■河南 劉景云

引言：電腦必須擁有合適的IP地址，才可以順利接入網(wǎng)絡(luò)。在規(guī)模較大的局域網(wǎng)中，手工為每臺(tái)主機(jī)逐一設(shè)置IP，實(shí)現(xiàn)起來比較繁瑣.往往會(huì)通過部署DHCP服務(wù)器的辦法。這里就從排除DHCP故障，提高其安全性等多個(gè)方面出發(fā)，介紹管理好DHCP服務(wù)的相關(guān)方法和技巧。

排除故障，順暢使用DHCP服務(wù)

在享用DH CP服務(wù)帶來的便利的同時(shí)，有時(shí)難免遇到各種故障現(xiàn)象，這毫無疑問會(huì)給網(wǎng)絡(luò)的運(yùn)作帶來不利影響，這就需要網(wǎng)管員采取適當(dāng)?shù)姆椒▉砘怆y題。

不過對(duì)于一些奇怪的故障，就能需要從DHCP服務(wù)器上尋找解決辦法了。例如筆者曾經(jīng)遇到局域網(wǎng)一位用戶的求助，其使用的電腦無法上網(wǎng)。筆者經(jīng)過查看，發(fā)現(xiàn)該機(jī)無法從DHCP服務(wù)器上獲得動(dòng)態(tài)IP，但是該機(jī)網(wǎng)卡工作正常，網(wǎng)絡(luò)線路也沒有任何問題。筆者對(duì)其進(jìn)行了殺毒，修復(fù)系統(tǒng)等操作，但是沒有解決問題。筆者到DHCP服務(wù)器上打開CMD窗 口，運(yùn)行“netsh”，“dhcp”，“server”命 令 之后，在DHCP命令行中執(zhí)行“show all”命令，發(fā)現(xiàn)在對(duì)應(yīng)子網(wǎng)欄中的“空閑地址數(shù)目”項(xiàng)的值為零，而“正在使用的地址數(shù)目”項(xiàng)的值全處于全滿狀態(tài)，顯示DHCP服務(wù)器地址池中的IP地址已經(jīng)全部使用完了。這顯然不可能，因?yàn)樵谠O(shè)計(jì)局域網(wǎng)時(shí)，關(guān)于DHCP服務(wù)器的IP范圍參數(shù)保留了一定的空余量，不可能出現(xiàn)IP消耗完的情況。

細(xì)查之下，原來已經(jīng)分配出去數(shù)十個(gè)IP處于非活躍狀態(tài)。解決故障的方法就是回收沒有使用的IP，在DHCP控制臺(tái)界面中選擇對(duì)應(yīng)的作用域，在其中雙擊“地址租用”項(xiàng)，將租約列表中的無關(guān)的IP項(xiàng)目刪除?；蛘咴谧饔糜?qū)傩源翱谥械摹俺Ｒ?guī)”面板中的“DHCP客戶端的租約期限”欄中選擇“限制為”項(xiàng)，為其設(shè)置合適的租約期限（例如6個(gè)小時(shí)）。這樣，一旦超過該期限，DHCP服務(wù)器就會(huì)自動(dòng)回收IP。通過該案例，網(wǎng)管員應(yīng)該定期檢查DHCP服務(wù)器的工作狀態(tài)，將暫時(shí)不用的IP地址及時(shí)激活，避免出現(xiàn)IP地址池被過度占用的情況。

