解决非授权DHCP引发的冲突ZDNET网络频道时间：2010-08-31作者：|本文关键词：DHCP网络文章中，我们针对非授权DHCP服务器所引发的网络冲突进行了分析和介绍。那么我们所列举的一些方法，希望对大家能够有所帮助。在不少网络结构中，我们进行一些协议设置的时候发现，当中的IP以及相关协议会存在着一些冲突。例如我们今天所讲解的局域网DHCP冲突的问题。其实，这当中非授权DHCP服务器起着决定性的作用。一、预备知识：一般公司内部都会有一个DHCP服务器来给员工计算机提供必要的网络参数信息的，例如IP地址、子网掩码、网关，DNS等地址，很多情况路由器就可以担当此重任。每次员工计算机启动后都会向网络中发送广播包寻找DHCP服务器(前提是该计算机被设置为自动获得IP地址)，广播包随机发送到网络中，当有一台DHCP服务器收到这个广播包后就会向该包源MAC地址的计算机发送一个应答信息，同时从自己的地址池中抽取一个IP地址分配给该计算机。合法DHCP服务器可以提供正确的数据，非授权DHCP服务器则提供的是错误的数据。我们如何让员工机器都通过合法DHCP服务器获得网络信息呢?如果是交换式网络则没有可能，因为广播包会发向网络中的所有设备，合法还是非授权服务器先应答是没有任何规律的。这样网络就被彻底扰乱了，原本可以正常上网的机器再也不能连接到INTERNET。二、防范策略：1、消极防范：既然广播包会发向网络中的所有设备，合法还是非授权服务器先应答是没有任何规律的，那么我们可以通过多次尝试广播包的发送来临时解决这个问题，直到客户机可以得到真实的地址为止。先敲入如下命令：ipconfig/release(该命令释放非授权网络数据)然后敲入如下命令：ipconfig/renew(尝试获得网络参数)如果还是获得错误信息则再次尝试上面两条命令，直到得到正确信息。不过这种方法治标不治本，反复尝试的次数没有保证，一般都需要十几次甚至是几十次，另外当DHCP租约到期后员工机需要再次寻找DHCP服务器获得信息，故障仍然会出现。2、官方提供的办法：一般我们使用的操作系统都是Windows，微软为我们提供了一个官方解决办法。在windows系统组建的网络中，如果非授权DHCP服务器也是用Windows系统建立的话我们可以通过“域”的方式对非授权DHCP服务器进行过滤。将合法的DHCP服务器添加到活动目录(ActiveDirectory)中，通过这种认证方式就可以有效的制止非授权DHCP服务器了。原理就是没有加入域中的DHCPServer在相应请求前，会向网络中的其他DHCPServer发送DHCPINFORM查询包,如果其他DHCPServer有响应，那么这个DHCPServer就不能对客户的要求作相应，也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器要高。这样当合法DHCP存在时非授权的就不起任何作用了。授权合法DHCP的过程如下：第一步：开始->程序->管理工具->DHCP第二步：选择DHCProot,用鼠标右键单击，然后浏览选择需要认证的服务器。第三步：点“添加”按钮,输入要认证的DHCP服务器IP地址,完成授权操作。这种方法效果虽然不错，但需要域的支持。要知道对于众多中小企业来说“域”对他们是大材小用，基本上使用工作组就足以应对日常的工作了。所以这个方法是微软推荐的，效果也不错，但不太适合实际情况。另外该方法只适用于非授权DHCP服务器是windows系统，对非Windows的操作系统甚至是NT4这样的系统都会有一定的问题。3、路由交换设备上封杀：有的路由交换设备自身功能比较强，例如具有extreme功能，他可以自动抑制非授权DHCP的数据包。如果没有extreme功能我们如何提前预防非授权DHCP服务器的接入呢?首先需要对DHCP数据包使用的端口有所了解，DHCP服务主要使用的是UDP的67和68端口，服务器端应答数据包使用68端口，67端口为客户机发送请求时使用。所以我们可以在路由器和交换机上通过访问控制列表来屏蔽除合法DHCP服务器以外的所有DHCP应答包，也就是说将68端口封闭。具体命令为：access-list108denyudpanyeq68any(图1)图1这种方法也同样只对于WINDOWS操作系统的DHCP服务器有效，对于在其他操作系统上建立的DHCP服务器则无法完全过滤。而且大量的ACL也会降低路由交换设备的性能，使网络速度受到一定的影响。4、另类方法...