每個網絡管理員都希望能夠找到一種切實可行的方案來維護本地網絡的安全，同時在不降低網絡安全等級的情況下還能有效提高自己的網絡管理效率。其實，控制DHCP 服務器就是一種既能保證網絡安全又能提高網絡管理效率的兩全其美的辦法。

　　在控制DHCP 服務器的過程中，參數設置最為重要，設置正確, 也就代表著網絡安全得到保障的開始！

　　安全接入思路

　　在局域網工作環境中，要是允許任意一臺普通計算機自由接入網絡，那么相應網絡的安全性將很難得到有效保證。試想一下，一臺被感染了網絡病毒的普通計算機連接到網絡后，對應系統中的網絡病毒很有可能會通過網絡傳染給局域網中的其他計算機。這樣相互傳播、感染，整個網絡勢必就會受到網絡病毒的嚴重攻擊，此時網絡的安全性自然也就受到破壞了。

　　為了保證網絡安全，必須對網絡的接入進行適當控制，確保那些可以信任的普通計算機才能接入本地網絡并訪問互聯網。

圖1 新建用戶類別向導

　　那么，究竟哪些普通計算機是可以信任的呢？在這里，我們可以強制普通計算機自動從DHCP 服務器那里獲得IP 地址，在申請IP 地址的過程中，要求DHCP 服務器對普通計算機的合法性進行認證。如果計算機能夠順利通過認證，那么DHCP 服務器才能將上網參數地址，包括IP 地址、網關、DNS 服務器等，分配給這臺計算機，這樣一來可以信任的普通計算機系統就能正常接入到網絡了。

　　如果計算機沒有通過DHCP 服務器的驗證，那么對應系統就無法從DHCP 服務器那里獲得有效的上網參數，此時這些不值得信任的普通計算機也就不能連接到本地網絡。這樣一來，本地網絡的安全性就能得到保證了。

　　在進行客戶端系統的合法性認證時，可以先在DHCP服務器中創建合法性規則，同時為該規則配置相應的上網參數，包括IP 地址、網關、DNS 服務器等，之后為客戶端系統設計合法性標記。這樣，以后普通計算機向DHCP服務器申請上網參數時，DHCP 服務器中的合法性規則就會對客戶端系統的合法性標記進行檢查驗證：如果發現客戶端系統沒有合法性標記或標記不能通過合法性規則驗證時，就不會為它分配有效的上網參數；如果客戶端系統通過合法性規則驗證，對應規則下面的上網參數就能自動分配給目標客戶端系統了，這個時候普通計算機就能正常地接入到本地網絡中。

　　創建合法性規則

　　為了對客戶端系統的上網安全性進行控制，可以在DHCP 服務器中創建合法性規則，來對普通計算機的合法性進行認證。

　　可以在DHCP 服務器中創建一個新的DHCP 用戶類別，并要求對客戶端系統的用戶類別進行驗證，驗證通過之后才能對客戶端系統的上網請求做出響應。

　　在創建新的DHCP 用戶類別時，首先打開DHCP 服務器主機系統的“開始”菜單，從中依次選擇“程序”→“管理工具”→“DHCP”命令，進入DHCP 服務器控制臺界面，選中該界面左側列表中的目標主機圖標，同時右擊該主機圖標，并選擇右鍵菜單中的“定義用戶類別”命令或“定義提供商類別”命令，彈出新建用戶類別向導窗口，如圖1 所示。在該向導窗口的“顯示名稱”位置處，輸入一個DHCP 用戶類別名稱，例如，將該用戶類別名稱輸入為“hefa”。

　　為了方便日后管理，還可以對該用戶類別的作用進行一些描述，例如，在“描述”位置處輸入“控制網絡接入安全”之類的描述性信息。當然，如果DHCP 用戶類別名稱比較少，可以不設置描述信息。

　　接下來，還要在ID 位置處設置合法計算機的匹配類ID，例如，當我們在ASCII 字符位置處輸入“hefa”信息時，對應ID 位置處的二進制數值就是合法計算機的匹配類ID。日后DHCP 服務器會通過這個匹配類ID 來驗證普通計算機的合法性。在確認上面的設置正確無誤后，單擊“確定”按鈕，保存好上述設置操作。

