如何巧用DHCP服务器网络技术

为了提高网络地址的管理效率，相信不少网络管理员将设置一个DHCP服务器在单位、在网络自动分布参数对网络客户端系统，在互联网环境下，DHCP服务器的安全工作，将直接影响到整个网络的运行安全。在网络管理的实际中，经常会遇到许多局域网DHCP服务器在同一时间。一旦出现这些现象，可能导致资源冲突，最终导致局域网安全稳定地运行，为了维护局域网运行的安全，我们可以尝试使用DHCP监控技术来监控DHCP服务器的安全性，消除内部网潜在的安全风险。
安全维修理念
为DHCP服务器，DHCP监听技术实际上是一种技术过滤DHCP消息。通过启用DHCP在核心交换机的局域网监控功能，局域网的重要主机或网络设备不可信任的DHCP数据包过滤，保证客户端系统只能通过网络获取管理员参数从特别授权的信任DHCP服务器，DHCP服务器可以信任不信任的DHCP服务器干扰；因此，保证了局域网的安全、稳定运行。例如，原来只有局域网DHCP服务器是可以信任的，当用户不小心自带打印服务器访问网络的DHCP服务功能，然后打印服务器的无线将摇动的身体DHCP服务器变成不信任，当本地网络同时有两个DHCP服务器时，客户端系统一般从DHCP服务器访问参数。为了确保客户端能够在Internet上获得合法的系统参数，只要我们在交换机DHCP上启用了监视功能，那么一般的客户端系统就会忽略打印服务器，并自动向受信任的DHCP服务器应用Internet参数。
在工作的时候DHCP监听功能，开关只允许客户端发送DHCP请求，并将提供类似DHCP消息响应自动丢弃，所以普通客户端系统只能访问参数有效合法的DHCP服务器那里；虽然非法DHCP服务器可以访问响应客户端系统的要求，但DHCP监听功能将非法DHCP服务器提供一个响应消息自动丢弃，然后客户端系统对非法DHCP服务器的回复消息不可接受的。此外，通过DHCP监听功能，有机会在一个局域网DHCP报文交换，DHCP消息的自动识别可信任和不信任的DHCP消息，从防火墙、网络设备或网络管理员授权的DHCP报文的DHCP服务器上的DHCP监听功能会自动识别为一个DHCP消息不可信，同时该消息执行丢弃，然后没有授权的非信任的DHCP服务器将不影响局域网的安全运行。
安全维护范围
在安全运行的局域网DHCP服务器保护DHCP监听技术，主要通过数据报文的过滤、DHCP服务器识别信任端口或不可信的港口，从信任信息交流的机会，让其正常的端口发送和接收来自不受信任的数据端口信息交换没有反应。具体来说，DHCP的安全监测技术经营范围主要表现在以下几个方面：
1，防止地址冲突
DHCP监听技术防止不受信任的DHCP服务器的干扰通过地址冲突的信任DHCP服务器的工作稳定性。在网络管理的实际中，我们常常发现，在同一子网中，可能有多个DHCP服务器，其中一些是由网络管理员专门安装的，有些是不小心进入网络例如，ADSL拨号设备可能有内置的DHCP服务功能。一旦设备连接到局域网，内置的DHCP服务器自动分配IP地址给客户端系统。这时，合法DHCP服务器的网络管理员授权可以建在ADSL拨号设备的DHCP服务器的地址冲突，这可能会威胁到网络的安全。这种威胁往往比较隐蔽，难以发现一半时间。一旦DHCP监听技术的使用，我们可以修改IP源参数绑定表中在核心交换机后台系统的局域网，并绑定表为每个端口接受网络数据包过滤和检测标准，不会发送授权的DHCP服务器根据PA的数量Sockets自动过滤，从而有效的防止地址冲突问题的非法DHCP服务器造成的。
2，防止DoS攻击
你知道，一些非常阴险的攻击者倾向于单独使用DoS攻击，主机系统攻击局域网或互联网；如果不幸的DoS攻击，那么系统资源LAN宝贵的带宽资源或重要的主机，将是快速消耗，轻造成网络传输速度慢或反应迟钝。重的瘫痪现象。如果在核心交换机的DHCP用于监控技术，使局域网可以有效抵御DoS攻击，DoS攻击主要用于连接请求影响局域网或主机系统很多，消耗的带宽资源和系统资源，和DHCP监听技术只是一个限速功能信息我们可以合理的许可，使用分组业务的第二数据这个功能，它可以实现对Dos的攻击的目的。
3，及时发现隐患
你知道的，默认情况下，核心交换机会自动DHCP数据包的第二层VLAN域拦截，具体地说，是在之前的客户端访问请求到DHCP服务器的开关箱的中间代理信息选项的选择，它会自动将一个端口号，站模块的MAC地址，VLAN号码和其他信息的访问请求数据包。这个时候，如果结合界面追踪功能，DHCP监听技术可以自动跟踪DHCP服务器地址池中所有的互联网地址，而不会被网间接入单位局域网的限制，所以我们可以发现局域网中的一些安全隐患，对于CRO的保护作用DHCP段的DHCP服务器的安全性也能在一定程度上发挥作用。
4。非法访问的控制
因为任何形式的数据包完成发送和通过交换端口接收操作，显然，该交换端口是DHCP监听效果密切相关的工作状态。一般来说，我们将设置交换机端口，授权的DHCP服务器的网络管理员监控和信任端口的DHCP授权，或设置上行端口分布层交换机之间的DHCP监控和信任端口，端口的信任，让它正常的交流机会来发送或接收DHCP数据包，所有的开关将只允许合法的DHCP服务器对客户端系统的访问请求的响应，以及非法DHCP服务器无法发送或接收DHCP局域网数据包的。很明显，这种技术可以控制非法DHCP服务器访问单元局域网。
安全维护配置
为了有效利用DHCP监听功能保障行车安全的局域网，我们需要正确配置的功能，这样就可以根据实际的安全运行需要的工作。因为DHCP监听功能主要是基于信任关系建立端口实现数据过滤的目的，我们需要关注的交换端口信任端口和交换端口是非信任端口。具体而言，我们需要进行以下的交换机安全配置操作：
1。信托分配
这种配置主要是使信任的交换端口的合法DHCP服务器，或启用信任的互连端口之间的分布层和接入层交换机。如果有以上重要港口没有信任配置，正常的客户端系统将无法从DHCP服务器获得合法有效的网络参数。当然，为了防止私人普通员工建立DHCP服务器，对合法DHCP服务器的安全运行构成威胁，这是我们共同的客户系统必要的交换端口连接设置一个非信任端口，然后交换机会将来自客户端的响应消息系统提供自动丢弃，其他客户端系统在局域网此时不知道这是一个非法DHCP服务器存在的问题。
2。速度限制的配置
为了防止DoS攻击，我们需要速度和DHCP的特点开辟了邮件监控功能，以避免通过攻击特征的数据连续、大流量，确保宝贵的带宽资源不是蓝被迅速消耗，从而维护局域网的安全运行。很多时候，网络管理员将部署或如DOS保护工具，在局域网。然而，从安全保护的实践中，我们建议你还是启用DHCP监控技术要求限速功能，这个功能的开放，我们只需执行IP DHCP Snooping极限速度；x命令，x对于特定的标准速度的限制，随着数值运算单元局域网的实际需求有针对性的配置按照网络管理员。
三.代理配置
当有多个VLAN的局域网，我们必须使开关中间代理信息选项，是使82个选项确保DHCP监听功能提供跨网段的安全保护服务。当中间代理信息选项是启用DHCP监听，只是执行IP DHCP Snooping信息option命令是好的。