多VLAN環境中DHCP服務的實現[利用路由實現共享上網]

多VLAN環境中DHCP服務的實現

轉載：FreeXploiT

　在對網絡進行升級改造時，必須考慮到各個方面，而如何在多VLAN環境中實現DHCP服務就是其中之一。
　　原理

　　使用DHCP方式獲取IP地址需要利用廣播數據包，按正常情況，DHCP服務只能在同一廣播域內實現。而VLAN的建立就是爲了隔離廣播包，爲什麼在三層交換機上可以實現DHCP的跨網段呢?這需要我們將DHCP請求的廣播數據包轉化爲單播請求，纔會通過三層路由把請求轉發到DHCP服務器所在的VLAN，進而實現DHCP的跨VLAN服務。

　　實現方法

　　爲了實現跨VLAN的DHCP服務，需要從兩方面入手，一方面要在交換機上指明DHCP服務器的IP地址，另一方面要在DHCP服務器上創建新的作用域。

　　下面以Cisco的Catlyst 4506爲例介紹具體的操作步驟：

　　1.在交換機上配置DHCP服務器：

　　ip dhcp-server 192.168.0.69

　　2.在交換機中爲每個VLAN設置同樣的DHCP服務器的IP地址：

　　interface Vlan11
　　ip address 192.168.1.254 255.255.255.0
　　ip helper-address 192.168.0.69 DHCP Server IP
　　interface Vlan12
　　ip address 192.168.2.254 255.255.255.0
　　ip helper-address 192.168.0.69 DHCP Server IP

　　3.在DHCP服務器上設置網絡地址分別爲192.168.1.0、192.168.2.0的作用域，並將這些作用域的"路由器"選項設置爲對應VLAN的接口IP地址。

用網絡設備構築"銅牆鐵壁"

筆者在路由器和交換機上進行ACL（訪問控制列表）配置來防範病毒和黑客攻擊，效果非常好。經過配置後，在很多主機沒打相應補丁的情況下，各網絡設備有效地阻止了震盪波的攻擊。

　　由於病毒（特別是系統漏洞病毒）都是利用相應端口進行傳播與攻擊的，所以我們可以考慮通過在路由器或交換機上設置相應的ACL進行防範。

　　我們以Cisco產品爲例進行說明，具體ACL配置如下：

　　access-list 101 permit tcp any any established

　　這個命令是建立一個ACL，它只容許已經建立的連接從外向裏傳輸數據，而對於事先沒有建立的連接將被拒絕進行數據傳輸。最後再把ACL綁定到相應的端口就可以達到預防病毒的目的了。

　　現在讓我們來看看如何利用這一技術迎戰震盪波。公司很多計算機沒有打補丁，這樣外部感染了震盪波的主機會通過445、5554和9996這3個端口向內部主機傳播病毒。由於我們設置了ACL，所以當外部的病毒主動向內部445、5554、9996端口傳輸時，這些數據會被路由器過濾掉，實現真正的防患於未然。而這樣的設置對內網中的用戶使用網絡沒有任何影響。

　　提示

　　1.由於established語句只支持TCP協議，所以如果公司要傳輸DNS等信息，還要設置相應的ACL語句把UDP的傳輸打開，格式爲access-list 101 permit udp any any。

　　2.這樣設置之後用戶會抱怨FTP使用不了，因爲FTP密碼驗證和數據傳輸使用的不是同一個端口，密碼驗證用21端口，而數據傳輸用20端口，所以我們也要加上相應的ACL，格式爲access-list 101 permit tcp any any eq ftp-data或access-list 101 permit tcp any any eq 20。

藉助路由器防範惡意攻擊nt漏洞

除了ADSL撥號上網外，小區寬帶上網也是很普遍的上網方式。如果你採用的是小區寬帶上網，是否覺得路由器僅僅就是個上網工具呢?其實不然，利用好你的路由器，還能夠防範黑客的攻擊呢。下面就讓我們來實戰一番。

