■河南 劉景云

引言：電腦必須擁有合適的IP地址，才可以順利接入網(wǎng)絡(luò)。在規(guī)模較大的局域網(wǎng)中，手工為每臺主機逐一設(shè)置IP，實現(xiàn)起來比較繁瑣.往往會通過部署DHCP服務(wù)器的辦法。這里就從排除DHCP故障，提高其安全性等多個方面出發(fā)，介紹管理好DHCP服務(wù)的相關(guān)方法和技巧。

排除故障，順暢使用DHCP服務(wù)

在享用DH CP服務(wù)帶來的便利的同時，有時難免遇到各種故障現(xiàn)象，這毫無疑問會給網(wǎng)絡(luò)的運作帶來不利影響，這就需要網(wǎng)管員采取適當(dāng)?shù)姆椒▉砘怆y題。

不過對于一些奇怪的故障，就能需要從DHCP服務(wù)器上尋找解決辦法了。例如筆者曾經(jīng)遇到局域網(wǎng)一位用戶的求助，其使用的電腦無法上網(wǎng)。筆者經(jīng)過查看，發(fā)現(xiàn)該機無法從DHCP服務(wù)器上獲得動態(tài)IP，但是該機網(wǎng)卡工作正常，網(wǎng)絡(luò)線路也沒有任何問題。筆者對其進行了殺毒，修復(fù)系統(tǒng)等操作，但是沒有解決問題。筆者到DHCP服務(wù)器上打開CMD窗 口，運行“netsh”，“dhcp”，“server”命 令 之后，在DHCP命令行中執(zhí)行“show all”命令，發(fā)現(xiàn)在對應(yīng)子網(wǎng)欄中的“空閑地址數(shù)目”項的值為零，而“正在使用的地址數(shù)目”項的值全處于全滿狀態(tài)，顯示DHCP服務(wù)器地址池中的IP地址已經(jīng)全部使用完了。這顯然不可能，因為在設(shè)計局域網(wǎng)時，關(guān)于DHCP服務(wù)器的IP范圍參數(shù)保留了一定的空余量，不可能出現(xiàn)IP消耗完的情況。

細(xì)查之下，原來已經(jīng)分配出去數(shù)十個IP處于非活躍狀態(tài)。解決故障的方法就是回收沒有使用的IP，在DHCP控制臺界面中選擇對應(yīng)的作用域，在其中雙擊“地址租用”項，將租約列表中的無關(guān)的IP項目刪除。或者在作用域?qū)傩源翱谥械摹俺Ｒ?guī)”面板中的“DHCP客戶端的租約期限”欄中選擇“限制為”項，為其設(shè)置合適的租約期限（例如6個小時）。這樣，一旦超過該期限，DHCP服務(wù)器就會自動回收IP。通過該案例，網(wǎng)管員應(yīng)該定期檢查DHCP服務(wù)器的工作狀態(tài)，將暫時不用的IP地址及時激活，避免出現(xiàn)IP地址池被過度占用的情況。

當(dāng)然，如果暫時不想回收IP的話，也可以采取擴大地址池IP范圍的辦法，來解決問題。例如在DHCP控制臺中選擇對應(yīng)作用域，在其屬性窗口中的“屬性”面板中擴展IP范圍。地址池的原范圍為“10.168.10.1”到“10.168.10.100”，可 以將其擴大為“10.168.10.1”到“10.168.10.254”等。在實際部署DHCP服務(wù)器時，如果出現(xiàn)病毒入侵，操作失誤等情況，很容易將DHCP服務(wù)器配置搞亂的情況，對于大型網(wǎng)絡(luò)來說，重新配置DHCP服務(wù)參數(shù)是很麻煩的。為了及時修復(fù)DHCP服務(wù)器，最好的辦法是在其運行正常時，備份好配置信息。在DHCP控制臺界面中選擇主機名稱，在其右鍵菜單中選擇“備份”項，選擇備份路徑，即可完成備份操作。以后在該菜單上點擊“還原”項，就可以恢復(fù)DHCP的參數(shù)信息?；蛘咴贑MD接口中執(zhí)行“net dhcp server expert d:dhcp.txt all”命令，完成備份操作。執(zhí) 行“netsh dhcp server d:dhcp.txt all”命令，完成恢復(fù)操作。

