DHCP Snooping的应用

2015-11-30 08:27
网络安全和信息化 2015年4期
关键词:网络故障IP地址路由器

随着网络的不断发展,催生了许多便携式上网终端设备,例如平板电脑、笔记本电脑和手机,这些设备通过内置的无线接收器连接无线路由器实现了接入互联网的目的,在方便我们工作和学习的同时,无线路由器也会因为使用不当引起网络问题,接下来我们就介绍一下因为无线路由器引发网络故障的案例。

图1 办公网络拓扑图

近日,有同事反映在日常办公网工作的时候,电脑会出现IP地址冲突的现象,我们仔细观察了一下显示IP地址冲突的电脑除了能获取到一个PPPoE正常拨号后获取的一个地址外,还会在本地连接处获取到另外一个IP地址,192.168.1.127,看到这个地址后,作为网络管理员我们很熟悉这个地址,它是一个私网地址,通常用在家庭路由器的PPPoE地址池使用,我们连接到无线路由器后,通常会获取到一个192.168.网段的地址。虽然办公的同事获取到的192.168.1.127这个地址不会影响上网,但是用户的PC机会经常出现IP地址冲突这样的提示。为了彻底解决这个问题,杜绝DHCP报文的滥发现象,我们决定使用DHCP Snooping功能来限制非法DHCP报文的发送。首先我们了解下 DHCP Snooping,它允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。接下来我们根据DHCP Snooping的原理进行设备的配置。网络拓扑结构如图1所示。

通过图1我们了解到SW1连接BRAS,然后SW1级联了许多交换机,例如SW2、SW3等等,因为DHCP Snooping是一个2层协议,为了尽可能的减小它对正常报文的影响,我们通常把它设置在接入层交换机中,例如图1中的SW2上,具体配置:

dhcpsnoop start

在交换机全局开启dhcpsnooping功能

interface ethernet 25

进入上联口25

dhcpsnoop port trust

设置为dhcpsnoop信任端口

interface ethernet 4

进入端口4

dhcpsnoop enable

使能 dhcpsnoop 功能

上面的配置步骤,我们首先在全局配置模式下开启dhcpsnoop功能,然后将上联口25口设置为可信任端口,能接收到正常的DHCP报文,将下联口4口的 dhcpsnoop 开启,限制来自端口4的非法DHCP报文通过。其他下联口的配置和4口配置相同,这里就不在一一介绍。这样我们就完成了在交换机上设置dhcpsnoop 的配置。

通过上面我们在交换机上配置完dhcpsnoop 后,在原来显示IP地址冲突的电脑上使用ipconfig没有获取到地址,这就证明我们的设置是最成功的的。其实作为网络运维人员我们有时候都是发现故障后处理,而且是疲于应付类似的网络故障,所以我们要在网络中未雨绸缪,了解网络拓扑的同时,熟练掌握设备的命令,汲取网络新的知识,将理论与实践相结合,从而达到活学活用的目的,将网络故障从源头扼杀,从源头处进行防范。最终才能实现网络稳定长效运行。

猜你喜欢
网络故障IP地址路由器
买千兆路由器看接口参数
维持生命
路由器每天都要关
路由器每天都要关
铁路远动系统几种组网方式IP地址的申请和设置
VxWorks网络存储池分析在网络故障排查中的应用
基于信息流的RBC系统外部通信网络故障分析
IP地址切换器(IPCFG)
基于SNMP的IP地址管理系统开发与应用
公安网络中IP地址智能管理的研究与思考