當(dāng)然，如果暫時(shí)不想回收IP的話，也可以采取擴(kuò)大地址池IP范圍的辦法，來解決問題。例如在DHCP控制臺(tái)中選擇對(duì)應(yīng)作用域，在其屬性窗口中的“屬性”面板中擴(kuò)展IP范圍。地址池的原范圍為“10.168.10.1”到“10.168.10.100”，可 以將其擴(kuò)大為“10.168.10.1”到“10.168.10.254”等。在實(shí)際部署DHCP服務(wù)器時(shí)，如果出現(xiàn)病毒入侵，操作失誤等情況，很容易將DHCP服務(wù)器配置搞亂的情況，對(duì)于大型網(wǎng)絡(luò)來說，重新配置DHCP服務(wù)參數(shù)是很麻煩的。為了及時(shí)修復(fù)DHCP服務(wù)器，最好的辦法是在其運(yùn)行正常時(shí)，備份好配置信息。在DHCP控制臺(tái)界面中選擇主機(jī)名稱，在其右鍵菜單中選擇“備份”項(xiàng)，選擇備份路徑，即可完成備份操作。以后在該菜單上點(diǎn)擊“還原”項(xiàng)，就可以恢復(fù)DHCP的參數(shù)信息?；蛘咴贑MD接口中執(zhí)行“net dhcp server expert d:dhcp.txt all”命令，完成備份操作。執(zhí) 行“netsh dhcp server d:dhcp.txt all”命令，完成恢復(fù)操作。

合理配置，讓DHCP服務(wù)器高效運(yùn)行

在局域網(wǎng)中，對(duì)于一些地位比較重要的主機(jī)，我們往往會(huì)為其設(shè)置固定的IP，這樣的話其啟動(dòng)速度就會(huì)加快。但是，這也容易引發(fā)IP沖突的情況。例如某臺(tái)主機(jī)IP固定為“192.168.0.10”。但是，在DHCP服務(wù)器上設(shè)置可用的IP范圍為192.168.0.3到192.168.0.100這樣，當(dāng)該機(jī)不開機(jī)的時(shí)候，別的主機(jī)就可能從DHCP服務(wù)器上獲得“192.168.0.10”的IP。一旦該機(jī)啟動(dòng)，就會(huì)產(chǎn)生爭(zhēng)搶該地址的問題，導(dǎo)致IP沖突。所以，在規(guī)劃DHCP服務(wù)器參數(shù)時(shí)，應(yīng)該合理配置地址池范圍。例如在DHCP控制臺(tái)中選擇對(duì)應(yīng)域，在其屬性窗口中的“常規(guī)”面板中合理設(shè)置IP范圍，例如從“192.168.0.20”到“192.168.0.100”等，將前面的一些IP空出來，供固定IP的主機(jī)使用，這樣就可以避免無謂的沖突了。

有時(shí)當(dāng)打開DHCP服務(wù)器控制臺(tái)后，會(huì)發(fā)現(xiàn)服務(wù)器名稱帶有黃色的感嘆號(hào)，這表明其工作存在異常。解決的方法是在對(duì)應(yīng)域的屬性窗口中檢查IP范圍設(shè)置是否妥當(dāng)，IP地址的租約設(shè)置是否超長(zhǎng)，否則的話，局域網(wǎng)中的主機(jī)可能無法從DHCP服務(wù)器獲得IP。一般來說，局域網(wǎng)中通常只存在一臺(tái)服務(wù)器，如果存在多臺(tái)服務(wù)器的話，就會(huì)互相干擾，讓合法的DHCP服務(wù)器無法順利運(yùn)作。為此，可以將其添加到特定的工作域中，這樣，特定工作域中的主機(jī)在申請(qǐng)IP時(shí)，位于同域的合法的DHCP服務(wù)器會(huì)優(yōu)先應(yīng)答，并為其分配IP，而非法的DHCP服務(wù)器則會(huì)被過濾掉。在DHCP控制臺(tái)中選擇“DHCP”節(jié)點(diǎn)，在其右鍵菜單中點(diǎn)擊“添加服務(wù)器”項(xiàng)，正在彈出窗口中點(diǎn)擊瀏覽按鈕，選擇合法的DHCP服務(wù)器，點(diǎn)擊確定按鈕保存配置。這樣，局域網(wǎng)中指定工作域中的主機(jī)在訪問網(wǎng)絡(luò)時(shí)，就會(huì)優(yōu)先從該合法DHCP服務(wù)器上獲得IP了。

