資源描述:
《cisco 解決在dhcp環(huán)境下私自指定ip和私自搭建dhcp服務(wù)器的方法》由會(huì)員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)���。
1���、網(wǎng)絡(luò)管理員:現(xiàn)在用戶真是不省心,自己改個(gè)IP地址�����;私接AP、忘關(guān)DHCP���,還有的下個(gè)小黑客程序�,就想在你內(nèi)網(wǎng)里試試��。單靠交換機(jī)能管嗎���? 測(cè)試工程師:能�����!很多交換機(jī)上的小功能都可幫大忙����?! y(cè)試實(shí)況: IP與MAC綁定 思科的Catalyst3560交換機(jī)支持DHCPSnooping功能,交換機(jī)會(huì)監(jiān)聽(tīng)DHCP的過(guò)程���,交換機(jī)會(huì)生成一個(gè)IP和MAC地址對(duì)應(yīng)表�。思科的交換機(jī)更進(jìn)一步的支持IPsourceguard和DynamicARPInspection功能,這兩個(gè)功能任啟一個(gè)都可以自動(dòng)的根據(jù)DHCPSnooping監(jiān)聽(tīng)獲得的IP和MAC地址對(duì)應(yīng)表�����,進(jìn)行綁定�,防止私自更改地址?���! yn
2、amicARPInspection功能還有一個(gè)好處是可以防范在2層網(wǎng)絡(luò)的中間人攻擊(見(jiàn)圖4)���。 思科在DHCPSnooping上還做了一些非常有益的擴(kuò)展功能��,比如Catalyst3560交換機(jī)可以限制端口通過(guò)的DHCP數(shù)據(jù)包的速率���,粒度是pps�����,這樣可以防止對(duì)DHCP服務(wù)器的進(jìn)行地址請(qǐng)求的DoS攻擊����。另外Catalyst3560交換機(jī)還支持DHCPTracker,在DHCP請(qǐng)求中插入交換機(jī)端口的ID��,從而限制每個(gè)端口申請(qǐng)的IP地址數(shù)目��,防止黑客程序?qū)HCP服務(wù)器進(jìn)行目的為耗盡IP地址池的攻擊�。華碩雖然不能調(diào)整速率,但是也會(huì)限制DHCP請(qǐng)求的數(shù)量���。DHCP(動(dòng)態(tài)主機(jī)配置協(xié)議)是一種簡(jiǎn)化主
3���、機(jī)IP地址配置管理的TCP/IP標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為DHCP服務(wù)器的使用提供了一種有效的方法:即管理網(wǎng)絡(luò)中客戶機(jī)IP地址的動(dòng)態(tài)分配以及啟用網(wǎng)絡(luò)上DHCP客戶機(jī)的其它相關(guān)配置信息����。在基于TCP/IP協(xié)議的網(wǎng)絡(luò)中,每臺(tái)計(jì)算機(jī)都必須有唯一的IP地址才能訪問(wèn)網(wǎng)絡(luò)上的資源��,網(wǎng)絡(luò)中計(jì)算機(jī)之間的通信是通過(guò)IP地址來(lái)實(shí)現(xiàn)的����,并且通過(guò)IP地址和子網(wǎng)掩碼來(lái)標(biāo)識(shí)主計(jì)算機(jī)及其所連接的子網(wǎng)。在局域網(wǎng)中如果計(jì)算機(jī)的數(shù)量比較少�����,當(dāng)然可以手動(dòng)設(shè)置其IP地址,但是如果在計(jì)算機(jī)的數(shù)量較多并且劃分了多個(gè)子網(wǎng)的情況下��,為計(jì)算機(jī)配置IP地址所涉及的管理員工作量和復(fù)雜性就會(huì)相當(dāng)繁重�,而且容易出錯(cuò),如在實(shí)際使用過(guò)程中����,我們經(jīng)常會(huì)遇到因IP地
