灵活管控DHCP

■河南 刘景云

引言：电脑必须拥有合适的IP地址，才可以顺利接入网络。在规模较大的局域网中，手工为每台主机逐一设置IP，实现起来比较繁琐.往往会通过部署DHCP服务器的办法。这里就从排除DHCP故障，提高其安全性等多个方面出发，介绍管理好DHCP服务的相关方法和技巧。

排除故障，顺畅使用DHCP服务

在享用DH CP服务带来的便利的同时，有时难免遇到各种故障现象，这毫无疑问会给网络的运作带来不利影响，这就需要网管员采取适当的方法来化解难题。

不过对于一些奇怪的故障，就能需要从DHCP服务器上寻找解决办法了。例如笔者曾经遇到局域网一位用户的求助，其使用的电脑无法上网。笔者经过查看，发现该机无法从DHCP服务器上获得动态IP，但是该机网卡工作正常，网络线路也没有任何问题。笔者对其进行了杀毒，修复系统等操作，但是没有解决问题。笔者到DHCP服务器上打开CMD窗 口，运行“netsh”，“dhcp”，“server”命 令 之后，在DHCP命令行中执行“show all”命令，发现在对应子网栏中的“空闲地址数目”项的值为零，而“正在使用的地址数目”项的值全处于全满状态，显示DHCP服务器地址池中的IP地址已经全部使用完了。这显然不可能，因为在设计局域网时，关于DHCP服务器的IP范围参数保留了一定的空余量，不可能出现IP消耗完的情况。

细查之下，原来已经分配出去数十个IP处于非活跃状态。解决故障的方法就是回收没有使用的IP，在DHCP控制台界面中选择对应的作用域，在其中双击“地址租用”项，将租约列表中的无关的IP项目删除。或者在作用域属性窗口中的“常规”面板中的“DHCP客户端的租约期限”栏中选择“限制为”项，为其设置合适的租约期限（例如6个小时）。这样，一旦超过该期限，DHCP服务器就会自动回收IP。通过该案例，网管员应该定期检查DHCP服务器的工作状态，将暂时不用的IP地址及时激活，避免出现IP地址池被过度占用的情况。

当然，如果暂时不想回收IP的话，也可以采取扩大地址池IP范围的办法，来解决问题。例如在DHCP控制台中选择对应作用域，在其属性窗口中的“属性”面板中扩展IP范围。地址池的原范围为“10.168.10.1”到“10.168.10.100”，可 以将其扩大为“10.168.10.1”到“10.168.10.254”等。在实际部署DHCP服务器时，如果出现病毒入侵，操作失误等情况，很容易将DHCP服务器配置搞乱的情况，对于大型网络来说，重新配置DHCP服务参数是很麻烦的。为了及时修复DHCP服务器，最好的办法是在其运行正常时，备份好配置信息。在DHCP控制台界面中选择主机名称，在其右键菜单中选择“备份”项，选择备份路径，即可完成备份操作。以后在该菜单上点击“还原”项，就可以恢复DHCP的参数信息。或者在CMD接口中执行“net dhcp server expert d:dhcp.txt all”命令，完成备份操作。执 行“netsh dhcp server d:dhcp.txt all”命令，完成恢复操作。

合理配置，让DHCP服务器高效运行

在局域网中，对于一些地位比较重要的主机，我们往往会为其设置固定的IP，这样的话其启动速度就会加快。但是，这也容易引发IP冲突的情况。例如某台主机IP固定为“192.168.0.10”。但是，在DHCP服务器上设置可用的IP范围为192.168.0.3到192.168.0.100这样，当该机不开机的时候，别的主机就可能从DHCP服务器上获得“192.168.0.10”的IP。一旦该机启动，就会产生争抢该地址的问题，导致IP冲突。所以，在规划DHCP服务器参数时，应该合理配置地址池范围。例如在DHCP控制台中选择对应域，在其属性窗口中的“常规”面板中合理设置IP范围，例如从“192.168.0.20”到“192.168.0.100”等，将前面的一些IP空出来，供固定IP的主机使用，这样就可以避免无谓的冲突了。

有时当打开DHCP服务器控制台后，会发现服务器名称带有黄色的感叹号，这表明其工作存在异常。解决的方法是在对应域的属性窗口中检查IP范围设置是否妥当，IP地址的租约设置是否超长，否则的话，局域网中的主机可能无法从DHCP服务器获得IP。一般来说，局域网中通常只存在一台服务器，如果存在多台服务器的话，就会互相干扰，让合法的DHCP服务器无法顺利运作。为此，可以将其添加到特定的工作域中，这样，特定工作域中的主机在申请IP时，位于同域的合法的DHCP服务器会优先应答，并为其分配IP，而非法的DHCP服务器则会被过滤掉。在DHCP控制台中选择“DHCP”节点，在其右键菜单中点击“添加服务器”项，正在弹出窗口中点击浏览按钮，选择合法的DHCP服务器，点击确定按钮保存配置。这样，局域网中指定工作域中的主机在访问网络时，就会优先从该合法DHCP服务器上获得IP了。

