為了提高網絡地址的管理效率，相信很多網絡管理員都會在單位設置DHCP服務器，通過人工方式將網絡上的參數(shù)分發(fā)給網絡客戶端系統(tǒng)。 在環(huán)境中，DHCP服務器的安全工作將直接影響到整個網絡的安全。 在網絡管理實踐中，經常會同時遇到很多局域網的DHCP服務器。 一旦出現(xiàn)這種現(xiàn)象，可能會造成資源沖突，最終導致局域網的安全穩(wěn)定運行。 為了維護局域網運行的安全，我們可以嘗試使用DHCP監(jiān)控技術來監(jiān)控DHCP服務器的安全，消除內部網絡中的安全隱患。

安全維修理念

對于DHCP服務器來說，DHCP 技術實際上是一種過濾DHCP報文的技術。 通過在核心交換機上開啟DHCP的局域網監(jiān)控功能，使局域網內的重要主機或網絡設備無法信任過濾DHCP報文，保證客戶端系統(tǒng)只能通過網絡從非常授權的信任DHCP服務器獲取管理員參數(shù)， DHCP服務器干擾不受信任的DHCP服務器是可以信任的； 從而保證了局域網的安全穩(wěn)定運行。 比如過去只能信任局域網的DHCP服務器。 當用戶不注意復制服務器接入網絡的DHCP服務功能時，復制服務器的無線DHCP服務器會波動為不可信的。 當本地網絡有兩臺DHCP服務器時，客戶端系統(tǒng)常用的訪問參數(shù)是哪臺DHCP服務器？ 為了保證客戶端系統(tǒng)能夠獲取到合法的參數(shù)，只要開啟DHCP交換機上的竊聽功能，普通客戶端系統(tǒng)就會忽略復制服務器的存在。 , 并將手動應用于受信任的 DHCP 服務器訪問參數(shù)。

與DHCP竊聽功能配合使用時，交換機只允許客戶端發(fā)送DHCP請求，并且會提供類似的DHCP報文來響應手動放棄，所以普通客戶端系統(tǒng)只能訪問參數(shù)有效合法的DHCP服務器； 事實上，非法的DHCP服務器可以訪問響應客戶端系統(tǒng)的請求，但是DHCP竊聽功能手動丟棄非法DHCP服務器提供的響應消息，然后客戶端系統(tǒng)對非法DHCP服務器的響應消息是不可接受的。 據(jù)悉，通過DHCP竊聽功能，有機會在局域網內交換DHCP報文，對DHCP報文手動識別可信和不可信的DHCP報文，從防火墻、網絡設備或網絡管理員授權的DHCP服務器獲取DHCP報文. DHCP竊聽功能會人工將一條DHCP報文識別為不可信，同時丟棄該報文。 之后，未經授權的不受信任的DHCP服務器將不會影響局域網的安全運行。

安全維護范圍

DHCP竊聽技術是在局域網的安全運行中受到DHCP服務器的保護，主要是通過對數(shù)據(jù)包的過濾，DHCP服務器識別可信端口或不可信端口，并允許正常端口從不可信端口發(fā)送和接收的機會可信的信息交換。 數(shù)據(jù)端口消息交換沒有響應。 具體來說，DHCP安全檢測技術的業(yè)務范圍主要表現(xiàn)在以下幾個方面：

1.避免地址沖突

DHCP竊聽技術避免了不受信任的DHCP服務器的干擾，通過受信任的DHCP服務器的地址沖突穩(wěn)定工作。 在網絡管理實踐中，我們經常發(fā)現(xiàn)同一個子網中可能存在多個DHCP服務器，有的是網絡管理員專門安裝的，有的是不小心踩入網絡的，比如ADSL撥號. 該設備可能具有外部 DHCP 服務功能。 設備連接到 LAN 后，外部 DHCP 服務器會手動為客戶端系統(tǒng)分配 IP 地址。 此時網絡管理員授權合法的DHCP服務器會與ADSL撥號設備的DHCP服務器產生地址沖突，可能威脅到網絡的安全。 這些威脅通常更加隱蔽，并且有一半時間會被忽視。 一旦使用了DHCP竊聽技術，我們可以在核心交換機后臺系統(tǒng)的局域網中更改IP源參數(shù)綁定表，為每個端口綁定該表以接受網絡包過濾和測量標準服務器運維外包，并且不會發(fā)送授權給DHCP服務器 根據(jù)PA數(shù)量手動過濾，有效避免非法DHCP服務器引起的地址沖突。

