非法DHCP Server引發(fā)的網(wǎng)絡(luò)沖突及解決方法

華新

（武城縣職業(yè)中等專業(yè)學(xué)校 山東德州 253300）

非法DHCP Server引發(fā)的網(wǎng)絡(luò)沖突及解決方法

華新

（武城縣職業(yè)中等專業(yè)學(xué)校 山東德州 253300）

DHCP被廣泛應(yīng)用于廣域網(wǎng)和局域網(wǎng)，為網(wǎng)絡(luò)用戶動(dòng)態(tài)提供IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)等信息。越來越多的網(wǎng)絡(luò)設(shè)備能夠提供DHCP Server，當(dāng)這些設(shè)備被錯(cuò)誤的接入到原有網(wǎng)絡(luò)時(shí)，會(huì)影響用戶從合法的DHCP Server中獲取地址信息，有時(shí)候還會(huì)造成沖突，影響網(wǎng)絡(luò)的正常使用。本文給出了屏蔽非法DHCP Server的方法，保障正常的網(wǎng)絡(luò)應(yīng)用。

非法DHCPDHCP ServerDHCP snooping網(wǎng)絡(luò)沖突

1.非法DHCP Server產(chǎn)生背景

在傳統(tǒng)的網(wǎng)絡(luò)中，DHCP Server使用固定IP地址，對于其他包括筆記本和臺(tái)式機(jī)在內(nèi)的眾多客戶端，可使用DHCP協(xié)議進(jìn)行地址分配，其模型如圖1所示。過去網(wǎng)絡(luò)的綜臺(tái)布線系統(tǒng)以雙絞線和光纖等有線介質(zhì)為主，當(dāng)網(wǎng)絡(luò)中需要延伸距離、增加信息點(diǎn)時(shí)重新布線會(huì)存在種種困難。此時(shí)，使用無線設(shè)備進(jìn)行網(wǎng)絡(luò)的擴(kuò)展成了首選。同時(shí)，智能手機(jī)、平板電腦的普及也使得人們對無線網(wǎng)絡(luò)有了更迫切的需求。因此，大量的Soho無線路由被應(yīng)用在了辦公室、會(huì)議室等場所。這些Soho無線路由器自帶的DHCP Server功能經(jīng)常造成主機(jī)無法從合法的DHCP Server處獲得IP地址。

圖1

在本例所示的拓?fù)渲?，核心交換機(jī)開啟DHCP服務(wù)作為DHCP Server，核心交換機(jī)下連接接入交換機(jī)再連接至PC。未配置IP信息的PC機(jī)啟動(dòng)后將發(fā)送DHCP Discover報(bào)文，DHCP Server收到后將為客戶端分配相應(yīng)的IP配置信息。擴(kuò)展的網(wǎng)絡(luò)模型如圖2所示。

在這個(gè)拓?fù)浣Y(jié)構(gòu)中，每個(gè)無線路由使用WAN接口上聯(lián)至交換機(jī)，通過DHCP為WAN接口配置地址。同時(shí)每個(gè)無線路由器又是個(gè)DHCP Server，通過LAN和WLAN接口為下聯(lián)的臺(tái)式機(jī)（使用有線連接）和筆記本、平板電腦及手機(jī)（使用無線連接）分配地址并提供網(wǎng)絡(luò)接入服務(wù)。

無線路由器通常分為兩類接口：WAN接口和LAN接口，接入網(wǎng)絡(luò)正確的連接方式應(yīng)該是使用WAN接口連接交換機(jī)至上層網(wǎng)絡(luò)，使用LAN接口連接PC或筆記本等網(wǎng)絡(luò)邊緣設(shè)備。無線路由器將使用DHCP為連接在LAN接口的下聯(lián)設(shè)備分配IP地址（通常為192.168.1.0/24網(wǎng)段），同時(shí)以NAT的方式通過WAN接口為下聯(lián)設(shè)備提供網(wǎng)絡(luò)通訊服務(wù)。但在實(shí)際使用時(shí)，用戶可能將LAN接口錯(cuò)誤連接至上層交換機(jī)，而由于DHCP Server在無線路由上默認(rèn)是開啟的，則每臺(tái)無線路由都是一臺(tái)DHCP Server，這就使得網(wǎng)絡(luò)中出現(xiàn)了很多非法DHCP Server。

圖2

當(dāng)無線路由器連接到LAN端口時(shí)，由于DHCP的請求報(bào)文是以廣播的形式發(fā)送出去，所有收到請求的DHCP Server都可以進(jìn)行應(yīng)答，客戶端通常會(huì)用最先收到的DHCP應(yīng)答來配置自己的地址信息。如果非法DHCP Server的應(yīng)答先于合法DHCP Server的應(yīng)答，則客戶端將獲得錯(cuò)誤的IP，將不能訪問網(wǎng)絡(luò)。

當(dāng)故障發(fā)生時(shí)，在客戶端使用ipconfig查看，

發(fā)現(xiàn)客戶端獲得的IP地址為192.168.1.102，而非正確的IP。

使用Wireshark捕獲DHCP報(bào)文，發(fā)現(xiàn)提供給客戶端DHCP Offer的DHCP Server的MAC地址也不是合法DHCP Server的地址，表明網(wǎng)內(nèi)存在其他非法DHCP Server。

