本文主要是介绍【网络安全】服务基础第一阶段——第五节:Windows系统管理基础---- DHCP部署与安全,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
目录
一、DHCP协议
理解DHCP握手:
分配IP地址方式:
DHCP协议报文的种类:
DHCP协议工作过程:
编辑DHCP四个阶段:
续约租期:
重新连接使用IP地址:
DHCP安全性:
二、DHCP中继
实验一、部署DHCP服务器
总结:
实验二、部署DHCP中继
一、DHCP协议
定义:DHCP:Dynamic Host Configuration Protocol,动态主机配置协议,是一个应用在局域网中的网络协议,使用UDP协议工作
理解:DHCP协议就是一个基于UDP协议工作在局域网内的网络协议,其最终目的是获取响应的IP地址,其中这过程中有许多分配方式,以及发送报文的格式要求等。
作用:动态分配IP地址,过程自动化,终端无需一一手工配置,配置信息统一管理(DNS、网关),IP地址有限,需要大量的IP地址、经常移动终端
只要我们确保确保用的是自动获取IP地址的方式,一般DHCP服务器都会给我们分配IP地址,子网掩码,网关和DNS。我们的设备在获取到这些配置信息后就会自动配置,然后就可以上网了。
获取的信息里不仅仅只能有IP地址,还可以有其他的上网信息,这里就对应了C--配置-- Configuration
大部分人能够见到的DHCP服务器正是路由器或者光猫,换句话说,如果你知道路由器的管理密码,你也可以进行一些额外配置。如果你多了许多要上网的设备,你就可以在路由器里,将DHCP地址池的范围增大,这样在获取IP的时候,DHCP就可以提供更多的IP地址。但事实上,我们从路由器中获取的IP地址一般都是私有地址,私有地址是有范围的,只能在局域网里使用,最终在因特网传输是要转化为公有的。
理解DHCP握手:
DHCP握手有四步:Discover、Offer、Request、ACK
假设,原本你家有两台设备和一个路由器,现在来了一台新设备也想上网,当新设备插入网线并设置自动获取IP地址的时候,这台设备实际上什么信息都没有,因为新设备分不清这片局域网中哪个是DHCP服务器,这时就要进行广播,寻找DHCP服务器。
这里使用UDP进行传输,源UDP 68 Port,目的UDP 67 Port,即客户端68,服务端67。因为这时还没有IP地址,所以使用两个特殊的IP来代替,源0.0.0.0,目的255.255.255.255
在一开始,Discover这一步没有考虑安全问题,如果有不法分子不断发送Discover请求,是有可能把地址池占用完的
在DHCP服务器收到了Discover请求后,就会回复一个Offer,并初步提供一个IP地址。
传输层依旧采用UDP协议,只不过客户端和服务端的端口反了过来,因为现在服务端发送数据,是源,客户端变成了目的。
试想一下,如果有两台路由器,它们同时提供Offer,那新设备只能选择一个,所以下一步就要发送Request
因为上一步DHCP已经初步提供了IP地址,如果确定了要这个IP地址就要给两个DHCP都回复:回复选中的DHCP“我就要这个了”,回复未选中的DHCP“我不要这个了”。因为新设备还没完全允许使用这个IP地址,所以在网络层依旧使用特殊IP地址代替。
最后一步,双方确认,新设备就可以上网了。
分配IP地址方式:
- 自动分配(Automatic Allocation):在这种方式下,DHCP服务器会为客户端分配一个永久的IP地址。一旦分配,这个地址将一直保留给该客户端,直到服务器配置被更改或客户端不再需要该地址。
- 动态分配(Dynamic Allocation):这是最常见的DHCP分配方式。DHCP服务器为客户端分配一个临时的IP地址,这个地址在租约期满后可能会被收回并重新分配给其他客户端。客户端需要在租约到期前与DHCP服务器续租,以保持其IP地址。
