強(qiáng)制DHCP服務(wù)器分配上網(wǎng)IP

 一， DHCP環(huán)境下手工上網(wǎng)簡(jiǎn)介：

    DHCP服務(wù)能夠自動(dòng)為連接到網(wǎng)絡(luò)的計(jì)算機(jī)提供包括IP地址， 子網(wǎng)掩碼， 網(wǎng)關(guān)地址以及DNS服務(wù)器地址等信息， 通過DHCP分配后我們的客戶機(jī)應(yīng)該可以順利上網(wǎng)。 不過在DHCP環(huán)境下如果客戶機(jī)不將網(wǎng)絡(luò)參數(shù)設(shè)置為“自動(dòng)獲得地址”方式而是手工指定上述地址信息的話， 如果設(shè)置得和DHCP服務(wù)器分配一致并正確的話， 客戶機(jī)依舊可以正常上網(wǎng)。

    正因?yàn)檫@種問題的存在造成一些非法入侵者或者并沒有權(quán)限的用戶， 甚至是某些想要搗亂的人會(huì)采取手工設(shè)置地址的方法來連接到企業(yè)內(nèi)網(wǎng)中。 輕者造成IP地址沖突問題帶來其他機(jī)器的上網(wǎng)故障， 重者會(huì)帶來內(nèi)網(wǎng)不安全問題， 出現(xiàn)問題后無(wú)法快速定位攻擊發(fā)動(dòng)者。 當(dāng)企業(yè)內(nèi)網(wǎng)某計(jì)算機(jī)被外部網(wǎng)絡(luò)入侵制作成肉雞時(shí)這種手工設(shè)置地址聯(lián)網(wǎng)帶來的問題將變得更加明顯。

    那么有沒有辦法可以強(qiáng)制客戶端計(jì)算機(jī)必須使用DHCP自動(dòng)獲得方式取得IP等地址才能夠順利上網(wǎng)呢？答案是肯定的， 今天就請(qǐng)各位跟隨筆者一起領(lǐng)教網(wǎng)管支招強(qiáng)制DHCP上網(wǎng)。

    二， 網(wǎng)管支招強(qiáng)制DHCP上網(wǎng)的思路：

    網(wǎng)管支招強(qiáng)制DHCP上網(wǎng)的思路來自于網(wǎng)絡(luò)廠商， 不管是華為3C0M公司還是CISCO廠商， 他們都針對(duì)強(qiáng)制DHCP上網(wǎng)提供了相應(yīng)的技術(shù)支持。 對(duì)于Cisco公司的產(chǎn)品來說我們可以通過dhcp-snooping和Dynamic ARP Inspection來完成；對(duì)于華為3COM來說通過ip-snooping技術(shù)也可以有效解決。

    華為的dhcp snooping在dhcp server發(fā)回ACK報(bào)文后， 生成綁定表， 可選擇檢查以下信息， 通過檢查這些報(bào)文數(shù)據(jù)達(dá)到了強(qiáng)制DHCP上網(wǎng)的目的。

    （1）dhcp報(bào)文內(nèi)client hardware address與報(bào)文源MAC是否匹配。

    （2）arp報(bào)文senderip和sendermac與綁定表是否匹配。

    （3）IP報(bào)文SIP和SMAC是否與綁定表匹配。

    （4）檢查dhcp續(xù)租時(shí)client發(fā)出的request報(bào)文， 檢查綁定表內(nèi)續(xù)租ip對(duì)應(yīng)的SMAC與報(bào)文SMAC是否匹配。

    Cisco的dhcp snooping可以防止非法dhcp服務(wù)器的建立， 并且可以根據(jù)相關(guān)參數(shù)生成一個(gè)ip-mac-port的一個(gè)綁定表， 然后可以根據(jù)這個(gè)表檢查所有的arp包是否合法， 用來避免arp攻擊， 同時(shí)也可以一般方式私設(shè)ip。 說白了經(jīng)過ip-mac-port綁定后在相應(yīng)客戶端上網(wǎng)時(shí)一方面可以通過DHCP獲得地址信息， 另一方面在手工設(shè)置時(shí)也不能隨意添加地址， 必須使用ip-mac-port綁定表中的IP地址作為自己的上網(wǎng)地址， 這樣的策略實(shí)際上限制了手工設(shè)置IP的地址信息， 解決了上文提到的種種安全和管理問題。

