华新
(武城县职业中等专业学校 山东德州 253300)
非法DHCP Server引发的网络冲突及解决方法
华新
(武城县职业中等专业学校 山东德州 253300)
DHCP被广泛应用于广域网和局域网,为网络用户动态提供IP地址、子网掩码和网关等信息。越来越多的网络设备能够提供DHCP Server,当这些设备被错误的接入到原有网络时,会影响用户从合法的DHCP Server中获取地址信息,有时候还会造成冲突,影响网络的正常使用。本文给出了屏蔽非法DHCP Server的方法,保障正常的网络应用。
非法DHCPDHCP ServerDHCP snooping网络冲突
在传统的网络中,DHCP Server使用固定IP地址,对于其他包括笔记本和台式机在内的众多客户端,可使用DHCP协议进行地址分配,其模型如图1所示。过去网络的综台布线系统以双绞线和光纤等有线介质为主,当网络中需要延伸距离、增加信息点时重新布线会存在种种困难。此时,使用无线设备进行网络的扩展成了首选。同时,智能手机、平板电脑的普及也使得人们对无线网络有了更迫切的需求。因此,大量的Soho无线路由被应用在了办公室、会议室等场所。这些Soho无线路由器自带的DHCP Server功能经常造成主机无法从合法的DHCP Server处获得IP地址。
图1
在本例所示的拓扑中,核心交换机开启DHCP服务作为DHCP Server,核心交换机下连接接入交换机再连接至PC。未配置IP信息的PC机启动后将发送DHCP Discover报文,DHCP Server收到后将为客户端分配相应的IP配置信息。扩展的网络模型如图2所示。
在这个拓扑结构中,每个无线路由使用WAN接口上联至交换机,通过DHCP为WAN接口配置地址。同时每个无线路由器又是个DHCP Server,通过LAN和WLAN接口为下联的台式机(使用有线连接)和笔记本、平板电脑及手机(使用无线连接)分配地址并提供网络接入服务。
无线路由器通常分为两类接口:WAN接口和LAN接口,接入网络正确的连接方式应该是使用WAN接口连接交换机至上层网络,使用LAN接口连接PC或笔记本等网络边缘设备。无线路由器将使用DHCP为连接在LAN接口的下联设备分配IP地址(通常为192.168.1.0/24网段),同时以NAT的方式通过WAN接口为下联设备提供网络通讯服务。但在实际使用时,用户可能将LAN接口错误连接至上层交换机,而由于DHCP Server在无线路由上默认是开启的,则每台无线路由都是一台DHCP Server,这就使得网络中出现了很多非法DHCP Server。
图2
当无线路由器连接到LAN端口时,由于DHCP的请求报文是以广播的形式发送出去,所有收到请求的DHCP Server都可以进行应答,客户端通常会用最先收到的DHCP应答来配置自己的地址信息。如果非法DHCP Server的应答先于合法DHCP Server的应答,则客户端将获得错误的IP,将不能访问网络。
当故障发生时,在客户端使用ipconfig查看,
发现客户端获得的IP地址为192.168.1.102,而非正确的IP。
使用Wireshark捕获DHCP报文,发现提供给客户端DHCP Offer的DHCP Server的MAC地址也不是合法DHCP Server的地址,表明网内存在其他非法DHCP Server。
2.1 DHCP Snooping简介
问题1主要考查学生运用不同数据分析方法的意识和能力.如利用表格的基本数据,可以通过空气指数的平均数、中位数、众数、方差等统计量去比较两个城市的空气质量.由于统计量的值是对样本特征的数值体现,因此,对两个城市空气质量的比较,其结果往往因数据分析方法的不同而有所差异.譬如从空气等级的优良率(昆明100%,乌鲁木齐85.7%)看,昆明的空气质量好于乌鲁木齐;从空气等级为“优”的天数(乌鲁木齐2,昆明0)看,乌鲁木齐的空气质量好于昆明.从空气指数的平均值(乌鲁木齐66.6,昆明68.3)来看,昆明的空气质量好于乌鲁木齐,等等.
DHCP Snooping具有屏蔽非法DHCP服务器和过滤非法DHCP报文的功能,解决了DHCP Client和DHCP Server之间DHCP报文交互的安全问题。在网络中如果有私自架设的DHCP Server,将可能导致用户得到错误的IP地址。为了使用户能通过合法的DHCP Server获取IP地址,DHCP Snooping安全机制允许将端口设置为信任端口与不信任端口。
信任端口是与合法的DHCP Server直接或间接连接的端口。信任端口对接收到的DHCP报文正常转发,从而保证了DHCP客户端获取正确的IP地址。不信任端口是不与合法的DHCP Server连接的端口。如果从不信任端口接收到DHCP Server响应的DHCP ACK和DHCP Offer报文则会丢弃,从而防止了DHCP客户端获得错误的IP地址。
2.2 DHCP Snooping配置:
在该例中,导致DHCP冲突的原因是由于用户错误的网络连接,导致无线路由能够从LAN接口上收到DHCP Discover并把响应报文进入到交换机转发给客户端。因此,要解决此类故障,应对交换机进行设置,仅允许合法DHCP Server的应答报文进入到交换机的端口。为实现这样的目标,需要使用DHCP Snooping技术。
图3
在核心交换机DHCP-Server1上建立一个192.168.10.0/24的地址池,Soho无线路由器的默认DHCP地址池为192.168.1.0/24,将接入交换机与核心交换机连接的接口设置为trust信任端口,其它接口为默认untrust端口。
2.2.1 配置信息
核心交换机开启DHCP服务
2.2.2 验证及调试
PC2释放IP:
PC2重新获取IP:
检查PC2的IP地址,获取到192.168.10.102的IP地址.
Ping网关检查连通性:
查看接入交换机DHCP snooping信息
检查F0/1端口状态为Trusted,为信任端口。
关闭F0/1端口后,客户端 PC2重新获取 IP地址,无法正常获取 IP地址。
2.2.3 其他说明
Soho无线路由器接入错误造成的DHCP冲突,对于无线路由器下连接的无线终端,也会出现网络错误,无法正常连接。一旦接入服务器设置DHCP Snooping,网络错误只会影响本无线路由器下的PC或智能无线设备,网络错误不会扩散,影响范围缩小。同时更容易定位故障点,为排除故障节省大量的时间、精力。方便了网络管理
近年来随着无线设备的快速发展,在内网中Soho无线路由器越来越多,对原有的网络结构产生了很多影响,本文通过通过在接入、核心交换机配置DHCP Snooping功能可以较为直接的解决私接DHCP服务器对现有网络的影响。
DHCP是网络中分配IP信息的主要方式,由DHCP引发的网络故障甚至攻击行为也经常发生,客户端无法获得正确的IP地址。在解决此类问题时要区分不同的故障类型,并结合报文捕获软件对DHCP报文进行分析,以给出正确的解决方案。
[1]Cisco Systems公司.思科网络技术学院(第三、四学期)(第三版).人民邮电出版社2004
[2]王达.Cisco路由器配置与管理完全手册[M].2版.北京:水利水电出版社,2011.
[3]李书满,杜卫国.Windows Server 2008服务器搭建与管理 [M].北京:清华大学出版社,2010.