- 手工分配(Manual Allocation):这不是DHCP分配方式,而是在网络配置中手动指定IP地址给设备。这种方式不涉及DHCP服务器,而是在设备的网络设置中直接指定IP地址、子网掩码、默认网关等信息。
DHCP协议报文的种类:
Dhcp协议⼀共有8中报⽂,包括:DHCPDISCOVER,DHCPOFFER,DHCPREQUEST,DHCPACK,DHCPNAK,DHCPRELEASE,DHCPDECLINE,DHCPINFORM
报⽂类型由options字段中的option53“DHCP Message Type”选项来确定。各报⽂的具体含义如下:
(1)DHCP-DISCOVER报⽂:0x01 客户端请求包
这个报⽂是client端开始dhcp过程的第⼀个请求报⽂,client在请求地址时,并不知道server端的位置,所以client会以⼴播的⽅式发送请求报⽂,它的⽬的是发现⽹络中的服务器。
(2)DHCP-OFFER报⽂: 0x02 服务器响应包
这个报⽂server端对DISCOVERY报⽂的响应报⽂。会在所配置的地址池中查找⼀个合适的IP地址,加上相应的租约期限和其他配置信息(如GATEWAY,DNS SERVER等),构造⼀个OFFER报⽂,发送给⽤户,告知⽤户本SERVER可以为其提供IP地址的分配,并且。发OFFER报⽂⼀般是单播的⽅式发送。
(3)DHCP-REQUEST报⽂:0x03 客户端选择包
在⼀个⼦⽹中可能有多台服务器,所有收到DISCOVER报⽂的服务器都会回应OFFER报⽂,所以client端可能收到多个OFFER报⽂,通常会选择第⼀个OFFER报⽂的服务器作为⾃⼰的⽬标服务器,并回应⼀个REQUEST请求报⽂。在续租约的时候client端也会发送REQUEST报⽂ 请求续租期。
(4)DHCP-ACK报⽂:0x05 服务器确认包
是server对client端的REQUEST报⽂的确认响应报⽂,server在收到REQUEST报⽂后,根据REQUEST报⽂中携带的client MAC来查找有没有相应的租约记录,如果有则发送ACK报⽂作为回应,通知client可8以使⽤分配的IP地址。
(5)DHCP-NAK报⽂:0x06 服务器拒绝包
Server端对client端的REQUEST报⽂的拒绝响应报⽂,如果服务器没有相应的租约记录,就会发送NAK报⽂给client端。
(6)DHCP-RELEASE报⽂:0x07 客户端释放包
Client端主动释放server端分配给它的IP是,就会发送DHCP-RELEASE报⽂给server,server收到这个报⽂后,就会回收这个IP地址。
(7)DHCP-DECLINE报⽂:0x04
client收到server回应的ACK报⽂后,通过地址冲突检测发现 SERVER分配的地址冲突或由于其它原因导致不能使⽤,则发送DHCP-DECLINE报⽂,通知server所分配的IP地址不可⽤。
(8)DHCP-INFORM报⽂:0x08
在client已经获得了IP地址,需要从server端获得更详细的配置信息时,就会发送DHCP-INFORM报⽂向server请求,server在收到这个报⽂后,会根据租约查找,找到相应的配置信息后,就会回应DHCP-ACK报⽂给client。
DHCP协议工作过程:
典型的DHCP过程 :
1.客户机向服务器发送DHCP_discover报⽂,申请IP
2.服务器向客户机返回DHCP_OFFER报⽂,制定⼀个将要分配的IP
3.客户机向服务器发送DHCP_REQUEST报⽂,请求这个IP
4.服务器 ping ⼏次(⼀般是三次)这个IP ,如果没有响应的话,就说明这个IP现在是空闲的 ,可以分配给客户机,所以向客户机发送DHCP_ACK报⽂,确认可以分配。如果有响应,则发送DHCP_NAK报⽂,拒绝分配。
5.如果客户端收到DHCP_ACK,则发送⼀次免费ARP,判断这个IP 是否已经被⽤。没有使⽤则绑定这个服务器分配来的IP,否则向服务器发送DHCP_DECLINE报⽂,拒绝这次分配。并重新执⾏第⼀步。如果收到是DHCP_NAK,则直接重新执⾏第⼀步。