2.避免DoS攻擊

要知道，一些非常狡猾的攻擊者經常使用單獨的主機系統(tǒng)進行 DoS 攻擊來攻擊局域網或互聯(lián)網； 如果不幸發(fā)生DoS攻擊，系統(tǒng)資源局域網或重要主機寶貴的帶寬資源也會被迅速攻擊。 消耗，從網絡傳輸速度慢或反應遲鈍，到嚴重的截癱。 如果采用核心交換機上的DHCP監(jiān)控技術，局域網可以有效抵御DoS攻擊。 DoS攻擊主要用于影響局域網或主機系統(tǒng)的連接請求，消耗帶寬資源和系統(tǒng)資源。 它只是一個具有DHCP竊聽技術的限速功能信息，利用我們可以允許數(shù)據(jù)包流量的二次數(shù)據(jù)的功能，它的C達到了攻擊Dos的目的。

3、及時發(fā)現(xiàn)隱患

要知道，默認情況下，核心交換機會手動攔截DHCP報文的二層VLAN域，具體來說，就是在客戶端對DHCP服務器的交換機框的 Agent 選項的訪問請求被選中之前，它會手動插入一個 tag， 模塊、MAC地址、VLAN號等信息放入上網請求包中。 此時如果結合接口跟蹤功能，DHCP竊聽技術可以不受網間訪問單元局域網的限制，手動跟蹤DHCP服務器地址池中的所有地址，從而檢測出一些安全隱患在 LAN 中并保護它們。 該作用還可以對跨網關的DHCP服務器的安全起到一定的作用。

4.控制未授權訪問

由于任何一種方式的數(shù)據(jù)包都是通過交換端口發(fā)送和接收的，因此交換端口實際上是一種與DHCP 的功效密切相關的工作狀態(tài)。 一般來說，我們會設置交換機端口，授權DHCP服務器的網絡管理員監(jiān)控信任端口的DHCP授權，或者設置上游端口分布層交換機之間的DHCP監(jiān)控信任端口，端口信任到make it 所有交換機將只允許合法的DHCP服務器響應客戶端系統(tǒng)訪問請求，非法的DHCP服務器很難發(fā)送或接收DHCP局域網數(shù)據(jù)包。 顯然，這些技術可以控制非法DHCP服務器對單位局域網的訪問。

安全維護配置

為了有效地使用DHCP竊聽功能來保證局域網的行車安全，我們需要正確配置該功能，這樣才能根據(jù)實際的安全性運行需要的工作。 由于DHCP竊聽功能主要是根據(jù)信任關系建立端口來達到數(shù)據(jù)過濾的目的，所以我們需要注意交換機端口信任端口和交換機端口是不信任端口。 具體來說，我們需要進行如下的交換機安全配置操作：

1.信任分配

這些配置主要是為了為合法的 DHCP 服務器啟用受信任的交換機端口，或者在分布層和接入層交換機之間啟用受信任的互連端口。 如果沒有對上述重要端口進行可信配置，正常的客戶端系統(tǒng)將難以從DHCP服務器獲取合法有效的網絡參數(shù)。 實際上，為了防止私人普通員工搭建DHCP服務器，威脅合法DHCP服務器的安全運行，這是我們普通客戶系統(tǒng)必備的交換端口連接。 設置一個不受信任的端口，然后交換機將客戶的響應消息提供給系統(tǒng)。 如果手動丟棄，則局域網中的其他客戶端系統(tǒng)不知道這是非法DHCP服務器的問題。

2.限速配置

為了避免DoS攻擊，我們需要速度和DHCP的特性來開發(fā)郵件監(jiān)控功能，通過攻擊特性來防止持續(xù)數(shù)據(jù)和大流量，保證寶貴的帶寬資源不被快速消耗，從而維護郵件的安全運行。局域網。 很多時候，網絡管理員會在局域網上部署，例如DOS保護工具。 但從安全防護的實踐來看，我們還是建議您開啟DHCP監(jiān)控技術，要求限速功能。 啟用該功能后，我們只需要執(zhí)行限制速率即可； x命令，x限制具體的標準速率，其值 計算單元局域網的實際需要根據(jù)網絡管理員配置。

3.代理配置

當局域網有多個VLAN時，我們必須開啟中間代理信息選項的開關，也就是開啟82選項服務器運維外包，保證DHCP攔截功能提供跨網關的安全保護服務。 當 agent info選項開啟DHCP 時，只需要執(zhí)行 info命令即可。