任 澎 高占江
(青岛科技大学 山东 261500)
网络的普及,无疑给网络管理带来了很大困难,动态主机配置协议(Dynamic Host Con-figuration Protoco1,DHCP)服务已成为各企事业单位简化网络管理的有效手段。同时,随着移动终端的大量增加,在一些无线网络不完善的地方,因家用路由器(SOHO路由器)自带的无线功能,使其受到众多普通用户的青睐,私自使用家用路由器成为了较为普遍的现象,而家用路由器带有的DHCP服务功能有时会对网络中动态分配IP地址造成很大干扰,势必影响网络运行的稳定性。
不同单位的网络结构虽然存在差异,但一般与以下结构近似。
图1 使用家用路由器的典型办公网络结构
说明:
(1)单位内由S0作为DHCP服务器统一分配管理IP地址;
(2)很多单位所采用的接入交换机为非网管交换机,即S2、S3均为非网管交换机;
(3)家用路由器默认是开启DHCP服务的。
直接与接入交换机相连的终端(如 PC_C)以广播方式发送DHCP DISCOVER消息,在网络中接收到该消息的 DHCP服务器都会做出响应,向DHCP客户机发送一个包含出租的IP地址和其他设置的 DHCP offer提供信息。主机 PC_C发出的DHCP DISCOVER消息,三层交换机S0与家用路由器均会收到,而二者又都开启了DHCP服务,均会向PC_C提供一个IP地址,因此,PC_C获取到的IP地址很有可能来自家用路由器。
针对这种私自使用带有DHCP服务功能的家用路由器引起的网络故障,现有的防范与解决措施主要有以下几种:
通过反复发送DHCP 请求广播报文的方法,直到用户主机能够从合法的 DHCP 服务器那里得到有效的上网参数为止。当然,也可以先给用户计算机设一个固定的IP及网关、子网掩码、DNS,也可确保暂时上网。
找到带有DHCP服务功能的家用无线路由器后,最简单的方法是直接将其换为交换机,但该方法丧失了无线接入的功能。更理想的方法是将该无线路由器通过设置当成无线交换机来使用,具体更改步骤如下:
(1)将进入该办公室的线连接在无线路由器的LAN口;
(2)更改无线路由器管理IP(即LAN口IP),使之与合法DHCP服务器所分IP处于同一网段;
(3)关闭该无线路由器的DHCP功能。
对于具有防火墙功能的家用路由器来说,由于DHCP服务器端应答数据包使用68端口,客户机发送请求时使用67端口,因此,我们可以在该路由器上封闭除了合法DHCP服务器之外的所有68端口,就能达到过滤非法DHCP服务器的目的。但家用路由器不一定具有防火墙功能,因此此方法的应用受到很大限制。
封杀端口法更适合于接入交换机为可配交换机时,在接入交换机上设置访问控制列表来实现对非法DHCP服务的过滤。
除了以上三种方法之外,还有其他一些方法可以实现解决非法DHCP引起的网络故障,但都不适用于本文所述场合。如,“域保护法” 是将合法的DHCP服务器添加到活动目录中,通过认证的方式可以有效的制止非法DHCP服务器,但这种方法需要域的支持,一般办公环境下并没有与服务器,不太适合实际情况;“DHCP- Snooping法”是通过建立和维护 DHCP Snooping绑定表,过滤不可信任的DHCP 信息,此方法也需要接入交换机是可配交换机,在可配交换机上进行相应设置。
上述几种方法中,最简单、快速解决上网问题的是给客户机设置静态IP地址,但此举又有可能引发IP地址冲突等问题,更长远的做法是将无线路由器通过设置当成无线交换机来使用。
但不管哪种方法,都需要用户对网络知识有一定了解。然而,现实生活中能够发现网络故障原因所在,并能够对客户机或家用路由器进行设置的用户少之又少;并且,家用路由器迅速发展,很大原因就是使用便捷,最好是能够连接、供电便能使用。那么,有没有方法让家用路由器连接、供电便能使用,还不会出现文中所述故障呢?
事实上,解决思路很简单,只需要在家用路由器WAN端口上禁止DHCP Offer信息的发出即可。这样,既不影响连接在该家用路由器上的下级终端从LAN口自动获取IP地址,也杜绝了其向外部终端(如,本文结构中的PC_C)提供非法IP地址的可能性。
网络的正常运行,一方面需要网络管理人员本身技术的提高,另一方面也需要网络设备、工具的设计更合理。随着网络地迅速普及,很多网络设备的使用者都是无网络专业知识的普通用户,这就需要生产厂商不断从用户使用体验入手优化产品的功能,保证家庭用和普通办公用网络设备的使用更便捷、网络更稳定。
[1]魏辰.园区网防范非法DHCP服务策略[J].网络与信息.2011.
[2]刘小华.DHC P在校网应用中的安全问题及对策研究[J].计算机安全.2013.
[3]段煜晖.非法 DHCP服务器攻击解决方案[J].计算机与网络.2012.
[4]徐坚.探讨DHCP环境下防范非法DHCP服务器的措施[J].电脑知识与技术.2011.