论文部分内容阅读
【摘 要】DHCP被广泛应用于广域网和局域网,为网络用户动态提供IP地址、子网掩码和网关等信息。现在越来越多的网络设备能够提供DHCP服务,当这些设备被错误的接入到原有网络时,会影响用户从合法的DHCP服务器中获取地址信息,有时候还会造成冲突,影响网络的正常使用。本文给出了屏蔽非法DHCP服务器的方法,保障正常的网络应用。
一、DHCP简述
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)使用UDP协议的67和68端口号,DHCP服务器端可以为DHCP客户端动态分配IP地址等信息,其主要工作过程如图1所示。
(一)请求:当DHCP客户端登录网络时,它会向网络发出一个DHCP DISCOVER广播报文。网络中的所有主机都将收到该报文,但只有DHCP Server会进行应答。
(二)应答:当DHCP Server收到DHCP Discover广播后,它会选择第一个闲置IP,连同其它TCP/IP设定(如子网掩码、网关、DNS等),响应给客户端一个DHCP Offer报文。若网络中有多台DHCP Server,则客户端会收到多个响应,通常客户端将选择最先到达的DHCP Offer。
(三)接受:如果客户端接受了某台DHCP服务器的租约,客户端会向网络发送一个DHCP Request广播报文,告诉所有DHCP服务器它将接受哪一台服务器提供的IP地址,未被接受的DHCP服务器将收回它们为这台客户端所提供的租约。
(四)确认:DHCP服务器接收到客户端的DHCP Request之后,会向客户端发出一个DHCP ACK,以确认IP租约的生效。
二、由无线路由扩展的校园网
传统的校园网中,服务器使用固定IP地址,对于其他包括笔记本和台式机在内的众多客户端,可使用DHCP协议进行地址分配,其模型如图2所示。
在本例所示的拓扑中,DHCP Server连接至核心交换机,核心交换机下连各楼宇二层交换机再连接至PC。未配置IP信息的PC机启动后将发送DHCP Discover,DHCP Server收到后将为客户端分配相应的IP配置信息。
过去校园网的综合布线系统以双绞线和光纤等有线介质为主,当校园网中需要延伸距离、增加信息点时重新布线会存在种种困难。此时,使用无线设备进行网络的扩展成了首选。同时,智能手机的普及也使得人们对无线网络有了更迫切的需求。因此,无线路由被大量的应用在了办公室、会议室等场所。扩展的网络模型如图3所示。
在这个拓扑结构中,每个无线路由使用WAN接口上联至交换机,通过DHCP为WAN接口配置地址。同时每个无线路由器又是一个DHCP服务器,通过LAN和WLAN接口为下联的台式机(使用有线连接)和笔记本、平板电脑及手机(使用无线连接)分配地址并提供网络接入服务。
三、无线路由引发的DHCP冲突
无线路由器通常分为两类接口:WAN接口和LAN接口,接入网络正确的连接方式应该是使用WAN接口连接交换机至上层网络,使用LAN接口连接PC或笔记本等网络边缘设备。无线路由器将使用DHCP为连接在LAN接口的下联设备分配IP地址(通常为192.168.1.0/24网段),同时以NAT的方式通过WAN接口为下联设备提供网络通讯服务。但在实际使用时,用户可能将LAN接口错误连接至上层交换机,而由于DHCP服务在无线路由上默认是开启的,则每台无线路由都是一台DHCP服务器,这就使得网络中出现了很多非法DHCP服务器。由于DHCP的请求报文是以广播的形式发送出去,所有收到请求的DHCP Server都可以进行应答,客户端通常会用最先收到的DHCP应答来配置自己的地址信息。如果非法DHCP Server的应答先于合法DHCP Server的应答,则客户端将获得错误的IP,将不能访问网络。如图4所示。
当故障发生时,在客户端使用ipconfig查看,发现客户端获得的IP地址为192.168.1.*,而非正确的IP。使用ethereal捕获DHCP报文,发现提供给客户端DHCP Offer的DHCP Server的MAC地址也不是合法DHCP Server的地址,表明网内存在其他非法DHCP Server。
四、DHCP冲突的解决
