一， DHCP環境下手工上網簡介：

    DHCP服務能夠自動為連接到網絡的計算機提供包括IP地址， 子網掩碼， 網關地址以及DNS服務器地址等信息， 通過DHCP分配后我們的客戶機應該可以順利上網。 不過在DHCP環境下如果客戶機不將網絡參數設置為“自動獲得地址”方式而是手工指定上述地址信息的話， 如果設置得和DHCP服務器分配一致并正確的話， 客戶機依舊可以正常上網。

    正因為這種問題的存在造成一些非法入侵者或者并沒有權限的用戶， 甚至是某些想要搗亂的人會采取手工設置地址的方法來連接到企業內網中。 輕者造成IP地址沖突問題帶來其他機器的上網故障， 重者會帶來內網不安全問題， 出現問題后無法快速定位攻擊發動者。 當企業內網某計算機被外部網絡入侵制作成肉雞時這種手工設置地址聯網帶來的問題將變得更加明顯。

    那么有沒有辦法可以強制客戶端計算機必須使用DHCP自動獲得方式取得IP等地址才能夠順利上網呢？答案是肯定的， 今天就請各位跟隨筆者一起領教網管支招強制DHCP上網。

    二， 網管支招強制DHCP上網的思路：

    網管支招強制DHCP上網的思路來自于網絡廠商， 不管是華為3C0M公司還是CISCO廠商， 他們都針對強制DHCP上網提供了相應的技術支持。 對于Cisco公司的產品來說我們可以通過dhcp-snooping和Dynamic ARP Inspection來完成；對于華為3COM來說通過ip-snooping技術也可以有效解決。

    華為的dhcp snooping在dhcp server發回ACK報文后， 生成綁定表， 可選擇檢查以下信息， 通過檢查這些報文數據達到了強制DHCP上網的目的。

    （1）dhcp報文內client hardware address與報文源MAC是否匹配。

    （2）arp報文senderip和sendermac與綁定表是否匹配。

    （3）IP報文SIP和SMAC是否與綁定表匹配。

    （4）檢查dhcp續租時client發出的request報文， 檢查綁定表內續租ip對應的SMAC與報文SMAC是否匹配。

    Cisco的dhcp snooping可以防止非法dhcp服務器的建立， 并且可以根據相關參數生成一個ip-mac-port的一個綁定表， 然后可以根據這個表檢查所有的arp包是否合法， 用來避免arp攻擊， 同時也可以一般方式私設ip。 說白了經過ip-mac-port綁定后在相應客戶端上網時一方面可以通過DHCP獲得地址信息， 另一方面在手工設置時也不能隨意添加地址， 必須使用ip-mac-port綁定表中的IP地址作為自己的上網地址， 這樣的策略實際上限制了手工設置IP的地址信息， 解決了上文提到的種種安全和管理問題。

    總之這些技術的實現思路就是通過檢查流經端口數據包的信息， 分析該數據中是否有明確的DHCP標識， 如果沒有相應的標識那就可以確定源地址是通過手工設置上網的， 通過過濾技術和策略命令可以實現數據包的丟棄， 從而阻止了采取手工設置IP地址方式上網客戶端的正常聯機。 三， 實戰強制采取DHCP上網：

    接下來筆者舉兩個例子來說明如何在路由交換設備上開啟相關的策略與功能， 讓內網管理強制采取DHCP方式上網。

    （1）Cisco設備的設置與操作：

    在Cisco設備上通過dhcp snooping技術建立ip-mac-port的一個綁定表即可阻止手工隨意設置IP上網問題的發生。

    第一步：首先通過configure terminal 進入路由交換設備配置模式。

    第二步：在配置模式下啟用DHCP Snooping， 具體指令為ip dhcp snooping。

    第三步：在固定接口或VLAN上啟用 DHCP Snooping， 具體指令是ip dhcp snooping vlan XXX。

    第四步：通過“interface 接口號”命令進入交換機對應的接口。

    第五步：輸入ip dhcp snooping trust將接口設置為受信任端口。

    第六步：設置每秒鐘處理DHCP數據包上限為500個——ip dhcp snooping limit rate 500 。 （如圖1）

    第七步：之后我們的Cisco相關設備會針對當前環境建立一個ip-mac-port三方綁定表， 通過這個ip-mac-port綁定表我們可以阻止手工設置網絡參數問題的發生。 通過show ip dhcp snooping binding命令可以查詢此綁定表信息， 具體格式是00:22:09:11:33:16 192.168.1.1 3209 dhcp-snooping 103 GigabitEth ernet1/0/28， 依次顯示MAC地址， IP地址以及應用的VLAN號還有對應的接口信息。

    （2）華為3COM設備上的操作：

    在華為3COM設備上開啟dhcp snooping功能可以阻止客戶端手工設置IP地址上網。 具體操作如下。

    第一步：設置DHCP服務器相關信息——dhcp-server 1 ip 192.168.11.2 192.168.0.25。

    第二步：進入某端口——interface Vlan-interface3

    第三步：為端口設置IP地址——ip address 192.168.3.254 255.255.255.0

    第四步：指定該端口使用的DHCP服務器號——dhcp-server 1

    第五步：強制查詢連接該端口主機的IP地址設置情況， 要求必須通過DHCP服務器獲取IP地址信息——address-check enable， 說白了就是開啟dhcp snooping檢查功能。 （如圖2）

    四， 總結：

    強制內網客戶端必須使用DHCP上網是個非常不錯的管理策略， 這樣客戶機就不能夠隨意越權和入侵內網了， 對于企業網絡管理員來說管理內網也很方便， 出現問題直接查詢DHCP服務器上的租約及對應地址關系即可。 當然本文主要從路由交換設備下手講解強制采取DHCP方式上網的辦法， 對于非Cisco和華為3COM產品來說可以參考產品說明書或詢問技術支持熱線了解解決辦法