论文部分内容阅读
摘 要:为了降低网络管理员网络设置的负担,目前很多中小学校使用DHCP服务器为网络用户提供IP地址、子网掩码、网关等配置参数。但是,随着DHCP服务的广泛应用,一些用户私自建立了DHCP服务器接入校园网,这样客户端就不能从管理员所设置的DHCP服务器中获取合法的IP地址,有时还会造成IP地址冲突。文章给出了使用DHCP Snooping技术屏蔽校园网中非法DHCP服务器的方法。
关键词:IP;DHCP;DHCP Snooping
中图分类号:TP391文献标识码:B 文章编号:1673-8454(2011)18-0086-02
一、DHCP技术及其存在的问题
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)采用C/S运行机制,是一种简化主机IP地址配置管理的TCP/IP标准;由客户端和服务器通过DHCP报文交互,完成IP 地址申请。服务器可以向客户端提供IP地址和其他主机配置参数,如子网掩码、DNS-server、default-router(默认网关)、租用时间等。一次典型的IP地址申请过程如下:
1.DHCP Client 发送DHCPDISCOVER广播包在网络上寻找DHCP服务器。
2.DHCP服务器向DHCP Client发送DHCPOFFER单播数据包,包含IP地址等。
3.DHCP Client发送DHCPREQUEST广播包,向服务器请求分配已提供的IP地址。
4.DHCP服务器向DHCP Client发送DHCPACK单播数据包,确认主机的请求。
可以看出,在计算机数量比较多的校园网中,使用DHCP服务可以避免因手工设置IP地址及子网掩码所产生的错误,同时也避免把一个IP地址分配给多台主机所造成的地址冲突,可以大大缩短网络管理员在主机地址配置上所耗费的时间,降低了管理员的设置负担。
但是,随着DHCP服务的广泛应用,也产生了一些新的问题,具体表现在:DHCP报文在客户端和服务器的交互过程中并没有认证机制,如果网络中存在多台DHCP服务器,管理员将无法保证客户端从管理员指定的DHCP服务器获取合法地址,客户机有可能从非法DHCP服务器获得IP地址等配置信息,导致网络地址分配混乱。
二、DHCP Snooping
DHCP Snooping简称DHCP窥探,在交换机上开启DHCP Snooping功能后,可以实现对DHCP Client和DHCP Server之间的DHCP交互报文进行窥探,从而实现对用户的监控、屏蔽非法DHCP 服务器和过滤非法DHCP报文的功能,解决了DHCP Client和DHCP Server之间DHCP报文交互的安全问题。
为了屏蔽非法DHCP服务器,需要将交换机端口配置为信任口和非信任口两种类型。将合法DHCP服务器的连接端口配置为信任口,其他端口默认为非信任端口。对于DHCP客户端请求报文,设备仅将其转发至信任口。对于DHCP 服务器响应报文,设备仅转发从信任口收到的响应报文,丢弃所有来自非信任口的响应报文,见图2。
按照图2所示,对于PC1和PC2发出的DHCP DISCOVER报文,交换设备仅将其转发到信任口;对于Server1和Server2发出的DHCP OFFER报文,交换设备仅转发Server1的响应报文,丢弃Server2的响应报文。
三、DHCP Snooping配置
1.网络环境
校园网教师办公楼部署S3750接入交换机,为了减少管理工作量采用DHCP分配IP地址,由于有位略精通电脑的教师私设了一台DHCP服务器,导致大量主机无法分配到合法IP地址。网络拓扑如图3所示:交换机端口1接的是合法DHCP Server,端口2接的是非法DHCP Server。
2.配置交换机DHCPSnooping
(1)打开设备DHCPSnooping功能:
Ruijie#configure terminal
Ruijie(config)#ip dhcp snooping
Ruijie(config)#end
(2)将端口1设置为TRUST口,连接合法DHCP服务器的端口配置为信任口,连接用户的端口默认为非信任口:
Ruijie#configure terminal
Ruijie(config)#interface fastEthernet 0/1
Ruijie(config-if-FastEthernet 0/1)#ip dhcp snooping trust
Ruijie(config)#end
通过上面两个步骤就可实现非法DHCP服务器的屏蔽。
(3)为了防止私设IP地址的用户使用网络,可以打开接口上的地址绑定开关,通过硬件对非法IP报文进行过滤,这样用户只能使用DHCP Server 分配的IP地址:
Ruijie#configure terminal
Ruijie(config)#interface range fastEthernet 0/1-24
Ruijie(config-if-range)#ip dhcp snooping address-bind
Ruijie(config)#end
四、DHCP Snooping应用部署
通过上面的介绍,我们知道DHCP Snooping技术解决方案可以使当前网络更加稳定和安全。该解决方案主要部署在接入设备。如果将该方案部署在汇聚层及其以上的设备,那么接入层的非法DHCP报文将得不到有效的控制,不能充分发挥该方案的优势。基于上述原因,建议将方案部署在接入层。