在该例中,导致DHCP冲突的原因是由于用户错误的网络连接,导致无线路由能够从LAN接口上收到DHCP Discover并把响应报文送入到交换机转发给客户端。因此,要解决此类故障,应对交换机进行设置,仅允许合法DHCP Server的应答报文进入到交换机的端口。
为实现这样的目标,需要使用DHCP Snooping技术。该技术可以对DHCP报文进行监测,允许将交换机的某个物理端口设置为信任端口或不信任端口。交换机将所收到的来自于客户端的DHCP Discover报文仅向信任端口转发,这样保证所有客户端的DHCP请求仅会被送往合法的DHCP服务器。同时信任端口会转发来自于DHCP Server的DHCP Offer报文,而不信任端口会丢弃接收到的DHCP Offer报文。此时,仅需将连接至合法DHCP Server的交换机端口及交换机之间的互联端口设置为信任端口,而将其他端口设置为不信任端口,即可阻止其他非法DHCP Server所发送的DHCP Offer进入到网络。
在本例中,核心交换机型号为Cisco Catalyst 4503,配置信任端口的主要配置语句如下。
C4503# config terminal
C4503(config)# ip dhcp snooping
//在全局模式下启用DHCP Snooping
C4503(config)# ip dhcp snooping vlan 210
//为vlan 210配置DHCP Snooping
C4503(config)# interface GigabitEthernet2/21 //进入到指定接口
C4503(config-if)#ip dhcp snooping trust
//将该端口设置为信任端口
二层接入交换机的配置略。
五、结束语
DHCP是网络中分配IP信息的主要方式,由DHCP引发的网络故障甚至攻击行为也经常发生,客户端无法获得正确的IP地址。在解决此类问题时要区分不同的故障类型,并结合报文捕获软件对DHCP报文进行分析,以给出正确的解决方案。
作者信息:
杨柳,女(1984.7-),汉族,本科,助教
地址:江西农业大学南昌商学院行政部
袁黎晖,男(1973.2-),汉族,硕士,高级工程师
地址:江西农业大学南昌商学院计算机系
一、DHCP简述
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)使用UDP协议的67和68端口号,DHCP服务器端可以为DHCP客户端动态分配IP地址等信息,其主要工作过程如图1所示。
(一)请求:当DHCP客户端登录网络时,它会向网络发出一个DHCP DISCOVER广播报文。网络中的所有主机都将收到该报文,但只有DHCP Server会进行应答。
(二)应答:当DHCP Server收到DHCP Discover广播后,它会选择第一个闲置IP,连同其它TCP/IP设定(如子网掩码、网关、DNS等),响应给客户端一个DHCP Offer报文。若网络中有多台DHCP Server,则客户端会收到多个响应,通常客户端将选择最先到达的DHCP Offer。
(三)接受:如果客户端接受了某台DHCP服务器的租约,客户端会向网络发送一个DHCP Request广播报文,告诉所有DHCP服务器它将接受哪一台服务器提供的IP地址,未被接受的DHCP服务器将收回它们为这台客户端所提供的租约。
(四)确认:DHCP服务器接收到客户端的DHCP Request之后,会向客户端发出一个DHCP ACK,以确认IP租约的生效。
二、由无线路由扩展的校园网
传统的校园网中,服务器使用固定IP地址,对于其他包括笔记本和台式机在内的众多客户端,可使用DHCP协议进行地址分配,其模型如图2所示。
在本例所示的拓扑中,DHCP Server连接至核心交换机,核心交换机下连各楼宇二层交换机再连接至PC。未配置IP信息的PC机启动后将发送DHCP Discover,DHCP Server收到后将为客户端分配相应的IP配置信息。
