三月 23, 2017 · DHCP ·

如何限制非法DHCP服务器干扰内网

当网络规模变大时,我们会将网络分层,标准的做法是核心层-汇聚层-接入层。接入层设备在增加且位置分散,大大增大了网络风险。

最常见的,就是员工私接路由器共享网络给其他设备使用。这个动作,可能产生的问题:

本篇我们主要讨论第一点,用户无法联网这是最坏的结果。针对非法DHCP服务器问题,我们可以从用户和设备两方面来防护。用户方面我们可以制定行政政策,对接入非法设备的员工进行严惩,当然这并不能让我们高枕无忧,因为人是最不稳定的因素。我觉得用户是不可信的,不管是通过自律还是行政手段,所以我们在设备端还需要做些防护来避免问题。

设备端可以使用以下两种方法来限制非法DHCP服务器。注:以下方法均需要网管型交换机,本篇以H3C为例。

1. 启用DHCP Snooping功能

1.1 说明

1.2工作机制

在网络中,合法的DHCP服务器是可以信任的,而私自设置的DHCP服务器是不可信任的。为了对不同DHCP服务器发来的报文进行区分处理,DHCP Snooping将设备的端口分为信任端口与不信任端口。其中:

1.3 组网图
DHCP Snooping

1.4 配置步骤

使能DHCP Snooping功能。

<Sysname> system-view [Sysname] dhcp-snooping

配置GigabitEthernet1/0/1端口为信任端口。

[Sysname] interface GigabitEthernet1/0/1 [Sysname-GigabitEthernet1/0/1] dhcp-snooping trust

优点:

缺点:

2. 使用ACL访问控制列表

2.1 说明

2.2 工作原理

2.3 组网图
DHCP Snooping

2.4 配置步骤

定义高级acl规则,编号为3000。

<Sysname> system-view [Sysname] acl number 3000 [Sysname-acl-adv-3000] rule deny udp source-port eq bootps [Sysname-acl-adv-3000] quit

将ACL配置到GigabitEthernet1/0/2端口。

[Sysname] interface GigabitEthernet 1/0/2 [Sysname-GigabitEthernet1/0/2]packert-filter 3000 inbound

优点:

缺点: