引言： DHCP服务器主要作用就是为上网计算机，动态分配IP地址、默认网关、DNS等参数，提高它们网络连接效率的。在DHCP服务器对外服务的过程中，加入安全控制设置，不但能够获得较高的网络接入效率，而且能够获得良好的安全保障效果，让局域网上网安全又高效。

大家知道，DHCP服务器主要作用就是为上网计算机，动态分配IP地址、默认网关、DNS等参数，提高它们网络连接效率的。如果我们能够拓宽思路，在DHCP服务器对外服务的过程中，灵活加入一些安全控制设置，不但能够获得较高的网络接入效率，而且能够获得良好的安全保障效果，让局域网上网安全又高效。现在，本文就在DHCP服务器中动一些手脚（假设该服务器部署于Windows Server 2003系统中），让局域网上网安全更有保障！

保护重要主机安全

图1新建保留设置框

首先以超级用户身份登录进入DHCP服务器所在主机系统，逐一点选“开始”、“设置”、“控制面板”命令，进入系统控制面板窗口，依次双击“管理工具”、“DHCP”图标，弹出DHCP服务器参数配置控制台。用鼠标右键单击特定DHCP服务器选项，点选右键菜单中的“属性”命令，展开指定DHCP服务器属性设置对话框。

其次检查重要主机使用的IP地址，是否位于DHCP服务器的动态地址池中，如果不在其中，那就没有必要建立保留地址。如果看到这个IP地址处于动态地址池中时，可以选中重要主机所在的DHCP服务器特定作用域，打开它的右键菜单，单击“保留”命令，从弹出的右键菜单中执行“新建保留”命令，切换到如图1所示的新建保留设置框。

最后在该设置对话框中，输入好保留名称、保留地址以及重要主机的网卡物理地址，按下“添加”按钮，完成重要主机保留IP地址的创建操作。这样，重要主机日后就不需要参与IP地址的动态分配了，而新建的保留IP地址为重要主机单独使用，以后该主机就不会出现类似IP地址被突然抢用的安全威胁了。

值得注意的是，在创建保留IP地址时，将欲保留的某个目标IP地址，和需要固定IP地址的重要主机网卡Mac地址捆绑在一起即可。重要主机的网卡MAC地址获取，可以在对应主机系统的MS-DOS窗口中，通过使用“ipconfig /all”命令来查询。

保护网络运行安全

在一些组网规模较小的工作环境中，网络管理员常常会为终端计算机分配一段连续的静态IP地址，同时在上联防火墙或路由器上采用NAT技术来实现网络访问目的。但就是这样规模的网络，运行特别不稳定，IP地址抢用现象频繁发生，这主要就是终端用户在重装系统后，忘记以前使用的IP地址，于是随意设置一个，或者将私人笔记本电脑带到单位后，随意为其分配一个IP地址，结果自然容易引起IP地址抢用现象。发生这种现象时，一般很难快速找到抢用者，一是网络环境较差，网管员不方便通过专业监控工具寻找被抢用IP地址，二是终端用户自己不是很配合。为了保护网络稳定运行，我们可以通过对DHCP服务器进行针对性设置，让终端用户抢用地址现象有效避免。

图2 选项设置页面

首先为局域网分配特定范围的IP地址。例如，如果为单位局域网分配的IP地址段为10.168.1.22-10.168.1.58，为DHCP服务器分配的IP地址为10.168.1.26，掩码地址为255.255.255.0，网关地址为10.168.1.22。那只要在DHCP服务器所在主机系统，依次单击“开始”、“设置”、“控制面板”命令，进入系统控制面板窗口，逐一双击“管理工具”、“DHCP”图标，弹出DHCP服务器参数配置控制台。用鼠标右键单击特定DHCP服务器选项，点选右键菜单中的“新建作用域”命令，展开创建作用域对话框，点选“常规”选项卡，切换到如图2所示的选项设置页面，在该页面起始IP地址文本框中输入“10.168.1.22”，在结束IP地址文本框中输入“10.168.1.58”。

接着将租约期限、添加排除这两个参数都设置为默认值，当向导对话框提示是否“配置DHCP选项”时，选中“否，我想稍后配置这些选项”，确认后返回DHCP服务控制台界面。右击刚刚创建的作用域选项，单击右键菜单中的“配置选项”命令，进入配置选项对话框，点选“高级”选项卡，打开高级选项设置页面。在这里，选中“003路由器”选项，通过该选项将单位局域网的网关地址10.168.1.22自动分配给上网终端系统，选中“006DNS服务器”选项，通过该选项将局域网的DNS服务器地址动态分配给终端计算机。之后在特定作用域名称上，单击鼠标右键，执行右键菜单中的“激活”命令，让DHCP服务器按照既定配置要求，立即为终端计算机提供网络服务。

为了让终端计算机正确从DHCP服务器那里获取上网地址，还要对其网络连接进行设置，让其自动获得IP地址。在进行该操作时，逐一单击“开始”、“设置”、“网络连接”命令，右击本地连接图标，单击右键菜单中的“属性”命令，展开本地连接属性设置窗口，选中TCP/IP协议选项，按下“属性”按钮，进入如图3所示属性对话框，选中“自动获得IP地址”选项，最后单击“确定”按钮保存设置操作。这样，在这个小规模局域网中成功启用DHCP服务器后，IP地址抢用现象基本上就能得到控制，那么网络运行也就相对安全了。

