首先,启用DHCP服务器的审核记录功能。通过记录DHCP服务器的操作日志,管理员可以监控服务器的活动,及时发现异常行为。例如,如果在日志中发现未授权的DHCP服务器在网络上活动,可以迅速采取措施,避免未授权设备接入网络。同时,可以定期查看日志,分析网络使用情况,为网络优化提供依据。
其次,指定DHCP管理用户。在Windows Server中,可以通过“Active Directory 用户和计算机”工具,将特定用户或用户组添加到“DHCP Administrators”组,赋予他们管理DHCP服务器的权限。这样,只有授权的用户才能对DHCP服务器进行配置和监控,降低了未授权访问的风险。
此外,对DHCP管理用户进行权限限制。利用Windows Server的“域安全策略”功能,可以限制DHCP管理用户组内用户的权限。例如,可以为DHCP管理组的用户设置“只读”权限,防止他们误操作导致网络故障。同时,可以为特定用户设置更高级的权限,满足不同管理需求。
为了保护DHCP日志的安全性,可以修改日志文件的存放位置。默认情况下,DHCP日志文件保存在系统盘的特定目录下。为了防止未授权用户恶意删除日志文件,可以将日志文件移动到其他存储设备上。此外,可以设置访问控制列表,限制对日志文件的访问,确保日志文件的安全。
为了提高DHCP服务器的安全性,可以限制可分配IP地址的范围。通过设置地址池的起始地址和结束地址,可以防止未授权设备接入网络。同时,可以设置地址池的租约时间,限制设备在网络上停留的时间,降低未授权设备在网络上的影响。
此外,可以配置DHCP服务器,仅允许特定的MAC地址或IP地址范围接入网络。例如,可以创建一个列表,包含允许接入网络的MAC地址,然后将这个列表应用到DHCP服务器上。这样,只有列表中的设备才能从DHCP服务器获取IP地址,提高了网络的安全性。
最后,定期更新和修补DHCP服务器。随着网络技术的发展,新的安全漏洞不断被发现。为了保护DHCP服务器的安全,需要定期检查并安装最新的安全补丁。此外,可以定期对DHCP服务器进行安全扫描,及时发现和修复潜在的安全风险。
总之,通过启用审核记录、指定管理用户、限制权限、修改日志存放位置、限制IP地址范围、使用MAC地址过滤和定期更新补丁等策略,可以提高DHCP服务器的安全性,确保企业网络的稳定运行。同时,加强网络安全意识培训,提高员工的安全防范意识,也是确保网络安全的重要环节。
如何配置设置建立dhcp服务器
DHCP服务器典型配置实例
常见的DHCP组网方式可分为两类:一种是DHCP服务器和DHCP客户端都在一个子网内,直接进行DHCP协议的交互;另外一种是DHCP服务器和DHCP客户端分别处于不同的子网中,必须通过DHCP中继代理实现IP地址的分配。无论哪种情况下,DHCP服务器的配置都是相同的。
1. 组网图
图4-7 DHCP服务器与DHCP客户端在同一网络
2. 组网需求
DHCP服务器为同一网段中的客户端动态分配IP地址,DHCP服务器(HiPER)LAN口地址为192.168.16.1/24,欲配置两个地址池(地址池名为pool1和pool2),均绑定在LAN口,pool1地址范围为:192.168.16.2/24~192.168.16.101/24,pool2地址范围为:192.168.16.102/24~192.168.16.254/24。
两个地址池主DNS服务器地址为202.96.209.5、备DNS服务器地址为202.96.199.133,无WINS服务器;域名均为utt.com.cn;出口网关地址均为HiPER的LAN口地址。Pool的租用时间为3600秒,pool2的租用时间为7200秒。
另外局域网中某主机要求使用固定IP地址,因此需为它配置DHCP手工绑定。其用户名为binding1,预分配的IP地址为192.168.16.10/24,MAC地址为000795a81c3d,主机名为wgw,客户端标识使用“类型+MAC地址”方式,即采用hex表示方式,值为01000795a81c3d。显然,该DHCP手工绑定需绑定到pool1。
3. 配置步骤
1) DHCP服务器全局配置
! 启用DHCP服务器
set ip dhcp server enabLED yes
注意:本例中,使用系统缺省的地址检测机制。
2) 配置DHCP地址池“pool1”
由于系统缺省地址池名为“pool1”,因此,只需修改“pool1”相关信息即可。地址池pool1的出厂参数值可参见表4-25(章节4.4.3)。
与应用要求相比较,对pool1配置做如下修改,其余未修改参数采用系统缺省配置。
!设置地址池的起始地址为192.168.16.2
set ip dhcp pool/pool1 poolstart 192.168.16.2
!设置地址池的总地址数为100
set ip dhcp pool/pool1 poolcount 100
!设置地址池的网关地址为192.168.16.1
set ip dhcp pool/pool1 poolcount 192.168.16.1
!设置主DNS服务器和备DNS服务器分别为202.96.209.5和202.96.199.133
set ip dhcp pool/pool1 pridns 202.96.209.5
set ip dhcp pool/pool1 secdns 202.96.199.133
!设置客户端域名为utt.com.cn
set ip dhcp pool/pool1 domainname utt.com.cn