客户机申请IP之前确实没有IP,DHCP_DISCOVER报⽂是以⼴播的形式发送的,IP头⾥的⽬的地址是255.255.255.255,源地址是0.0.0.0 链路层⽬的地址是FF-FF-FF-FF-FF-FF,源地址是⾃⼰的MAC地址。这样服务器 收到客户端发来的DISCOVER报⽂之后,会根据源MAC地址向客户机发送单播的DHCP_OFFER报⽂
抓包过程--查看DHCP分配IP过程
- 在Wireshark中点击start开始抓包,在过滤栏输⼊bootp,使其只显示DHCP数据包
- 在win10 中的cmd输⼊ipconfig /release 先断开当前的⽹络连接,主机号变为0.0.0.0,主机与⽹络断开,不能访问⽹络。
- 在cmd中输⼊ipconfig /renew 请求⽹络连接,也为客户端分配了IP地址
DHCP四个阶段:
DHCP动态获取IP地址的过程主要分为发现阶段、提供阶段、选择阶段、确认阶段四个阶段。
(1)发现阶段:
client端在局域⽹内以⼴播的⽅式发起⼀个DHCP Discover包,⽬的是在⼦⽹络中发现能够给client端提供IP地址的server端。
UDP ⽬标端⼝号为67 源IP 地址0.0.0.0 ⽬的IP:255.255.255.255
(2)提供阶段:
局域⽹中DHCP server接受到Discover包之后,通过发送DHCP offer包给client端应答,主要是告知client端可以提供IP地址,以及相应的IP地址租约信息和其他配置信息也会在其中。
UDP ⽬标68 源IP为DHCP服务器的IP ⽬的IP:255.255.255.255
- DHCP服务器仍然使⽤⼴播地址作为⽬的地址,因为此时请求分配IP的Client并没有⾃⼰ip,⽽可能有多个Client在使⽤0.0.0.0这个IP作为源IP向DHCP服务器发出IP分配请求,DHCP也不能使⽤0.0.0.0这个IP作为⽬的IP地址,于是依然采⽤⼴播的⽅式,告诉正在请求的Client们,这是⼀台可以使⽤的DHCP服务器。
- DHCP服务器提供了⼀个可⽤的IP,在数据包的Your (client) IP Address字段可以看到DHCP服务器提供的可⽤IP。
- 除此之外,如图中红⾊矩形框的内容所示,服务器还发送了⼦⽹掩码,路由器,DNS,域名,IP地址租⽤期等信息
(3)选择阶段
在client端可能会接受到多个offer包,通常clientdaunt只会接受收到的第⼀个DHCP offer报⽂,然后client端就会以⼴播的⽅式发送⼀个DHCP request报⽂请求分配IP地址。
UDP ⽬标67 源IP为0.0.0.0 ⽬的IP:255.255.255.255
(4)确认阶段
server端在收到DHCP request报⽂之后,会判断”option”字段的serverIP地址是否是⾃⼰的IP地址,如果符合分配IP地址的条件,就会给client发送⼀个DHCP ACK包,如果不满⾜就发挥发送⼀个DHCP NAK包。
UDP ⽬标68 源IP为DHCP服务器的IP ⽬的IP:255.255.255.255
注意:客户端执⾏DHCP-DISCOVER后,如果没有DHCP服务器响应客户端的请求,客户端会随机使⽤169.254.0.0/16⽹段中的⼀个IP地址配置到本机地址。169.254.0.0/16是Windows的⾃动专有IP寻址范围,也就是在⽆法通过DHCP获取IP地址时,由系统⾃动分配的IP地址段。
续约租期:
三种情况
(1)当clientIP地址已经⽤到50%的时间,续租⼀下,client端就会以单播形式向服务端发送⼀个DHCP Request包,当server响应时就会回应⼀个ACK包,会重新约定⼀个时间。