　　目的：限制外部電腦連接本小區的192.168.0.1這臺主機的23(telnet)、80(www)、3128等Port。

　　前提：Router接內部網絡的接口是Ethernet0/1，每一個命令之後按Enter執行，以Cisco路由爲準。

　　步驟1 在開始菜單中選擇運行，在彈出的對話框中輸入"cmd"並回車，出現窗口後，在提示符下連接路由器，指令格式爲"telnet 路由器IP地址"。當屏幕上要求輸入telnet password時多數路由器顯示的是"Login"字樣，輸入密碼並確認無誤後，再輸入指令enable，屏幕上顯示要求輸入enable password時輸入密碼。

　　提示：這兩個密碼一般由路由器生產廠商或者經銷商提供，可以打電話查詢。

　　步驟2 輸入指令Router# configure termihal即可進入路由器的配置模式，只有在該模式下才能對路由器進行設置。

　　步驟3 進入配置模式後，輸入指令Router(config)#access -list 101 deny tcp any host 192.168.0.1 eq telnet，該指令的作用是設定訪問列表access list，該命令表示拒絕連接到IP地址爲192.168.0.1的主機的屬於端口Port 23(telnet)的任何請求。

　　步驟4 輸入Router config#aecess -list 101 deny tcp any host 192.168.0.1 eq www 指令以拒絕來自任何地方對IP地址爲192.168.0.1的主機的屬於端口80(www)的請求。

　　步驟5 最後需要拒絕的是來自任何地方對IP地址爲192.168.0.1的主機屬於端口3128的訪問，這需要輸入指令Routerconfig#access list 101 deny tcp any host 192.168.0.1 eq 3128來完成。

　　步驟6 到此，已經設置好我們預期的訪問列表了，但是，爲了讓其他的所有IP能夠順利訪問，我們還需要輸入Routerconfig#aceess -list 101 permit ip any any來允許其他訪問請求。

　　但是，爲了讓路由器能夠執行我們所做的訪問列表，我們還需要把這個列表加入到接口檢查程序，具體操作如下。

　　輸入指令Routerconfig#interface eO/1進入接口interface ethernet 0/1，然後鍵入指令Routerconfig-if#ip access-group 101 out 將訪問列表實行於此接口上。這樣一來，任何要離開接口的TCP封包，均須經過此訪問列表規則的檢查，即來自任何地方對IP地址爲192.168.0.1的主機，端口(port)屬於telnet(23)，www(80)，3128的訪問一律拒絕通過。最後，輸入指令write將設定寫入啓動配置，就大功告成了。

　　這樣一來，你的主機就安全多了，雖然只是禁止了幾個常用端口，但是能把不少搞惡作劇的人拒之門外。另外，如果看見有什麼端口可能會遭到攻擊或者有漏洞了，你也可以通過上面的方法來將漏洞堵住。

Windows2000 Server/Advance Server NAT共享上網路由設置

Windows 2000 Server / Advance Server 作爲微軟網絡產品的核心，具有強大的網絡管理服務功能，我們可以直接利用它們內置的路由服務功能實現局域網的共享上網，而不是使用所搭載的ICS（共享上網功能）。

在ADSL虛擬撥號環境下，對於使用模擬56K撥號的PPPoE程序，由於PPPoE始終不是標準撥號，路由服務無法確認撥號端口和設備故我們沒有調試成功，對於使用模擬局域網網卡的Enternet系列下可以輕鬆實現，專線方式ADSL與此類似。

首先以Administrator管理員身份進入服務器，打開路由設置，如下圖所示

進入"路由和遠程訪問"控制檯以後，我們選擇"配置並啓用路由和遠程訪問"，

然後進入配置嚮導界面，單擊下一步，在公共設置中我們應爲是要讓服務器作爲共享上網服務器，所以我們選擇"Internet 連接服務器"

然後嚮導將讓我們決定使用簡單的ICS（Internet連接共享），還是功能更強大的NAT路由服務器。(ICS我們已經在本欄目介紹了).我們選擇設置成爲路由器

接着服務器將讓我們設定所使用的連接互聯網的接口，使用Enternet系列撥號的就選擇 Efficient Networks P.P.P.o.E Adapter 即可，使用專線方式的那麼選擇連接ADSL邦定ISP提供的IP設置的網卡即可。當然如果你使用56K撥號等，則選擇 "創建一個新的請求撥號Internet連接"，按照新嚮導完成設置即可，PPPoE模擬56K撥號的存在問題還不能實現。