当前位置：首页 > news >正文

DHCP部署与安全详解

news 文章来源：https://blog.csdn.net/2201_75641637/article/details/131868883 2025/5/21 10:12:13

文章目录

一、DHCP是什么？
二、DHCP相关概念
三、DHCP优点
四、DHCP原理
- 1. 客户机发送DHCP Discovery广播包（发现谁是DHCP服务器）
- 2. 服务器响应DHCP Offer广播包
- 3. 客户机发送DHCP Request广播包
- 4. 服务器发送DHCP ACK广播包
五、DHCP续约
六、部署DHCP服务器
- 1. IP地址固定（服务器必须固定IP地址）
- 2. 安装DHCP服务插件
- 3. 新建作用域及作用域选项
- 4. 激活
- 5. 客户机验证
七、地址保留
八、选项优先级
九、DHCP备份

一、DHCP是什么？

DHCP（Dynamic Host Configuration Protocol）动态主机配置协议，是 RFC 2131定义的标准协议，该协议允许服务器向客户端动态分配 IP 地址和配置信息，作用说通俗点就是自动分配IP地址。为什么要自动分配呢？主要是因为除了专业的网络工程师，很多普通人是不会配置IP的，所以有这个协议，就很方便普通人去使用互联网。

二、DHCP相关概念

地址池/作用域：（IP、子网掩码、网关、DNS、租期），DHCP协议端口是UDP 67/68

三、DHCP优点

减少工作量、避免IP冲突、提高地址利用率

四、DHCP原理

DHCP原理也称为DHCP租约过程，分为4个步骤：

1. 客户机发送DHCP Discovery广播包（发现谁是DHCP服务器）

客户机广播请求IP地址（包含客户机的MAC地址）

2. 服务器响应DHCP Offer广播包

服务器响应提供的IP地址（但无子网掩码、网关等参数）

3. 客户机发送DHCP Request广播包

客户机选择IP（也可认为确认使用哪个IP）

4. 服务器发送DHCP ACK广播包

服务器确定了租约，并提供网卡详细参数IP、掩码、网关、DNS、租期等

五、DHCP续约

当租期50%过后，客户机会再次发送DHCP Request包，进行续约，如服务器无响应，则继续使用并在87.5%再次发送DHCP Request包，进行续约，如仍然无响应，则客户机释放IP地址，重新发送DHCP Discovery广播包来获取IP地址
当无任何服务器响应时，自动给自己分配一个169.254.x.x/16，属于全球统一无效地址，用于临时内网通信

六、部署DHCP服务器

1. IP地址固定（服务器必须固定IP地址）

如果要将某主机设置为DHCP服务器，则该IP地址必须固定，否则无法设置为DHCP服务器。同理，所有的服务器IP地址必须是固定的，试想，如果我们访问的百度、京东等网站IP地址经常变换，用户还能用吗

2. 安装DHCP服务插件

以Windows2003服务器为例，DHCP服务插件的安装过程如下：

双击打开2003的镜像光盘，如下图所示
鼠标点击【安装可选的Windows组件】，如下图
往下滑动找到【网络服务】，然后鼠标双击打开
找到【动态主机配置协议（DHCP）】，并且勾选上，然后点击【确定】、【下一步】安装即可

5.验证DHCP服务插件是否安装好，cmd命令打开控制台，输入命令：netstat -an，然后回车，可以看到如下图所示，其中端口号为67和68的就是DHCP服务端口号，证明该服务已开启

在这里插入图片描述

3. 新建作用域及作用域选项

DHCP服务打开之后，还无法为用户提供服务，因为没有IP地址池，接下来要创建地址池，也就是作用域（在Linux系统中称为地址池，在Windows系统中称为作用域）。
新建作用域的步骤如下：