在上述菜单中，还有名为“管理授权的服务器”项，在实际管理网络时，合理使用该项，可以解决一些棘手的问题。例如，某公司和和本单位同处一楼，其电脑数量有线，通过二层交换机接入局域网，在其内部配置了一台DHCP服务器，来自动分配IP。不过近来出现了无法分配IP的现象，导致该公司的电脑无法上网。笔者在某台客户机上设置了固定的IP，可以顺利上网，使用PING命令，对DHCP主机进行探测，发现网络连接没有问题。笔者在该DHCP服务器上打开服务器管理器。在“角色”列表中打开DHCP服务器配置项目，点击“重新启动”按钮，想重启DHCP服务，但是系统却显示无法找到DHCP服务器的提示。笔者于是在角色管理界面中删除了DHCP服务，之后重新安装DHCP服务器，并按照原始的参数对其进行了正确的配置，但是依然出现上述问题。因为局域网采用了域服务器管理模式，笔者打开DHCP控制台，选择“DHCP”节点，在其右键菜单中点击“管理授权的服务器”项，在弹出窗口中点击“授权”按钮，输入安装了活动目录的服务器地址，点击确定按钮，系统提示授权成功，之后可以顺利启动DHCP服务。在DHCP控制台中对IP地址池，DNS服务器等参数进行了一番配置后，恢复了该DHCP服务器的活力，使客户机可以顺利申请IP并自由上网了。

多管齐下，提高DHCP服务的安全性

病毒对局域网的威胁是很大的，如果某台主机感染了病毒，当其从DHCP服务器获得IP后，就会顺利访问网络，这给病毒的传播带来了极大的便利，对网络安全造成很大的威胁。为此，最好对DHCP的分配进行必要的限制，只允许未被病毒侵袭的主机获取IP。在DHCP控制台中选择“IPv4”或者“IPv6”项，在其右键菜单上点击“定义用户类别”项，在弹出窗口中点击“添加”按钮，输入新类别的名称（假设为“newlb”）和描述信息。在“ID”栏中右侧的“ASCⅡ”栏中输入ID标识信息，系统会自动为其生成二进制数据，点击确定按钮保存以上信息。在DHCP控制台中对应作用域中的“作用域选项”项的右键菜单上点击“配置选项”项，在弹出窗口中的“高级”面板，在其中可以设置DHCP各项高级参数，包括网关地址，DNS地址，主机名称，IP层转发等参数。

例如，可以在其中选择“003路由器”项，在其中设置网关地址。选择“006DNS服务器”项，在其中设置DNS服务器地址等。在客户机中的CMD窗口中执行“ipconfig /setclassid本地连接newlb”命令，这样该机中的DHCP类ID名称就被修改为了“newlb”，其中的“本地连接”表示网络连接名称，可以根据实际情况修改，例如“Local Area Connection”等。之后还应该打开该机的网络连接属性窗口，在其中双击“TCP/IP协议”项，保证选择“自动获取IP地址”和“自动获得IP地址”项。按照同样的方法，对所需的主机进行同样的配置，保证其可以顺利从DHCP服务器上获取IP，而无关的主机则无法获得IP。

当然，也可以利用DHCP服务提供给的保留功能，来对恶意连接进行有效控制。在正常合法的客户机上执行“ipconfig /all”命令，在显示信息中获取其IP地址和MAC地址参数。在DHCP服务器上打开DHCP控制台界面，在对应作用域节点下选择“保留”项，在其右键菜单上点击“新建保留”项，在弹出窗口中输入保留名称，输入上述IP和MAC地址，在描述栏中输入相关信息。在“支持的类型”栏中选择“两者”项，点击添加按钮，保存上述设置信息。按照同样的方法，将所有合法主机的IP和MAC地址逐一添加进来。这样，只有预设的合法的主机才可以从DHCP服务器上获取IP，而非法主机将无法顺利接入网络。即使不法用户采用手工方法更改IP，冒用合法主机的网络配置参数，也不能正常接入到局域网中。

在实际的网络维护中，在启用了DHCP服务器的情况下，有时会发现有的主机可以获得正确的上网参数，而有的主机获得是却是错误的网络配置信息。究其原因，在于局域网中存在不合法的DHCP服务器。其实这也不奇怪，除了正规的DHCP服务器可以提供地址分配功能外，越来越多的网络设备（例如路由器等）也都内置了DHCP服务功能，当其连接到网络后，就会擅自提供DHCP服务。这些未经授权的DHCP服务器会对真实的DHCP服务器进行干扰，给网络的运作带来不利影响。

为此，可以借助于交换机的DHCP监听功能，来屏蔽具有普通权限的用户发送的DHCP数据包，防止其对正常的DHCP服务造成破坏。以特权账户身份登录到交换机后台界面，输入“systemview”命令，在全局视图模式下 执 行“dhcp-anooping”命令，激活交换机的DHCP监控功能，让其对局域网中存在的各类DHCP数据报文进行监听，并对非信任端口进行控制，让其只能向外发送DHCP数据报文，无法发送其它DHCP请求报文。这样，即使用户连接了具有DHCP功能的网络设备，其提供的DHCP服务也会被交换机屏蔽掉。这样，其它主机就可以从真实的DHCP服务器上获得合法的IP。

