解决局域网无线路由器泛滥
2017-11-23
如果单位IP地址是动态分配的话,用户会经常遇到客户端本地连接显示正常却无法正常访问网络,而且发现IP地址非单位地址。当换成单位分配的IP地址后便能正常访问。
有时当你换成正确的静态IP地址后,过一会另外一个用户就会报IP地址冲突。作为网络管理员,每天都会重复这样的劳动。那么该怎么处理呢?
这种现象其实是由于客户端获取到非法DHCP服务器提供的IP地址而造成了无法正常上网。
随着互联网和移动设备的迅速发展,各办公室私自连接无线路由器已屡见不鲜,无疑加重这种现象。
说到这里可能大家的第一反应是直接将IP地址和MAC地址绑定,问题就能解决了,但是除了繁琐配置和绑定工作以及日后设备维修更换不便外,VLAN技术可以有很多网段,将来维护起来更会加重管理员的工作负担。
不过,最致命的是IP地址和MAC地址绑定根本解决不了这个问题,这是因为常见的无线路由器都支持一个叫MAC地址克隆的功能。那么,利用DHCP Snooping功能如何解决这个问题呢?
首先我们先了解下DHCP的优缺点,然后对症下药。
1.DHCP的优点:
每个客户端能够动态获取IP地址、网关信息和DNS信息等,而不需要给每台连网的客户端去手动的配置IP地址等参数。
在用户网关所在的那台汇聚或者核心交换机上面配置DHCP功能就可以实现为用户分配地址,大大减少网络管理员的工作量。
2.DHCP的缺点:
DHCP的不足也很明显,我们来看下它的工作原理。
当一台主机客户端需要上网时,DHCP客户端会以广播的方式发出DHCP Discover报文,所有的DHCP服务器都能够接收到客户端发送的DHCP Discover报文,所有的DHCP 服务器都会给出响应,向客户端发送一个DHCP Offer报文。
DHCP Offer报文中“Your(Client) IP Address”字段就是DHCP服务器能够提供给DHCP客户端使用的IP地址。
既然是所有DHCP服务器都会给出响应,那客户端会先处理哪一个呢?
我们得出这样一个结论:DHCP客户端处理的是最先收到的DHCP Offer报文,也就是先收到谁的IP地址就用谁的,而不一定就是正确的那个。
DHCP Snooping又是如何来避免这个问题呢?
DHCP Snooping 把端口分为两种类型,TRUST口和UNTRUST口,设备只转发TRUST口收到的DHCP应答报文,而丢弃所有来自UNTRUST口的DHCP 应答报文。
以此把合法的DHCP Server连接的端口设置为TRUST口,则其他口为UNTRUST口,就可以实现对非法DHCP Server的屏蔽。
也就是说,我们只要在接入层交换机开启snooping功能,然后将与汇聚或核心成连接的上联口设置成trust口即可。
当然事物总存在两面性,为了保证效果应在接入层交换机上面部署该功能时,越靠近客户端端口控制的越准确,而且同时每个交换机的端口建议只连接一台PC客户端。
图1 相关命令行配置
这是由于如果某端口下串接一个交换机又连接若干PC客户端,那么当该交换机下发生了DHCP欺骗,由于欺骗报文都在该交换机端口间直接转发了,没有受到接入层交换机的DHCP snooping功能的控制,这样的欺骗就无法防止了。
相关命令行配置,如图1所示:
//将连接DHCP服务器的上联口设置为trust口