Windows Server 2008 的DHCP部署与安全
目录
1 相关原理
1.1、DHCP作用
1.2、DHCP相关概念
1.3、DHCP优点
1.4、DHCP原理
1.5、DHCP续约
1.6、部署DHCP服务器
1.7、地址保留
1.8、选项优先级
1.9、DHCP备份
1.10、DHCP攻击与防御
2、练习
2.1 windows server 2008安装dhcp服务
2.2 添加地址池、作用域、排除范围等操作。
2.3 搭建好了我们来验证一下吧!
2.4 一个奇葩的需求(地址保留——与固定IP绑定)
2.5 练习备份和还原
1 相关原理
1.1、DHCP作用
(Dynamic Host Configure Protocol)自动分配IP地址
1.2、DHCP相关概念
地址池/作用域:(IP、子网掩码、网关、DNS、租期),DHCP协议端口是UDP 67 / 68
1.3、DHCP优点
减少工作量、避免IP冲突、提高地址利用率
1.4、DHCP原理
也成为DHCP租约过程,分为4个步骤:
1)客户机发送DHCP Discovery广播包
客户机广播请求IP地址(包含客户机的MAC地址)
2)服务器响应DHCP Offer广播包
服务器响应提供的IP地址(但无子网掩码、网关等参数)
3)客户机发送DHCP Request广播包
客户机选择IP(也可认为确认使用哪个IP)
4)服务器发送DHCP ACK广播包
服务器确定了租约,并提供网卡详细参数IP、掩码、网关、DNS、租期等
1.5、DHCP续约
当50%过后,客户机会再次发送DHCP Request包,进行续约,如服务器无响应,则继续使用并在87.5%再次 DHCP Request包,进行续约,如仍然无响应,并释放IP地址,及重新发送DHCP Discovery广播包来获取IP地址当无任何服务器响应时,自动给自己分配一个169.254.x.x/16,属于全球统一无效地址,用于临时内网通信!
1.6、部署DHCP服务器
1)IP地址固定(服务器必须固定IP地址)
2)安装DHCP服务插件
3)新建作用域及作用域选项
4)激活
5)客户机验证:
ipconfig /release 释放IP(取消租约,或者改为手动配置IP,也可以释放租约)
ipconfig /renew 重新获取IP(有IP时,发送Request续约,无IP时发送Discovery重新获取IP)
1.7、地址保留
这对指定的MAC地址,固定动态分配IP地址
1.8、选项优先级
**当服务器上有多个作用域时,可以在服务器选项上设置DNS服务器
如果不配置作用域选项,就继承服务器选项,配置了作用域选项的话就作用域选项 > 服务器选项
1.9、DHCP备份
备份服务器的所有作用域,当服务器宕机后,可以使用备份文件在其他DHCP服务器上进行还原所有配置
1.10、DHCP攻击与防御
1)攻击DHCP服务器:频繁的发送伪装DHCP请求,直到将DHCP地址池资源耗尽
防御:在交换机(管理型)的端口上做动态MAC地址绑定
2)伪装DHCP服务器攻击:hack通过将自己部署为DHCP服务器,为客户机提供非法ip地址
防御:在交换机上(管理型),除合法的DHCP服务器所在接口外,全部设置为禁止发送dhcp offer包
2、练习
本次练习需要一台windows server,一台win7。在同一网段内,server做dhcp服务器为win7提供服务。
所有操作系统镜像下载地址
2.1 windows server 2008安装dhcp服务
首先需要配置静态IP。
下面是之前的静态IP、
wins服务器是早期需要的。。。现在不需要配置。
接下来是设定 DHCP 要服务的范围,点选 "新增" 来增加一个作用域
原则上是开放整个网段,之后再设定排除与保留的范围,所以 "激活此作用域" 可以先不要勾选,否则在排除范围设定前,可能会有电脑配到排除范围内的 IP。不过也没关系,直接踼掉就好了,租约过期后重新再连就不会连到该范围内的 IP 了
IPv6 还没搞定,所以就先停用了
2.2 添加地址池、作用域、排除范围等操作。
netstat -an。可以看到目前服务开启。
打开操作的控制台。
之后在这个里面进行操作,添加地址池作用域啥的。
地址池就是一大堆等待dhcp服务器分配的IP地址,可以看到这些里面就是之前安装时候设置的范围。
如果这个范围有IP不想给别人。
地址池 右键-》新建排除范围
然后这个IP就不会被分发给人啦
地址租用就是目前建立的合同,即目前网段范围内有无电脑请求IP。可以看到目前没有。
2.3 搭建好了我们来验证一下吧!
去win7看看。
为什么没用呢!?
因为dhcp租约是有时间的,win7目前还没有刷新。之前的租约还没有过期呢。
对了,win7和winserver 2008都需要连接vmnet3(不要在虚拟网络编辑器里添加该网络,不然会有虚拟机自动的本地dhcp服务器,到时候俩dhcp服务器都在本网段,实验能否成功就要看人品了。)
设置完了后,在win7里面发现确实是设置的winserver分配的地址池里面的地址
也可以在server的地址租用里看到
地址租用里那个唯一ID其实就是客户机的MAC地址
2.4 一个奇葩的需求(地址保留——与固定IP绑定)
老板说,我就要跟那个IP绑定,10.1.1.168,168这数字吉利。怎么办呢?直接静态地址不好,因为老板回家了家里的dhcp服务器作用域范围要是不包括168老板怎么上网。
这个时候就需要保留
在保留上右键,新建保留。
现在我回到我的win7体验一下老板的感觉。
顺利拿到168
2.5 练习备份和还原
备份就是保存为文件,还原就是选择备份文件还原。