入住豪華酒店,發現無法上網很窩火,但酒店總說網絡是可以用?
目前大多數用戶網絡均有架設DHCP服務器來為終端PC或手機自動分配IP地址、掩碼、默認網關、DNS服務器等網絡參數,簡化了網絡配置,提高了管理效率及網絡接入體驗。但您是否遭遇過電腦獲取不到IP地址導致的無法上網?特別是賓館酒店、廠區宿舍、辦公場所、學校等場所,注意,這不是高科技的黑客攻擊,也不是小兒科的電腦系統問題,而是您的網絡設備缺少一個特殊功能,接下來小編為您從原理上進行剖析。
真相大白原來如此:
酒店、宿舍、辦公場所,人員密集型的場所,常有上網者為了擴展接入終端,私接隨身路由,由于這些小路由器自帶DHCP功能,胡亂給內網其他終端分配地址,使其他終端不能正常獲取到網絡中真正的IP地址,從而導致無法上網;或者網絡中有個別終端用的是window2003、2008系統,這些系統默認開啟了DHCP服務,從而也胡亂給內網其他終端分配地址,導致網絡故障,這就是傳說中的DHCP欺騙。
問題來了,該如何搞定?
那有沒有技術能防止這類DHCP欺騙呢?或者說即使內網有多個DHCP服務器,也能是終端用戶獲取到真正的內網IP地址呢?答案是肯定的,TG-NET交換機特色功能之“DHCPsnooping”便是一劑“良方解藥”!
DHCPsnooping,即為DHCP窺探,在終端PC動態獲取IP地址的過程中,通過對終端PC和DHCP服務器(可能是路由器、交換機或專門的DHCP服務器)之間的DHCP交互報文進行窺探,實現對用戶的監控,同時DHCPSnooping起到一個DHCP報文過濾的功能,通過合理的配置實現對非法服務器的過濾,防止用戶端獲取到非法DHCP服務器提供的地址而無法上網。
注意事項:
在實際的網絡施工中我們*在接入層交換機上面部署該功能,如S3500、P3000M系列交換機,因為越靠近終端PC端口,控制的越準確及時。而且每個交換機的端口*只連接一臺終端PC,因為如果交換機某端口下串接一個普通交換機,再級聯擴展若干PC的話,那么如果湊巧該普通交換機下發生DHCP欺騙,由于欺騙報文都在普通交換機端口間直接轉發了,沒有受到接入層交換機的DHCPsnooping功能的控制,這樣的欺騙就無法防止了。
DHCPsnooping+IPSourceGuard網絡雙劍客:
在DHCP環境的網絡里經常會出現用戶隨意設置靜態IP地址的問題,用戶隨意設置的IP地址不但使網絡難以維護,而且會導致一些合法的使用DHCP獲取IP的用戶因為沖突而無法正常使用網絡,DHCPSnooping通過窺探Client和Server之間交互的報文,把用戶獲取到的IP信息以及用戶MAC地址信息、VLANID信息、端口信息等組成用戶記錄表項,再配合IPSourceGuard進行端口綁定,防止用戶隨意設置IP地址、偽造IP地址進行內網掃描攻擊,達到控制用戶合法使用IP地址的目的。