合理配置，讓DHCP服務(wù)器高效運行

在局域網(wǎng)中，對于一些地位比較重要的主機，我們往往會為其設(shè)置固定的IP，這樣的話其啟動速度就會加快。但是，這也容易引發(fā)IP沖突的情況。例如某臺主機IP固定為“192.168.0.10”。但是，在DHCP服務(wù)器上設(shè)置可用的IP范圍為192.168.0.3到192.168.0.100這樣，當(dāng)該機不開機的時候，別的主機就可能從DHCP服務(wù)器上獲得“192.168.0.10”的IP。一旦該機啟動，就會產(chǎn)生爭搶該地址的問題，導(dǎo)致IP沖突。所以，在規(guī)劃DHCP服務(wù)器參數(shù)時，應(yīng)該合理配置地址池范圍。例如在DHCP控制臺中選擇對應(yīng)域，在其屬性窗口中的“常規(guī)”面板中合理設(shè)置IP范圍，例如從“192.168.0.20”到“192.168.0.100”等，將前面的一些IP空出來，供固定IP的主機使用，這樣就可以避免無謂的沖突了。

有時當(dāng)打開DHCP服務(wù)器控制臺后，會發(fā)現(xiàn)服務(wù)器名稱帶有黃色的感嘆號，這表明其工作存在異常。解決的方法是在對應(yīng)域的屬性窗口中檢查IP范圍設(shè)置是否妥當(dāng)，IP地址的租約設(shè)置是否超長，否則的話，局域網(wǎng)中的主機可能無法從DHCP服務(wù)器獲得IP。一般來說，局域網(wǎng)中通常只存在一臺服務(wù)器，如果存在多臺服務(wù)器的話，就會互相干擾，讓合法的DHCP服務(wù)器無法順利運作。為此，可以將其添加到特定的工作域中，這樣，特定工作域中的主機在申請IP時，位于同域的合法的DHCP服務(wù)器會優(yōu)先應(yīng)答，并為其分配IP，而非法的DHCP服務(wù)器則會被過濾掉。在DHCP控制臺中選擇“DHCP”節(jié)點，在其右鍵菜單中點擊“添加服務(wù)器”項，正在彈出窗口中點擊瀏覽按鈕，選擇合法的DHCP服務(wù)器，點擊確定按鈕保存配置。這樣，局域網(wǎng)中指定工作域中的主機在訪問網(wǎng)絡(luò)時，就會優(yōu)先從該合法DHCP服務(wù)器上獲得IP了。

在上述菜單中，還有名為“管理授權(quán)的服務(wù)器”項，在實際管理網(wǎng)絡(luò)時，合理使用該項，可以解決一些棘手的問題。例如，某公司和和本單位同處一樓，其電腦數(shù)量有線，通過二層交換機接入局域網(wǎng)，在其內(nèi)部配置了一臺DHCP服務(wù)器，來自動分配IP。不過近來出現(xiàn)了無法分配IP的現(xiàn)象，導(dǎo)致該公司的電腦無法上網(wǎng)。筆者在某臺客戶機上設(shè)置了固定的IP，可以順利上網(wǎng)，使用PING命令，對DHCP主機進行探測，發(fā)現(xiàn)網(wǎng)絡(luò)連接沒有問題。筆者在該DHCP服務(wù)器上打開服務(wù)器管理器。在“角色”列表中打開DHCP服務(wù)器配置項目，點擊“重新啟動”按鈕，想重啟DHCP服務(wù)，但是系統(tǒng)卻顯示無法找到DHCP服務(wù)器的提示。筆者于是在角色管理界面中刪除了DHCP服務(wù)，之后重新安裝DHCP服務(wù)器，并按照原始的參數(shù)對其進行了正確的配置，但是依然出現(xiàn)上述問題。因為局域網(wǎng)采用了域服務(wù)器管理模式，筆者打開DHCP控制臺，選擇“DHCP”節(jié)點，在其右鍵菜單中點擊“管理授權(quán)的服務(wù)器”項，在彈出窗口中點擊“授權(quán)”按鈕，輸入安裝了活動目錄的服務(wù)器地址，點擊確定按鈕，系統(tǒng)提示授權(quán)成功，之后可以順利啟動DHCP服務(wù)。在DHCP控制臺中對IP地址池，DNS服務(wù)器等參數(shù)進行了一番配置后，恢復(fù)了該DHCP服務(wù)器的活力，使客戶機可以順利申請IP并自由上網(wǎng)了。

