網頁

搜尋此網誌

2014年1月5日 星期日

使用DHCP Snooping 防止私自架設DHCP伺服器

從事網路管理工作的人多多少少都會遇私自架設的DHCP的設備(router,伺服器..)在網路上亂發IP的狀況,常造成部分員工無法正常連線到公司網路,要找出這些私自架設的DHCP設備往往要花費很多時間,無奈這年頭能夠拿來當成DHCP伺服器的設備實在太多,包含安裝Windows Server或Linux作業系統的電腦、IP分享器、VMWare Workstation 等等...,所以這種惱人事每隔一段時間就會重演一次。
會造成這種狀況的原因在於當個人電腦(Client)開機會在網路上發出DHCPDiscover的廣播封包,嘗試尋找網路上是否有DHCP Server 而網路上的DHCPServer們則會回應DHCPOffer的廣播封包嘗試提供IP租用的服務,若Client收到來自多台DHCP Server DHCPOffer訊息時,就會向第一台提供Offer的DHCP Server發出DHCPRequest封包要求租用IP,該DHCP Server就會回應DHCPAck封包來確認Client的IP租用行為。

例如下圖的網路中,網路上同時存在公司合法的DHCP伺服器(派發10.5.1.x/24網段的IP),以及非法私自架設的具DHCPSERVER的router (派發192.168.1.x/24網段的IP),萬一網路上的用戶在要IP的過程,私架的DHCP伺服器不巧先回應DHCPOffer的封包,因此用戶端租用到的IP會是192.168.1.x網段的IP,而不是公司正式的10.5.1.x網段,而且這些用戶端也會跟著取得錯誤的IP、Gateway、DNS Server…等選項資訊,就連不上公司正式網路了。
要防止這種狀況,就要使用DHCP snooping功能的Switch了,此功能可以防堵私自架設的DHCP伺服器在網路任意發放IP的問題,運作原理其實很簡單,也就是將此功能啟用之後,所有的介面都會呈現Untrust狀態,只要是DHCP伺服器才會發送的DHCPOffer或DHCPAck這兩種訊息在Untrust介面上都會被攔阻下來,只允許透過Trust介面傳送,如此一來,就不用擔心網路上私自架設的DHCP伺服器干擾您業務部網路的正常運作了。設定方法也很簡單以3com4500為例,Cisco Switch設定方式亦類似。

 dhcp-Snooping                       //啟用DHCP Snooping功能
 interface ethernet 1/0/1            
 Ethernet 1/0/1 dhcp-snooping trust  //將port1 設為trust 
 Ethernet 1/0/1 quit
 display dhcp-snooping               //查看DHCP Snooping狀態

沒有留言:

張貼留言