　　配置合法上網參數

　　如果DHCP 服務器發現普通計算機系統的匹配類ID符合要求時，就認為該客戶端系統是合法的。此時就應該為目標客戶端系統分配合法、有效的上網參數，確保該計算機可以順利地接入到本地網絡中。

　　為此，在我們創建好“hefa”用戶類別名稱時，還應該為該用戶類別配置合法的上網參數，確保那些通過用戶類別驗證的普通計算機可以從DHCP 服務器那里申請到有效的上網參數。

　　下面就是具體的配置步驟：

　　首先，切換進入DHCP 服務器的控制界面，展開該界面左側子窗格中的目標主機選項，右擊“作用域選項”，選擇右鍵菜單中的“配置選項”命令，繼續選擇彈出界面中的“高級”選項卡，打開高級選項設置頁面，如圖2所示。
 

圖2 高級選項設置

　　在這里可以為合法計算機分配IP 地址、默認網關、DNS 服務器等上網參數，同時可以設置IP 地址的租約期限等參數。例如，要為“hefa”用戶類別配置上網參數時，可以先單擊“用戶類別”位置處的下拉按鈕，并從下拉列表中將先前創建好的“hefa”用戶類別選中，之后從可用選項列表中選中“003 路由器”，并在對應選項下面的設置區域輸入合適的默認網關地址，然后單擊“添加”按鈕，即可完成默認網關的分配操作。

　　之后選中“006 DNS 服務器”選項，在對應該選項下面的設置區域，輸入本地網絡上網訪問時用到的ISP 提供的DNS 服務器地址，再單擊“添加”按鈕，完成DNS 服務器的分配操作。同樣地，還可以選中“051 租約”選項，來設置動態IP 地址的有效租約期限。

　　如果想為普通計算機修改動態IP 地址，必須展開目標作用域下面的“地址池”選項，并在對應選項的設置頁面中修改上網IP 地址，修改完畢后單擊“確定”按鈕保存好設置操作。

　　設置合法性標記

　　為了保證那些值得信任的普通計算機系統可以順利地通過DHCP 服務器的合法性驗證，應該事先為那些安全的客戶端系統設置合法性標記，確保該系統的DHCP 類ID名稱符合合法性驗證要求。

　　在為普通計算機設置合法性標記時，可以依次選擇“開始”→“運行”命令，打開客戶端系統的運行文本框，在其中執行“CMD”字符串命令，進入對應系統的MS-DOS工作窗口。

　　接下來，在MS-DOS 工作窗口的命令行提示符下，執行“ipconfig /setclassid Local Connection hefa”字符串命令，這樣就可以成功地將客戶端系統本地連接的DHCP 類ID名稱設置為“hefa”標記了。

　　控制網絡接入安全

　　為了讓普通計算機接受DHCP 服務器的合法性控制，必須強制要求客戶端系統在上網訪問時，主動連接DHCP服務器。這樣一來，DHCP 服務器就能自動對上網計算機的合法性進行驗證了。

　　要做到這一點，其實很簡單，我們可以設置普通客戶端系統的上網參數，讓其自動獲得IP 地址。

　　在設置自動獲得IP 操作時，先打開客戶端系統的“開始”菜單，從中逐一選擇“設置”→“網絡連接”選項，用鼠標右鍵單擊網絡連接列表界面中的本地連接圖標，再執行右鍵菜單中的“屬性”命令，彈出本地連接屬性設置對話框。

　　選擇該對話框中的“常規”選項卡，選擇該選項設置頁面中的TCP/IP 協議選項，同時單擊“屬性”按鈕，打開對應的選項設置對話框，選中這里的“自動獲得IP 地址”、“自動獲得DNS 服務器地址”等選項，再單擊“確定”按鈕，執行設置保存操作。

　　以后，當包含有“hefa”標記的普通計算機嘗試連接DHCP 服務器時，DHCP 服務器的合法性規則就會認為該計算機是可以信任的，就會將對應規則下面的上網參數分配給該計算機了。

　　有了上網參數，該計算機系統就能正常接入到本地局域網中了；而那些不安全的普通計算機則因為無法得到上網參數而不能進行網絡連接，網絡安全因此得到一定的保障。

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：用DHCP服務器保接入網絡安全

本文網址：http://www.guhuozai8.cn/html/consultation/1083964729.html