2.解決方案DHCPsnooping

2.1 DHCP Snooping簡介

問題1主要考查學(xué)生運(yùn)用不同數(shù)據(jù)分析方法的意識(shí)和能力．如利用表格的基本數(shù)據(jù)，可以通過空氣指數(shù)的平均數(shù)、中位數(shù)、眾數(shù)、方差等統(tǒng)計(jì)量去比較兩個(gè)城市的空氣質(zhì)量．由于統(tǒng)計(jì)量的值是對樣本特征的數(shù)值體現(xiàn)，因此，對兩個(gè)城市空氣質(zhì)量的比較，其結(jié)果往往因數(shù)據(jù)分析方法的不同而有所差異．譬如從空氣等級(jí)的優(yōu)良率（昆明100%，烏魯木齊85.7%）看，昆明的空氣質(zhì)量好于烏魯木齊；從空氣等級(jí)為“優(yōu)”的天數(shù)（烏魯木齊2，昆明0）看，烏魯木齊的空氣質(zhì)量好于昆明．從空氣指數(shù)的平均值（烏魯木齊66.6，昆明68.3）來看，昆明的空氣質(zhì)量好于烏魯木齊，等等．

DHCP Snooping具有屏蔽非法DHCP服務(wù)器和過濾非法DHCP報(bào)文的功能，解決了DHCP Client和DHCP Server之間DHCP報(bào)文交互的安全問題。在網(wǎng)絡(luò)中如果有私自架設(shè)的DHCP Server，將可能導(dǎo)致用戶得到錯(cuò)誤的IP地址。為了使用戶能通過合法的DHCP Server獲取IP地址，DHCP Snooping安全機(jī)制允許將端口設(shè)置為信任端口與不信任端口。

信任端口是與合法的DHCP Server直接或間接連接的端口。信任端口對接收到的DHCP報(bào)文正常轉(zhuǎn)發(fā)，從而保證了DHCP客戶端獲取正確的IP地址。不信任端口是不與合法的DHCP Server連接的端口。如果從不信任端口接收到DHCP Server響應(yīng)的DHCP ACK和DHCP Offer報(bào)文則會(huì)丟棄，從而防止了DHCP客戶端獲得錯(cuò)誤的IP地址。

2.2 DHCP Snooping配置：

在該例中，導(dǎo)致DHCP沖突的原因是由于用戶錯(cuò)誤的網(wǎng)絡(luò)連接，導(dǎo)致無線路由能夠從LAN接口上收到DHCP Discover并把響應(yīng)報(bào)文進(jìn)入到交換機(jī)轉(zhuǎn)發(fā)給客戶端。因此，要解決此類故障，應(yīng)對交換機(jī)進(jìn)行設(shè)置，僅允許合法DHCP Server的應(yīng)答報(bào)文進(jìn)入到交換機(jī)的端口。為實(shí)現(xiàn)這樣的目標(biāo)，需要使用DHCP Snooping技術(shù)。

圖3

在核心交換機(jī)DHCP-Server1上建立一個(gè)192.168.10.0/24的地址池，Soho無線路由器的默認(rèn)DHCP地址池為192.168.1.0/24，將接入交換機(jī)與核心交換機(jī)連接的接口設(shè)置為trust信任端口，其它接口為默認(rèn)untrust端口。

2.2.1 配置信息

核心交換機(jī)開啟DHCP服務(wù)

2.2.2 驗(yàn)證及調(diào)試

PC2釋放IP：

PC2重新獲取IP：

檢查PC2的IP地址，獲取到192.168.10.102的IP地址.

Ping網(wǎng)關(guān)檢查連通性：

查看接入交換機(jī)DHCP snooping信息

檢查F0/1端口狀態(tài)為Trusted，為信任端口。

關(guān)閉F0/1端口后，客戶端 PC2重新獲取 IP地址，無法正常獲取 IP地址。

2.2.3 其他說明

Soho無線路由器接入錯(cuò)誤造成的DHCP沖突，對于無線路由器下連接的無線終端，也會(huì)出現(xiàn)網(wǎng)絡(luò)錯(cuò)誤，無法正常連接。一旦接入服務(wù)器設(shè)置DHCP Snooping，網(wǎng)絡(luò)錯(cuò)誤只會(huì)影響本無線路由器下的PC或智能無線設(shè)備，網(wǎng)絡(luò)錯(cuò)誤不會(huì)擴(kuò)散，影響范圍縮小。同時(shí)更容易定位故障點(diǎn)，為排除故障節(jié)省大量的時(shí)間、精力。方便了網(wǎng)絡(luò)管理

3.總結(jié)

近年來隨著無線設(shè)備的快速發(fā)展，在內(nèi)網(wǎng)中Soho無線路由器越來越多，對原有的網(wǎng)絡(luò)結(jié)構(gòu)產(chǎn)生了很多影響，本文通過通過在接入、核心交換機(jī)配置DHCP Snooping功能可以較為直接的解決私接DHCP服務(wù)器對現(xiàn)有網(wǎng)絡(luò)的影響。

DHCP是網(wǎng)絡(luò)中分配IP信息的主要方式，由DHCP引發(fā)的網(wǎng)絡(luò)故障甚至攻擊行為也經(jīng)常發(fā)生，客戶端無法獲得正確的IP地址。在解決此類問題時(shí)要區(qū)分不同的故障類型，并結(jié)合報(bào)文捕獲軟件對DHCP報(bào)文進(jìn)行分析，以給出正確的解決方案。

［1］Cisco Systems公司.思科網(wǎng)絡(luò)技術(shù)學(xué)院（第三、四學(xué)期）（第三版）.人民郵電出版社2004

［2］王達(dá).Cisco路由器配置與管理完全手冊［M］.2版.北京：水利水電出版社，2011.

［3］李書滿，杜衛(wèi)國.Windows Server 2008服務(wù)器搭建與管理 ［M］.北京：清華大學(xué)出版社，2010.