在上述菜單中，還有名為“管理授權(quán)的服務(wù)器”項(xiàng)，在實(shí)際管理網(wǎng)絡(luò)時(shí)，合理使用該項(xiàng)，可以解決一些棘手的問題。例如，某公司和和本單位同處一樓，其電腦數(shù)量有線，通過二層交換機(jī)接入局域網(wǎng)，在其內(nèi)部配置了一臺(tái)DHCP服務(wù)器，來自動(dòng)分配IP。不過近來出現(xiàn)了無法分配IP的現(xiàn)象，導(dǎo)致該公司的電腦無法上網(wǎng)。筆者在某臺(tái)客戶機(jī)上設(shè)置了固定的IP，可以順利上網(wǎng)，使用PING命令，對(duì)DHCP主機(jī)進(jìn)行探測(cè)，發(fā)現(xiàn)網(wǎng)絡(luò)連接沒有問題。筆者在該DHCP服務(wù)器上打開服務(wù)器管理器。在“角色”列表中打開DHCP服務(wù)器配置項(xiàng)目，點(diǎn)擊“重新啟動(dòng)”按鈕，想重啟DHCP服務(wù)，但是系統(tǒng)卻顯示無法找到DHCP服務(wù)器的提示。筆者于是在角色管理界面中刪除了DHCP服務(wù)，之后重新安裝DHCP服務(wù)器，并按照原始的參數(shù)對(duì)其進(jìn)行了正確的配置，但是依然出現(xiàn)上述問題。因?yàn)榫钟蚓W(wǎng)采用了域服務(wù)器管理模式，筆者打開DHCP控制臺(tái)，選擇“DHCP”節(jié)點(diǎn)，在其右鍵菜單中點(diǎn)擊“管理授權(quán)的服務(wù)器”項(xiàng)，在彈出窗口中點(diǎn)擊“授權(quán)”按鈕，輸入安裝了活動(dòng)目錄的服務(wù)器地址，點(diǎn)擊確定按鈕，系統(tǒng)提示授權(quán)成功，之后可以順利啟動(dòng)DHCP服務(wù)。在DHCP控制臺(tái)中對(duì)IP地址池，DNS服務(wù)器等參數(shù)進(jìn)行了一番配置后，恢復(fù)了該DHCP服務(wù)器的活力，使客戶機(jī)可以順利申請(qǐng)IP并自由上網(wǎng)了。

多管齊下，提高DHCP服務(wù)的安全性

病毒對(duì)局域網(wǎng)的威脅是很大的，如果某臺(tái)主機(jī)感染了病毒，當(dāng)其從DHCP服務(wù)器獲得IP后，就會(huì)順利訪問網(wǎng)絡(luò)，這給病毒的傳播帶來了極大的便利，對(duì)網(wǎng)絡(luò)安全造成很大的威脅。為此，最好對(duì)DHCP的分配進(jìn)行必要的限制，只允許未被病毒侵襲的主機(jī)獲取IP。在DHCP控制臺(tái)中選擇“IPv4”或者“IPv6”項(xiàng)，在其右鍵菜單上點(diǎn)擊“定義用戶類別”項(xiàng)，在彈出窗口中點(diǎn)擊“添加”按鈕，輸入新類別的名稱（假設(shè)為“newlb”）和描述信息。在“ID”欄中右側(cè)的“ASCⅡ”欄中輸入ID標(biāo)識(shí)信息，系統(tǒng)會(huì)自動(dòng)為其生成二進(jìn)制數(shù)據(jù)，點(diǎn)擊確定按鈕保存以上信息。在DHCP控制臺(tái)中對(duì)應(yīng)作用域中的“作用域選項(xiàng)”項(xiàng)的右鍵菜單上點(diǎn)擊“配置選項(xiàng)”項(xiàng)，在彈出窗口中的“高級(jí)”面板，在其中可以設(shè)置DHCP各項(xiàng)高級(jí)參數(shù)，包括網(wǎng)關(guān)地址，DNS地址，主機(jī)名稱，IP層轉(zhuǎn)發(fā)等參數(shù)。