4、址沖突��、網(wǎng)關(guān)或DNS服務(wù)器地址的設(shè)置錯(cuò)誤導(dǎo)致無(wú)法訪問(wèn)網(wǎng)絡(luò)��、機(jī)器經(jīng)常變動(dòng)位置而不得不頻繁地更換IP地址等問(wèn)題��。DHCP則很好地解決了上述的問(wèn)題��,通過(guò)在網(wǎng)絡(luò)上安裝和配置DHCP服務(wù)器����,啟用了DHCP的客戶機(jī)可在每次啟動(dòng)并加入網(wǎng)絡(luò)時(shí)自動(dòng)地獲得其上網(wǎng)所需的IP地址和相關(guān)的配置參數(shù)�。從而減少了配置管理,提供了安全而可靠的配置����。配置DHCP服務(wù)的服務(wù)器可以為每一個(gè)網(wǎng)絡(luò)客戶提供一個(gè)IP地址、子網(wǎng)掩碼、缺省網(wǎng)關(guān)���,以及DNS服務(wù)器的地址���。DHCP避免了因手工設(shè)置IP地址及子網(wǎng)掩碼所產(chǎn)生的錯(cuò)誤,也避免了把一個(gè)IP地址分配給多臺(tái)主機(jī)所造成的地址沖突����。降低了IP地址管理員的設(shè)置負(fù)擔(dān),使用DHCP服務(wù)器可以大大地縮
5�����、短配置網(wǎng)絡(luò)中主機(jī)所花費(fèi)的時(shí)間�。但是,隨著DHCP服務(wù)的廣泛應(yīng)用��,也產(chǎn)生了一些問(wèn)題�。首先,DHCP服務(wù)允許在一個(gè)子網(wǎng)內(nèi)存在多臺(tái)DHCP服務(wù)器���,這就意味著管理員無(wú)法保證客戶端只能從管理員所設(shè)置的DHCP服務(wù)器中獲取合法的IP地址����,而不從一些用戶自建的非法DHCP服務(wù)器中取得IP地址;其次�����,在部署DHCP服務(wù)的子網(wǎng)中����,指定了合法的IP地址、掩碼和網(wǎng)關(guān)的主機(jī)也可以正常地訪問(wèn)網(wǎng)絡(luò)���,而DHCP服務(wù)器卻仍然會(huì)有可能將該地址分配給其他主機(jī)�,這樣就會(huì)造成地址沖突�,影響IP地址的正常分配。針對(duì)上述問(wèn)題��,本文給出了一個(gè)解決方案�,即通過(guò)使用Cisco提供的DHCPSnooping技術(shù)和DynamicARPInsp
6、ection技術(shù)����,可以有效地防止以上問(wèn)題的發(fā)生�����。這里首先對(duì)兩種技術(shù)做一個(gè)簡(jiǎn)要的介紹,然后將給出一個(gè)應(yīng)用實(shí)例加以說(shuō)明���。四��、應(yīng)用實(shí)例我校1#學(xué)生公寓�,PC擁有數(shù)量大約1000臺(tái)�。采用DHCP分配IP地址,擁有4個(gè)C類地址��,實(shí)際可用地址數(shù)約1000個(gè)���。由于樓內(nèi)經(jīng)常存在私開(kāi)的DHCP服務(wù)器�����,導(dǎo)致大量主機(jī)無(wú)法分配到合法IP地址�;另外���,由于有相當(dāng)數(shù)量的主機(jī)指定IP地址�,因此造成了與DHCP分配的IP地址沖突�����。以上兩方面,均造成了該公寓樓大量主機(jī)無(wú)法正常訪問(wèn)網(wǎng)絡(luò)���。經(jīng)過(guò)一段時(shí)間的分析�、實(shí)驗(yàn)�����,我們決定對(duì)該公寓樓部署DHCPSnooping和DynamicARPInspection兩項(xiàng)技術(shù)����,以保證網(wǎng)絡(luò)的正常運(yùn)
7、行�����。該公寓網(wǎng)絡(luò)設(shè)備使用情況如下���,接入層為××臺(tái)Cisco2950交換機(jī)上聯(lián)至堆疊的4臺(tái)Cisco3750��,再通過(guò)光纖上聯(lián)至匯聚層的Cisco3750交換機(jī)�。同時(shí)匯聚層的Cisco3750交換機(jī)還兼做DHCP服務(wù)器�����。部署過(guò)程首先按如下過(guò)程配置DHCPSnooping1configureterminal2ipdhcpsnooping在全局模式下啟用DHCPSnooping3ipdhcpsnoopingvlan103在VLAN
