在企业内网管理过程中笔者接触过很多网络管理员都针对IP地址分配问题抱怨过，一般来说为了合理有效的管理内网IP地址信息企业管理者都会尽量选择DHCP这种为客户机提供自动分配地址的方式，一方面客户员工计算机连接后配置更简单，另一方面由于DHCP地址池以及租约的存在使得内网管理更加有据可依。出现安全问题时可以在第一时间发现故障根源。然而在实际使用中总有人捣乱，通过手工设置IP地址的方法来上网。那么有没有办法可以强制客户端计算机必须使用DHCP自动获得方式取得IP等地址才能够顺利上网呢？答案是肯定的，今天就请各位跟随笔者一起领教网管支招强制采取DHCP上网。

　　一，DHCP下手工上网简介

　　服务能够自动为连接到网络的计算机提供包括IP地址，子网掩码，网关地址以及DNS服务器地址等信息，通过DHCP分配后我们的客户机应该可以顺利上网。不过在DHCP下如果客户机不将网络参数设置为“自动获得地址”方式而是手工指定上述地址信息的话，如果设置得和DHCP服务器分配一致并正确的话，客户机依旧可以正常上网。

　　正因为这种问题的存在造成一些非法入侵者或者并没有权限的用户，甚至是某些想要捣乱的人会采取手工设置地址的方法来连接到企业内网中。轻者造成IP地址冲突问题带来其他机器的上网故障，重者会带来内网不安全问题，出现问题后无法快速定位发动者。当企业内网某计算机被外部网络入侵制作成肉鸡时这种手工设置地址联网带来的问题将变得更加明显。

　　那么有没有办法可以强制客户端计算机必须使用DHCP自动获得方式取得IP等地址才能够顺利上网呢？答案是肯定的，今天就请各位跟随笔者一起领教网管支招强制DHCP上网。

　　二，网管支招强制DHCP上网的思路

　　网管支招强制DHCP上网的思路来自于网络厂商，不管是华为3C0M公司还是CISCO厂商，他们都针对强制DHCP上网提供了相应的技术支持。对于Cisco公司的产品来说我们可以通过DHCP-snooping和DynamicARPInspection来完成；对于华为3COM来说通过ip-snooping技术也可以有效解决。

　　华为的DHCPsnooping在DHCPserver发回ACK报文后，生成绑定表，可选择检查以下信息，通过检查这些报文数据达到了强制DHCP上网的目的。——

　　（1）DHCP报文内clienthardwareaddress与报文源MAC是否匹配。

　　（2）arp报文senderip和sendermac与绑定表是否匹配。

　　（3）IP报文SIP和SMAC是否与绑定表匹配。

　　（4）检查DHCP续租时client发出的request报文，检查绑定表内续租ip对应的SMAC与报文SMAC是否匹配。

　　Cisco的DHCPsnooping可以防止非法DHCP服务器的建立，并且可以根据相关参数生成一个ip-mac-port的一个绑定表，然后可以根据这个表检查所有的arp包是否，用来避免arp，同时也可以一般方式ip。说白了经过ip-mac-port绑定后在相应客户端上网时一方面可以通过DHCP获得地址信息，另一方面在手工设置时也不能随意添加地址，必须使用ip-mac-port绑定表中的IP地址作为自己的上网地址，这样的策略实际上了手工设置IP的地址信息，解决了上文提到的种种安全和管理问题。

　　总之这些技术的实现思路就是通过检查流经端口数据包的信息，分析该数据中是否有明确的DHCP标识，如果没有相应的标识那就可以确定源地址是通过手工设置上网的，通过过滤技术和策略命令可以实现数据包的丢弃，从而了采取手工设置IP地址方式上网客户端的正常联机。

　　三，实战强制采取DHCP上网

　　接下来笔者举两个例子来说明如何在路由交换设备上相关的策略与功能，让内网管理强制采取DHCP方式上网。

　　（1）Cisco设备的设置与操作：

　　192.168.3.254在Cisco设备上通过DHCPsnooping技术建立ip-mac-port的一个绑定表即可手工随意设置IP上网问题的发生。

　　第一步：首先通过configureterminal进入路由交换设备配置模式。

　　第二步：在配置模式下启用DHCPSnooping，具体指令为ipDHCPsnooping。

　　第三步：在固定接口或VLAN上启用DHCPSnooping，具体指令是ipDHCPsnoopingvlanX。

　　第四步：通过“intece接口号”命令进入交换机对应的接口。

　　第五步：输入ipDHCPsnoopingtrust将接口设置为受信任端口。

　　第六步：设置每秒钟处理DHCP数据包上限为500个——ipDHCPsnoopinglimitrate500。（如图1）

　　四，总结：

　　强制内网客户端必须使用DHCP上网是个非常不错的管理策略，这样客户机就不能够随意越权和入侵内网了，对于企业网络管理员来说管理内网也很方便，出现问题直接查询DHCP服务器上的租约及对应地址关系即可。当然本文主要从路由交换设备下手强制采取DHCP方式上网的办法，对于非Cisco和华为3COM产品来说可以参考产品说明书或询问技术支持热线了解解决办法。