有關DHCP與NAT之疑問?

[longlongabu]

小弟最近在嘗試架設WIN 2003之DHCP
爬了一些文......
可是看到有些文說明DHCP與NAT需一同
架設而些文確說必須移掉一種不能並存..

1.請問各位大大....二種之效率有何不同..
....是否可並存或是不行....

2.而如果要開啟WIN 2003-DHCP....是不
是單純開啟DHCP之服務和設定.....是否
還要開啟某些服務.....如DNS或NAT....

請各位大大釋疑....謝謝

[rushoun]

1.這兩個是不一樣的東西，也是可以單獨存在的，只是在windows下，
我也不知道是不是一定要同時存在?在linux下很簡單，也可以是獨立的。
NAT是轉址，DHCP是動態配發IP，一般在運用上會把他們弄在一起，
因為運用的網路系統是小區域的。

其實，如果是一個封閉的區網，DHCP可以讓大家不用個別的去設定不同
的IP，這太麻煩了，那個網管有那個美國時間啊?所以就會在區網中擺一
部DHCP伺服器，讓每部電腦自己去向DHCP要IP吧，這樣的DHCP就可
以是獨立的。

2.這個我就不懂了，請其他先進提供意見吧。不過我建議，用linux來作，
要來的簡單省事。linux_XP兄的coyote相關的文章，可以參考。

[linux_xp]

DHCP 和 NAT 都是低負載的服務，吃得系統資源不高，通常是架設在同一台，這樣可以節省資源。

如果要架設成兩台，當然就得有兩台機器，一台電腦只拿來作 DHCP 用途，未免太浪費。另外一點是 win2003 server 一套不便宜吧，光一套的授權費就可以買一台機器了。這都是要考慮的。

DHCP 可以「備援」，一個 LAN 區網中，可以同時存在兩台以上的 DHCP 主機，互相備援，當其中一台掛掉或重開機狀態，不至於讓服務停擺。


會有 NAT 與 DHCP 最好不要架同一台的說法，"猜測" 是為了安全性著想。因為 NAT 必定位於閘道，負責內外網溝通的橋樑，第一道防線，如果說被入侵或破解，NAT 主機肯定是第一個被攻陷。

不論是從外面或從裡面的入侵，NAT 主機都是最弱的一環，因為 NAT 主機的防火牆開放最多 port ，理論上安全性弱點最高。

而進階的 DHCP 設定，例如：依照 MAC 給予固定式 IP。有可能會透漏內部區網敏感的安全性資料，假設 NAT 主機被攻陷取得控制權，DHCP 又是同一台，理所當然這些資料都會曝光。

比方說有的內部資料庫主機，為了高度安全性，會限制只允許某些內部 IP 甚至 MAC 進行連線。MAC 位址由 6 組 FF 雙位元組構成，共有幾十億種可能性，理論上要暴力破解有其困難性。但如果 DHCP 主機透漏了這項訊息，範圍將會大幅縮減，而駭客就能藉由偽造 MAC 位址，或是先去入侵該台被允許連線的電腦當跳板，達到入侵內部資料庫的最終目標。

不過這都是在極高度安全性的情況下，所做的假設。實際上隨便入侵一台主機，下個 arp -a 指令，MAC 就都看光了，假如沒有把這種可能性考慮進去並防止的話。

因此DHCP 和 NAT 分離的理由，如果是為了安全性，這種作法有沒有必要性，是見人見智。假設整體環境原本就不是高度安全性設計，這樣的作法其實也沒有意義，只是杞人憂天罷了。


這是從資安論點來講。當然網路上的資料，通常都是眾說紛紜，會有不同看法的人，想必提出的人應該多少也會解釋為什麼，否則豈不是啊達自言自語，如何服眾。

單就 NAT 與 DHCP 要不要同一台這一點來講，99% 的人肯定都是都是擺同一台，那麼另外 1% 說要擺不同台的人，他們的理由是甚麼呢？提出這一點來討論，相信會比較有討論價值。

[Jin]

1.可以並存
2.可以不用開啟其它服務,DHCP是發IP的,如果要同時指定如DNS,WINS,Default Getway的話,在DHCP option中設定就可以了...