為了提高局域網的地址管理效率，相 信很多網絡管理員都會在單位內部架設一臺DHCP服務器，來為網絡中的客戶端系統自動分配上網參數，在這種上網環境下，DHCP服務器的工作安全性，會直 接影響著整個局域網的運行安全性。在實際管理網絡的過程中，局域網可能經常會遇到同時存在多臺DHCP服務器的現象，這些現象一旦出現，很可能引起資源方 面的沖突，最終引發局域網不能安全、穩定地運行。為了維護局域網的運行安全，我們可以嘗試利用DHCP監聽技術，對DHCP服務器的工作安全性進行監聽， 以及早消除單位內網中潛在的安全隱患。

安全維護思路

對于DHCP服務器來說，DHCP監聽技術其實就是一種過濾DHCP報文的技術。通過在局域網的核心交換機中啟用DHCP監聽功能，可以將來自局域網中重 要主機或網絡設備的不可信任DHCP報文過濾掉，保證客戶端系統只能從經過網絡管理員特別授權的可信任DHCP服務器那里獲得上網參數，那樣一來可信任的 DHCP服務器就不會受到非信任DHCP服務器的“干擾”，那么局域網的運行安全性、穩定性就能得到保證。比方說，局域網中原先只有一臺可信任的DHCP 服務器，當用戶不小心將自帶有DHCP服務功能的打印服務器接入到網絡后，那么打印服務器就會“搖身”變成一臺非信任的DHCP服務器，這時局域網中就會 同時存在兩臺DHCP服務器，那么普通的客戶端系統該從哪一臺DHCP服務器中獲得上網參數呢?為了保證客戶端系統能夠獲得合法上網參數，我們只要在交換 機上啟用了DHCP監聽功能，那么普通客戶端系統就會忽略打印服務器的存在，而會自動向可信任的DHCP服務器去申請上網參數。

DHCP監聽功能在工作的時候，交換機會只允許客戶端用戶發送DCHP請求，同時會將類似提供響應的其他DCHP報文自動丟棄掉，這么一來普通客戶端系統 只能從合法的DHCP服務器那里獲得有效的上網參數;雖然非法的DHCP服務器也能夠對客戶端系統的上網請求進行響應，但是交換機的DHCP監聽功能會將 非法DHCP服務器的提供響應報文自動丟棄掉，那么客戶端系統是無法接受到非法DHCP服務器的回復報文的。此外，通過DHCP監聽功能，交換機會將局域 網中的DHCP報文，自動識別為可信任的DHCP報文和不可信任的DHCP報文，對于來自防火墻、外網設備或者沒有經過網絡管理員授權的DHCP服務器發 送過來的DHCP報文，DHCP監聽功能會自動將它識別為不可信任的DHCP報文，同時對這樣的報文執行丟棄處理，那樣一來沒有授權的非信任DHCP服務 器就不會干擾局域網的安全運行。

安全維護范圍

DHCP監聽技術在保護局域網的DHCP服務器運行安全時，主要是通過過濾數據報 文的方式，來將DHCP服務器識別為信任端口或非信任端口的，對于來自信任端口的數據信息，交換機會允許其正常接受和發送，而對于來自非信任端口的數據信 息，交換機則不予響應。具體的來說，DHCP監聽技術的安全維護范圍主要表現在以下幾個方面：

1、預防地址沖突

DHCP監聽技 術可以防止非信任DHCP服務器通過地址沖突的方式，干擾信任DHCP服務器的工作穩定性。在實際管理網絡的時候，我們經常會發現在相同的工作子網中，可 能同時有多臺DHCP服務器存在，這其中有的是網絡管理員專門架設的，也有的是無意中接入到網絡中的。比方說，ADSL撥號設備可能就內置有DHCP服務 功能，一旦將該設備接入到局域網中后，那么該設備內置的DHCP服務器就會自動為客戶端系統分配IP地址。這個時候，經過網絡管理員授權的合法DHCP服 務器，就可能與ADSL撥號設備內置的DHCP服務器發生地址上的沖突，從而可能會對整個局域網的安全性帶來威脅。這種威脅行為往往比較隱蔽，一時半會很 難找到。一旦使用了DHCP監聽技術，我們就可以在局域網的核心交換機后臺系統修改IP源綁定表中的參數，并以此綁定表作為每個上網端口接受數據包的檢測 過濾標準，來將沒有授權的DHCP服務器發送的數據報文自動過濾掉，那樣一來就能有效預防非法DHCP服務器引起的地址沖突問題了。

2、預防Dos攻擊

大家知道，一些非常陰險的攻擊者往往會單獨使用Dos攻擊，襲擊局域網或網絡中的重要主機系統;要是不幸遭遇Dos攻擊的話，那么局域網的寶貴帶寬資源 或重要主機的系統資源，就會被迅速消耗，輕則導致網絡傳輸速度緩慢或系統反應遲鈍，重則出現癱瘓現象。而要是在核心交換機中使用了DHCP監聽技術的話， 那么局域網就可以有效抵御Dos攻擊了，因為Dos攻擊主要是用大量的連接請求沖擊局域網或重要主機系統，來消耗帶寬資源或系統資源的，而DHCP監聽技 術恰好具有報文限速功能，利用這個功能我們可以合理配置許可的每秒數據包流量，這樣就能實現抵御Dos攻擊的目的了。

3、及時發現隱患

大家知道，在默認狀態下核心交換機會自動對第二層Vlan域中的DHCP數據報文進行攔截，具體地說，就是在選用中級代理信息選項的情況下，交換機在將客 戶端的上網請求轉發給特定的DHCP服務器之前，它會自動將端口號碼、入站模塊、MAC地址、Vlan號等信息插入到上網請求數據包中。這個時候，如果結 合接口跟蹤功能，DHCP監聽技術就能夠自動跟蹤DHCP服務器中地址池里的所有上網地址，而不會受到單位局域網中跨網段訪問的限制，這么一來就能及時發 現局域網中的一些安全隱患，對于跨網段的DHCP服務器運行安全也能起到一定程度的防護作用。

4、控制非法接入

由于任何一種形 式的數據報文，都是通過交換端口完成發送與接收操作的，顯然交換端口的工作狀態與DHCP監聽的效果息息相關。一般來說，我們會將網絡管理員授權的合法 DHCP服務器所連的交換端口設置為DHCP監聽信任端口，或者是將分布層交換機之間的上行鏈路端口設置為DHCP監聽信任端口。對于信任端口來說，交換 機會允許它正常發送或接收所有的DHCP數據報文，這么一來交換機就會只允許合法的DHCP服務器對客戶端系統的上網請求進行響應，而非法的DHCP服務 器則不能向局域網發送或接收DHCP數據報文。很明顯，通過這種技術手段，就能控制非法的DHCP服務器接入到單位局域網中了。

安全維護配置

為了有效使用DHCP監聽功能，防護局域網的運行安全，我們需要對該功能進行正確配置，讓其按照實際安全運行需求進行工作。由于DHCP監聽功能主要是通 過建立端口信任關系實現數據過濾目的的，為此我們需要重點配置究竟哪些交換端口是信任端口，哪些交換端口是非信任端口。具體的說，我們需要在交換機中進行 下面幾項安全維護配置操作：

1、信任配置

這種配置主要就是在合法DHCP服務器所連交換端口上啟用信任，或者是在分布層或接入層交換機之間的互連端口上啟用信任。如果不對上述重要端口建立信任配 置，那么普通客戶端系統將無法正常從合法DHCP服務器那里接受到有效的上網參數。當然，為了防止普通員工私下搭建DHCP服務器，威脅合法DHCP服務 器的運行安全，我們有必要將普通客戶端系統所連的交換端口設置為非信任的端口，那樣一來交換機會將來自客戶端系統的提供響應報文自動丟棄掉，此時局域網中 的其他客戶端系統不知道有這臺非法DHCP服務器的存在。