一般在局域网环境下,如果是规模比较大的工厂或者宿舍,如果是相对简单的局域网架构的话,很容易受到非法DHCP设备的干扰。
比如说,IP地址是172.16.xx.xx是合法的地址,DHCP地址池比如172.16.0.1~172.16.1.254
是合法的。一般情况下,桌面级网络设备,我们会使用八口或者16口的交换机。但遇到管理不严格的单位会有些人在办公室私接共享用的小宽带路由器,或者是无线宽带路由器。而这些设备的DHCP又是默认开启的,一般不熟悉网络的人,不会去关闭。于是就会造成一个局域网中有两个DHCP服务器,一个是合法的,一个是非法的。
前提是所有的交换机都是智能可管理的,而且最好是对新技术支持比较好的
例如我用的H3C 的1626交换机。
首先,我把H3C 1626的DHCP-SNOOPING功能开启。这样交换机可以自动监视DHCP的请求和应答信息,并记录这些信息来自的以太端口和IP
>system
#dhcp-snooping
然后将交换机的上联口和下联口都设置为信任端口,这样交换机可以接收到上级交换机传下来的DHCP信息,也可以将这个DHCP信息传递到下级交换机。但是到终端电脑的其他端口都设置为非信任端口。(注意,默认所有的交换机端口都是信任端口)
int eth 0/x
dhcp-snooping trust 设置为信任端口
undo dhcp-snoop trust 设置为非信任端口
这样可以防止掉非法的DHCP信息
怎样找出那个非法源呢?
可以查看DHCP-SNOOPING记录的表
dis dhcp-snooping
找到非法的DHCP源IP地址条目后,将该条目相应的以太网口down掉。
如果说你的交换机比较老旧 不支持DHCP-SNOOPING或者说只能监测记录,不能设置
信任端口。你可以拿一台测试电脑,吧IP配置成和非法DHCP网关一个网段的,然后ping通这个非法网关。查找本机的arp表获得此非法网关的MAC地址。然后在各个交换机里面查找arp表排查出这个非法网关的IP和MAC地址所源自的以太网端口,然后down掉即可
+5
支持原创分享,加油,LZ!
2010-10-9 09:02
+3
原创内容
2010-10-8 10:54
分享至: