地址解决在dhcp环境下私自指定ip和私自搭建dhcp服务器的方法

解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法

现在用户真是不省心 自己改个IP地址私接AP、忘关DHCP还有的下个小黑客程序就想在你内网里试试。单靠交换机能管吗

IP与MAC绑定

思科的Catalyst 3560交换机支持DHCP Snooping功能交换机会监听DHCP的过程交换机会生成一个IP和MAC地址对应表。思科的交换机更进一步的支持IP source guard和Dynamic ARP Inspection功能这两个功能任启一个都可以自动的根据DHCP Snooping监听获得的IP和MAC地址对应表进行绑定防止私自更改地址。

Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击见图4 。

思科在DHCP Snooping上还做了一些非常有益的扩展功能 比如Catalyst3560交换机可以限制端口通过的DHCP数据包的速率粒度是pps这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst 3560交换机还支持DHCP Tracker在DHCP请求中插入交换机端口的ID从而限制每个端口申请的IP地址数目防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。华硕虽然不能调整速率但是也会限制DHCP请求的数量。

DHCP 动态主机配置协议是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供了一种有效的方法即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。

在基于TCP IP协议的网络中每台计算机都必须有唯一的IP地址才能访问网络上的资源 网络中计算机之间的通信是通过IP地址来实现的并且通过IP地址和子网掩码来标识主计算机及其所连接的子网。在局域网中如果计算机的数量比较少 当然可以手动设置其IP地址但是如果在计算机的数量较多并且划分了多个子网的情况下为计算机配置IP地址所涉及的管理员工作量和复杂性就会相当繁重而且容易出错如在实际使用过程中我们经常会遇到因IP地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP地址等问题。

DHCP则很好地解决了上述的问题通过在网络上安装和配置DHCP服务器启用了DHCP的客户机可在每次启动并加入网络时自动地获得其上网所需的IP地址和相关的配置参数。从而减少了配置管理提供了安全而可靠的配置。

配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关 以及DNS服务器的地址。 DHCP避免了因手工设置IP地址及子网掩码所产生的错误也避免了把一个IP地址分配给多台主机所造成的地址冲突。降低