多管齊下，提高DHCP服務(wù)的安全性

病毒對局域網(wǎng)的威脅是很大的，如果某臺主機感染了病毒，當(dāng)其從DHCP服務(wù)器獲得IP后，就會順利訪問網(wǎng)絡(luò)，這給病毒的傳播帶來了極大的便利，對網(wǎng)絡(luò)安全造成很大的威脅。為此，最好對DHCP的分配進行必要的限制，只允許未被病毒侵襲的主機獲取IP。在DHCP控制臺中選擇“IPv4”或者“IPv6”項，在其右鍵菜單上點擊“定義用戶類別”項，在彈出窗口中點擊“添加”按鈕，輸入新類別的名稱（假設(shè)為“newlb”）和描述信息。在“ID”欄中右側(cè)的“ASCⅡ”欄中輸入ID標(biāo)識信息，系統(tǒng)會自動為其生成二進制數(shù)據(jù)，點擊確定按鈕保存以上信息。在DHCP控制臺中對應(yīng)作用域中的“作用域選項”項的右鍵菜單上點擊“配置選項”項，在彈出窗口中的“高級”面板，在其中可以設(shè)置DHCP各項高級參數(shù)，包括網(wǎng)關(guān)地址，DNS地址，主機名稱，IP層轉(zhuǎn)發(fā)等參數(shù)。

例如，可以在其中選擇“003路由器”項，在其中設(shè)置網(wǎng)關(guān)地址。選擇“006DNS服務(wù)器”項，在其中設(shè)置DNS服務(wù)器地址等。在客戶機中的CMD窗口中執(zhí)行“ipconfig /setclassid本地連接newlb”命令，這樣該機中的DHCP類ID名稱就被修改為了“newlb”，其中的“本地連接”表示網(wǎng)絡(luò)連接名稱，可以根據(jù)實際情況修改，例如“Local Area Connection”等。之后還應(yīng)該打開該機的網(wǎng)絡(luò)連接屬性窗口，在其中雙擊“TCP/IP協(xié)議”項，保證選擇“自動獲取IP地址”和“自動獲得IP地址”項。按照同樣的方法，對所需的主機進行同樣的配置，保證其可以順利從DHCP服務(wù)器上獲取IP，而無關(guān)的主機則無法獲得IP。

當(dāng)然，也可以利用DHCP服務(wù)提供給的保留功能，來對惡意連接進行有效控制。在正常合法的客戶機上執(zhí)行“ipconfig /all”命令，在顯示信息中獲取其IP地址和MAC地址參數(shù)。在DHCP服務(wù)器上打開DHCP控制臺界面，在對應(yīng)作用域節(jié)點下選擇“保留”項，在其右鍵菜單上點擊“新建保留”項，在彈出窗口中輸入保留名稱，輸入上述IP和MAC地址，在描述欄中輸入相關(guān)信息。在“支持的類型”欄中選擇“兩者”項，點擊添加按鈕，保存上述設(shè)置信息。按照同樣的方法，將所有合法主機的IP和MAC地址逐一添加進來。這樣，只有預(yù)設(shè)的合法的主機才可以從DHCP服務(wù)器上獲取IP，而非法主機將無法順利接入網(wǎng)絡(luò)。即使不法用戶采用手工方法更改IP，冒用合法主機的網(wǎng)絡(luò)配置參數(shù)，也不能正常接入到局域網(wǎng)中。

