查看: 1583|回复: 18

[无线覆盖] 必须重视,快抓紧开启DHCP保护功能!

[复制链接]

主题

好友

1228

积分

上尉

签到天数: 113 天

[LV.6]常住居民II

发表于 2017-8-22 09:19 |显示全部楼层
Anywlan微信公众号
前几天,收到朋友的求助,说是在公司连网时总是提示IP地址冲突,每次都得手动输入IP。这种情况就想到可能是用于分配IP地址、网关地址以及DNS地址等参数的DHCP服务器出问题了,后来用抓包工具测试,果然发现是不经意间安装了第三方软件,建立了额外的DHCP服务器。局域网中同时存在两个DHCP服务器,整个局域网网络的运行稳定性受到破坏,上网才会出现混乱。
这种问题我们经常会遇到,也没有足够重视,但其实非法DHCP服务器接入真的有很多危害。
像恶意耗尽地址,造成正常设备获取不了相关IP地址;DHCP服务器消耗过多的系统资源,无法处理正常业务;IP地址冲突,造成网络混乱难以管理;非法DHCP服务器获取用户数据,危害信息安全等等。
那么究竟该怎么阻断非法DHCP服务器呢?
其实很简单,只需开启DHCP保护(DHCP-Snooping)功能即可,像网月科技MS系列企业级交换机就内置DHCP-Snooping功能,一键开启,无需自己配置。
交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址,提高网络的安全性。
快快行动起来,开启DHCP-Snooping功能,拒绝DHCP入侵。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?加入

x

主题

好友

1686

积分

上尉

签到天数: 118 天

[LV.6]常住居民II

发表于 2017-8-26 23:33 |显示全部楼层
cixiclq 发表于 2017-8-26 11:23
可以克隆MAC的啊

是啊,我也正为这烦恼。倒不担心别人带路由过来克隆MAC使用,能看到,就没收了。只是那些没有权限的人,偷偷用手机改MAC冒用别人的手机上网。所以我对MAC绑定,不放心,毕竟有经验的人,很容易就找到内网机器的MAC。我也想过通过PPPOE拔号上网,但手机没有这功能,但又必须给手机上,又想过网面认证,可是翻墙使用也不困难。唉……。
回复

使用道具 举报

主题

好友

6239

积分

中校

签到天数: 496 天

[LV.9]以坛为家II

发表于 2017-8-22 16:45 |显示全部楼层
我擦 我路由器没有这个功能

点评

是二层,三层交换机的功能。  发表于 2017-8-28 15:27
回复

使用道具 举报

主题

好友

3348

积分

少校

签到天数: 46 天

[LV.5]常住居民I

发表于 2017-8-22 19:21 |显示全部楼层
学习了,有些小白管理员就被这害惨了
回复

使用道具 举报

主题

好友

5666

积分

中校

签到天数: 392 天

[LV.9]以坛为家II

发表于 2017-8-22 20:40 |显示全部楼层
咳。。。看首页推荐标题就知道是你的水文~
回复

使用道具 举报

主题

好友

1686

积分

上尉

签到天数: 118 天

[LV.6]常住居民II

发表于 2017-8-22 21:29 |显示全部楼层
本帖最后由 萃取闲情 于 2017-8-22 21:31 编辑

交换机几钱啊?我公司的交换机也是网件的网管交换机,全英文版,好强大的样子,但我只是把它当普通交换机用。因为政府要求MAC绑定,所以购买回一个什么神州双核网关,然后公司给每个办公室安装AP,你自己再接什么鬼路由上去,是上不到网的了,所以就少了其它的什么鬼DHCP,省事。
回复

使用道具 举报

主题

好友

470

积分

少尉

签到天数: 2 天

[LV.1]初来乍到

发表于 2017-8-22 22:22 |显示全部楼层
居然还有这种事情
回复

使用道具 举报

主题

好友

1632

积分

上尉

签到天数: 7 天

[LV.3]偶尔看看II

发表于 2017-8-22 22:23 |显示全部楼层
发现我的巴法络的交换机还有这个功能来,网件的那个poe交换机没有
回复

使用道具 举报

主题

好友

1258

积分

上尉

签到天数: 110 天

[LV.6]常住居民II

发表于 2017-8-22 22:35 来自手机 |显示全部楼层
好好学习
回复

使用道具 举报

主题

好友

1228

积分

上尉

签到天数: 113 天

[LV.6]常住居民II

发表于 2017-8-23 08:31 |显示全部楼层
ilikepop 发表于 2017-8-22 20:40
咳。。。看首页推荐标题就知道是你的水文~

看来你很关注我啊
回复

使用道具 举报

主题

好友

1510

积分

上尉

签到天数: 48 天

[LV.5]常住居民I

发表于 2017-8-23 10:58 |显示全部楼层
关了DHCP撒 简单方便 自己规划IP地址 并做mac地址绑定!
回复

使用道具 举报

主题

好友

2081

积分

少校

该用户从未签到

发表于 2017-8-23 14:47 |显示全部楼层
每一个二层或者三层交换机稍作设置都能实现这个功能吧

点评

这才是根本解决之道  发表于 2017-8-24 08:59
回复

使用道具 举报

主题

好友

2973

积分

少校

签到天数: 238 天

[LV.7]常住居民III

发表于 2017-8-24 08:59 |显示全部楼层
shui0924 发表于 2017-8-23 14:47
每一个二层或者三层交换机稍作设置都能实现这个功能吧

这才是王道
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 加入

本版积分规则

Archiver| 手机版| 中国无线门户 ( 粤ICP备11076993 )  |网站地图

GMT+8, 2017-11-21 07:03

Powered by Discuz! X3.2

© 2003-2013 广州威思信息科技有限公司

返回顶部 返回列表