保护终端接入安全

图3 属性对话框

图4 选项设置页面

局域网中的很多终端计算机，或多或少地会感染些病毒，如果让其从DHCP服务器那里自由申请上网地址接入网络的话，那么整个局域网很可能都被感染网络病毒，显然这会给网络稳定运行带来很大安全威胁。如何才能让安全、可信的终端计算机从DHCP服务器那里获取上网地址，而不可信的终端计算机禁止从DHCP服务器那里获得上网地址呢？很简单！只要在DHCP服务器中动动以下手脚，让其依照事先设置的用户ID，来判断待接入网络的用户是否为合法、可信用户。

易非躺在飘着雪花的非易阁里，睁眼看着窗外，有雪花映照，并不算太黑，还能朦朦胧胧看得见从天而降的飞舞着的雪花。这飘忽而至的冬天的精灵啊，你是那么轻快、洒脱、自由，可惜我不能。

首先进入DHCP服务器所在主机系统，逐一点选“开始”、“程序”、“管理工具”、“DHCP”选项，展开DHCP控制台窗口，右击DHCP服务器主机名称，从右键菜单中选择“定义用户类别”命令，切换到新建类别向导对话框。依照操作提示，先设置一个合法可信DHCP用户的ID为“1234”，在ASCII列表下定义好由终端计算机系统提供的ID，局域网DHCP服务器日后会借助该ID内容来匹配类ID，这里假定输入的ASCII字符也为“1234”，确认后结束合法可信DHCP用户ID的定义操作。

之后要为该合法可信用户ID配置正确的上网参数。在进行该操作时，先从DHCP服务器控制台界面中选择合适的“作用域选项”，同时用鼠标右击该选项，从弹出的右键菜单中执行“配置选项”命令，在其后界面中点击“高级”选项卡，展开如图4所示的选项设置页面，在这里为合法可信的终端计算机用户正确定义好路由地址、DNS参数、IP地址租约期限以及其他上网参数等，保证合法可信的终端计算机日后能从DHCP服务器那里申请得到各种需要的上网地址。

接下来需将安全可信的DHCP客户端系统的DHCP类ID串定义为“1234”，日后DHCP服务器会对该内容进行自动校验，要是校验通过，DHCP服务器就会认为该客户端系统是安全可信的，那么它就能获得一切正确的上网地址，来顺利地接入到局域网中。

反之，如果校验不成功的话，那么DHCP服务器就会拒绝为之提供各种上网参数动态分配服务，这样非安全可信的终端计算机自然就不能随意接入到局域网环境中了。

在定义DHCP客户端系统的DHCP类ID内容时，逐一单击“开始”、“运行”命令，弹出系统运行对话框，输入“cmd”命令，单击回车键后，打开DOS命令行工作窗口；在该窗口下，输入命令“ipconfig /setclassid Local Connection 1234”，就能将终端计算机系统本地连接的DHCP类ID内容指定为“1234”了。如果合法用户的计算机系统中只包含一个网络连接，那么还能使用字符串命令“ipconfig /setclassid* 1234”，将终端计算机系统网络连接的DHCP类ID内容定义为“1234”了。

下面将终端计算机系统的上网地址修改成动态获取。依次单击“开始”、“设置”、“网络连接”命令，进入网络连接列表窗口，打开“本地连接”图标的右键菜单，单击“属性”命令，切换到本地连接的属性设置对话框，点选“常规”选项卡，在常规选项设置页面中，单击“Internet协 议（TCP/IP）”选项，按下“属性”按钮，进入TCP/IP协议属性对话框，同时选中“自动获得IP地址”、“自动获得DNS服务器地址”等选项，确认后退出设置对话框。

如此一来，DHCP类ID内容为“1234”的终端计算机系统，日后要进行网络连接时，会先向局域网传输广播信息申请上网参数，DHCP服务器收到相关请求后，自动校验它的ID内容，校验成功后会将正确的上网地址自动反馈给终端计算机系统，包括路由地址、DNS参数、IP地址租约期限以及其他上网参数等，这时局域网的接入就会比平时安全很多。

预防ARP欺骗攻击

大家知道，在局域网中通过ARP网络协议的漏洞，恶意用户能对整个网络的安全造成巨大威胁，那么该怎样才能有效预防局域网遭遇ARP欺骗攻击呢？很多用户都会选择对终端计算机的IP地址和MAC地址进行捆绑，但逐一在每台终端计算机中执行地址绑定操作，不利于提高操作效率。其实，我们可以通过在DHCP服务器中进行合适配置，来保证局域网中的终端计算机，不会遭遇ARP欺骗攻击。

首先获取终端计算机的上网参数。正常情况下，一个局域网的初始组网资料中，应该包含所有终端计算机IP地址和MAC地址的关系表，要是手头没有现成档案资料时，可以进入终端计算机的系统运行对话框，输入“cmd”命令，展开DOS命令行窗口，在该窗口命令提示符下，执行字符串命令“ipconfig /all”，返回如图5所示的结果信息，从中就能获取终端计算机的IP地址和MAC地址。

图5 结果信息

其次进行地址绑定操作。先以超级用户身份进入DHCP服务器所在主机系统，依次单击“开始”、“设置”、“控制面板”命令，展开系统控制面板窗口，双击“管理工具”、“DHCP”图标，弹出DHCP控制台界面。将鼠标定位到特定作用域节点下面的“保留”选项上，打开它的右键菜单，点选“新建保留”命令，在新建对话框“保留名称”位置处，输入好对应IP地址的保留名称，在“IP地址”栏中设置好特定计算机使用的IP地址，在“MAC地址”位置处输入对应计算机系统的网卡物理地址，同时将“支持类型”参数调整为“两者”选项，确认后完成特定计算机的地址绑定操作。同样地，将其他终端计算机的IP地址和MAC地址也绑定起来，这样就能成功预防ARP欺骗攻击现象了。