在實際的網(wǎng)絡(luò)維護中，在啟用了DHCP服務(wù)器的情況下，有時會發(fā)現(xiàn)有的主機可以獲得正確的上網(wǎng)參數(shù)，而有的主機獲得是卻是錯誤的網(wǎng)絡(luò)配置信息。究其原因，在于局域網(wǎng)中存在不合法的DHCP服務(wù)器。其實這也不奇怪，除了正規(guī)的DHCP服務(wù)器可以提供地址分配功能外，越來越多的網(wǎng)絡(luò)設(shè)備（例如路由器等）也都內(nèi)置了DHCP服務(wù)功能，當(dāng)其連接到網(wǎng)絡(luò)后，就會擅自提供DHCP服務(wù)。這些未經(jīng)授權(quán)的DHCP服務(wù)器會對真實的DHCP服務(wù)器進行干擾，給網(wǎng)絡(luò)的運作帶來不利影響。

為此，可以借助于交換機的DHCP監(jiān)聽功能，來屏蔽具有普通權(quán)限的用戶發(fā)送的DHCP數(shù)據(jù)包，防止其對正常的DHCP服務(wù)造成破壞。以特權(quán)賬戶身份登錄到交換機后臺界面，輸入“systemview”命令，在全局視圖模式下 執(zhí) 行“dhcp-anooping”命令，激活交換機的DHCP監(jiān)控功能，讓其對局域網(wǎng)中存在的各類DHCP數(shù)據(jù)報文進行監(jiān)聽，并對非信任端口進行控制，讓其只能向外發(fā)送DHCP數(shù)據(jù)報文，無法發(fā)送其它DHCP請求報文。這樣，即使用戶連接了具有DHCP功能的網(wǎng)絡(luò)設(shè)備，其提供的DHCP服務(wù)也會被交換機屏蔽掉。這樣，其它主機就可以從真實的DHCP服務(wù)器上獲得合法的IP。

當(dāng)然，可以將交換機的某個端口設(shè)置為可信任端口，讓其可以正常接收和轉(zhuǎn)發(fā)DHCP數(shù)據(jù)報文。例如，以特權(quán)身份登錄到交換機后臺，切換到全局視圖模式，執(zhí)行“interface g0/1/15”命令，切換到目標(biāo)端口視圖狀態(tài)，執(zhí)行“dhcp-anooping trust”命令，就可以將G0/1/15端口變成DHCP可信任端口。以后該端口就可以自由接收和轉(zhuǎn)發(fā)各類DHCP數(shù)據(jù)報文。一般來說，當(dāng)DHCP中繼設(shè)備和本地交換機保持直接連接狀態(tài)，而且互聯(lián)端口工作于Trunk模式下，就可以將該互聯(lián)端口設(shè)置為可信任端口。對于已經(jīng)檢測到了非法的DHCP連接的交換端口，可以采取封鎖端口的方法，來禁止其接入局域網(wǎng)。假設(shè)已經(jīng)知道了非法DHCP服務(wù)器的地址，使用PING命令，對其進行探測操作，根據(jù)返回信息，了解其主機名稱。使用“arp–a”命令，或者使用“nbtstat–a 目標(biāo)IP”命令，來獲得其MAC地址信息。

之后以特權(quán)賬戶身份登錄到交換機后臺界面，切換到全局視圖模式，執(zhí)行“display mac”命令，根據(jù)返回信息，可以了解所有交換端口和MAC地址的對應(yīng)情況。根據(jù)上述MAC地址，很快就可以找到非法DHCP服務(wù)器連接的交換端口。執(zhí)行“interface 36”，切換到指定交換端口視圖模式狀態(tài)，假設(shè)端口為36。執(zhí)行“shutdown”命令，封鎖非法DHCP服務(wù)器和局域網(wǎng)的連接，禁止其為別的客戶機分配錯誤的IP地址。

