怎样实现DHCP服务器安全

一、启用DHCP审核记录
在DHCP服务器中到底发生了什么事情，管理员单靠肉眼是无法察觉的，最简单的方法是查看Windows日志，但这时一定要确保启用了DHCP服务器的“审核记录”功能，否则，就无法在事件查看器中找到相应的记录。
笔者以Windows 2000服务器为例，依次点击“开始→程序→管理工具→DHCP”后，d出DHCP控制台窗口，右键点击你的服务器，在菜单中选择“属性”，d出属性设置对话框，切换到“常规”标签页，确保一定要选中“启用DHCP审核记录”选项，最后点击“确定”按钮。
这样就启用了DHCP服务器的审核记录，它的日志文件默认保存在“C:\WINNT\System32\dhcp”目录下。为了防止“不法之徒”恶意删除日志，可以修改DHCP日志文件的存放路径。切换到“高级”标签页，点击“审核日志路径”栏的“浏览”按钮，指定新的日志文件存放位置，接着，使用相同的方法，修改“数据库路径”，最后点击“确定”。这样，我们的DHCP日志就更加安全了。
二、指定DHCP管理用户
在企业网中，为了加强对DHCP服务器的管理，网络管理员要指定一个或若干用户对DHCP服务器进行管理。如笔者要指定账号名为“CCE”的用户能够对DHCP进行管理，在Windows 2000服务器中，进入到“控制面板→管理工具”，运行“Active Directory 用户和计算机”工具，在d出的窗口中，点击“Users”选项，接着在右侧框体中找到“DHCP Administrators”项，右键点击，选择“属性”，d出“DHCP Administrators属性”对话框，切换到“成员”标签页，点击“添加”按钮，将“CCE”用户添加到列表框中，最后点击“确定”按钮，这样“CCE”用户就能够管理DHCP服务器了。
三、对DHCP管理用户限制
如果网络管理员意外出现误 *** 作，将其他的用户加入到DHCP管理组，那么这些用户也会拥有对DHCP服务器的管理权限，这种情况的发生同样会影响DHCP服务器的安全。如何对这些DHCP管理组用户进行限制呢？何不利用域安全策略，给DHCP服务器加个“双保险”。
如笔者只允许DHCP管理组的CCE用户，对DHCP服务器拥有管理权限，而其他用户只有“只读”权限。进入到“控制面板→管理工具”，运行“域安全策略”工具，d出安全策略控制台窗口，接着依次展开“Windows 设置→安全设置→受限制的组”，然后在右侧框体中的空白处单击右键，选择“添加组”，d出添加组对话框，在栏中输入“DHCP Administrators”后，点击“确定”按钮。
然后右键点击“DHCP Administrators”，选择“安全性”，d出配置成员身份对话框，接着点击“添加”按钮，将“CCE”用户添加到成员列表中，最后点击“确定”。

一DHCP服务的自动IP地址分配原理 DHCP使用客户端／服务器（Client/Server）模型。网络管理员建立一个或多个维护TCP/IP配置信息，并将其提供给客户端的DHCP服务器。服务器数据库包含以下信息。 网络上所有客户端的有效配置参数。 在指派到客户端的地址池中维护的有效IP地址，以及用于手动指派的保留地址。 服务器提供的租约持续时间。 通过在网络上安装和配置DHCP服务器，启用DHCP的客户端可在每次启动并加入网络时动态地获得其IP地址和相关配置参数。DHCP服务器以地址租约的形式将该配置提供给发出请求的客户端。 在以下3种情况下，DHCP客户机将申请一个新的IP地址。 计算机第一次以DHCP客户机的身份启动。 DHCP客户机的IP地址因某种原因（如租约期到了，或断开连接了）已经被服务器收回，并提供给其他DHCP客户机使用。 DHCP客户机自行释放已经租用的IP地址，要求使用一个新的IP地址。 DHCP客户机申请一个新的IP地址的总体过程如图6所示。其具体的过程如下。 （1）DHCP客户机设置为"自动获得IP地址"后，因为还没有IP地址与其绑定，此时称为处于"未绑定状态"。这时的DHCP客户机只能提供有限的通信能力，如可以发送和广播消息，但因为没有自己的IP地址，所以自己无法发送单播的消息。 （2）DHCP客户机试图从DHCP服务器那里"租借"到一个IP地址，这时DHCP客户机进入"初始化状态"。