CCNA认证学习资料教学文案.doc
Good is good, but better carries it.精益求精,善益求善。CCNA认证学习资料-教你防范新型僵尸网络攻击僵尸网络是指采用垃圾邮件、恶意程序和钓鱼网站等多种传播手段,将僵尸程序感染给大量主机,从而在控制者和被感染主机之间形成的一个可一对多控制的网络。这些被感染主机深陷其中的时候,又将成为散播病毒和非法侵害的重要途径。如果僵尸网络深入到公司网络或者非法访问机密数据,它们也将对企业造成最严重的危害。一、僵尸网络的准确定义僵尸网络是由一些受到病毒感染并通过安装在主机上的恶意软件而形成指令控制的逻辑网络,它并不是物理意义上具有拓扑结构的网络,它具有一定的分布性,随着bot程序的不断传播而不断有新的僵尸计算机添加到这个网络中来。根据最近的一份调查,网络上有多达10%的电脑受到Bot程序感染而成为僵尸网络的一分子。感染之后,这些主机就无法摆脱bot所有者的控制。僵尸网络的规模是大还是小,取决于bot程序所感染主机的多寡和僵尸网络的成熟度。通常,一个大型僵尸网络拥有1万个独立主机,而被感染主机的主人通常也不知道自己的电脑通过IRC(InternetRelayChat)被遥控指挥。由于Bot程序混合了很多恶意软件技术,准确的描述什么叫bot程序以及bot程序的成熟度是很难的。僵尸网络攻击所采用的技术横跨了传统和新兴的界限,它们常采取的攻击方法有如下一些:分布式拒绝服务攻击(DDoS)攻击一般来说,僵尸网络被用来发动DDoS攻击,DDoS攻击的是电脑系统或是可能导致服务中断的网络,最典型的就是通过消耗受害者的网络带宽或是加载过多的计算资源来使系统崩溃。除此之外,由于DDoS攻击导致每秒发送过多的信息包数量,就会将系统的带宽消耗殆尽。到目前未知,我们所分析的所有的僵尸计算机都极有可能对其它主机发动DDoS攻击。最常用的方式就是TCPSYN和UDPab(UserDatagramProtocol,用户数据报协议)洪水攻击方式。脚本将DDoS是为一种解决一切社会问题的方法。更进一步的研究表明,僵尸网路甚至会被别有用心者用来发动对竞争对手的DDoS攻击。OperationCyberslam记录了JayR.Echouafni和JoshuaSchichtel(他化名为EMP)的事件。Echouafni在2004年8月25号被控多重罪名导致受保护的计算机受到威胁。他与EMP合作操控一个僵尸网络发送大量的垃圾邮件,并且对垃圾邮件黑名单服务器发动DDoS攻击使之瘫痪。此外,他们针对全球最大的网上计算平台Speedera的DDoS攻击使得这一站点罢工,而这样做的目的只不过是为了打垮一个竞争对手的网站而已。由于DDoS并不局限于网站服务器,实际上,一切形式的英特网的服务都会沦为他们攻击的对象。通过使用特定形式的攻击,高层次的网络协议可以备用做增加网络负载量的有效工具,譬如说在受害者的网络里的BBS上或是递归HTTP溢出运行无数的搜索请求。所谓递归HTTP溢出是指僵尸计算机的威胁从给定的一个HTTP链接上指向所有网站上的链接,以一种递归的方式出现。这也叫做蜘蛛网般的攻击。间谍和恶意软件僵尸网络比如臭名昭著的Zombies,通常都会在用户不知情的情形下受利益驱动而监视并报告用户的上网行为。它们也会安装一些工具来收集用户的键盘记录和系统漏洞等信息,并将这些信息兜售给第三方。身份盗窃僵尸网络还会经常部署一些盗窃用户身份信息、财务信息或者用户电脑上的密码等信息的工具,然后将这些数据出卖或者直接利用获取利润。恶意广告软件Zombies也会根据用户上网习惯自动下载、安装和弹出一些恶意广告,或者强迫用户通过某些网站浏览一些广告。垃圾邮件当今的大部分垃圾邮件是由僵尸网络Zombies散发形成的。网络钓鱼Zombies可以扫描并确定哪些是有漏洞可以被用来攻击的服务器,通常这些服务器都是合法的而且具有重要机密数据(比如PayPal或者银行站点服务器),然后窃取服务器上的密码和其他机密数据。恶意bot程序一直以来都在通过更加隐蔽更加狡猾的方式来感染互联网上的主机。在2007年,僵尸网络成为散发垃圾邮件和发动钓鱼攻击的主要方式。在2008年,僵尸网络所发送的垃圾邮件占整个垃圾邮件数量的90%。而在2009年,垃圾邮件则直接通过P2P方式四处传播。二、新型僵尸网络的特点2009年,一些主要的僵尸网络在互联网上都变得更加令人难以琢磨,以更加不可预测的新特点来威胁网络安全。僵尸网络操纵地点也比以前分布更广。它们采用新技术提高僵尸网络的的运行效率和灵活机动性。很多合法网站被僵尸网络侵害,从而影响到一些企业的核心竞争力。最新型的僵尸网络攻击往往采用hypervisor技术。hypervisor技术是一种可以在一个硬件主机上模拟躲过操作系统的程序化工具。