鼠标点击左下角【开始】，然后点击【管理工具】，找到上一步安装好的【DHCP】插件，然后点击打开
进入DHCP服务页面，鼠标右键点击DHCP服务器名，在下拉列表中选择【新建作用域】
点击【下一步】
这里的作用域名和描述，自己随便写，如果在实际生产场景中，一般是写公司名，然后【下一步】
定义地址范围，准备给客户机的可用地址范围区间，比如下图所示，范围区间从10.1.1.21-10.1.1.250。以及子网掩码长度用以决定网段。然后点击【下一步】

在这里插入图片描述

用以排除的IP地址范围，也就是不给客户机使用的IP地址范围。如下图所示，排除了10.1.1.222，也就是该地址不予分配。然后点击【下一步】

在这里插入图片描述

定义租期，也就是IP地址使用时间，如下图租期设定为1小时。然后点击【下一步】

在这里插入图片描述

该页面是询问是否要现在开始给IP配置对应的网关，DNS等其他参数，这里点击【是】，然后点击【下一步】

在这里插入图片描述

配置网关，要咨询公司工程师，网关地址是多少，不配置的话，可以内部通信，但是无法上网，配置好之后，点击【下一步】

在这里插入图片描述

配置DNS服务器，页面中的【父域】不用管，只需配置DNS服务器的IP地址。DNS的IP地址要首先知道自己公司的网络运营商是哪家，比如电信、移动等等，然后网上查询所在城市该运营商的DNS服务器地址，配置进来即可，也可以如下图所示，配置两个服务器IP，如果第一个出现故障无法使用，则默认使用第二个替补。然后点击【下一步】

在这里插入图片描述

如下图所示wins服务器是早期的一种古老服务器，它是DNS服务器的上一代产品，现在市面已经淘汰，不做使用，所以这里直接跳过，点击【下一步】

在这里插入图片描述

4. 激活

是否要现在激活地址池（作用域），因为我们现在是做实验，所以直接激活即可。如果是现实工作中，先不要激活，可以先检查一遍作用域有没有配置正确，没问题再激活。如果没有激活的话，即使配置好了，但是其他客户机也是无法使用的，一旦激活，是可以正常使用的。然后点击【下一步】

在这里插入图片描述

点击【完成】，配置完毕
然后回到DHCP服务页面，则可以看到服务器名下方多了作用域，点开即可看到刚才配置的所有参数

在这里插入图片描述

5. 客户机验证

ipconfig /release 释放IP（取消租约，或者改为手动配置IP，也可以释放租约）
ipconfig /renew 重新获取IP（有IP时，发送request续约，无IP时发送Discovery重新获取）

七、地址保留

针对指定的MAC地址，动态分配固定IP地址。假如公司老板喜欢168这个数字，就想要10.1.1.168这个IP，那该怎么办呢？

在这里插入图片描述

有的小伙伴可能会说：那就直接把IP手动配置成10.1.1.168不就行了。那就坏事了，老板回家之后发现上不了网，第二天回来大发雷霆。很简单，回到家里，和公司根本不在一个局域网，家里是没有10.1.1.168这个IP的，所以就上不了网了。

所以这里就要用到动态地址保留了，什么意思呢？就是IP地址还是动态分配，但是只要该电脑接入该局域网，则给他专门分配10.1.1.168这个IP地址，而不是随机给他一个。而因为是自动分配的模式，所以回到家依然可以上网。

地址保留配置步骤如下：

鼠标右键点击【保留】，然后在下拉列表中点击【新建保留】
保留名称任意定义，IP地址就填写10.1.1.168，然后MAC地址要填写需要固定保留IP地址的那台电脑的MAC地址，这样就把IP地址和那台电脑捆绑在一起了，比如老板的电脑MAC地址。MAC地址查找方式是cmd，在控制台里面输入ipconfig /all命令，即可看到MAC地址，描述这里可以不填写，然后点击【添加】
添加完了之后，即可看到保留选项里面就有了设置好的保留地址，如下图
验证一下，如下图所示

八、选项优先级

上一步我们配置了保留IP地址，也就是10.1.1.168，但是大家应该注意到我是没有给这个IP配置网关、DNS等参数，那该IP地址有这些参数吗？答案是有的，我们可以点开该保留IP可以看到如下图所示