这个未绑定IP地址的DHCP客户机会向网络上发出一个源IP地址为广播地址0000的DHCP探索消息，寻找看哪个DHCP服务器可以为它分配一个IP地址。 （3）子网络上的所有DHCP服务器收到这个探索消息。各DHCP服务器确定自己是否有权为该客户机分配一个IP地址。 （4）确定有权为对应客户机提供DHCP服务后，DHCP服务器开始响应，并向网络广播一个DHCP提供消息，包含了未租借的IP地址信息以及相关的配置参数。 （5）DHCP客户机会评价收到的DHCP服务器提供的消息并进行两种选择。一是认为该服务器提供的对IP地址的使用约定（称为"租约"）可以接受，就发送一个请求消息，该消息中指定了自己选定的IP地址并请求服务器提供该租约。还有一种选择是拒绝服务器的条件，发送一个拒绝消息，然后继续从第（1）步开始执行。 （6）DHCP服务器在收到确认消息后，根据当前IP地址的使用情况以及相关配置选项，对允许提供DHCP服务的客户机发送一个确认消息，其中包含了所分配的IP地址及相关DHCP配置选项。 （7）客户机在收到DHCP服务器的消息后，绑定该IP地址，进入"绑定状态"。这样客户机就有了自己的IP地址，就可以在网络上进行通信了。 二DHCP中继代理原理 在大型的网络中，可能会存在多个子网。DHCP客户机通过网络广播消息获得DHCP服务器的响应后得到IP地址。但广播消息是不能跨越子网的。因此，如果DHCP客户机和服务器在不同的子网内，客户机还能不能向服务器申请IP地址呢？这就要用到DHCP中继代理。DHCP中继代理实际上是一种软件技术，安装了DHCP中继代理的计算机称为DHCP中继代理服务器，它承担不同子网间的DHCP客户机和服务器的通信任务。 中继代理是在不同子网上的客户端和服务器之间中转DHCP/BOOTP消息的小程序。根据征求意见文档（RFC），DHCP/BOOTP中继代理是DHCP和BOOTP标准和功能的一部分。 1．路由器的DHCP/BOOTP中继代理支持 在TCP/IP网络中，路由器用于连接称做"子网"的不同物理网段上使用的硬件和软件，并在每个子网之间转发IP数据包。要在多个子网上支持和使用DHCP服务，连接每个子网的路由器应具有在RFC 1542中描述的DHCP/BOOTP中继代理功能。 要符合RFC 1542并提供中继代理支持，每个路由器必须能识别BOOTP和DHCP协议消息并相应处理（中转）这些消息。由于路由器将DHCP消息解释为BOOTP消息（例如，通过相同的UDP端口编号发送，并包含共享消息结构的UDP消息），具有BOOTP中继代理能力的路由器可中转网络上发送的DHCP数据包和任何BOOTP数据包。 如果路由器不能作为DHCP/BOOTP中继代理运行，则每个子网都必须有在该子网上作为中继代理运行的DHCP服务器或另一台计算机。如果配置路由器支持DHCP/BOOTP中继不可行或不可能，您可以通过安装DHCP中继代理服务来配置运行Windows NT Server 40或更高版本的计算机充当中继代理。 在大多数情况下，路由器支持DHCP/ BOOTP中继。如果您的路由器不支持，则应与路由器制造商或供应商联系以查明是否有软件或固件升级提供对该功能的支持。 2．中继代理的工作原理 中继代理将它连接的其中一个物理接口（如网卡）上广播的DHCP/BOOTP消息中转到其他物理接口连至的其他远程子网。图7显示了子网2上的客户端C是如何从子网1上的DHCP服务器1获得DHCP地址租约的。具体过程如下。 （1）DHCP客户端C使用众所周知的UDP服务器67号端口在子网2上以"用户数据报协议（UDP）"的数据报广播DHCP/BOOTP查找消息（DHCPDISCOVER）。67号UDP端口是BOOTP和DHCP服务器通信所保留和共享的。 （2）中继代理，在DHCP/BOOTP允许中继的路由器的情况下，检测DHCP/BOOTP消息头中的网关IP地址字段。如果该字段有IP地址0000，代理文件会在其中填入中继代理或路由器的IP地址，然后将消息转发到DHCP服务器1所在的远程子网1。 （3）远程子网1上的DHCP服务器1收到此消息时，它会为该DHCP服务器可用于提供IP地址租约的DHCP作用域检查其网关IP地址字段。 （4）如果DHCP服务器1有多个DHCP作用域，网关IP地址字段（GIADDR）中的地址会标识将从哪个DHCP作用域提供IP地址租约。 