林志祥的網誌分享

新增伺服器角色勾選DHCP伺服器。 安裝完之後，選擇伺服器管理工具，DHCP進行設定。 在IPv4，新增領域來決定要發的網段。 我們要發一個192.168.1.0的網段，所以名稱為192.168.1.0識別用。 要發的範圍為 192.168.1.100~192.168.1.200，子網路遮罩為24。 路由器的IP就是預設閘道為 192.168.1.254 。 DNS伺服器為 168.95.1.1 和 8.8.8.8 。 在Windows DHCP伺服器來說，這些都是叫做選項，因此003的選項為預設閘道，006的選項為DNS伺服器，所以使用者才會收到DHCP的IP以外額外的資訊。 我們拿一台同廣播的電腦，果然要到一個DHCP 192.168.1.100和相關領域資訊，而且是192.168.1.253 DHCP伺服器發的。 最後也可以回DHCP伺服器位置租用查看發了哪些IP，唯一識別碼為MAC，就是00-0C-29-8B-9D-81。

一般來說DHCP是沒有驗證機制的，所以電腦接上區域網路，發個廣播封包要DHCP，只要有人回應我就相信他，這也變成公司的困擾，由於3C設備越來越多，有人只要偷拿家用AP到公司網路裝起來沒設定好可能就會亂發DHCP。 我們這個網段是 192.168.4.0/24 ，可是公司員工卻拿到 192.168.1.0/24 的網段，明顯是有人在亂發DHCP，首先最重要的是找到DHCP伺服器IP是多少，比方說上圖就是 192.168.1.1 。 我們到用戶電腦上先找到亂發DHCP伺服器的mac address ，結果是 00-17-16-08-25-c4。 一般來說，Core Switch上有所有vlan，所有流量交換都會經過他，所以我們先用 show mac address-table dymanic 去查詢 mac address 表示的格式，結果為 aaaa.bbbb.cccc ，所以我們再用 show mac address-table | include 0017.1608.25c4 去查這個mac是從哪一port學到的，結果為 Fa0/24。 通常Core Switch只會接各樓層回來的Switch，因此使用者直接接在Core Switch的機率很低，我們查詢CDP得知 Fa 0/24 接的是 2F的Core Switch，再用 show cdp entry 2F-Core ，去查詢這台Switch 的IP，再用telnet連過去。 再一次查詢流程，得知這個mac address是從 Fa1/0/23 port 學到的，然後用CDP得知他是跟 2F-Edge Switch接在一起，然後Switch的IP為192.168.1.22。 我們連到 2F-Edge 得知這個mac address 是從 G0/1 port 學到的，但是這port是access port vlan 2，又沒有學到CDP，所以應該是接一般電腦設備的，因此我們可以先shutdow讓他不會亂發dhcp，最後再去現場處理是亂接什麼設備。 回到一般使用者電腦，重開機再要一次dhcp，順利拿到正確的 192.168.4.0/24 IP，也可以上網。 結論： 拿到錯誤的DHCP第一步先看他的DHCP伺服器IP為多少，然後用mac address去查接...

架構圖如上，客戶防火牆Internal介面只能發一段 192.168.2.0/24的DHCP，但因為IP使用光了，在不想改subnet mask的情況下，選擇使用介面Secondary IP 192.168.3.254，但是使用者電腦必須手動設定192.168.3.0/24的IP，想要兩段都用DHCP發。 客戶原始設定為只發一段 192.168.2.0/24的DHCP。 修改為DHCP都去找192.168.1.226要。 DHCP 192.168.1.226建立一個超級領域發 192.168.2.0/24和 192.168.3.0/24 DHCP網段，DHCP relay有一個重點要注意就是因為他會帶interface IP，所以192.168.1.226要有能回去192.168.2.254的路由。 驗證windows 2012有拿到DHCP，因為實驗的關係 192.168.2.0/24 只發一個192.168.2.253的IP，表示192.168.2.0/24的IP用完。 另一台Centos6 Server拿到192.168.3.100網段的DHCP。 DHCP伺服器確實發了這兩段IP。 結論： 網段不夠用確實可以透過超級領域達成IP擴充，可是由於兩段IP都在同一個broadcast domain，使用者只要修改IP就可以存取另一個網段，並沒有資安的考量，只能算是一個暫時且過度的架構，還是建議用vlan切開。