例如，可以在其中選擇“003路由器”項(xiàng)，在其中設(shè)置網(wǎng)關(guān)地址。選擇“006DNS服務(wù)器”項(xiàng)，在其中設(shè)置DNS服務(wù)器地址等。在客戶機(jī)中的CMD窗口中執(zhí)行“ipconfig /setclassid本地連接newlb”命令，這樣該機(jī)中的DHCP類ID名稱就被修改為了“newlb”，其中的“本地連接”表示網(wǎng)絡(luò)連接名稱，可以根據(jù)實(shí)際情況修改，例如“Local Area Connection”等。之后還應(yīng)該打開該機(jī)的網(wǎng)絡(luò)連接屬性窗口，在其中雙擊“TCP/IP協(xié)議”項(xiàng)，保證選擇“自動(dòng)獲取IP地址”和“自動(dòng)獲得IP地址”項(xiàng)。按照同樣的方法，對(duì)所需的主機(jī)進(jìn)行同樣的配置，保證其可以順利從DHCP服務(wù)器上獲取IP，而無關(guān)的主機(jī)則無法獲得IP。

當(dāng)然，也可以利用DHCP服務(wù)提供給的保留功能，來對(duì)惡意連接進(jìn)行有效控制。在正常合法的客戶機(jī)上執(zhí)行“ipconfig /all”命令，在顯示信息中獲取其IP地址和MAC地址參數(shù)。在DHCP服務(wù)器上打開DHCP控制臺(tái)界面，在對(duì)應(yīng)作用域節(jié)點(diǎn)下選擇“保留”項(xiàng)，在其右鍵菜單上點(diǎn)擊“新建保留”項(xiàng)，在彈出窗口中輸入保留名稱，輸入上述IP和MAC地址，在描述欄中輸入相關(guān)信息。在“支持的類型”欄中選擇“兩者”項(xiàng)，點(diǎn)擊添加按鈕，保存上述設(shè)置信息。按照同樣的方法，將所有合法主機(jī)的IP和MAC地址逐一添加進(jìn)來。這樣，只有預(yù)設(shè)的合法的主機(jī)才可以從DHCP服務(wù)器上獲取IP，而非法主機(jī)將無法順利接入網(wǎng)絡(luò)。即使不法用戶采用手工方法更改IP，冒用合法主機(jī)的網(wǎng)絡(luò)配置參數(shù)，也不能正常接入到局域網(wǎng)中。

在實(shí)際的網(wǎng)絡(luò)維護(hù)中，在啟用了DHCP服務(wù)器的情況下，有時(shí)會(huì)發(fā)現(xiàn)有的主機(jī)可以獲得正確的上網(wǎng)參數(shù)，而有的主機(jī)獲得是卻是錯(cuò)誤的網(wǎng)絡(luò)配置信息。究其原因，在于局域網(wǎng)中存在不合法的DHCP服務(wù)器。其實(shí)這也不奇怪，除了正規(guī)的DHCP服務(wù)器可以提供地址分配功能外，越來越多的網(wǎng)絡(luò)設(shè)備（例如路由器等）也都內(nèi)置了DHCP服務(wù)功能，當(dāng)其連接到網(wǎng)絡(luò)后，就會(huì)擅自提供DHCP服務(wù)。這些未經(jīng)授權(quán)的DHCP服務(wù)器會(huì)對(duì)真實(shí)的DHCP服務(wù)器進(jìn)行干擾，給網(wǎng)絡(luò)的運(yùn)作帶來不利影響。

