避免無線路由器接線失誤導致網路IP分配錯誤——DCHP Snooping配置
現在有不少人因為無線上網,但所在單位的無線網路覆蓋不到,於是就出現了員工私下將無線路由器接入辦公室的有線網口,因為不太熟悉將網線插在了無線路由器的LAN口上的情形,而單位的網路又沒有做MAC地址繫結等限制,此時如果該辦公室所在網段的裝置是透過DHCP獲取IP的,很可能會出現網路不通的問題。
出現該問題的原因是:
DHCP Server和DHCP Client之間沒有認證機制,而目前絕大部分無線路由器預設是開啟了DHCP伺服器功能,當它透過LAN口接入單位網路後,如果此時有客戶端請求IP地址,而該無線路由器又最先應答的話,它就會為客戶端分配IP地址以及其他網路引數,從而
出現網路不通的問題
。
此時可以嘗試開啟網路裝置的DHCP Snooping功能(網路裝置支援的話),來防止上述問題或者DHCP Server仿冒者攻擊。
一、實驗目的
配置DHCP Snooping功能,防止隨意接入DHCP伺服器或者DHCP Server仿冒者攻擊。
二、實驗內容
模擬某單位的網路場景:單位內部是一個區域網,有多臺接入交換機(如S2~S3)用於連線使用者裝置,接入交換機之間透過匯聚交換機S1相連;內部劃分了VLAN,如PC1、共享印表機PriSrv1被劃入VLAN 100,PC2、共享印表機PriSrv2被劃入VLAN 200,VLAN 2為伺服器部署區域;集中部署一臺DHCP伺服器(用一臺在VLAN 2中路由器DHCP_Srv來模擬),為VLAN100、VLAN200的使用者IP地址資訊自動分配。
本實驗模擬員工將無線AP的LAN口(為簡單起見用一臺路由器代替)接入辦公室有限網口的情形——接在S2的Ethernet0/0/2,在如圖1所示。
圖1
實驗在《為不同子網集中部署DHCP伺服器——DHCP中繼配置實驗摘要》的配置基礎上進行,本次主要涉及
:
(一) 接入模擬的無線路由器後,以PC1為例觀察IP地址分配情況
(二) 配置DHCP Snooping相關功能
(三) 再次觀察PC1的IP地址分配情況
三、實驗步驟
(一) 接入模擬的無線路由器後,以PC1為例觀察IP地址分配情況
重啟PC1後,如圖2
圖2
可以看到,PC1本來應該分配IP地址在192。168。100網段、預設閘道器192。168。100。254、DNS119。29。29。29,現在卻是IP地址192。168。1。253、預設閘道器192。168。1。1、DNS192。168。1。1,明顯是無線路由器分配的地址。那麼,也就會出現PC1網路通訊問題。
(二) 配置DHCP Snooping相關功能
下面以S2為例進行配置
1、
全域性使能DHCP
[S2]
dhcp enable
2、
全域性使能DHCP Snooping
[S2]
dhcp snooping enable
3、
使能使用者側介面的DHCP Snooping功能
以S2的Ethernet0/0/2為例
[S2]
interface Ethernet0/0/2
[S2-Ethernet0/0/2]
dhcp snooping enable
[S2-Ethernet0/0/2]
quit
4、
配置介面的信任狀態
[S2]
interface GigabitEthernet 0/0/1
[S2-GigabitEthernet0/0/1]
dhcp snooping trusted
注:
1、透過dhcp snooping trust將
與合法DHCP伺服器直接或間接連線的介面
設定為
信任介面
(trusted),其它介面透過dhcp Snooping enable設定為預設的
非信任介面
(Untrusted)。此後,從“非信任(Untrusted)”介面上收到的DHCP迴應報文將被直接丟棄,這樣就可以
防止隨意接入DHCP伺服器或者DHCP Server仿冒者攻擊。
2、S2的G0/0/1口與單位的DHCP_Srv經由S1相連,即是上面說的“與合法DHCP伺服器間接連線的介面”;除G0/0/1口之外的介面則都是“其它介面”或者說是使用者側介面——在各自介面下輸入
dhcp Snooping enable
。
3、S3的配置方法與S2相同。
4、S1如有必要可以將G0/0/1設定為信任介面,其他介面設定為非信任介面。
(三) 再次觀察PC1IP地址分配情況
先用ipconfig /release釋放IP,然後用ipconfig /renew重新整理,結果如圖3
圖3
可以看出PC1被分配的IP地址、閘道器、DNS等引數恢復了正常。
PC1發出的DHCP請求報文如圖4中綠色箭頭所示,分別到達了單位的DHCP伺服器DHCP_Srv和模擬員工接入的無線路由器;DHCP_Srv作出了迴應,如圖4中的綠色箭頭;無線路由器也作出了應答,如圖4中的黃色箭頭,但被SW2的E/0/0/2攔截了(紅色×示意)。
圖4
至此,實驗達到了預期。
以上輸入和描述可能有疏漏、錯誤,歡迎大家在下方評論區留言指正!
另以上實驗如有幫助,望不吝轉發!
附:
《為不同子網集中部署DHCP伺服器——DHCP中繼配置實驗摘要》
更多內容請訪問頭條主頁