服務(wù)的構(gòu)建與實(shí)現(xiàn)[J].現(xiàn)代計(jì)算機(jī)(專業(yè)版), 2010(7):26-27.

ZHOU Yun-shan. Design and implementation of DHCP services across networks[J].Modern Computer, 2010(7) :26-27.

[14] 周 進(jìn),何力軍.局域網(wǎng)多VLAN環(huán)境下三層交換機(jī)DHCP中繼代理的配置[J].中國(guó)高?？萍寂c產(chǎn)業(yè)化, 2006(12):168-169.

ZHOU Jin,HE Li-jun. The LAN under VLAN layer three switch DHCP relay agent configuration [J].Chinese University Technology Transfer, 2006(12) :168-169.

[15] 景鵬森,顏丹丹,吳 軍. 計(jì)算機(jī)網(wǎng)絡(luò)管理課程實(shí)驗(yàn)教學(xué)設(shè)計(jì)與實(shí)踐[J].電腦知識(shí)與技術(shù),2011(11):7802-7803.

JING Peng-sen,YAN Dan-dan,WU Jun. Design and Practice of Experiment Teaching for Computer Network Management Course [J]. Computer Knowledge and Technology,2011(11) ):7802-7803.