必须重视,快抓紧开启DHCP保护功能!
前几天,收到朋友的求助,说是在公司连网时总是提示IP地址冲突,每次都得手动输入IP。这种情况就想到可能是用于分配IP地址、网关地址以及DNS地址等参数的DHCP服务器出问题了,后来用抓包工具测试,果然发现是不经意间安装了第三方软件,建立了额外的DHCP服务器。局域网中同时存在两个DHCP服务器,整个局域网网络的运行稳定性受到破坏,上网才会出现混乱。这种问题我们经常会遇到,也没有足够重视,但其实非法DHCP服务器接入真的有很多危害。像恶意耗尽地址,造成正常设备获取不了相关IP地址;DHCP服务器消耗过多的系统资源,无法处理正常业务;IP地址冲突,造成网络混乱难以管理;非法DHCP服务器获取用户数据,危害信息安全等等。那么究竟该怎么阻断非法DHCP服务器呢?其实很简单,只需开启DHCP保护(DHCP-Snooping)功能即可,像网月科技MS系列企业级交换机就内置DHCP-Snooping功能,一键开启,无需自己配置。当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址,提高网络的安全性。快快行动起来,开启DHCP-Snooping功能,拒绝DHCP入侵。cixiclq 发表于 2017-8-26 11:23
可以克隆MAC的啊
是啊,我也正为这烦恼。倒不担心别人带路由过来克隆MAC使用,能看到,就没收了。只是那些没有权限的人,偷偷用手机改MAC冒用别人的手机上网。所以我对MAC绑定,不放心,毕竟有经验的人,很容易就找到内网机器的MAC。我也想过通过PPPOE拔号上网,但手机没有这功能,但又必须给手机上,又想过网面认证,可是x使用也不困难。唉……。 我擦 我路由器没有这个功能:lol 学习了,有些小白管理员就被这害惨了 咳。。。看首页推荐标题就知道是你的水文~ 本帖最后由 萃取闲情 于 2017-8-22 21:31 编辑
交换机几钱啊?我公司的交换机也是网件的网管交换机,全英文版,好强大的样子,但我只是把它当普通交换机用。因为政府要求MAC绑定,所以购买回一个什么神州双核网关,然后公司给每个办公室安装AP,你自己再接什么鬼路由上去,是上不到网的了,所以就少了其它的什么鬼DHCP,省事。 居然还有这种事情 发现我的巴法络的交换机还有这个功能来,网件的那个poe交换机没有 好好学习 ilikepop 发表于 2017-8-22 20:40
咳。。。看首页推荐标题就知道是你的水文~
看来你很关注我啊;P 关了DHCP撒 简单方便 自己规划IP地址 并做mac地址绑定!
每一个二层或者三层交换机稍作设置都能实现这个功能吧 shui0924 发表于 2017-8-23 14:47
每一个二层或者三层交换机稍作设置都能实现这个功能吧
这才是王道
页:
[1]
2