hypervisor可以分别控制不同主机上的处理器和系统资源。而每个操作系统都会显示主机的处理器和系统资源,但是却并不会显示主机是否被恶意服务器或者其他主机所控制。僵尸网络攻击所采用的另外一种技术就是FastFluxdomains。这种技术是借代理更改IP地址来隐藏真正的垃圾邮件和恶意软件发送源所在地。这种技术利用了一种新的思想:被攻陷的计算机仅仅被用来当作前线的代理,而真正发号施令的主控计算机确藏在代理的后面。安全专家只能跟踪到被攻陷代理主机的IP地址,真正窃取数据的计算机在其他地方。代理主机没有日志、没有相关数据、没有文档记录可以显示攻击者的任何信息。最为精巧的地方在域名服务这部分,一些公司为了负载平衡和适应性,会动态地改变域名所对应的IP地址,攻击者借用该技术,也会动态地修改Fast-Flux网络的IP地址。而最为众人所知的技术莫过于P2P了。比如,Nugache僵尸网络就是通过广泛使用的IM工具点对点来实现扩充,然后使用加密代码来遥控指挥被感染主机。那也就意味着这种方式更加令人难以探测到。而且僵尸网络也比较倾向使用P2P文件共享来消除自己的踪迹。无论是使用FastFlux、P2P还是hypervisor技术,僵尸网络所使用的攻击类型都比以前变得更加复杂多样。显然,僵尸网络威胁一直在不断地增长,而且所使用的攻击技术越来越先进。这就需要我们使用更加强大的安全防护工具来保护个人和公司网络的安全。三、僵尸网络的危害随着僵尸网络的不断渗透和扩散,公司必须比以往更加重视和了解边界安全。为此,公司不仅需要了解僵尸网络的功能和运行机制,也需要了解它们所带来的安全威胁。对僵尸网络非法入侵做出快速有效的响应,对企业来说可能是一项最为紧迫的挑战。不幸的是,光靠利用基于签名的技术来消除这些安全威胁是远远不够的。使用这种技术往往会花费数小时甚至是数天时间,才能检测到僵尸网络并对其做出响应。僵尸网络最容易吸引各类高科技网络犯罪分子,他们可以借助僵尸网络的温床酝酿和实施各种网络攻击和其他非法活动。僵尸网络的所有者会利用僵尸网络的影响力对企业展开有针对性的攻击。除了分布式垃圾邮件和攻击电子邮件数据库之外,他们还会发动分布式拒绝服务攻击。僵尸网络越来越喜欢利用窃取企业财务信息或者商业机密,进而对企业进行敲诈勒索和追逐其他利益活动。另外,他们还可以利用企业与企业之间的网络互联或者其他同行合作伙伴来扩大攻击。这也就是为什么企业已经成为僵尸网络重点攻击的受害群体之一的重要原因。当僵尸网络获得访问公司网络的权限之后,它们就可以肆意捕捉和偷窃公司客户的银行卡、交易和其他重要数据。这样一来,不仅严重危害了客户的私人利益,也损害了公司的宝贵资源和企业形象,从而对企业造成致命创伤。欺诈和品牌破坏网上交易常常伴随着欺诈而出现,因为网上交易通常都要提交个人敏感数据。一个策划周全制作精良的在线欺诈活动可以对企业和客户都造成重大损失。另外,也会间接影响消费者对品牌的认可和忠诚度,他们会质疑网上交易的完整性和安全性。2009年2月,国外一家国家银行的客户发现他们的账户已经被冻结。银行方面认为客户在线交易弄虚作假,伪造发件人地址和超级链接。而客户访问银行网站时则被引导至一个看起来独一无二,完全和真实网站一样的欺诈网站,在网上交易过程中他们按照平常那样提交个人私密信息。最后,银行不仅蒙受了巨额损失,而且也影响到了客户对银行的信任。可想而知,银行要想留住这些客户只能通过更大力气和营销促销手段才能实现。从品牌的破坏行为可以看出,网络欺诈已经足够让企业董事会加以重视了。据最近一项研究,63.9%的市场销售官员认为,安全漏洞会严重影响公司品牌形象。但是品牌受损并不是特别值得关注的唯一问题,以下问题同样值得我们关注:网络欺诈引起的客户流失在线银行容易暴露机密数据的风险安全漏洞和网络欺诈所导致的潜在危害如何防范最新网络威胁四、如何防范新型僵尸网络攻击1、保持警惕这项建议看起来似乎无关紧要。不过,虽然经常告诫IT管理员注意安全防范,但是他们却从未看过系统日志,他们也不会告诉你有谁在链接网络,甚至不知道有哪些设备链接到了网络。2、提高用户意识个人用户具备更多的安全意识和基本知识,非常有利于减少各类安全事件的威胁。个人用户防范Bot与防范蠕虫、木马完全没有区别。目前已经发现的绝大多数Bot针对Windows操作系统。对个人Windows用户而言,如果能做到自动升级、设置复杂口令、不运行可疑邮件就很难感染Bot、蠕虫和木马。90%以上的恶意代码利用几周或几个月之前就公布了补丁的漏洞传播,及时升级系统可以避免多数恶意代码的侵袭。3、监测端口两方面的建议:即使是最新bot程序通信,它们也是需要通过端口来实现的。绝大部分的bot仍然使用IRC(端口6667)和其他大号端口(比如31337和54321)。