為此，可以借助于交換機(jī)的DHCP監(jiān)聽功能，來屏蔽具有普通權(quán)限的用戶發(fā)送的DHCP數(shù)據(jù)包，防止其對(duì)正常的DHCP服務(wù)造成破壞。以特權(quán)賬戶身份登錄到交換機(jī)后臺(tái)界面，輸入“systemview”命令，在全局視圖模式下 執(zhí) 行“dhcp-anooping”命令，激活交換機(jī)的DHCP監(jiān)控功能，讓其對(duì)局域網(wǎng)中存在的各類DHCP數(shù)據(jù)報(bào)文進(jìn)行監(jiān)聽，并對(duì)非信任端口進(jìn)行控制，讓其只能向外發(fā)送DHCP數(shù)據(jù)報(bào)文，無法發(fā)送其它DHCP請(qǐng)求報(bào)文。這樣，即使用戶連接了具有DHCP功能的網(wǎng)絡(luò)設(shè)備，其提供的DHCP服務(wù)也會(huì)被交換機(jī)屏蔽掉。這樣，其它主機(jī)就可以從真實(shí)的DHCP服務(wù)器上獲得合法的IP。

當(dāng)然，可以將交換機(jī)的某個(gè)端口設(shè)置為可信任端口，讓其可以正常接收和轉(zhuǎn)發(fā)DHCP數(shù)據(jù)報(bào)文。例如，以特權(quán)身份登錄到交換機(jī)后臺(tái)，切換到全局視圖模式，執(zhí)行“interface g0/1/15”命令，切換到目標(biāo)端口視圖狀態(tài)，執(zhí)行“dhcp-anooping trust”命令，就可以將G0/1/15端口變成DHCP可信任端口。以后該端口就可以自由接收和轉(zhuǎn)發(fā)各類DHCP數(shù)據(jù)報(bào)文。一般來說，當(dāng)DHCP中繼設(shè)備和本地交換機(jī)保持直接連接狀態(tài)，而且互聯(lián)端口工作于Trunk模式下，就可以將該互聯(lián)端口設(shè)置為可信任端口。對(duì)于已經(jīng)檢測(cè)到了非法的DHCP連接的交換端口，可以采取封鎖端口的方法，來禁止其接入局域網(wǎng)。假設(shè)已經(jīng)知道了非法DHCP服務(wù)器的地址，使用PING命令，對(duì)其進(jìn)行探測(cè)操作，根據(jù)返回信息，了解其主機(jī)名稱。使用“arp–a”命令，或者使用“nbtstat–a 目標(biāo)IP”命令，來獲得其MAC地址信息。

之后以特權(quán)賬戶身份登錄到交換機(jī)后臺(tái)界面，切換到全局視圖模式，執(zhí)行“display mac”命令，根據(jù)返回信息，可以了解所有交換端口和MAC地址的對(duì)應(yīng)情況。根據(jù)上述MAC地址，很快就可以找到非法DHCP服務(wù)器連接的交換端口。執(zhí)行“interface 36”，切換到指定交換端口視圖模式狀態(tài)，假設(shè)端口為36。執(zhí)行“shutdown”命令，封鎖非法DHCP服務(wù)器和局域網(wǎng)的連接，禁止其為別的客戶機(jī)分配錯(cuò)誤的IP地址。

當(dāng)然，如果是某個(gè)集線器連接到該交換端口的話，就會(huì)對(duì)連接到集線器上的相關(guān)主機(jī)的網(wǎng)絡(luò)訪問造成不利影響。為此，可以通過配置基于設(shè)備物理地址的訪問控制列表，來阻止非法的DHCP接入網(wǎng)絡(luò)。注意，DHCP服務(wù)器在運(yùn)作時(shí)，會(huì)使用UDP67/68等端口，UDP 67端口是接收客戶機(jī)發(fā)送DHCP請(qǐng)求信息的端口，DHCP服務(wù)器進(jìn)行應(yīng)答時(shí)使用到UDP 68端口。創(chuàng)建訪問控制列表，對(duì)非正常DHCP服務(wù)器使用UDP 68端口進(jìn)行過濾，就可以讓非法DHCP服務(wù)器無法應(yīng)答客戶機(jī)的請(qǐng)求信息。因此可以在交換機(jī)后臺(tái)界面中執(zhí)行“access-list 111 deny udp any eq 68 any”之類的命令即可。