(2)当clientIP地址已经⽤到50%的时间,续租⼀下,client端就会以单播形式向服务端发送⼀个DHCP Request包,server没有响应,client会继续使⽤,当使⽤到87.5%时,会在续租⼀次,同时就以⼴播的⽅式是发送⼀个request包,server这时收到响应以后,就会回应⼀个ACK包,重新约定⼀个时间。
(3)当clientIP地址已经⽤到50%的时间,续租⼀下,client端就会以单播形式向服务端发送⼀个DHCP Request包,server没有响应,client会继续使⽤,当使⽤到87.5%时,会在续租⼀次,同时就以⼴播的⽅式是发送⼀个request包,如果server还是没有响应,client那就直接使⽤到过期。
重新连接使用IP地址:
Client端在重新登录⽹络的时候,可以不需要从初始阶段发送DHCP DISCOVER报⽂开始,可以直接⼴播发送DHCP REQUEST报⽂给服务器
client主动释放IP地址
DHCP安全性:
DHCP攻击:
1.恶意DHCP服务器(1.⽆法上⽹2.引导到外⽹,抓明⽂流量)
2.DHCP饥饿攻击
在DHCP服务器上直接防御DHCP饥饿攻击是有限的,因为DHCP协议本身没有内置⾜够的安全措施来防⽌此类攻击。然⽽,通过⼀些配置和策略,可以在⼀定程度上缓解饥饿攻击的影响 。
对应措施:
1. 设置适当的租约时间
设置较短的租约时间可以使IP地址更快地回收和重新分配。这不会阻⽌攻击发⽣,但可以减轻其影响,因为IP地址将不会被⻓时间占⽤。
2. 使⽤MAC地址过滤
在DHCP服务器上设置MAC地址过滤,只允许已知的、受信任的设备MAC地址从DHCP服务器获取IP地址。这需要管理员⼿动维护⼀个可信MAC地址列表,对于⼤型动态⽹络可能难以管理。
3. 限制每个客户端的IP分配
在⼀些⾼级的DHCP服务中,可以设置策略来限制每个客户端可以获得的IP地址数量。例如,可以配置服务器只允许每个物理设备在⼀定时间内从服务器获取⼀个IP地址。
4. DHCP Snooping
尽管不是在DHCP服务器上配置,但启⽤⽀持的交换机上的DHCP Snooping功能可以有效防⽌DHCP饥饿攻击。它确保只有受信任的端⼝可以响应DHCP请求,阻⽌未经授权的设备分配IP地址。
5. 监控与警报
实施监控策略来检测不寻常的DHCP流量模式和⾏为。例如,如果从单⼀设备收到⼤量的DHCP请求,或者某⼀设备频繁更换MAC地址请求IP,这些都可能是DHCP饥饿攻击的迹象。通过监控⼯具和⽇志分析,管理员可以及时发现并响应潜在的攻击。
6. VLAN和⽹络隔离
通过创建多个VLAN,将⽹络划分为多个较⼩的逻辑部分,每个部分有⾃⼰的DHCP作⽤域。这样即使在⼀个VLAN中受到攻击,也不会影响到整个⽹络的稳定性。
7. 安全强化
保持系统和软件的最新状态,定期更新DHCP服务器和⽹络设备的固件和软件,减少已知漏洞被利⽤的机会。
虽然在DHCP服务器上直接防御DHCP饥饿攻击存在局限,但通过⽹络层⾯的防御措施结合服务器配置的优化,可以有效减轻攻击带来的影响。实施这些策略需要⽹络管理员具备⼀定的⽹络安全知识和对现有⽹络架构深⼊的了解
二、DHCP中继
部署DHCP中继代理(DHCP Relay Agent)是一个重要的步骤,尤其是在跨多个子网的环境下。
DHCP中继代理的作用是转发在不同子网的DHCP客户端和服务器之间的DHCP消息,允许单个DHCP服务器为多个子网服务。这样,即使DHCP服务器不在本地子网中,客户端也能接收到IP地址和其他网络配置
DHCP中继(DHCP Relay)的工作原理可以分解为以下几个关键步骤:
- 客户端请求IP地址:网络上的DHCP客户端(如电脑、手机等设备)启动时,会发送一个广播消息DHCPDISCOVER,寻找DHCP服务器来请求IP地址配置。
- DHCP中继接收请求:如果客户端和DHCP服务器不在同一个子网,DHCP中继(如路由器或交换机)会接收到这个广播消息。由于DHCP服务器通常无法直接接收到其他子网的广播消息,DHCP中继在这里起到了桥梁的作用。
