上周六有幸去参加了51CTO的技术沙龙，看到了很多的技术同行，讲师的热情和现场嘉宾的踊跃互动都让我再一次感受到了IT人执着技术和探索追求问题完美解决方案的求知热忱，当林鹏老师讲到DHCP***案例时，又让我想起了曾经在这个问题上自己经历的一些探索，在此总结一下与大家分享，也希望大家补充更好的解决方案。

DHCP应用背景：在局域网组网规模相对较大的环境中，为了提高网络管理效率减少网络管理中的繁复劳动我们一般会在局域网中架设DHCP服务器，并通过该服务器来自动为普通工作站提供合法IP地址提供上网服务；当局域网中的普通工作站连接到局域网络后，它会自动向局域网网络发送上网参数请求数据包，DHCP服务器一旦接受到来自客户端系统的上网请求信息后，会自动为其提供合适的IP地址、网络掩码地址、网关地址以及DNS地址等参数，获得相应合法地址后客户端系统就能正常访问网络了，很显然DHCP服务器的稳定性将直接影响整个局域网网络的工作稳定。

　　如果在局域网中同时还存在另外一台不合法的DHCP服务器时或DHCP服务器遭受恶意***时，整个局域网网络的运行稳定性将会受到破坏，普通工作站的上网将因无法获得可用的合法IP地址而出现混乱。为了让局域网网络运行始终稳定，我们需要想办法保护合法DHCP服务器的运行安全性，以避免其受到恶意***或不合法DHCP服务器的“冲击”！

下面看一个图例：

1、交换机层面解决这个问题
通过交换机的端口安全性设置每个客户端主机 DHCP 请求指定端口上使用唯一的 MAC 地址，通常 DHCP 服务器通过 DHCP 请求的报文中的 CHADDR 段判断客户端 MAC 地址，通常这个地址和客户端的MAC地址相同，如果***者不修改客户端的 MAC 而修改 DHCP 报文中 CHADDR ，实施 Dos ***， Port Security 就不起作用了， DHCP 嗅探技术可以检查 DHCP 请求报文中的 CHADDR 字段，判断该字段是否和 DHCP 嗅探表相匹配。这项功能在有些交换机是缺省配置的，有些交换机需要配置，具体需要参考相关交换机的配置文档。

另外利用DHCP Snooping技术，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。通过截取一个虚拟局域网内的DHCP信息，交换机可以在用户和DHCP服务器之间担任就像小型安全防火墙这样的角色，“DHCP监听”功能基于动态地址分配建立了一个DHCP绑定表，并将该表存贮在交换机里。在没有DHCP的环境中，如数据中心，绑定条目可能被静态定义，每个DHCP绑定条目包含客户端地址(一个静态地址或者一个从DHCP服务器上获取的地址)、客户端MAC地址、端口、VLAN ID、租借时间、绑定类型(静态的或者动态的)。

当交换机开启了 DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

基本配置命令示例如下：

　　全局命令：

　　ip dhcp snooping vlan 10，20          * 定义哪些 VLAN 启用 DHCP 嗅探

　　ip dhcp snooping

　　接口命令：

　　ip dhcp snooping trust

　　no ip dhcp snooping trust (Default)

　　ip dhcp snooping limit rate 10 (pps)    * 一定程度上防止 DHCP 拒绝服务***

　　手工添加 DHCP 绑定表：

　　ip dhcp snooping binding  000b.db1d.6ccd vlan 10 192.168.1.2  interface gi1/1  expiry 1000

　　导出 DHCP 绑定表到 TFTP 服务器

　　ip dhcp snooping database tftp:// 10.1.1 .1/file

　　需要注意的是 DHCP 绑定表要存在本地存贮器 (Bootfalsh 、ftp 、 tftp) 或导出到指定 TFTP 服务器上，否则交换机重启后 DHCP 绑定表丢失，对于已经申请到 IP 地址的设备在租用期内，不会再次发起 DHCP 请求。如果此时交换机己经配置了 DAI 和 IP Source Guard 技术，这些用户将不能访问网络。

注：对于类似Gobbler的DHCP 服务的DOS***可以利用Port Security限制源MAC地址数目加以阻止，对于有些用户随便指定地址，造成网络地址冲突也可以利用DAI和IP Source Guard技术。有些复杂的DHCP***工具可以产生单一源MAC地址、变化DHCP Payload信息的DHCP请求，当打开DHCP侦听功能，交换机对非信任端口的DHCP请求进行源MAC地址和DHCP Payload信息的比较，如不匹配就阻断此请求。

2、客户端服务器层面解决这个问题
  客户端处理：在客户端主机上我们可以在DOS命令行提示符下执行“arp -s 192.168.2.45 00-01-02-03-04-05"来绑定客户端的IP和MAC，同时执行“arp -s 192.168.2.1  00-01-02-6E-3D-2B” 来绑定网关的IP和MAC，或者在客户端主机上安装一些ARP防病毒软件来避免此类的***。
         一旦发现自己的客户端不能正常上网时，我们可以在DOS命令行提示符下执行“ipconfig/release”字符串命令，来将之前获得的不正确上网参数释放出来。

　　然后尝试执行“ipconfig/renew”字符串命令，来重新向局域网发送上网参数请求数据包，如果上述命令返回错误的结果信息，那么我们可以在本地系统运行对话框中继续执行“ipconfig/release”、“ipconfig /renew”字符串命令，直到客户端工作站获得有效的上网参数信息为止。

服务器端处理：
   通常情况下，局域网中的普通工作站安装使用的都是Windows操作系统，在Windows工作站系统为主的局域网环境中，我们可以通过域管理模式来保护合法DHCP服务器的运行安全性，同时过滤不合法的DHCP服务器，确保该DHCP服务器不会为局域网普通工作站分配错误的上网参数信息。我们只要在局域网域控制器中，将合法有效的DHCP服务器主机加入到活动目录中，就能保证局域网中的所有普通工作站都会自动从合法有效的DHCP服务器那里，获得正确的上网参数信息了。这是因为域中的普通工作站向网络发送广播信息，申请上网参数地址时，位于同一个域中的合法有效的DHCP服务器，会自动优先响应普通工作站的上网请求，如果局域网指定域中的DHCP服务器不存在或失效时，那些没有加入指定域中的不合法DHCP服务器才有可能响应普通工作站的上网请求。

当然我们也可以尝试通过域管理加ISA安全管理的方式来实现更为细致的管理和控制。在域中设置一台单独的DHCP服务器，DHCP服务器通过MAC地址来为客户端分发固定的IP，ISA服务器发布DHCP服务器并通过不同的策略设置来限定客户端的权限，这样可以实现粒度更为细致的安全管理。

注：域管理模式对于局域网规模比较小的单位来说，几乎没有多大实际意义，因为小规模的局域网几乎都是工作组工作模式，这种工作模式下合法有效的DHCP服务器是无法得到安全保护的。