1024以上的所有端口应设置为阻止bot进入,除非你所在组织给定某个端口有特殊应用需要。即便如此,你也可以对开放的端口制定通信政策“只在办公时间开放”或者“拒绝所有访问,除了以下IP地址列表”。Web通信常需要使用80或者7这样的端口。而僵尸网络也常常是在凌晨1点到5点之间进行升级,因为这个时候升级较少被人发现。养成在早晨查看系统日志的好习惯。如果你发现没有人但却有网页浏览活动,你就应该警惕并进行调查。4、禁用JavaScript当一个bot感染主机的时候,往往基于web利用漏洞执行JavaScript来实现。设置浏览器在执行JavaScript之前进行提示,有助于最大化地减少因JavaScript而感染bot的机会。我们建议用户使用Firefox当主浏览器来使用,当有脚本试图执行时可以使用NoScripplug-in39。5、多层面防御纵深防御很有效。如果我仅有能过滤50%有害信息的单个防御工具,那么效果可能只有50%;但如果我有2种不同的防御工具,每个都50%的话,我就可以得到75%的防御效果(第一个防御工具可以过滤50%,剩下50;第二个防御工具可以过滤剩下的50%的一半,剩下25%)。如果我有5个防御工具每个都是50%效果的话,我将获得将近97%的效果。如果要获得99%的理想状态,我们需要4个防御工具分别达到70%效果的才能实现。6、安全评估一些著名厂商都会提供免费的安全评估工具和先进安全产品免费试用。在评估和试用结束的时候,他们都会报告你公司所面临的不同类型的安全风险和安全漏洞。这有助于让你评估当前的安全解决方案是否有效,并且告诉你接下来该采取怎样的安全措施。教你配置多台三层交换VLAN间相互通信通过在SW100来创建VLAN100,sw2上创建VLAN200,因为VLAN100和VLAN200因为业务上的关系,需要两台PC之间相互通信,保证不同VLAN之间可以互相访问。本实验将给您详细阐述实现方法,将用到诸多交换知识点。本实验需求:通过在SW100来创建VLAN100,sw2上创建VLAN200,因为VLAN100和VLAN200因为业务上的关系,需要两台PC之间相互通信,保证不同VLAN之间可以互相访问。本实验将给您详细阐述实现方法,将用到诸多交换知识点。实验过程第一步SW100基础配置SW100>SW100>enableSW100#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.SW100(config)#noipdoloSW100(config)#linecon0SW100(config-line)#noexec-tSW100(config-line)#loggsynSW100(config-line)#exitSW100(config)#usernameadminprivilege15passwordadminSW100(config)#linevty015SW100(config-line)#loginlocalSW100(config-line)#intf0/24/配置把二层接口更改为三层接口SW100(config-if)#noswitchportSW100(config-if)#ipadd12.0.0.1255.255.255.000:02:57:%LINK-3-UPDOWN:InterfaceFastEthernet0/24,changedstatetoup00:02:58:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/24,changedstatetoupSW100(config-if)#nosh第二步SW200基础配置Switch>enableSwitch#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z.Switch(config)#hostSW200SW200(config)#noipdoloSW200(config)#linecon0SW200(config-line)#noexec-tSW200(config-line)#loggsynSW200(config-line)#exitSW200(config)#usernameadminprivilege15passwordadminSW200(config)#linevty015SW200(config-line)#loginlocalSW200(config-line)#intf0/24/把二层端口改变成三层接口SW200(config-if)#noswitchportSW200(config-if)#ipadd12.0.0.2255.200:03:40:%LINK-3-UPDOWN:InterfaceFastEthernet0/24,changedstatetoup00:03:41:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceFastEthernet0/24,changedstatetoupSW200(config-if)#ipadd12.0.0.2255.255.255.0SW200(config-if)#noshSW200(config-if)#exit第三步完整SW1上VLAN配置/创建VLAN100SW100(config)#vlan100/给VLAN命名为100SW100(config-vlan)#name100/进入f0/13接口模式下,把f0/13接口划分到VLAN100SW100(config-vlan)#intf0/13SW100(config-if)#switchportmodeaccessSW100(config-if)#switchportaccessvlan100SW100(config-if)#exitSW100(config)#intf0/13/因为此接口连接的终端设备,故可以关闭生成树的选举,开启快速端口特性SW100(config-if)#spanning-treeportfast%Warning:portfastshouldonlybeenabledonportsconnectedtoasinglehost.Connectinghubs,concentrators,switches,bridges,etc.tothisinterfacewhenportfastisenabled,cancausetemporarybridgingloops.UsewithCAUTION%PortfasthasbeenconfiguredonFastEthernet0/15butwillonlyhaveeffectwhentheinterfaceisinanon-trunkingmode.SW100(config-if)#exit00:05:40:%SYS-5-CONFIG_I:Configuredfromconsolebyconsole/查看VLAN信息SW100#showvlanbriefVLANNameStatusPorts1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7,Fa0/8Fa0/9,Fa0/10,Fa0/11,Fa0/12Fa0/14,Fa0/15,Fa0/16,Fa0/17Fa0/18,Fa0/23,Gi0/1,Gi0/2100100activeFa0/131002fddi-defaultact/unsup1003token-ring-defaultact/unsup1004fddinet-defaultact/unsup1005trnet-defaultact/unsup第四步完成SW200上VLAN配置SW200(config)#vlan200SW200(config-vlan)#name200SW200(config-vlan)#intf0/15SW200(config-if)#switchportmodeaccessSW200(config-if)#switchportaccessvlan200SW200(config-if)#exitSW200(config)#intf0/15SW200(config-if)#spanning-treeportfast%Warning:portfastshouldonlybeenabledonportsconnectedtoasinglehost.Connectinghubs,concentrators,switches,bridges,etc.tothisinterfacewhenportfastisenabled,cancausetemporarybridgingloops.UsewithCAUTION%PortfasthasbeenconfiguredonFastEthernet0/15butwillonlyhaveeffectwhentheinterfaceisinanon-trunkingmode.SW100#showvlanbriefVLANNameStatusPorts-1defaultactiveFa0/1,Fa0/2,Fa0/3,Fa0/4Fa0/5,Fa0/6,Fa0/7,Fa0/8Fa0/9,Fa0/10,Fa0/11,Fa0/12Fa0/14,Fa0/15,Fa0/16,Fa0/17Fa0/18,Fa0/23,Gi0/1,Gi0/2200200