入住豪华酒店,发现无法上网很窝火,但酒店总说网络是可以用?
目前大多数用户网络均有架设DHCP服务器来为终端PC或手机自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率及网络接入体验。但您是否遭遇过电脑获取不到IP地址导致的无法上网?特别是宾馆酒店、厂区宿舍、办公场所、学校等场所,注意,这不是高科技的黑客攻击,也不是小儿科的电脑系统问题,而是您的网络设备缺少一个特殊功能,接下来小编为您从原理上进行剖析。酒店、宿舍、办公场所,人员密集型的场所,常有上网者为了扩展接入终端,私接随身路由,由于这些小路由器自带DHCP功能,胡乱给内网其他终端分配地址,使其他终端不能正常获取到网络中真正的IP地址,从而导致无法上网;或者网络中有个别终端用的是window 2003、2008系统,这些系统默认开启了DHCP服务,从而也胡乱给内网其他终端分配地址,导致网络故障,这就是传说中的DHCP欺骗。
问题来了,该如何搞定?
那有没有技术能防止这类DHCP欺骗呢?或者说即使内网有多个DHCP服务器,也能是终端用户获取到真正的内网IP地址呢?答案是肯定的,TG-NET交换机特色功能之“DHCP snooping”便是一剂“良方解药”!
DHCP snooping,即为DHCP窥探,在终端PC动态获取IP地址的过程中,通过对终端PC和DHCP服务器(可能是路由器、交换机或专门的DHCP服务器)之间的DHCP交互报文进行窥探,实现对用户的监控,同时DHCP Snooping起到一个DHCP报文过滤的功能,通过合理的配置实现对非法服务器的过滤,防止用户端获取到非法DHCP服务器提供的地址而无法上网。
在实际的网络施工中我们推荐在接入层交换机上面部署该功能,如S3500、P3000M系列交换机,因为越靠近终端PC端口,控制的越准确及时。而且每个交换机的端口推荐只连接一台终端PC,因为如果交换机某端口下串接一个普通交换机,再级联扩展若干PC的话,那么如果凑巧该普通交换机下发生DHCP欺骗,由于欺骗报文都在普通交换机端口间直接转发了,没有受到接入层交换机的DHCP snooping功能的控制,这样的欺骗就无法防止了。
DHCP snooping + IP Source Guard网络双剑客:
在DHCP环境的网络里经常会出现用户随意设置静态IP地址的问题,用户随意设置的IP地址不但使网络难以维护,而且会导致一些合法的使用DHCP获取IP的用户因为冲突而无法正常使用网络,DHCP Snooping通过窥探Client和Server之间交互的报文,把用户获取到的IP信息以及用户MAC地址信息、VLAN ID信息、端口信息等组成用户记录表项,再配合IP Source Guard进行端口绑定,防止用户随意设置IP地址、伪造IP地址进行内网扫描攻击,达到控制用户合法使用IP地址的目的。