在这里插入图片描述

那为什么会有这些参数呢？其实是因为保留IP也是在该作用域当中，所以会继承该作用域所有配置选项，比如我们可以点开作用域选项，如下图所示，和上面的保留IP配置是一样的。

在这里插入图片描述

现在做个小实验：假设公司有两个作用域（地址池），比如10、20网段开头的作用域，我希望公司所有人都从我这台服务器上拿IP，那我就在这里创建2个作用域，先把原来的作用域删掉，逐个开始创建新的。

先创建第一个作用域，名称就叫IT，也就是公司IT部门

在这里插入图片描述

IP范围设置为10开头的网段，配置如下图所示，然后点击【下一步】

在这里插入图片描述

排除这里也不写了，直接【下一步】

在这里插入图片描述
租约这里也是默认，直接【下一步】

在这里插入图片描述

设置选项这里点击【否】，也就是我们暂时不给该作用域设置网关、DNS等参数，然后点击【下一步】

在这里插入图片描述

点击【完成】

在这里插入图片描述

然后鼠标右键点击【作用域】，在下来列表中点击【激活】，激活该作用域

在这里插入图片描述

我们点开【作用域选项】，可以看到没有任何东西，因为刚才除了IP，其他的都没有配置。如果客户机从这台服务器上获取IP的话，将只有IP地址和子网掩码，没有网关和DNS，那我们就必须在作用域选项中添加网关和DNS配置信息，这里呢先不添加

在这里插入图片描述

然后回到服务器，再右键新建作用域，名字就叫财务，就是给财务部门做的网段，点击【下一步】

在这里插入图片描述

IP地址配置为20开头的网段，配置如下图，点击【下一步】

在这里插入图片描述

后面都是【下一步】，直到最后，配置选项页面，更改为【否】，也就是先不配置网关、DNS等，然后【下一步】，【完成】

在这里插入图片描述

也把该作用域激活一下，可以看到该【作用域选项】也是为空

在这里插入图片描述

可以看到两个【作用域选项】都为空，然后下面有个【服务器选项】，鼠标右键点击【服务器选项】，在下拉列表中点击【配置选项】，来配置服务器选项

在这里插入图片描述

往下滑动，找到【DNS服务器】，勾选上，然后在IP地址中配置进来DNS服务器IP地址，点击【添加】，点击【确定】

在这里插入图片描述

我们可以看到在【服务器选项】里面指定了一个DNS服务器IP参数，如下图

在这里插入图片描述

然后分别右键点击两个作用域的【作用域选项】，在下拉列表中点击【刷新】，如下图

在这里插入图片描述

刷新之后，可以看到两个作用域选项里面都有了刚才给【服务器选项】配置的DNS参数

在这里插入图片描述

看到这里我们就明白了，【作用域选项】是继承自【服务器选项】的。也就意味着，如果该服务器上作用域特别多的话，我们不必单独给每个作用域都设置参数，只需给【服务器选项】设置一次，其他都有了这些配置参数。其实这些部门都是隶属于一家企业，所以指向的DNS服务器一般都是同一台。

那么问题来了：不同的网段可以指向同一个网关吗？比如10开头的和20开头的网段可以指向同一个网关吗？肯定不可以，只能回到每个【作用域选项】单独来配置网关。鼠标右键点击【作用域选项】，在下拉列表中点击【配置选项】

在这里插入图片描述

然后勾选【路由器】，配置网关IP地址

在这里插入图片描述

现在问题又来了：假设IT部门不想用222.146.129.80这台DNS服务器，就想用114.114.114.114这台服务器做DNS。那怎么办呢？
那就在IT部门所在的网段作用域中单独配置【作用域选项】，鼠标右键点击【作用域选项】，在下拉列表中点击【配置选项】，然后进去下滑，找到【DNS服务器】并勾选，将IP配置为114.114.114.114，然后【添加】，点击【确定】

在这里插入图片描述