首頁> 娛樂> 避免無線路由器接線失誤導致網路IP分配錯誤——DCHP Snooping配置

避免無線路由器接線失誤導致網路IP分配錯誤——DCHP Snooping配置

由 曲折向上 發表于 娛樂

現在有不少人因為無線上網,但所在單位的無線網路覆蓋不到,於是就出現了員工私下將無線路由器接入辦公室的有線網口,因為不太熟悉將網線插在了無線路由器的LAN口上的情形,而單位的網路又沒有做MAC地址繫結等限制,此時如果該辦公室所在網段的裝置是透過DHCP獲取IP的,很可能會出現網路不通的問題。

出現該問題的原因是:

DHCP Server和DHCP Client之間沒有認證機制,而目前絕大部分無線路由器預設是開啟了DHCP伺服器功能,當它透過LAN口接入單位網路後,如果此時有客戶端請求IP地址,而該無線路由器又最先應答的話,它就會為客戶端分配IP地址以及其他網路引數,從而

出現網路不通的問題

此時可以嘗試開啟網路裝置的DHCP Snooping功能(網路裝置支援的話),來防止上述問題或者DHCP Server仿冒者攻擊。

一、實驗目的

配置DHCP Snooping功能,防止隨意接入DHCP伺服器或者DHCP Server仿冒者攻擊。

二、實驗內容

模擬某單位的網路場景:單位內部是一個區域網,有多臺接入交換機(如S2~S3)用於連線使用者裝置,接入交換機之間透過匯聚交換機S1相連;內部劃分了VLAN,如PC1、共享印表機PriSrv1被劃入VLAN 100,PC2、共享印表機PriSrv2被劃入VLAN 200,VLAN 2為伺服器部署區域;集中部署一臺DHCP伺服器(用一臺在VLAN 2中路由器DHCP_Srv來模擬),為VLAN100、VLAN200的使用者IP地址資訊自動分配。

本實驗模擬員工將無線AP的LAN口(為簡單起見用一臺路由器代替)接入辦公室有限網口的情形——接在S2的Ethernet0/0/2,在如圖1所示。

避免無線路由器接線失誤導致網路IP分配錯誤——DCHP Snooping配置

圖1

實驗在《為不同子網集中部署DHCP伺服器——DHCP中繼配置實驗摘要》的配置基礎上進行,本次主要涉及

(一) 接入模擬的無線路由器後,以PC1為例觀察IP地址分配情況

(二) 配置DHCP Snooping相關功能

(三) 再次觀察PC1的IP地址分配情況

三、實驗步驟

(一) 接入模擬的無線路由器後,以PC1為例觀察IP地址分配情況

重啟PC1後,如圖2

避免無線路由器接線失誤導致網路IP分配錯誤——DCHP Snooping配置

圖2

可以看到,PC1本來應該分配IP地址在192。168。100網段、預設閘道器192。168。100。254、DNS119。29。29。29,現在卻是IP地址192。168。1。253、預設閘道器192。168。1。1、DNS192。168。1。1,明顯是無線路由器分配的地址。那麼,也就會出現PC1網路通訊問題。

(二) 配置DHCP Snooping相關功能

下面以S2為例進行配置

1、

全域性使能DHCP

[S2]

dhcp enable

2、

全域性使能DHCP Snooping

[S2]

dhcp snooping enable

3、

使能使用者側介面的DHCP Snooping功能

以S2的Ethernet0/0/2為例

[S2]

interface Ethernet0/0/2

[S2-Ethernet0/0/2]

dhcp snooping enable

[S2-Ethernet0/0/2]

quit

4、

配置介面的信任狀態

[S2]

interface GigabitEthernet 0/0/1

[S2-GigabitEthernet0/0/1]

dhcp snooping trusted

注:

1、透過dhcp snooping trust將

與合法DHCP伺服器直接或間接連線的介面

設定為

信任介面

(trusted),其它介面透過dhcp Snooping enable設定為預設的

非信任介面

(Untrusted)。此後,從“非信任(Untrusted)”介面上收到的DHCP迴應報文將被直接丟棄,這樣就可以

防止隨意接入DHCP伺服器或者DHCP Server仿冒者攻擊。

2、S2的G0/0/1口與單位的DHCP_Srv經由S1相連,即是上面說的“與合法DHCP伺服器間接連線的介面”;除G0/0/1口之外的介面則都是“其它介面”或者說是使用者側介面——在各自介面下輸入

dhcp Snooping enable

3、S3的配置方法與S2相同。

4、S1如有必要可以將G0/0/1設定為信任介面,其他介面設定為非信任介面。

(三) 再次觀察PC1IP地址分配情況

先用ipconfig /release釋放IP,然後用ipconfig /renew重新整理,結果如圖3

避免無線路由器接線失誤導致網路IP分配錯誤——DCHP Snooping配置

圖3

可以看出PC1被分配的IP地址、閘道器、DNS等引數恢復了正常。

PC1發出的DHCP請求報文如圖4中綠色箭頭所示,分別到達了單位的DHCP伺服器DHCP_Srv和模擬員工接入的無線路由器;DHCP_Srv作出了迴應,如圖4中的綠色箭頭;無線路由器也作出了應答,如圖4中的黃色箭頭,但被SW2的E/0/0/2攔截了(紅色×示意)。

避免無線路由器接線失誤導致網路IP分配錯誤——DCHP Snooping配置

圖4

至此,實驗達到了預期。

以上輸入和描述可能有疏漏、錯誤,歡迎大家在下方評論區留言指正!

另以上實驗如有幫助,望不吝轉發!

附:

《為不同子網集中部署DHCP伺服器——DHCP中繼配置實驗摘要》

更多內容請訪問頭條主頁

TAG:DHCPS2介面路由器IP地址

相關文章