- 广播转为单播:DHCP中继将接收到的DHCPDISCOVER消息从广播(Broadcast,目标MAC地址为FF:FF:FF:FF:FF:FF)转换为单播(Unicast),即直接发送给DHCP服务器的消息。
- 转发请求到DHCP服务器:DHCP中继将客户端的DHCPDISCOVER消息转发到DHCP服务器所在的子网。在转发过程中,DHCP中继可能会在消息中添加自己的IP地址作为GIADDR字段(中继代理的IP地址),并将客户端的MAC地址添加到CHADDR字段。
- DHCP服务器响应:DHCP服务器接收到转发的DHCPDISCOVER消息后,会处理请求并发送一个DHCPOFFER消息,提供一个或多个IP地址选项。
- DHCP中继转发响应:DHCP中继再次将DHCP服务器的DHCPOFFER消息转发回客户端所在的子网。
- 客户端选择并请求IP地址:客户端从DHCPOFFER中选择一个IP地址,并向DHCP服务器发送DHCPREQUEST消息,请求分配该IP地址。
- DHCP服务器确认分配:DHCP服务器接收到DHCPREQUEST后,如果同意分配请求的IP地址,会发送DHCPACK消息确认IP地址分配。
- DHCP中继转发确认:DHCP中继将DHCPACK消息转发给客户端,完成IP地址的分配过程。
- 客户端配置网络参数:客户端接收到DHCPACK后,会使用分配的IP地址和其他网络参数(如子网掩码、默认网关、DNS服务器等)配置自己的网络设置。
在整个过程中,DHCP中继的主要作用是在不同的子网之间转发DHCP消息,确保客户端能够与DHCP服务器通信,即使它们不在同一个广播域。这样,无论客户端位于网络的哪个位置,都能够接收到DHCP服务器分配的IP地址。
实验一、部署DHCP服务器
一台Windows server作为服务器;一台Windows 7作为客户端
第一步:取消虚拟机DHCP功能
第二步:手动配置DHCP服务器静态地址
既然我已经要作为服务器使用了,那肯定不能再去问其他人要地址,故而我们需要为服务器配置一个静态的IP地址。
第三步:安装DHCP服务器
动态主机配置协议允许服务器将IP地址分配或租用给以作为DHCP客户端启用的计算机和其他设备。在网络上部署DHCP服务器将为计算机和其他基于TCP/IP的网络设备提供有效的IP地址和这些设备需要的其他配置参数(称为DHCP选项)。这就允许将计算机和设备连接到其他网络资源,如DNS服务器、WINS服务器和路由器
注意:
- 在此计算上至少应配置一个静态IP地址
- 安装DHCP服务器之前,应规划子网、作用域和排除范围。将规划保存在安全位置以供日后参考
右键选择DHCP管理器
选中IPv4,右键选择新建作用域
一般来说,一个“段”是一个“域”,例如公司需要让很多设备都接入一个网段中,那么就可以设置一个域,让这个域中的所有IP都处于同一个段。作用域正是这个作用。
确定IP地址的范围,例如在此处,我为这个服务器分配了100个IP地址
接下来设置排除和延迟--排除是指服务器不分配的地址或地址范围,延迟是指服务器将延迟DHCPOFFER消息传输的时间段。例如你想留出五个IP地址作特定用途,就可以在此处将其排除。
之后设置租用期限--指定一个客户端从此作用域使用IP地址的时间的长短。我在此简单设置了2小时。
在配置DHCP服务时,指定作用域的路由器或默认网关是非常重要的一步。这个步骤确保了DHCP客户端能够获得正确的网关地址,以便它们能够与局域网(LAN)之外的网络通信。
在这里,我们使用与虚拟机相配的网关,使用.2,毕竟我们的最终目的是要能够上网。如果填错,会导致客户机虽然能获取IP地址,但是无法上网。
接下来的DNS以及WINS(WINS是一种类似于DNS的服务,现在已经不太使用)先不填,关于DNS会在下一章介绍。
现在,服务器的DHCP已经配置好了,让我们来看客户机的设置
我选择win7作为客户机,首先第一步,我们要保证服务机和客户机的网络适配器设置相同
确保客户机是自动获取IP地址的,查看属性,发现已经成功分配到了IP,时间和范围都没问题。返回服务机,我们也能在地址租用中看到被租用的客户机信息,实验成功。