当然DHCP Snooping结合其它一些设置还可实现动态ARP检测,有效防止非法ARP报文欺骗,即所谓的DHCPSnooping DAI技术,感兴趣的可以查阅相关资料。
(编辑:鲁利瑞)
关键词:IP;DHCP;DHCP Snooping
中图分类号:TP391文献标识码:B 文章编号:1673-8454(2011)18-0086-02
一、DHCP技术及其存在的问题
DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)采用C/S运行机制,是一种简化主机IP地址配置管理的TCP/IP标准;由客户端和服务器通过DHCP报文交互,完成IP 地址申请。服务器可以向客户端提供IP地址和其他主机配置参数,如子网掩码、DNS-server、default-router(默认网关)、租用时间等。一次典型的IP地址申请过程如下:
1.DHCP Client 发送DHCPDISCOVER广播包在网络上寻找DHCP服务器。
2.DHCP服务器向DHCP Client发送DHCPOFFER单播数据包,包含IP地址等。
3.DHCP Client发送DHCPREQUEST广播包,向服务器请求分配已提供的IP地址。
4.DHCP服务器向DHCP Client发送DHCPACK单播数据包,确认主机的请求。
可以看出,在计算机数量比较多的校园网中,使用DHCP服务可以避免因手工设置IP地址及子网掩码所产生的错误,同时也避免把一个IP地址分配给多台主机所造成的地址冲突,可以大大缩短网络管理员在主机地址配置上所耗费的时间,降低了管理员的设置负担。
但是,随着DHCP服务的广泛应用,也产生了一些新的问题,具体表现在:DHCP报文在客户端和服务器的交互过程中并没有认证机制,如果网络中存在多台DHCP服务器,管理员将无法保证客户端从管理员指定的DHCP服务器获取合法地址,客户机有可能从非法DHCP服务器获得IP地址等配置信息,导致网络地址分配混乱。
二、DHCP Snooping
DHCP Snooping简称DHCP窥探,在交换机上开启DHCP Snooping功能后,可以实现对DHCP Client和DHCP Server之间的DHCP交互报文进行窥探,从而实现对用户的监控、屏蔽非法DHCP 服务器和过滤非法DHCP报文的功能,解决了DHCP Client和DHCP Server之间DHCP报文交互的安全问题。
为了屏蔽非法DHCP服务器,需要将交换机端口配置为信任口和非信任口两种类型。将合法DHCP服务器的连接端口配置为信任口,其他端口默认为非信任端口。对于DHCP客户端请求报文,设备仅将其转发至信任口。对于DHCP 服务器响应报文,设备仅转发从信任口收到的响应报文,丢弃所有来自非信任口的响应报文,见图2。
按照图2所示,对于PC1和PC2发出的DHCP DISCOVER报文,交换设备仅将其转发到信任口;对于Server1和Server2发出的DHCP OFFER报文,交换设备仅转发Server1的响应报文,丢弃Server2的响应报文。
三、DHCP Snooping配置
1.网络环境
校园网教师办公楼部署S3750接入交换机,为了减少管理工作量采用DHCP分配IP地址,由于有位略精通电脑的教师私设了一台DHCP服务器,导致大量主机无法分配到合法IP地址。网络拓扑如图3所示:交换机端口1接的是合法DHCP Server,端口2接的是非法DHCP Server。
2.配置交换机DHCPSnooping
(1)打开设备DHCPSnooping功能:
Ruijie#configure terminal
Ruijie(config)#ip dhcp snooping
Ruijie(config)#end
(2)将端口1设置为TRUST口,连接合法DHCP服务器的端口配置为信任口,连接用户的端口默认为非信任口:
Ruijie#configure terminal
Ruijie(config)#interface fastEthernet 0/1
Ruijie(config-if-FastEthernet 0/1)#ip dhcp snooping trust
Ruijie(config)#end
通过上面两个步骤就可实现非法DHCP服务器的屏蔽。
(3)为了防止私设IP地址的用户使用网络,可以打开接口上的地址绑定开关,通过硬件对非法IP报文进行过滤,这样用户只能使用DHCP Server 分配的IP地址:
Ruijie#configure terminal
Ruijie(config)#interface range fastEthernet 0/1-24
Ruijie(config-if-range)#ip dhcp snooping address-bind
Ruijie(config)#end
四、DHCP Snooping应用部署
通过上面的介绍,我们知道DHCP Snooping技术解决方案可以使当前网络更加稳定和安全。该解决方案主要部署在接入设备。如果将该方案部署在汇聚层及其以上的设备,那么接入层的非法DHCP报文将得不到有效的控制,不能充分发挥该方案的优势。基于上述原因,建议将方案部署在接入层。
当然DHCP Snooping结合其它一些设置还可实现动态ARP检测,有效防止非法ARP报文欺骗,即所谓的DHCPSnooping DAI技术,感兴趣的可以查阅相关资料。
(编辑:鲁利瑞)