如何保护合法的DHCP服务器

核心提示： 4、另类方法干扰在实际使用中笔者发现了一个另类的方法，该方法和上面介绍的消极防范结合起来使用效果还算不错，如何保护合法的DHCP服务器(3)，这个方法就是只要知道非授权的DHCP的IP，找台电脑设置和他同样的IP，总结：DHCP是网络中的关键服务器，做好它的“安保”至关重

4、另类方法干扰

在实际使用中笔者发现了一个另类的方法，该方法和上面介绍的消极防范结合起来使用效果还算不错。这个方法就是只要知道非授权的DHCP的IP，找台电脑设置和他同样的IP，能降低非授权DHCP发放的数量，这样在执行ipconfig /release和ipconfig /renew时获得合法网络信息的概率大大提高。

5、实施屏蔽

第一步：知道了非授权DHCP服务器的IP地址后使用ping -a ip来反向查看他的计算机主机名。根据ARP命令查询该计算机对应的MAC地址，也可以到合法DHCP服务器上查看缓存池中该IP对应的MAC地址。 知道了MAC地址后登录交换机执行show mac add显示所有MAC地址与交换机端口的对应关系。(图3)

(提示：屏蔽非授权DHCP服务器一定要从MAC地址来入手，因为IP地址可以修改而且自动获得IP的方法很多，获得的参数也会产生变化。)

第二步：我们就可以从显示的对应关系列表中查看到该MAC对应的端口号了，如果端口比较多还可以使用“sh mac address add 0180.c200.0005”这样的格式来查询0180.c200.0005这个MAC地址对应的端口。(图4)

第三步：找到对应的端口后通过int命令进入该接口，然后使用shutdown关闭该接口，从而阻断了该计算机与外界的联系。

利用这种方式屏蔽非授权DHCP服务器当使用的是集线器连接下方设备时，会在交换机上的一个端口学习到多个MAC地址，如果我们直接将该端口通过shutdown命令关闭的话，则集线器连接的所有设备都无法使用网络了。遇到这种情况我们可以使用基于MAC地址的访问控制列表来控制，(图5)。具体命令为：

　　macaccesss-listextendedgslw
　　denyhost0180.c200.0005any
　　permitanyany

然后在进入非授权DHCP所在的交换机端口执行如下命令：mac access-group gslw in设置完毕后就阻止了MAC地址为0180.c200.0005的计算机对外网的访问，而又不影响连接到同一台集线器上的其他设备。

总结：DHCP是网络中的关键服务器，做好它的“安保”至关重要，希望上面的安防措施对大家有所帮助。