! 保存配置
write
3) 配置DHCP地址池“pool2”
地址池pool2配置如下,其余未配置的参数使用系统出厂值。
!新建一个地址池,名字为pool2
new ip dhcp pool/pool2
!设置地址池的起始地址为192.168.16.102
set ip dhcp pool/pool2 poolstart 192.168.16.102
!设置地址池的总地址数为153
set ip dhcp pool/pool2 poolcount 153
!设置地址池的网关地址为192.168.16.1
set ip dhcp pool/pool2 poolcount 192.168.16.1
!设置地址租用时间为7200秒
set ip dhcp pool/pool2 leasetime 7200
!设置主DNS服务器和备DNS服务器分别为202.96.209.5和202.96.199.133
set ip dhcp pool/pool2 pridns 202.96.209.5
set ip dhcp pool/pool2 secdns 202.96.199.133
!设置客户端域名为utt.com.cn
set ip dhcp pool/pool2 domainname utt.com.cn
! 保存配置
write
4) 配置DHCP手工绑定
DHCP手工绑定用户的配置如下:
!新建一个DHCP手工绑定用户,名字为binding1,类型为DHCP_STATIC
new user/binding1
set user/binding1 type dhcp_static
!配置绑定的地址池为pool1
set user/binding1 dhcppoolname pool1
!配置IP地址和MAC地址
set user/binding1 ipaddress 192.168.16.10
set user/binding1 macaddress 000795a81c3d
!配置客户端标识
set user/binding1 clientid hex:01000795a81c3d
!配置主机名
set user/binding1 hostname wgw
! 保存配置
write
如何配置DHCP更安全:
现在规模稍大的企业网,一般都使用DHCP服务器为客户机统一分配TCP/IP配置信息。这种方式不但减轻了网管人员的维护工作量,而且企业网的安全性也有了一定的提高。但DHCP服务器的安全问题却不容小视,它一旦出现问题,就会影响整个网络的正常运行,如何加强对DHCP服务器的管理呢?其实简单的几步就可以实现。
一、启用DHCP审核记录
在DHCP服务器中到底发生了什么事情,管理员单靠肉眼是无法察觉的,最简单的方法是查看Windows日志,但这时一定要确保启用了DHCP服务器的“审核记录”功能,否则,就无法在事件查看器中找到相应的记录。---www.bianceng.cn
笔者以Windows 2000服务器为例,依次点击“开始→程序→管理工具→DHCP”后,弹出DHCP控制台窗口,右键点击你的服务器,在菜单中选择“属性”,弹出属性设置对话框,切换到“常规”标签页,确保一定要选中“启用DHCP审核记录”选项,最后点击“确定”按钮。
这样就启用了DHCP服务器的审核记录,它的日志文件默认保存在“C:\WINNT\System32\dhcp”目录下。为了防止“不法之徒”恶意删除日志,可以修改DHCP日志文件的存放路径。切换到“高级”标签页,点击“审核日志路径”栏的“浏览”按钮,指定新的日志文件存放位置,接着,使用相同的方法,修改“数据库路径”,最后点击“确定”。这样,我们的DHCP日志就更加安全了。
二、指定DHCP管理用户
在企业网中,为了加强对DHCP服务器的管理,网络管理员要指定一个或若干用户对DHCP服务器进行管理。如笔者要指定账号名为“CCE”的用户能够对DHCP进行管理,在Windows 2000服务器中,进入到“控制面板→管理工具”,运行“Active Directory 用户和计算机”工具,在弹出的窗口中,点击“Users”选项,接着在右侧框体中找到“DHCP Administrators”项,右键点击,选择“属性”,弹出“DHCP Administrators属性”对话框,切换到“成员”标签页,点击“添加”按钮,将“CCE”用户添加到列表框中,最后点击“确定”按钮,这样“CCE”用户就能够管理DHCP服务器了。
三、对DHCP管理用户限制
如果网络管理员意外出现误操作,将其他的用户加入到DHCP管理组,那么这些用户也会拥有对DHCP服务器的管理权限,这种情况的发生同样会影响DHCP服务器的安全。如何对这些DHCP管理组用户进行限制呢?何不利用域安全策略,给DHCP服务器加个“双保险”。
如笔者只允许DHCP管理组的CCE用户,对DHCP服务器拥有管理权限,而其他用户只有“只读”权限。进入到“控制面板→管理工具”,运行“域安全策略”工具,弹出安全策略控制台窗口,接着依次展开“Windows 设置→安全设置→受限制的组”,然后在右侧框体中的空白处单击右键,选择“添加组”,弹出添加组对话框,在栏中输入“DHCP Administrators”后,点击“确定”按钮。
然后右键点击“DHCP Administrators”,选择“安全性”,弹出配置成员身份对话框,接着点击“添加”按钮,将“CCE”用户添加到成员列表中,最后点击“确定”。
通过以上三步操作后,我们的DHCP服务器就更加安全了,有兴趣的朋友,不妨一试!
