【正文】 DHCP服務(wù)器1不可用的話，DHCP服務(wù)器2可以取代它并繼續(xù)租用新的地址或續(xù)訂現(xiàn)有客戶機(jī)。可以建議采用的解決方案是使用80/20 規(guī)則來劃分兩個(gè) DHCP 服務(wù)器之間的作用域地址，具體做法可以是將服務(wù)器 1 配置成可使用大多數(shù)地址（約 80%），服務(wù)器 2 可以配置成讓客戶機(jī)使用其他地址（約 20%）。 （2）、如果在一個(gè)網(wǎng)絡(luò)中存在多個(gè)子網(wǎng)，而多個(gè)子網(wǎng)的主機(jī)都需要DHCP服務(wù)器來提供地址配置信息，那么我們可以采用的方法是在每一個(gè)子網(wǎng)中安裝一臺(tái)DHCP服務(wù)器，讓它們來為各個(gè)子網(wǎng)分配IP地址，但從節(jié)約資源利用出發(fā)，我們一般情況下不這樣做，可以采取在一個(gè)子網(wǎng)中安裝DHCP服務(wù)器，讓它來為多個(gè)子網(wǎng)分配IP地址，實(shí)現(xiàn)多子網(wǎng)地址分配可以借助DHCP的中繼代理功能實(shí)現(xiàn)，而作為中繼代理的設(shè)備可以是一臺(tái)提供中繼代理程序的Windows2000服務(wù)器或是一個(gè)符合RFC1542規(guī)定的路由器，具備 DHCP/ BOOTP Relay Agent 的功能（DHCP relay agent能夠把 DHCP/BOOTP 廣播信息從一個(gè)網(wǎng)段轉(zhuǎn)播到另一個(gè)網(wǎng)段上）。以管理的局域網(wǎng)分為三個(gè)子網(wǎng)，用Win2000服務(wù)器連接。 下面是實(shí)現(xiàn)跨子網(wǎng)使用DHCP服務(wù)器的具體解決方案： 1安裝DHCP中繼代理程序：在Windows2000服務(wù)器的“路由和遠(yuǎn)程訪問”窗口中，依次展開“本地服務(wù)器→IP路由選擇→常規(guī)”選項(xiàng)，右鍵點(diǎn)擊“常規(guī)”選項(xiàng)，在彈出的菜單中選擇“新增路由協(xié)議”，然后在“新路由協(xié)議”窗口中選擇“DHCP中繼代理程序”，接著點(diǎn)擊“確定”按鈕。 2指定DHCP服務(wù)器：右鍵點(diǎn)擊剛剛添加的“DHCP中繼代理程序”選項(xiàng)，在彈出菜單中選擇“屬性”，進(jìn)入“DHCP中繼代理程序?qū)傩浴睂?duì)話框，在“常規(guī)”標(biāo)簽頁(yè)的“服務(wù)器地址”欄中輸入子網(wǎng)1中DHCP服務(wù)器的IP地址：，然后點(diǎn)擊“添加”按鈕，最后點(diǎn)擊“確定”按鈕關(guān)閉該對(duì)話框。 3配置訪問接口：右鍵點(diǎn)擊“DHCP中繼代理程序”選項(xiàng)，在彈出菜單中選擇“新增接口”，然后在“DHCP中繼代理程序的新接口”對(duì)話框中的“接口”列表框中選中可以訪問子網(wǎng)1中的DHCP服務(wù)器的接口，這里新增的接口應(yīng)該是接口二和接口三，接著點(diǎn)擊“確定”按鈕。然后在彈出的“DHCP中繼站屬性”對(duì)話框中，選中“中繼DHCP數(shù)據(jù)包”選項(xiàng)，這樣就啟用了它的中繼功能，最后點(diǎn)擊“確定”按鈕。 4DHCP服務(wù)器中配置一個(gè)超級(jí)作用域，其中包含三個(gè)普通作用域，~（分配給子網(wǎng)1的PC使用）；~（分配給子網(wǎng)2的PC使用）；~（分配給子網(wǎng)3的PC使用），必須記住DHCP只能為每一個(gè)子網(wǎng)分配一個(gè)范圍完成以上配置后，子網(wǎng)2和子網(wǎng)3中的DHCP客戶機(jī)PC2及PC3就可以通過主機(jī)A的DHCP中繼代理程序訪問子網(wǎng)1中的DHCP服務(wù)器。 (3)、解決了單臺(tái)DHCP服務(wù)器為多個(gè)子網(wǎng)分配IP地址后，我們還要搞清楚的一個(gè)問題是，如果某一個(gè)子網(wǎng)的PC如子網(wǎng)2中的PC2或子網(wǎng)3中的PC3發(fā)出地址請(qǐng)求信息后，主機(jī)A可以作為中繼代理對(duì)他們的請(qǐng)求傳達(dá)子網(wǎng)1中的DHCP服務(wù)器，？這個(gè)是多數(shù)學(xué)生可能存在的疑問，要搞清楚這個(gè)問題，可以參考以下的原理分析來找答案：以子網(wǎng)2中的主機(jī)PC2為例，DHCP 客戶機(jī)PC2在子網(wǎng)2 上廣播 DHCP/BOOTP discover 消息 (DHCPDISCOVER),廣播是將消息以 UDP (User Datagram Protocol)數(shù)據(jù)包的形式通過 67 端口發(fā)出，當(dāng)中繼代理（relay agent）主機(jī)A接收到這個(gè)消息后,它檢查包含在這個(gè)消息報(bào)頭中的網(wǎng)關(guān)IP 地址，如果網(wǎng)關(guān)IP 地址為 ,則用 relay ，然后將其轉(zhuǎn)發(fā)到 DHCP 服務(wù)器所在的子網(wǎng)1上（主機(jī)A還擔(dān)任路由器功能）。當(dāng)在子網(wǎng)1中的 DHCP服務(wù)器收到這個(gè)消息后，它開始檢查消息中的網(wǎng)關(guān)IP地址，然后判斷該網(wǎng)關(guān)地址是否包含在DHCP的某一個(gè)作用域范圍內(nèi)，從而決定它是否可以使用相應(yīng)的作用域的地址來提供IP地址租約，當(dāng)然，~；也就是說DHCP客戶機(jī)的請(qǐng)求地址消息中的網(wǎng)關(guān)IP地址 (GIADDR) 將是DHCP服務(wù)器用來確定從那個(gè)DHCP 范圍中挑選IP地址來配置客戶機(jī)的依據(jù)。 (4)、如果DHCP客戶機(jī)無法找到DHCP服務(wù)器，則它從微軟保留的 B 類網(wǎng)段 中挑選一個(gè) IP 地址作為自己的 IP 地址，子網(wǎng)掩碼為 ，所挑選的地址由DHCP客戶機(jī)利用ARP 廣播來確定自己所挑選的 IP 地址是否已被網(wǎng)絡(luò)上的其它設(shè)備使用，如果該 IP 地址已被使用，那么客戶機(jī)會(huì)再挑選另一個(gè)IP地址重新進(jìn)行測(cè)試，而且最多可以重試十個(gè)IP 地址，直到成功獲取配置。在此之后，客戶機(jī)會(huì)在后臺(tái)繼續(xù)每隔 5 分鐘嘗試與DHCP服務(wù)器進(jìn)行通信，一旦與服務(wù)器取得聯(lián)絡(luò)，則客戶機(jī)放棄自動(dòng)設(shè)置的 IP 地址，而使用服務(wù)器分配的 IP 地址和其它配制信息。第五章 DHCP未來的發(fā)展方向DHCP協(xié)議雖然可以實(shí)現(xiàn)客戶機(jī)動(dòng)態(tài)分配地址，但它的安全性有致命的弱點(diǎn)，表現(xiàn)在以下幾個(gè)方面： 由于DHCP SERVER無法控制CLIENT行為，無法識(shí)別CLIENT的真假。一次DHCP SERVER的安全性較差，很容易遭到分發(fā)用戶的惡意攻擊，如果用戶大量發(fā)送非法的DHCP報(bào)文時(shí)，會(huì)造成DHCP SERVER地址池的耗盡。無法發(fā)現(xiàn)非法用戶仿冒其他用戶的IP地址，MAC地址的情況?；谏厦姘踩缘膯栴}、目前黑客采用的攻擊方法主要有以下幾個(gè)幾種 （1）重復(fù)執(zhí)行ipconfig –release_all。