过去校园网的综合布线系统以双绞线和光纤等有线介质为主,当校园网中需要延伸距离、增加信息点时重新布线会存在种种困难。此时,使用无线设备进行网络的扩展成了首选。同时,智能手机的普及也使得人们对无线网络有了更迫切的需求。因此,无线路由被大量的应用在了办公室、会议室等场所。扩展的网络模型如图3所示。
在这个拓扑结构中,每个无线路由使用WAN接口上联至交换机,通过DHCP为WAN接口配置地址。同时每个无线路由器又是一个DHCP服务器,通过LAN和WLAN接口为下联的台式机(使用有线连接)和笔记本、平板电脑及手机(使用无线连接)分配地址并提供网络接入服务。
三、无线路由引发的DHCP冲突
无线路由器通常分为两类接口:WAN接口和LAN接口,接入网络正确的连接方式应该是使用WAN接口连接交换机至上层网络,使用LAN接口连接PC或笔记本等网络边缘设备。无线路由器将使用DHCP为连接在LAN接口的下联设备分配IP地址(通常为192.168.1.0/24网段),同时以NAT的方式通过WAN接口为下联设备提供网络通讯服务。但在实际使用时,用户可能将LAN接口错误连接至上层交换机,而由于DHCP服务在无线路由上默认是开启的,则每台无线路由都是一台DHCP服务器,这就使得网络中出现了很多非法DHCP服务器。由于DHCP的请求报文是以广播的形式发送出去,所有收到请求的DHCP Server都可以进行应答,客户端通常会用最先收到的DHCP应答来配置自己的地址信息。如果非法DHCP Server的应答先于合法DHCP Server的应答,则客户端将获得错误的IP,将不能访问网络。如图4所示。
当故障发生时,在客户端使用ipconfig查看,发现客户端获得的IP地址为192.168.1.*,而非正确的IP。使用ethereal捕获DHCP报文,发现提供给客户端DHCP Offer的DHCP Server的MAC地址也不是合法DHCP Server的地址,表明网内存在其他非法DHCP Server。
四、DHCP冲突的解决
在该例中,导致DHCP冲突的原因是由于用户错误的网络连接,导致无线路由能够从LAN接口上收到DHCP Discover并把响应报文送入到交换机转发给客户端。因此,要解决此类故障,应对交换机进行设置,仅允许合法DHCP Server的应答报文进入到交换机的端口。
为实现这样的目标,需要使用DHCP Snooping技术。该技术可以对DHCP报文进行监测,允许将交换机的某个物理端口设置为信任端口或不信任端口。交换机将所收到的来自于客户端的DHCP Discover报文仅向信任端口转发,这样保证所有客户端的DHCP请求仅会被送往合法的DHCP服务器。同时信任端口会转发来自于DHCP Server的DHCP Offer报文,而不信任端口会丢弃接收到的DHCP Offer报文。此时,仅需将连接至合法DHCP Server的交换机端口及交换机之间的互联端口设置为信任端口,而将其他端口设置为不信任端口,即可阻止其他非法DHCP Server所发送的DHCP Offer进入到网络。
在本例中,核心交换机型号为Cisco Catalyst 4503,配置信任端口的主要配置语句如下。
C4503# config terminal
C4503(config)# ip dhcp snooping
//在全局模式下启用DHCP Snooping
C4503(config)# ip dhcp snooping vlan 210
//为vlan 210配置DHCP Snooping
C4503(config)# interface GigabitEthernet2/21 //进入到指定接口
C4503(config-if)#ip dhcp snooping trust
//将该端口设置为信任端口
二层接入交换机的配置略。
五、结束语
DHCP是网络中分配IP信息的主要方式,由DHCP引发的网络故障甚至攻击行为也经常发生,客户端无法获得正确的IP地址。在解决此类问题时要区分不同的故障类型,并结合报文捕获软件对DHCP报文进行分析,以给出正确的解决方案。
作者信息:
杨柳,女(1984.7-),汉族,本科,助教
地址:江西农业大学南昌商学院行政部
袁黎晖,男(1973.2-),汉族,硕士,高级工程师
地址:江西农业大学南昌商学院计算机系