例如，如果网关IP地址（GIADDR）字段有10002的IP地址，DHCP服务器会检查其可用的地址作用域集中是否有与包含作为主机的网关地址匹配的地址作用域范围。在这种情况下，DHCP服务器将对10001和1000254之间的地址作用域进行检查。如果存在匹配的作用域，则DHCP服务器从匹配的作用域中选择可用地址以便在对客户端的IP地址租约提供响应时使用。 （5）当DHCP服务器1收到DHCPDISCOVER消息时，它会处理IP地址租约（DHCPOFFER）并将其直接发送给在网关IP地址（GIADDR）字段中标识的中继代理。 （6）路由器然后将地址租约（DHCPOFFER）转发给DHCP客户端。此时客户端的IP地址仍旧无人知道，所以它必须在本地子网上广播。同样，根据RFC 1542，DHCPREQUEST消息从客户端中转发服务器，而DHCPACK消息从服务器转发到客户端。
记得采纳啊

一、关于DHCP
DHCP（Dynamic host configuration protocol，动态主机配置协议）能自动为网络中上网的客户机分配IP地址、子网掩码以及缺省网关、DNS服务器、WINS服务器的IP地址。它使网络管理员不用前往现场对每台计算机上的TCP／IP参数进行配置，一切设置的修改只需直接在服务器上即可完成，也可以最高效地利用有限的IP地址。
由于包含IP地址的相关TCP／IP配置参数是DHCP服务器“临时发放”给客户端的，所以当客户端重新启动或关机后，这些参数就自动释放，DHCP服务器又可将它们分配给其它的计算机。基于此原理，比如某市电信局只有一万个可分配给拨号用户的上网IP地址，而全城的拨号用户有五万个，则此电信局只需将它的主机配置成DHCP服务器，只要全城同时在网上的拨号客户端不超过一万台，就不会产生IP地址资源不足的情况。
二、DHCP工作原理
DHCP服务器和DHCP客户机的工作过程分为四个阶段：
1、IP地址租约的发现：客户机会以广播的形式向网络里的DHCP服务器发送申请IP地址的请求，发送的信息包括（客户机的MAC地址和计算机名称）。
2、IP地址租约的提供：当DHCP服务器收到客户机的请求后，将会返回一个租约信息。信息中包括（客户机的MAC地址，分配给客户机的IP地址，与IP地址配套的子网掩码，IP地址的租约时间，DHCP服务器的IP地址）
3、IP租约的请求：当客户机接受到第一台DHCP服务器的回应以后，会告诉其它DHCP服务器他已经接受了某个DHCP服务器的回应。并且通知第一台DHCP服务器，告诉它接受了它的响应。
4、确认：第一台DHCP服务器会向客户机发送最后的确认。其他DHCP服务器会撤消与此台客户机的租约和保留地址。
三、DHCP的安装
1、如尚未安装DHCP服务器，选“控制面板→添加／删除程序→添加／删除WINDOWS组件→网络服务→选中“动态主机配置协议DHCP”即可。
2、打开“开始”-“程序”-“管理工具”-“管理服务器”-选择“添加删除角色”-选择“DHCP服务器”。
四、配置DHCP服务器
实验一：配置DHCP服务器
步骤：
1、调用DHCP。选“开始→程序→管理工具→DHCP”。
2、添加DHCP服务器。选“DHCP→右键→添加服务器→浏览→要增加的服务器名”。
3、设置DHCP服务器。选“服务器名→右键→新建作用域”，其中：
①设定名称。选“作用域名→名称：mydhcp（任意）。
②设定欲分配的IP地址范围。选“IP地址范围→起始IP地址（19216810010）→结束IP地址（192168100244）→子网掩码（2552552550）。（注意IP地址范围一定是一块连续的区间）
③设定欲保留的IP地址范围。在“添加排除”中，可填写不欲服务器分配的IP地址或IP地址范围（如“19216810015-19216810020”）。
④“租约期限”可设1天。
⑤设定默认网关、DNS、WINS。各步均“添加”服务器的IP地址（如“1921681001”）即可。
五、客户机使用DHCP
实验二：客户机使用DHCP
在客户机IP设置中，设置成自动获取IP地址即可。
步骤：
右击“网上邻居”-“属性”-“本地连接”-“属性”-“TCP/IP协议”-“属性”-“自动获得IP地址”（静态）。
六、管理DHCP服务器
实验三：管理DHCP服务器
1、服务器授权，只有经过授权才能保证DHCP正常工作，当然也可以撤销授权。