解決方法：在實(shí)際情況中，重復(fù)執(zhí)行ipconfig –release_all,實(shí)際上只是發(fā)出了DHCP Request報(bào)文，并沒有申請(qǐng)新的IP地址，DHCP服務(wù)器回一個(gè)DHCP Ack報(bào)文，允許游湖繼續(xù)使用該IP地址，攻擊失敗。（2）先執(zhí)行一個(gè)正常的DHCP過程，用NetXRay把報(bào)文截取下來，在修改MAC地址，吧報(bào)文按順序發(fā)出去，但并沒有發(fā)ARP廣播報(bào)文，結(jié)果導(dǎo)致DHCP server被騙去一個(gè)IP地址,黑客工具Azrael就是利用這個(gè)原理騙取IP地址的。解決方法：在正常情況下，用戶申請(qǐng)到動(dòng)態(tài)IP地址后，都要發(fā)一個(gè)ARP廣播，目的IP地址是分配給它的IP，想看看是否有IP地址沖突?？梢岳眠@一點(diǎn)檢查用戶動(dòng)態(tài)申請(qǐng)IP地址后是否發(fā)ARP廣播，如果不發(fā)就認(rèn)為是假的用戶，就通知DHCP服務(wù)器吧該IP地址釋放。（3）黑客在方法2的基礎(chǔ)上在加一條ARP廣播，就可以騙過DHCP Relay，申請(qǐng)到的IP地址不會(huì)被釋放，結(jié)果大量模擬發(fā)送這種報(bào)文就可以吧DHCP地址池耗盡。星天平臺(tái)的Vlan Dial可以實(shí)現(xiàn)這種原理的攻擊。解決方法：由于現(xiàn)在的網(wǎng)絡(luò)主要是ATM網(wǎng)和IP網(wǎng)，而IP網(wǎng)絡(luò)中最盛行的就是以太網(wǎng)，在以太網(wǎng)中為例抑制廣播，采用了VLAN的技術(shù)，由此我們可以想到要從根本上防止DHCP攻擊，可以采用限制單個(gè)PVC/VLAN上的用戶數(shù)的方法。經(jīng)過限制PVC/VLAN上的用戶數(shù)，黑客工具再厲害也不能獲得很多的IP地址。從上面的攻擊中可以看出,在實(shí)際應(yīng)用中僅僅按照DHCP的準(zhǔn)協(xié)議內(nèi)容 來實(shí)現(xiàn)DHCP功能是遠(yuǎn)遠(yuǎn)不夠的,除非在一個(gè)完全可以信任的網(wǎng)絡(luò)中如企業(yè) 內(nèi)部網(wǎng)絡(luò)。在實(shí)際應(yīng)用中除了實(shí)現(xiàn)DHCP的標(biāo)準(zhǔn)功能外，還必須考慮對(duì)于用戶的控制，雖然這超出了DHCP協(xié)議本身的內(nèi)容，但沒有這些控制功能，連網(wǎng)的安全性都無法保證，DHCP也就失去了意義。為了 克 服其 缺點(diǎn)DHCP 協(xié)議也在 不 斷 的發(fā)展 和完 。現(xiàn) 在 已經(jīng)有了 DHCP+協(xié)議的提法,簡(jiǎn)單的說DHCP+協(xié)議就是在現(xiàn)在的DHCP協(xié)議基礎(chǔ)上 ,增加了用戶認(rèn)證功能,那么用什么信息來標(biāo)識(shí)用戶呢?至于怎么實(shí)現(xiàn)目前還沒有統(tǒng)一的說法。各個(gè)公司都有著自己的方法：DHCP+WEB 認(rèn) 證 的方 式,兩次 DHCP 的方式等。就目前來說，感覺最現(xiàn)實(shí)，改動(dòng)最少的方法還是在DHCP RELAY處進(jìn)行用戶認(rèn)證，因?yàn)槿绻贒HCP SERVER處實(shí)現(xiàn)用戶認(rèn)證，則就必須改動(dòng)現(xiàn)存的DHCP SERVER軟件，而目前DHCO SERVER軟件都是集成在操作系統(tǒng)中的，如NT，UNIX，這就意味著要改動(dòng)操作系統(tǒng)，肯定不是在短時(shí)間能夠支持的。而DHCP RELAY 是新增的附加軟件，改動(dòng)容易，在DHCP RELAY處實(shí)現(xiàn)用戶認(rèn)證后，DHCP SERVER 完全不用改動(dòng)。