在这个实验中,可能会出现一些问题:
- 不能上网/浏览网页:这是因为我们在这个实验中,暂时没有配置DNS,而URL--域名-- IP之间的解析是要根据DNS来转换的,我们可以尝试ping 223.5.5.5 ,这是阿里云的公网IP地址,如果能够ping通,说明实验没有问题,只是无法解析域名而已。
- 如果ping命令报错“传输失败”,说明缺少网关或是网关配置错误,这时候就需要检查网关相关的配置了
- 获取不到地址或地址未变:可能是因为之前有残留的IP地址,这时候你需要使用命令【ipconfig /release】来手动释放之前的IP地址,或是选中网络,右键禁用再启用来刷新
总结:
DHCP服务器不仅可以⾃动分配IP地址给⽹络中的设备,还可以进⾏⾼级的管理和配置,以确保⽹络的⾼效运⾏和安全。下⾯是⼀些关键的管理策略和操作步骤:
1. 设置地址池(Scope Configuration)
DHCP服务器通过所谓的“作⽤域”来管理IP地址池。每个作⽤域定义了⼀系列的IP地址,这些地址可以⾃动分配给⽹络中的客户端。
- 创建和配置作⽤域:在DHCP服务器上定义⼀个或多个作⽤域,指定可供分配的IP地址范围、⼦⽹掩码、租约时间(即IP地址分配的有效期),以及任何其他的默认⽹络设置(如⽹关、DNS服务器等)。
2. 预留地址(Reservations)
对于⽹络中的某些设备(如打印机、服务器、或其他固定设备),可能需要固定的IP地址。通过在DHCP中设置预留地址,可以确保特定的设备总是接收到相同的IP地址。
- 配置预留地址:在DHCP管理控制台中,可以为特定的MAC地址分配⼀个固定的IP地址。这样,即使在使⽤DHCP的环境中,这些设备也总能获得⼀个固定的IP。
3. 租约管理
DHCP服务器通过“租约”概念来管理IP地址的分配时间。租约到期后,如果设备仍在⽹络上,它会⾃动请求续租。
- 调整租约时间:租约时间可以根据⽹络的需求进⾏调整,较短的租约时间可以使IP地址更快地回收和重新分配,⽽较⻓的租约时间可以减少⽹络流量和管理⼯作。
4. 动态更新DNS记录(DDNS)
现代⽹络环境中,DHCP与DNS协同⼯作,当DHCP服务器分配IP地址时,它也可以更新DNS服务器上的记录。
- 启⽤DDNS:在DHCP服务器上启⽤动态DNS更新配置,可以确保当DHCP分配的IP地址变更时,相应的DNS记录也会⾃动更新。
5. 监控和审计
监控DHCP服务器的运⾏状态和审计IP地址的使⽤情况对于维护⽹络安全和效率⾄关重要。
- 查看租约信息:定期查看DHCP租约数据库,监控哪些IP地址已被分配,哪些即将到期。
- 审计⽇志:保持和审查DHCP服务器的⽇志⽂件,以侦测异常⾏为或配置错误。
实验二、部署DHCP中继
步骤1:确认网络配置
在配置DHCP中继之前,确保⽹络正确设置,包括多个⼦⽹和路由器(或三层交换机)的配置,能够相互通信。
步骤2:安装DHCP角色
确保在⽹络中有⾄少⼀个配置了DHCP⻆⾊的Windows Server。如果还未安装,可以按以下步骤操作:
- 打开“服务器管理器”。
- 点击“管理”,选择“添加⻆⾊和功能”。
- 在“添加⻆⾊和功能向导”中,点击“下⼀步”,选择“⻆⾊基于安装”。
- 选择相应的服务器,点击“下⼀步”。
- 从⻆⾊列表中选中“DHCP服务器”,点击“添加功能”,然后继续点击“下⼀步”直⾄安装完成。
步骤3:配置DHCP中继代理
DHCP中继代理可以在多种设备上配置,包括路由器、Layer-3交换机或Windows服务器。以下以Windows服务器为例介绍配置过程:
1. 安装Routing和Remote Access服务(RRAS):
- 在“服务器管理器”中,选择“添加⻆⾊和功能”。
- 在“功能”⻚中,找到并安装“远程访问”服务,选择“路由”⻆⾊服务。
2. 配置RRAS:
- 完成安装后,打开“服务器管理器”,点击“⼯具” -> “Routing和Remote Access”。
