产品中心

联系我们

网络相关

鸿章管理型交换机防止用户私接(路由器)DHCP服务器干扰网络

发布时间:2021-10-01 20:43:18  访问次数:
小区宽带、宾馆经常有客人会私接路由(DHCP服务器),这到没什么,最可恨的是把路由当交换机用(把网线接到LAN口)造成整个(小区)宾馆不能正常上网。
如果内网中存在私设的DHCP服务器,那么就会对网络造成影响,例如客户端通过私设的DHCP服务器拿到一个非法的地址,最终导致PC无法正常上网。

针对此种情形,鸿章管理型交换机可利用DHCP snooping功能解决dhcp冲突。


DHCP snooping是通过现有交换机在数据链路层实现的,它可以对抗攻击,阻挡未授权DHCP服务器。它使2层协议交换机能够检测从特定端口接收的数据帧,然后检查它们是否来自合法的DHCP服务器。
这个2层处理过程包括几个步骤。首先,您需要在交换机上启用全局DHCP,然后再在各个虚拟LAN(VLAN)上启用DHCP snooping。最后,您还必须配置各个可信端口。
下面是一个启用DHCP SNOOPING的例子:
Switch(config)#ip dhcp snooping
Switch(config)#ip dhcp snooping vlan 30
Switch(config)#interface gigabitethernet1/0/1
Switch(config-if)#ip dhcp snooping trust
在这个例子中,交换机启用了全局DHCP snooping,然后再为VLAN 30启用DHCP snooping。唯一可信的接口是gigabitEthernet1/0/1。DHCP snooping可以帮助保证主机只使用分配给它们的IP地址,并且验证只能访问授权的DHCP服务器。在实现之后,DHCP snooping就会丢弃来自未可信DHCP服务器的DHCP消息。
 
 


使用DHCP snooping防止ARP缓存污染
 
DHCP snooping还可以跟踪主机的物理位置,从而可以防御(ARP)缓存污染攻击。它在防御这些攻击的过程中发挥重要作用,因为您可以使用DHCP snooping技术丢弃一些来源与目标MAC地址不符合已定义规则的DHCP消息。管理会收到通过DHCP snooping警报通知的违规行为。当DHCP snooping服务检测到违规行为时,它会在系统日志服务器上记录一条消息“DHCP Snooping”。