activeFa0/151002fddi-defaultact/unsup1003token-ring-defaultact/unsup1004fddinet-defaultact/unsup1005trnet-defaultact/unsup第五步在SW100上创建SVI(交换虚拟接口),并给SW100所连接PC配置IP地址为192.168.0.100,网关192.168.0.1(PC配置IP地址,网关,实验手册内容略过)SW100#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z./进入VLAN100SW100(config)#intvlan100/配置VLAN100,IP地址,这里的IP地址,就是F0/13接口下PC所指的网关地址SW100(config-if)#ipadd192.168.0.1255.255.255.0SW100(config-if)#noshSW100(config-if)#end00:06:09:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan100,changedstatetoup/从SW100上测试可以ping通本VLAN下PCSW100#ping192.168.0.100Typeescapesequencetoabort.Sending5,100-byteICMPEchosto192.168.0.100,timeoutis2seconds:!第六步在SW200上创建SVI(交换机虚拟接口),并给SW200所连接PC配置IP地址为172.16.0.100,网关172.16.0.1(PC配置IP地址,实验手册内容略过)SW200(config-if)#exitSW200(config)#intvlan200SW200(config-if)#ipadd172.16.0.1255.255.255.000:04:41:%LINEPROTO-5-UPDOWN:LineprotocolonInterfaceVlan200,changedstatetoupSW200(config-if)#noshSW200(config-if)#end00:04:52:%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleSW200#ping172.16.0.200Typeescapesequencetoabort.Sending5,100-byteICMPEchosto172.16.0.200,timeoutis2seconds:!第七步在SW100上开启路由功能,并运行动态路由协议SW100#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z./开启三层交换路由功能,默认是关闭的SW100(config)#iproutingSW100(config)#routerospf100SW100(config-router)#net12.0.0.10.0.0.255a0SW100(config-router)#net192.168.0.10.0.0.255a0SW100(config-router)#endSW100#00:08:11:%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleSW100#showiprouteCodes:C-connected,S-static,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGPi-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticrouteGatewayoflastresortisnotset172.16.0.0/24issubnetted,1subnetsC172.16.0.0isdirectlyconnected,Vlan100O172.16.0.0/24110/2via12.0.0.2,00:00:02,FastEthernet0/2412.0.0.0/24issubnetted,1subnetsC12.0.0.0isdirectlyconnected,FastEthernet0/24第八步在SW200上开启路由功能,并运行动态路由协议SW200#conftEnterconfigurationcommands,oneperline.EndwithCNTL/Z./注意:如果没有开启路由功能,直接运行路由协议,将提示如下的错误信息SW200(config)#routerospf200IProutingnotenabledSW200(config)#iproutingSW200(config)#routerospf200SW200(config-router)#net12.0.0.20.0.0.255a0SW200(config-router)#net172.16.0.20.0.0.255a0SW200(config-router)#end00:05:27:%OSPF-5-ADJCHG:Process200,Nbr192.168.0.1onFastEthernet0/24fromLOADINGtoFULL,LoadingDone/查看路由表,观察通过OSPF学习到路由条目SW200#showipro00:05:33:%SYS-5-CONFIG_I:ConfiguredfromconsolebyconsoleSW200#showiprouteCodes:C-connected,S-static,R-RIP,M-mobile,B-BGPD-EIGRP,EX-EIGRPexternal,O-OSPF,IA-OSPFinterareaN1-OSPFNSSAexternaltype1,N2-OSPFNSSAexternaltype2E1-OSPFexternaltype1,E2-OSPFexternaltype2,E-EGPi-IS-IS,su-IS-ISsummary,L1-IS-ISlevel-1,L2-IS-ISlevel-2ia-IS-ISinterarea,*-candidatedefault,U-per-userstaticrouteo-ODR,P-periodicdownloadedstaticrouteGatewayoflastresortisnotset172.16.0.0/24issubnetted,1subnetsC172.16.0.0isdirectlyconnected,Vlan200O192.168.0.0/24110/2via12.0.0.1,00:00:02,FastEthernet0/2412.0.0.0/24issubnetted,1subnetsC12.0.0.0isdirectlyconnected,FastEthernet0/24/测试IP连通性SW200#ping12.0.0.1Typeescapesequencetoabort.Sending5,100-byteICMPEchosto12.0.0.1,timeoutis2seconds:!Successrateis100percent(5/5),round-tripmin/avg/max=1/1/4msSW200#ping192.168.0.1Typeescapesequencetoabort.Sending5,100-byteICMPEchosto192.168.0.1,timeoutis2seconds:!Successrateis100percent(5/5),round-tripmin/avg/max=1/1/4msSW200#ping192.168.0.100Typeescapesequencetoabort.Sending5,100-byteICMPEchosto192.168.0.100,timeoutis2seconds:!Successrateis100percent(5/5),round-tripmin/avg/max=1/1/4msSW200#第九步在PC2用ping命令测试到PC1,测试vlan200是否可以和VLAN100PING通,测试结果全网ping通,实验现象成功(因为PC2是windows7简体中文版本,故ping结果是中文方式显示的)测试步骤:开始-运行-cmd教你如何用宽带路由器实现DHCP功能DHCP功能在很多地方都有所体现。那么我们常规地,会通过交换机以及路由器来进行DHCP服务器的架设。那么现在,我们就针对宽带路由器的DHCP功能内容来进行一下讲解。TCP/IP大家都非常清楚,在一个使用协议的网络中,每一台计算机都必须至少有一个IP地址,才能与其他计算机连接通信。在TCP/IP网络上,每台工作站要能与其他计算机进行互联,都必须进行基本的网络配置,除了IP地址还有子网掩码、缺省网关、DNS等。对于小型网络,为每台计算机一一配置这样的属性也许还可以承受,但对于一个规模比较大的网络来说,为每台计算机做这样同样的工作不但非常繁琐,而且也存在着IP地址不用分配的情况。DHCP的产生很好的解决了上述问题。DHCP就是动态主机配置协议(DynamicHostConfigurationProtocol),它的目的就是为了减轻TCP/IP网络的规划、管理和维护的负担,解决IP地址空间缺乏问题。