擺脫繁瑣，快速搭建簡(jiǎn)單實(shí)用的DHCP服務(wù)器

利用DHCP服務(wù)器，可以動(dòng)態(tài)的分配地址。不過，一般我們都是在Windows Server 2003/2008等專業(yè)的系統(tǒng)中安裝和配置DHCP服務(wù)，管理和維護(hù)起來都比較繁瑣。其實(shí)，在某些場(chǎng)合下（例如網(wǎng)絡(luò)克隆系統(tǒng)，測(cè)試相關(guān)網(wǎng)絡(luò)軟件等），只是需要臨時(shí)使用DHCP服務(wù)，就沒有必要如此大動(dòng)干戈的構(gòu)建DHCP服務(wù)器。利用DHCP Turbo這款軟件，就可以讓您毫不費(fèi)力的快速搭建簡(jiǎn)易的DHCP服務(wù)器，來解決臨時(shí)急用之需。下載地址：http://www.onlinedown.net/soft/11249.htm。

在局域網(wǎng)中找一臺(tái)可以正常通訊的主機(jī)，在其上安裝DHCP Turbo。在其安裝界面中的“Select Install Type”窗口中選擇“Full”項(xiàng)，執(zhí)行完整的安裝操作。這樣，才可以使用其全部功能。在DHCP Turbo窗口左側(cè)點(diǎn)擊“Localhost”節(jié)點(diǎn)，在彈出的登錄窗口中無需輸入密碼，點(diǎn)擊“Login”按鈕，完成登錄動(dòng)作。當(dāng)然，可以點(diǎn)擊菜單“Tools”-“Change Password”項(xiàng)，來設(shè)置所需的密碼。在窗口左側(cè)選擇“Localhost”-“Scopes”項(xiàng)，在其右鍵菜單上點(diǎn)擊“New Scope”項(xiàng)（或者點(diǎn)擊“Ctrl+N”鍵），在彈出窗口中可以創(chuàng)建一個(gè)作用域。

當(dāng)然，要想讓局域網(wǎng)中的客戶機(jī)可以順利訪問Internet，僅僅申請(qǐng)到IP是不夠的，還需要為其配置網(wǎng)關(guān)，DNS服務(wù)器等參數(shù)。對(duì)于規(guī)模稍大的局域網(wǎng)來說，手工逐臺(tái)進(jìn)行設(shè)置的話，工作量是很大的。而且，網(wǎng)關(guān)等地址一旦變動(dòng)，還得重新手工設(shè)定。其實(shí)，在DHCP Turbo中提供了參數(shù)集中配置功能，可以將網(wǎng)關(guān)，DNS服務(wù)器地址等參數(shù)自動(dòng)分配給客戶機(jī)。而且之后如果這些參數(shù)變動(dòng)的話，只需在DHCP Turbo中同一設(shè)置即可。

在DHCP Turbo窗口左側(cè)點(diǎn)擊“Localhost”-“Scopes”項(xiàng)，在其中選擇對(duì)應(yīng)的作用域，在窗口右側(cè)的“Policies”面板 中點(diǎn)擊“Ctrl+N”項(xiàng)，在彈出窗口中雙擊“GateWay”項(xiàng)，在彈出窗口中輸入網(wǎng)關(guān)地址。之后按照同樣的方法，雙擊列表中的“Domain name servers”項(xiàng)，輸 入DNS服務(wù)器地址。配置好DHCP Turbo后，之后在客戶機(jī)中打開網(wǎng)絡(luò)連接屬性窗口，在其中雙擊“TCP/IP協(xié)議”項(xiàng)，在地址設(shè)置界面中選擇“自動(dòng)獲得IP地址”和“自動(dòng)獲得DNS服務(wù)器地址”項(xiàng)。并在CMD窗口中執(zhí)行“ipconfig /renew”命令，向臨時(shí)搭建的DHCP服務(wù)器申請(qǐng)IP地址已經(jīng)其它網(wǎng)絡(luò)配置參數(shù)，之后執(zhí)行“ipconfig/all”命令，可以查看獲取的IP地址信息等參數(shù)。