收藏
下载资源

轻松运维之防止私自启用DHCP服务

上传人:ji****72 文档编号:34017558 上传时间:2018-02-20 格式:DOC 页数:6 大小:72KB
返回 下载 相关 举报
轻松运维之防止私自启用DHCP服务_第1页
第1页 / 共6页
轻松运维之防止私自启用DHCP服务_第2页
第2页 / 共6页
轻松运维之防止私自启用DHCP服务_第3页
第3页 / 共6页
轻松运维之防止私自启用DHCP服务_第4页
第4页 / 共6页
轻松运维之防止私自启用DHCP服务_第5页
第5页 / 共6页
点击查看更多>>
资源描述

《轻松运维之防止私自启用DHCP服务》由会员分享,可在线阅读,更多相关《轻松运维之防止私自启用DHCP服务(6页珍藏版)》请在金锄头文库上搜索。

1、老实说,做一个网络管理员真不是一件轻松的事情,你在工作中总是会遇到各种各样的问题,这其中不仅仅有来自外部的攻击,甚至相当一部分是来自你所在企业内部用户的威胁。在企业里面,总是会有一部分用户或者出于无知,或者是故意的引发一些 IT 问题,给你的工作带来困扰。想想这个情景吧,某个内部用户私自接入了一台路由器并在不知道的情况下启用了DHCP 服务,你很容易就能想到接下来会发生什么?你所管理的网络里面可能会有一半以上的用户都无法联网了,大家的工作都被迫停顿了下来,因为他们的电脑获取了错误的 IP 地址。好了,现在是最需要你的时候了,你得在一堆用户的不满声中处理问题,找出是谁做了这么糟糕的事情并马上制止

2、他愚蠢的行为,但查出问题源头好像也不是一件很简单的事情,如果不幸的话,可能在你还没找到该用户的时候,就已经被大家的口水淹没了。呵呵 ,想想都觉得恐怖,由于用户的错误让我们的工作变成了恶梦。当然,做为一个网络管理员,我们肯定不能听天由命地任由这种事情发生,得想点什么办法才行。那么,对此我们能有什么解决方法呢?其实,就解决这类问题的方法来说,我想更好的方法应该是从根源上去防止,如通过培训来提升用户的 IT 素质,还有制定明确的 IT 规范并与行政处罚挂钩来处理,而不能对于什么问题都想着用技术来解决,毕竟技术不是万能的,没办法解决所有问题,一个制度规范混乱的企业不管有多好的设备和技术都不可能做好管理

3、的。在做好上面事情以后,我们可以把技术做为管理的辅助工具,像这篇文章要介绍的DHCP Snooping 技术,它就可以很好的解决用户私开 DHCP 的问题。除此之外,它还可以与DAI(Dynamic ARP Inspection)技术相结合,来防止用户私自设定 IP 地址,这也是很多网络管理员头痛的一个问题。(想想用户把 IP 改成服务器地址的情景吧。) 关于 DHCP Snooping DHCP 监听(DHCP Snooping)是一种 DHCP 安全特性。当交换机开启了 DHCP-Snooping 后,将开始对 DHCP 报文进行侦听。DHCP-Snooping 允许将某个物理端口设置为信

4、任端口或不信任端口。信任端口可以正常接收并转发 DHCP Offer 报文,而不信任端口会将接收到的 DHCP Offer 报文丢弃。我们可以在接入层交换机上将 PC、网络打印机等设备所连端口设为非信任端口,将连接到 DHCP 服务器或连接汇聚交换机的上行端口设为信任端口。这样,可以完成交换机对假冒 DHCP Server 的屏蔽作用,确保客户端从合法的 DHCP Server 获取 IP 地址。另外,DHCP 监听还有一个非常重要的作用就是建立一张 DHCP 监听绑定表(DHCP Snooping Binding)。一旦一个连接在非信任端口的客户端获得一个合法的 DHCP Offer,交换机

5、就会自动在 DHCP 监听绑定表里添加一个绑定条目,内容包括了该非信任端口的客户端 IP 地址、MAC 地址、端口号、VLAN 编号、租期等信息。(如下图) 这张表为进一步部署动态 ARP 检测(DAI)提供了依据,DAI 将检测从非信任端口收到的 arp 包,然后对照该数据包的源 IP 与源 MAC 地址是否与表里的数据相同,如果不符合则丢弃该数据包,这样当用户手动更改 IP 地址后,该计算机将无法连入企业网络。在这里我就不多做介绍,大家有兴趣可以自己去网上了解。 现在,我们来看一下 DHCP Snooping 在交换机上的配置。如下图拓扑所示,这是一个多交换机的环境,由企业指定的 DHCP

6、 服务器提供 DHCP 服务,禁止其他用户私自搭建 DHCP 服务器。3560 交换机配置switch(config)# ip dhcp snooping ;在全局模式下启用 DHCP Snooping switch(config)# ip dhcp snooping vlan 1 ;定义哪些 VLAN 启用 DHCP Snooping 功能 switch(config)#int fa0/1 ;dhcp 服务器所在端口 switch(config-if)# ip dhcp snooping trust ;定义其为信任端口switch(config)#int fa0/2 ;下联 2960 端口,

7、设为信任端口switch(config)#ip dhcp snooping trust ;定义为信任端口switch(config)#inf range f0/3 24 ;其他端口switch(config-if)#no ip dhcp snooping trust ;设为非信任端口,此为默认设置2960 交换机 DHCP Snooping 配置switch(config)# ip dhcp snooping ;在全局模式下启用 DHCP Snooping switch(config)# ip dhcp snooping vlan 1 ;定义 VLAN1 启用 DHCP Snoopingswitch(config)#int fa0/1 ;上联 3560 端口switch(config-if)# ip dhcp snooping trust ;定义其为信任端口switch(config)#int range fa0/2 24 ;其它端口 switch(config-if)#no ip dhcp snooping trust ;设为非信任端口Switch(config)#ip dhcp snooping verify mac-address; 检测非信任端口收到的 DHCP 请求报文的源 MAC 和 CHADDR 字段是否相同,以防止 DHCP耗竭攻击,该功能默认即为开启

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 行业资料 > 其它行业文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号