强制DHCP服务器分配上网IPpc软件 文章资讯 手机软件

您当前的位置→图文中心ARP文章ARP经验强制DHCP服务器分配上网IP

强制DHCP服务器分配上网IP


2009/4/20  编辑:佚名 来源:本站整理  关键词:

强制DHCP服务器分配上网IP

 

 一, DHCP环境下手工上网简介:

    DHCP服务能够全自动为连载到网络net的电脑计算机提供包括IP地址, 子网掩码, 网关地址以及DNS服务器地址等信息, 可以通过DHCP分配配置后我们我自己的客户机应该可以能够顺利上网。 不过就在DHCP环境下如果客户机不将网络net参数布置设置为“全自动获得地址”方式而是手工指定上述地址信息的话, 如果布置设置得和DHCP服务器分配配置一致并对的的话, 客户机依旧可以能够正常上网。

    正因为这种问题的存就在造成一些非法入侵者或者并没有权限的用户, 甚至是某些想要捣乱的人会采取手工布置设置地址的方法来连载到企业内网中。 轻者造成IP地址冲突问题带来其他机器的上网故障, 重者会带来内网不安全问题, 出现问题后再也不能够快速定位攻击发动者。 当企业内网某电脑计算机被外部网络net入侵制作成肉鸡时这种手工布置设置地址联网带来的问题将变得愈加明显。

    那么有没有办法可以能够强制客户端电脑计算机就一定要使用DHCP全自动获得方式取得IP等地址才能够顺利上网呢?答案是肯定的, 就在今天就请各位跟随笔者一起领教网管支招强制DHCP上网。

    二, 网管支招强制DHCP上网的思路:

    网管支招强制DHCP上网的思路来自于网络net厂商, 不管是华为3C0M公司还是CISCO厂商, 他们都针对强制DHCP上网提供了相应的技术支持。 对于Cisco公司的产品来说我们我自己可以能够可以通过dhcp-snooping和Dynamic ARP Inspection来完成;对于华为3COM来说可以通过ip-snooping技术也可以能够有效解决处理。

    华为的dhcp snooping就在dhcp server发回ACK报文后, 生成绑定表, 可选择中检查以下信息, 可以通过检查这些报文数据信息达到了强制DHCP上网的目的。

    (1)dhcp报文内client hardware address与报文源MAC是否匹配。

    (2)arp报文senderip和sendermac与绑定表是否匹配。

    (3)IP报文SIP和SMAC是否与绑定表匹配。

    (4)检查dhcp续租时client发出的request报文, 检查绑定表内续租ip对应的SMAC与报文SMAC是否匹配。

    Cisco的dhcp snooping可以能够防止非法dhcp服务器的建立, 并且可以能够根据记录相关参数生成一个ip-mac-port的一个绑定表, 之后可以能够根据记录这个表检查所有的arp包是否合法, 用来避免arp攻击, 同一个时间也可以能够一般方式私设ip。 说白了经过ip-mac-port绑定后就在相应客户端上网时一方面可以能够可以通过DHCP获得地址信息, 另一方面就在手工布置设置时也不能够随意添加地址, 就一定要使用ip-mac-port绑定表中的IP地址作为我自己的上网地址, 这样的策略实际上限制了手工布置设置IP的地址信息, 解决处理了上文提到的种种安全和管理问题。

    总之这些技术的实现思路就是可以通过检查流经端口数据信息包的信息, 分析该数据信息中是否有明确的DHCP标识, 如果没有相应的标识那就可以能够确定源地址是可以通过手工布置设置上网的, 可以通过过滤技术和策略命令可以能够实现数据信息包的丢弃, 从而阻止了采取手工布置设置IP地址方式上网客户端的正常联机。 三, 实战强制采取DHCP上网:

    接下来笔者举两个例子来说明怎么才能就在路由交换设备上启动相关的策略与功能, 让内网管理强制采取DHCP方式上网。

    (1)Cisco设备的布置设置与操作:

    就在Cisco设备上可以通过dhcp snooping技术建立ip-mac-port的一个绑定表即可阻止手工随意布置设置IP上网问题的发生。

    第一步:最先是可以通过configure terminal 进入路由交换设备配置模式。

    第二步:就在配置模式下启用DHCP Snooping, 具体指令为ip dhcp snooping。

    第三步:就在固定接口或VLAN上启用 DHCP Snooping, 具体指令是ip dhcp snooping vlan XXX。

    第四步:可以通过“interface 接口号”命令进入交换机对应的接口。

    第五步:输入ip dhcp snooping trust将接口布置设置为受信任端口。

    第六步:布置设置每秒钟处理DHCP数据信息包上限为500个——ip dhcp snooping limit rate 500 。 (如图1)

 

    第七步:之后我们我自己的Cisco相关设备会针对当前环境建立一个ip-mac-port三方绑定表, 可以通过这个ip-mac-port绑定表我们我自己可以能够阻止手工布置设置网络net参数问题的发生。 可以通过show ip dhcp snooping binding命令可以能够查询此绑定表信息, 具体格式是00:22:09:11:33:16 192.168.1.1 3209 dhcp-snooping 103 GigabitEth ernet1/0/28, 依次显示MAC地址, IP地址以及应用的VLAN号还是有对应的接口信息。

    (2)华为3COM设备上的操作:

    就在华为3COM设备上启动dhcp snooping功能可以能够阻止客户端手工布置设置IP地址上网。 具体操作如下。

    第一步:布置设置DHCP服务器相关信息——dhcp-server 1 ip 192.168.11.2 192.168.0.25。

    第二步:进入某端口——interface Vlan-interface3

    第三步:为端口布置设置IP地址——ip address 192.168.3.254 255.255.255.0

    第四步:指定该端口使用的DHCP服务器号——dhcp-server 1

    第五步:强制查询连载该端口主机的IP地址布置设置情况, 要求就一定要可以通过DHCP服务器获取IP地址信息——address-check enable, 说白了就是启动dhcp snooping检查功能。 (如图2)

 

    四, 总结:

    强制内网客户端就一定要使用DHCP上网是个非常很好的管理策略, 这样客户机就不能够够随意越权和入侵内网了, 对于企业网络net管理员来说管理内网也很方便, 出现问题直接查询DHCP服务器上的租约及对应地址关系即可。 当然本文主要从路由交换设备下手讲解强制采取DHCP方式上网的办法, 对于非Cisco和华为3COM产品来说可以能够参考产品说明书或询问技术支持热线了解解决处理办法

相关文章
  • 因手机太烂 被系统强制修改成bug流畅画面
  • 勒索病毒入侵XP古董电脑:配置太低被强制停止
  • 王者荣耀:盘点那些让人强制位移的英雄
  • 苹果iphone7怎么强制关机?iphone7/7Plus强制关机方法
  • 网页强制刷新快捷键是哪个?
  • 苹果iPhoneSE怎么强制关机
  • 苹果6s手机home键发烫强制重启修复步骤
  • macbook强制关闭程序的方法
  • 苹果iPhone6S怎么强制关机
  • 支付宝9.0强制关闭手势密码
  • 发表评论
    阅读排行
    相关热门
    网站帮助 - 广告合作 - 下载声明 - 网站地图