第六章 總結(jié)DHCP服務(wù)在當(dāng)今的網(wǎng)絡(luò)中幾乎成了一項(xiàng)必不可少的服務(wù)，他配置簡(jiǎn)單，給簡(jiǎn)化網(wǎng)絡(luò)配置帶來的效果確非常的明顯。省去了大量的人力。同時(shí)也更加的精確。減少了手動(dòng)配置帶來的失誤。雖然先在DHCP仍然存在這一些不足，但在不久更為完善的DHCP服務(wù)將會(huì)出現(xiàn)在我們的面前，它會(huì)更加的方便和安全。在未來網(wǎng)絡(luò)中的應(yīng)用也會(huì)更為的廣泛。致謝首先我要感謝姚裕寶，戴白刃老師給予我的教育和幫助，通過他們的指導(dǎo)我才完成了這篇論文，在學(xué)校的兩年多的學(xué)習(xí)中，是老師讓我從一個(gè)對(duì)網(wǎng)絡(luò)一無所知的學(xué)生成長(zhǎng)為一個(gè)懂得網(wǎng)絡(luò)技術(shù)的人員，可以通過這門技術(shù)找到屬于自己的工作。通過這次論文的寫作，我對(duì)網(wǎng)絡(luò)上DHCP的應(yīng)用有了更為深刻的了解，對(duì)DHCP的配置也更加的熟練。我還要感謝在我學(xué)習(xí)期間給我極大關(guān)心和支持的家人以及關(guān)心我的同學(xué)和朋友。寫作畢業(yè)論文是一次再系統(tǒng)學(xué)習(xí)的過程，畢業(yè)論文的完成，同樣也意味著新的學(xué)習(xí)生活的開始。我將銘記我曾是一名常州信息學(xué)院學(xué)子，在今后的工作中奮發(fā)圖強(qiáng)，牢記老師的尊遵教誨。感謝各位專家的批評(píng)指導(dǎo)。參考文獻(xiàn)：[1] 鞠光明 微軟網(wǎng)絡(luò)操作系統(tǒng)北京：機(jī)械工業(yè)出版社 [2] 梁如軍Red Hat Linux 9 應(yīng)用基礎(chǔ)教程北京：機(jī)械工業(yè)出版社 [3] 趙佩華計(jì)算機(jī)基礎(chǔ)蘇州：蘇州大學(xué)出版社 [4]王文濤 王珂網(wǎng)絡(luò)管理員必備寶典網(wǎng)絡(luò)組建北京：清華大學(xué)出版社20068[5]馮昊 Linux服務(wù)器配置與管理北京：清華大學(xué)出版社[6] 趙松濤 蕭衛(wèi)Windows Server 2003 網(wǎng)絡(luò)服務(wù)配置案例北京：人民郵電出版社畢業(yè)設(shè)計(jì)（論文）成績(jī)?cè)u(píng)定表一、指導(dǎo)教師評(píng)分表（總分為70分）序 號(hào)考 核 項(xiàng) 目滿 分評(píng) 分1工作態(tài)度與紀(jì)律102調(diào)研論證103外文翻譯54設(shè)計(jì)（論文）報(bào)告文字質(zhì)量105技術(shù)水平與實(shí)際能力156基礎(chǔ)理論、專業(yè)知識(shí)與成果價(jià)值157思想與方法創(chuàng)新5合計(jì)70指導(dǎo)教師綜合評(píng)語(yǔ)： 指導(dǎo)教師簽名： 年 月 日 二、答辯小組評(píng)分表（總分為30分）序 號(hào)考 核 項(xiàng) 目滿 分評(píng) 分1技術(shù)水平與實(shí)際能力52基礎(chǔ)理論、專業(yè)知識(shí)與成果價(jià)值53設(shè)計(jì)思想與實(shí)驗(yàn)方法創(chuàng)新54設(shè)計(jì)（論文）報(bào)告內(nèi)容的講述55回答問題的正確性10合計(jì)30答辯小組評(píng)價(jià)意見（建議等第）： 答辯小組組長(zhǎng)教師簽名： 年 月 日三、系答辯委員會(huì)審定表1． 審定意見2．審定成績(jī)（等第）_____ ___ 系主任簽字： 年 月 日39 / 40