當(dāng)然，如果是某個集線器連接到該交換端口的話，就會對連接到集線器上的相關(guān)主機的網(wǎng)絡(luò)訪問造成不利影響。為此，可以通過配置基于設(shè)備物理地址的訪問控制列表，來阻止非法的DHCP接入網(wǎng)絡(luò)。注意，DHCP服務(wù)器在運作時，會使用UDP67/68等端口，UDP 67端口是接收客戶機發(fā)送DHCP請求信息的端口，DHCP服務(wù)器進行應(yīng)答時使用到UDP 68端口。創(chuàng)建訪問控制列表，對非正常DHCP服務(wù)器使用UDP 68端口進行過濾，就可以讓非法DHCP服務(wù)器無法應(yīng)答客戶機的請求信息。因此可以在交換機后臺界面中執(zhí)行“access-list 111 deny udp any eq 68 any”之類的命令即可。

擺脫繁瑣，快速搭建簡單實用的DHCP服務(wù)器

利用DHCP服務(wù)器，可以動態(tài)的分配地址。不過，一般我們都是在Windows Server 2003/2008等專業(yè)的系統(tǒng)中安裝和配置DHCP服務(wù)，管理和維護起來都比較繁瑣。其實，在某些場合下（例如網(wǎng)絡(luò)克隆系統(tǒng)，測試相關(guān)網(wǎng)絡(luò)軟件等），只是需要臨時使用DHCP服務(wù)，就沒有必要如此大動干戈的構(gòu)建DHCP服務(wù)器。利用DHCP Turbo這款軟件，就可以讓您毫不費力的快速搭建簡易的DHCP服務(wù)器，來解決臨時急用之需。下載地址：http://www.onlinedown.net/soft/11249.htm。

在局域網(wǎng)中找一臺可以正常通訊的主機，在其上安裝DHCP Turbo。在其安裝界面中的“Select Install Type”窗口中選擇“Full”項，執(zhí)行完整的安裝操作。這樣，才可以使用其全部功能。在DHCP Turbo窗口左側(cè)點擊“Localhost”節(jié)點，在彈出的登錄窗口中無需輸入密碼，點擊“Login”按鈕，完成登錄動作。當(dāng)然，可以點擊菜單“Tools”-“Change Password”項，來設(shè)置所需的密碼。在窗口左側(cè)選擇“Localhost”-“Scopes”項，在其右鍵菜單上點擊“New Scope”項（或者點擊“Ctrl+N”鍵），在彈出窗口中可以創(chuàng)建一個作用域。

當(dāng)然，要想讓局域網(wǎng)中的客戶機可以順利訪問Internet，僅僅申請到IP是不夠的，還需要為其配置網(wǎng)關(guān)，DNS服務(wù)器等參數(shù)。對于規(guī)模稍大的局域網(wǎng)來說，手工逐臺進行設(shè)置的話，工作量是很大的。而且，網(wǎng)關(guān)等地址一旦變動，還得重新手工設(shè)定。其實，在DHCP Turbo中提供了參數(shù)集中配置功能，可以將網(wǎng)關(guān)，DNS服務(wù)器地址等參數(shù)自動分配給客戶機。而且之后如果這些參數(shù)變動的話，只需在DHCP Turbo中同一設(shè)置即可。

在DHCP Turbo窗口左側(cè)點擊“Localhost”-“Scopes”項，在其中選擇對應(yīng)的作用域，在窗口右側(cè)的“Policies”面板 中點擊“Ctrl+N”項，在彈出窗口中雙擊“GateWay”項，在彈出窗口中輸入網(wǎng)關(guān)地址。之后按照同樣的方法，雙擊列表中的“Domain name servers”項，輸 入DNS服務(wù)器地址。配置好DHCP Turbo后，之后在客戶機中打開網(wǎng)絡(luò)連接屬性窗口，在其中雙擊“TCP/IP協(xié)議”項，在地址設(shè)置界面中選擇“自動獲得IP地址”和“自動獲得DNS服務(wù)器地址”項。并在CMD窗口中執(zhí)行“ipconfig /renew”命令，向臨時搭建的DHCP服務(wù)器申請IP地址已經(jīng)其它網(wǎng)絡(luò)配置參數(shù)，之后執(zhí)行“ipconfig/all”命令，可以查看獲取的IP地址信息等參數(shù)。