步骤：在DHCP服务器上右击，选择“授权”或“撤销授权”即可。
2、激活作用域，当然也可以停用。
步骤：在作用域上右击，选择“激活”或“停用”即可。
3、添加地址池的排除范围， 19216810088、 192168100168－192168100188
步骤：右击“地址池”，选择“新建排除范围”，然后输入需要排除的地址或者地址段。
4、查看地址租约，可以看到5列（客户端的借到的IP地址，客户端的计算机名称，客户端租借IP地址租约的过期时间，DHCP的工作类型和惟一ID）
5、为客户机保留IP地址：保留名称为sale，IP地址为19216810066，MAC地址为00-00-e8-13-50-25。
步骤：右击“保留”，选择“新建保留”，在对话框内输入相关信息。
问：如何获得客户机的MAC地址？
答：在DOS下用Ipconfig/all命令。也可以在网上邻居的属性对话框的本地连接中查看详细信息（windows xp/windows 2003）。
七、管理DHCP选项
在手动配置静态IP地址时需要输入默认网关和DNS服务器地址等参数，那么在DHCP服务器中也应该有这类信息，在DHCP服务器中是通过DHCP服务器选项来进行这些参数的配置的。
实验四：为mydhcp作用域分配默认网关和DNS服务器地址，默认网关为1921681001，主DNS服务器为19216810070，辅助DNS服务器地址是2111614685。
步骤：
1、右击“作用域选项”，选择“配置选项”。
2、在对话框内单击“003 路由器”并打上勾，对应就是客户端默认网关参数，在下面的“IP地址”中输入默认网关的IP地址1921681001。
3、单击“006 DNS服务器”打上勾，对应就是客户端首选的DNS服务器和备用的DNS服务器参数，在下面的“IP地址”上依次填入相应IP地址即可（注意主辅顺序）。
4、设置好参数后在作用域选项里能看见两个带有齿轮的选项。
八、服务器选项
如果整个DHCP服务器有若干个作用域，而这些作用域的某些参数是相同的，则可以把这些相同的参数设置在服务器选项里，而不必在每一个作用域的选项内进行设置。因为服务器选项里的参数可以继承到每个作用域选项的参数。
实验五：配置相同的DNS服务器参数2111614685，把些参数配置到服务器选项中。
步骤：
1、右击“服务器选项”，选择“配置”
2、其它过程与配置作用域选项相同。
九、DHCP数据库的备份与恢复
由于某种原因导致DHCP服务器不能正常工作或者损坏，DHCP服务器中存入的地址池信息、客户机的租约信息等都有可能丢失，这就需要把正确的数据进行备份，以供恢复用。
实验六：备份DHCP数据库信息
步骤：
在DHCP窗口中右击“DHCP服务器”，选择“备份”，然后选择数据库备份的地点，单击“确定”。
实验七：恢复DHCP数据库信息
步骤：
在DHCP窗口中右击“DHCP服务器”，选择“恢复”，然后选择数据库备份文件，单击“确定”。然后windows server 2003会重启DHCP。
达标题：
（1）配置DHCP服务器，IP地址池为1921687100－1921687130，1921687140－1921687150，网关为1921687254。
（2）配置DHCP服务器，IP地址池为1921687200－1921687225，1921687238－1921687250，DNS为1721805。
（3）配置DHCP服务器，IP地址池为1921687100－1921687130，1921687140－1921687150，1921687180－1921687200，为本地客户机添加一个保留IP地址为：1921687148。

步骤如下：
一、连接线路：1、电源线连接成功时交换机会有声音。2、一条外网的网线接入24个千兆口中任意一个，使用另外的接口连接电脑。如需使用超级终端对交换机进行配置，需申请console线连接console接口。二、配置电脑：设置管理计算机的IP地址说明：需要将计算机的IP地址与S5028的IP地址（目前为192168208/2552552540/192168211）置于同一子网中。三、然后设置完成后可以通过ping命令检测计算机与交换机是否相连。（通过ping192168208）。四、登陆管理界面：运行Web浏览器，在地址栏中输入>