- 右键点击服务器名,选择“配置和启⽤路由和远程访问”。
- 在配置向导中,选择“⾃定义配置”,然后选择“LAN路由”。
- 完成向导并启动服务。
3. 添加DHCP中继代理:
- 在RRAS控制台中,右键点击服务器,选择“新建路由协议” -> “DHCP中继代理”。
- 点击“接⼝”,选择需要中继DHCP消息的⽹络接⼝。
- 右键点击该接⼝,选择“属性”,在“常规”标签⻚中输⼊DHCP服务器的IP地址。
步骤4:配置DHCP作用域
在DHCP服务器上,确保为每个⼦⽹配置了适当的DHCP作⽤域,并设置了正确的⽹关(通常是路由器或中继代理所在设备的IP地址)
步骤5:测试配置
确保从不同⼦⽹的客户端能够成功获得IP地址。可以使⽤如 ipconfig /renew 命令来测试DHCP配置是否有效。
需求:
中继代理,为不同⽹段主机分发 ip地址
192.168.10.1—192.168.10.100 ⼦⽹掩码24,⽹关192.168.10.254
192.168.20.1—192.168.20.100 ⼦⽹掩码24,⽹关192.168.20.254
192.168.30.1—192.168.30.100 ⼦⽹掩码24,⽹关192.168.30.254
在配置服务器作为DHCP中继代理或处理多个⼦⽹的DHCP请求时,通常需要考虑服务器的⽹络接⼝配置。是否需要在服务器上配置多个⽹络接⼝卡(NICs)取决于具体的⽹络架构和服务器的⻆⾊。以下是⼀些常⻅情况和建议:
1.单网卡配置
如果服务器只有⼀个⽹络接⼝卡,它可以通过该单⼀接⼝处理所有⼦⽹的DHCP中继请求,前提是⽹络设备(如路由器或多层交换机)已经配置了相应的路由规则,能够将不同⼦⽹的DHCP请求正确转发到服务器。这种配置简化了硬件需求,但对⽹络配置的准确性和路由设备的能⼒有较⾼依赖。
2.多网卡配置
在服务器上配置多个⽹络接⼝卡,每个⽹卡连接到不同的⼦⽹,是另⼀种常⻅的做法。这种配置可以直接将服务器物理地连接到各个⼦⽹,每个⽹卡的IP地址配置为其所在⼦⽹的⼀部分
优点:
- 提⾼性能和可靠性:直接连接到各个⼦⽹减少了对核⼼⽹络设备的依赖,可以提⾼DHCP请求处理的速度和可靠性。
- 简化⽹络配置:不需要复杂的路由规则来确保DHCP请求能够正确路由到服务器。
- 提⾼安全性:物理隔离不同的⽹络流量,可以在⼀定程度上提⾼⽹络的安全性。
3.虚拟网卡配置
在⽀持虚拟化的环境中,可以在单⼀物理服务器上配置多个虚拟⽹卡,每个虚拟⽹卡连接到不同的虚拟局域⽹(VLAN)。这样可以在不增加物理设备的情况下,逻辑上实现多个⼦⽹的接⼊
选择依据:
- ⽹络规模和复杂性:在复杂或⼤规模⽹络中,多⽹卡配置可能更有利于分散流量,提⾼处理速度。
- 安全和隔离需求:如果不同⼦⽹之间的隔离级别要求较⾼,使⽤多⽹卡配置可以物理隔离⽹络流量。
- 成本和资源:多⽹卡配置需要额外的硬件⽀持,可能会增加成本和资源消耗。
在决定最佳配置时,应考虑上述因素并评估现有的⽹络基础设施,以确定哪种⽅法最符合您的特定需求和条件。如果⽹络环境相对简单,单⽹卡或虚拟⽹卡可能已⾜够。对于更⼤或更复杂的⽹络,考虑采⽤多⽹卡配置可能更为合适。
服务器添加三块网卡,设置IP地址
安装远程访问服务
打开路由和远程访问
配置路由和远程访问
在出现的“dhcp中继站属性”中,勾选“中继dhcp数据包”,在下⾯还有两项分别是:跃点计数阈值和启动阈值。其中“跃点计数阈值是中继代理通信可以跨过的最⼤跳数”,“启动阈值是中继代理转发dhcp消息前的等待时间,如果是希望本地dhcp服务器可以⾸先响应的时候,设置这个⽐较有⽤,当ahcp服务器在规定时间内不响应的话,那中继代理就会转发dhcp消息给其他⽹段的dhcp服务器,这⾥采⽤默认
这篇关于【网络安全】服务基础第一阶段——第五节:Windows系统管理基础---- DHCP部署与安全的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!