这种网络服务有利于对网络中的客户机IP地址进行有效管理。DHCP功能分为两个部份:一个是服务器端,而另一个是客户端(客户端不用安装,windows9x/2000/xp在默认情况下都启动DHCPClient服务)。DHCP透过“租约”的概念,有效且动态的分配客户端的TCP/IP设定。下面我们将说明一下DHCP的IP地址的分配方式,并结合TP-LINK的宽带路由器TL-R410具体说明DHCP服务器的功能。DHCP功能的IP分配方式DHCP服务器具有三种IP的分配方式,手动分配,自动分配和动态分配。其中动态分配功能最为强大,配置也最为烦琐。目前的DHCP服务器一般支持全部的几种分配方式或者是其中的两种。手动分配:在手动分配中,网络管理员在DHCP服务器通过手工方法配置DHCP客户机的IP地址。当DHCP客户机要求网络服务时,DHCP服务器把手工配置的IP地址传递给DHCP客户机。自动分配:在自动分配中,不需要进行任何的IP地址手工分配。当DHCP客户机第一次向DHCP服务器租用到IP地址后,这个地址就永久地分配给了该DHCP客户机,而不会再分配给其他客户机。动态分配:当DHCP客户机向DHCP服务器租用IP地址时,DHCP服务器只是暂时分配给客户机一个IP地址。只要租约到期,这个地址就会还给DHCP服务器,以供其他客户机使用。如果DHCP客户机仍需要一个IP地址来完成工作,则可以再要求另外一个IP地址。动态分配方法是惟一能够自动重复使用IP地址的方法,它对于暂时连接到网上的DHCP客户机来说尤其方便,对于永久性与网络连接的新主机来说也是分配IP地址的好方法。DHCP客户机在不再需要时才放弃IP地址,如DHCP客户机要正常关闭时,它可以把IP地址释放给DHCP服务器,然后DHCP服务器就可以把该IP地址分配给申请IP地址的DHCP客户机。使用动态分配方法可以解决IP地址不够用的困扰,例如C类网络只能支持254台主机,而网络上的主机有三百多台,但如果网上同一时间最多有200个用户,此时如果使用手工分配或自动分配将不能解决这一问题。而动态分配方式的IP地址并不固定分配给某一客户机,只要有空闲的IP地址,DHCP服务器就可以将它分配给要求地址的客户机;当客户机不再需要IP地址时,就由DHCP服务器重新收回。如何设置DHCP服务器目前很多的宽带路由器都具有设置DHCP服务器的功能,TP-LINK推出的TL-410是一款面向家庭用户的宽带路由器,其外观小巧,时尚。而且价格便宜,非常适合家庭用户学生一族的使用。TL-R410宽带路由器也具有支持DHCP服务器的功能,具有手动分配(静态IP地址分配)和动态分配两种分配方式。下面我们就简单介绍一下,如何利用TP-link的TL-R410宽带路由器为例,设置DHCP服务器的功能。首先进入路由器的设置界面,选择DHCP服务器,可以看到有三个子文件,DHCP功能、客户端列表和静态地址分配。选择DHCP服务,将进入如下的设置画面首先选择启用DHCP服务器,这样就可以利用自动分配地址功能。地址池开始地址:DHCP服务器所自动分配的IP的起始地址。地址池结束地址:DHCP服务器所自动分配的IP的结束地址。网关:可选项,建议填入路由器LAN口的IP地址,缺省是192.168.1.1。缺省域名:可选项,填入本地网域名。主DNS服务器:可选项,填入ISP提供给您的DNS服务器,不清楚可以向ISP询问。备用DNS服务器:可选项,如果ISP提供给您了两个DNS服务器,则您可以把另一个DNS服务器的IP地址填于此处。注意:为了使用该路由器的DHCP服务器功能,局域网中各计算机的TCP/IP协议必须设置为“自动获得IP地址”。此功能需要重启路由器才能生效。选择客户端的列表就可以看到本地局域网中通过该路由器连接到因特网的客户端主机的信息,包括客户端主机名,客户端的MAC地址,已经分配的IP地址和剩余的租期。从上图中我们可以看出通过该路由器的有三台主机连接到因特网。租期是一个重要的概念,当客户机采用动态地址分配时,DHCP服务器会动态地给客户机分配IP地址,但分配的IP地址并不是一直给某个客户机使用的,当DHCP服务器分配给客户机IP地址时,同时会通知客户机可以使用此地址的期限(即租期),到期限后如果客户机没有申请延长租期,那么DHCP服务器就会收回此IP地址,而剩余租期就是DHCP服务器将要收回IP地址的剩余时间。因此,客户机会在租期未到前(比如还剩一半时)向CHCP服务器申请延长租期,当然,当客户机不在使用此IP时会通知DHCP服务器收回此IP,以后这个IP就可以分配给其他客户机使用了。利用TL-R410还可以设置DHCP服务器的静态地址分配功能。选择静态地址分配就出现如下的设置画面。如上图所显示,知道主机的MAC地址,静