当然，可以将交换机的某个端口设置为可信任端口，让其可以正常接收和转发DHCP数据报文。例如，以特权身份登录到交换机后台，切换到全局视图模式，执行“interface g0/1/15”命令，切换到目标端口视图状态，执行“dhcp-anooping trust”命令，就可以将G0/1/15端口变成DHCP可信任端口。以后该端口就可以自由接收和转发各类DHCP数据报文。一般来说，当DHCP中继设备和本地交换机保持直接连接状态，而且互联端口工作于Trunk模式下，就可以将该互联端口设置为可信任端口。对于已经检测到了非法的DHCP连接的交换端口，可以采取封锁端口的方法，来禁止其接入局域网。假设已经知道了非法DHCP服务器的地址，使用PING命令，对其进行探测操作，根据返回信息，了解其主机名称。使用“arp–a”命令，或者使用“nbtstat–a 目标IP”命令，来获得其MAC地址信息。

之后以特权账户身份登录到交换机后台界面，切换到全局视图模式，执行“display mac”命令，根据返回信息，可以了解所有交换端口和MAC地址的对应情况。根据上述MAC地址，很快就可以找到非法DHCP服务器连接的交换端口。执行“interface 36”，切换到指定交换端口视图模式状态，假设端口为36。执行“shutdown”命令，封锁非法DHCP服务器和局域网的连接，禁止其为别的客户机分配错误的IP地址。

当然，如果是某个集线器连接到该交换端口的话，就会对连接到集线器上的相关主机的网络访问造成不利影响。为此，可以通过配置基于设备物理地址的访问控制列表，来阻止非法的DHCP接入网络。注意，DHCP服务器在运作时，会使用UDP67/68等端口，UDP 67端口是接收客户机发送DHCP请求信息的端口，DHCP服务器进行应答时使用到UDP 68端口。创建访问控制列表，对非正常DHCP服务器使用UDP 68端口进行过滤，就可以让非法DHCP服务器无法应答客户机的请求信息。因此可以在交换机后台界面中执行“access-list 111 deny udp any eq 68 any”之类的命令即可。

摆脱繁琐，快速搭建简单实用的DHCP服务器

利用DHCP服务器，可以动态的分配地址。不过，一般我们都是在Windows Server 2003/2008等专业的系统中安装和配置DHCP服务，管理和维护起来都比较繁琐。其实，在某些场合下（例如网络克隆系统，测试相关网络软件等），只是需要临时使用DHCP服务，就没有必要如此大动干戈的构建DHCP服务器。利用DHCP Turbo这款软件，就可以让您毫不费力的快速搭建简易的DHCP服务器，来解决临时急用之需。下载地址：http://www.onlinedown.net/soft/11249.htm。

在局域网中找一台可以正常通讯的主机，在其上安装DHCP Turbo。在其安装界面中的“Select Install Type”窗口中选择“Full”项，执行完整的安装操作。这样，才可以使用其全部功能。在DHCP Turbo窗口左侧点击“Localhost”节点，在弹出的登录窗口中无需输入密码，点击“Login”按钮，完成登录动作。当然，可以点击菜单“Tools”-“Change Password”项，来设置所需的密码。在窗口左侧选择“Localhost”-“Scopes”项，在其右键菜单上点击“New Scope”项（或者点击“Ctrl+N”键），在弹出窗口中可以创建一个作用域。

当然，要想让局域网中的客户机可以顺利访问Internet，仅仅申请到IP是不够的，还需要为其配置网关，DNS服务器等参数。对于规模稍大的局域网来说，手工逐台进行设置的话，工作量是很大的。而且，网关等地址一旦变动，还得重新手工设定。其实，在DHCP Turbo中提供了参数集中配置功能，可以将网关，DNS服务器地址等参数自动分配给客户机。而且之后如果这些参数变动的话，只需在DHCP Turbo中同一设置即可。

在DHCP Turbo窗口左侧点击“Localhost”-“Scopes”项，在其中选择对应的作用域，在窗口右侧的“Policies”面板 中点击“Ctrl+N”项，在弹出窗口中双击“GateWay”项，在弹出窗口中输入网关地址。之后按照同样的方法，双击列表中的“Domain name servers”项，输 入DNS服务器地址。配置好DHCP Turbo后，之后在客户机中打开网络连接属性窗口，在其中双击“TCP/IP协议”项，在地址设置界面中选择“自动获得IP地址”和“自动获得DNS服务器地址”项。并在CMD窗口中执行“ipconfig /renew”命令，向临时搭建的DHCP服务器申请IP地址已经其它网络配置参数，之后执行“ipconfig/all”命令，可以查看获取的IP地址信息等参数。