    總之這些技術(shù)的實(shí)現(xiàn)思路就是通過檢查流經(jīng)端口數(shù)據(jù)包的信息， 分析該數(shù)據(jù)中是否有明確的DHCP標(biāo)識(shí)， 如果沒有相應(yīng)的標(biāo)識(shí)那就可以確定源地址是通過手工設(shè)置上網(wǎng)的， 通過過濾技術(shù)和策略命令可以實(shí)現(xiàn)數(shù)據(jù)包的丟棄， 從而阻止了采取手工設(shè)置IP地址方式上網(wǎng)客戶端的正常聯(lián)機(jī)。 三， 實(shí)戰(zhàn)強(qiáng)制采取DHCP上網(wǎng)：

    接下來筆者舉兩個(gè)例子來說明如何在路由交換設(shè)備上開啟相關(guān)的策略與功能， 讓內(nèi)網(wǎng)管理強(qiáng)制采取DHCP方式上網(wǎng)。

    （1）Cisco設(shè)備的設(shè)置與操作：

    在Cisco設(shè)備上通過dhcp snooping技術(shù)建立ip-mac-port的一個(gè)綁定表即可阻止手工隨意設(shè)置IP上網(wǎng)問題的發(fā)生。

    第一步：首先通過configure terminal 進(jìn)入路由交換設(shè)備配置模式。

    第二步：在配置模式下啟用DHCP Snooping， 具體指令為ip dhcp snooping。

    第三步：在固定接口或VLAN上啟用 DHCP Snooping， 具體指令是ip dhcp snooping vlan XXX。

    第四步：通過“interface 接口號(hào)”命令進(jìn)入交換機(jī)對(duì)應(yīng)的接口。

    第五步：輸入ip dhcp snooping trust將接口設(shè)置為受信任端口。

    第六步：設(shè)置每秒鐘處理DHCP數(shù)據(jù)包上限為500個(gè)——ip dhcp snooping limit rate 500 。 （如圖1）

    第七步：之后我們的Cisco相關(guān)設(shè)備會(huì)針對(duì)當(dāng)前環(huán)境建立一個(gè)ip-mac-port三方綁定表， 通過這個(gè)ip-mac-port綁定表我們可以阻止手工設(shè)置網(wǎng)絡(luò)參數(shù)問題的發(fā)生。 通過show ip dhcp snooping binding命令可以查詢此綁定表信息， 具體格式是00:22:09:11:33:16 192.168.1.1 3209 dhcp-snooping 103 GigabitEth ernet1/0/28， 依次顯示MAC地址， IP地址以及應(yīng)用的VLAN號(hào)還有對(duì)應(yīng)的接口信息。

    （2）華為3COM設(shè)備上的操作：

    在華為3COM設(shè)備上開啟dhcp snooping功能可以阻止客戶端手工設(shè)置IP地址上網(wǎng)。 具體操作如下。

    第一步：設(shè)置DHCP服務(wù)器相關(guān)信息——dhcp-server 1 ip 192.168.11.2 192.168.0.25。

    第二步：進(jìn)入某端口——interface Vlan-interface3

    第三步：為端口設(shè)置IP地址——ip address 192.168.3.254 255.255.255.0

    第四步：指定該端口使用的DHCP服務(wù)器號(hào)——dhcp-server 1

    第五步：強(qiáng)制查詢連接該端口主機(jī)的IP地址設(shè)置情況， 要求必須通過DHCP服務(wù)器獲取IP地址信息——address-check enable， 說白了就是開啟dhcp snooping檢查功能。 （如圖2）

    四， 總結(jié)：

    強(qiáng)制內(nèi)網(wǎng)客戶端必須使用DHCP上網(wǎng)是個(gè)非常不錯(cuò)的管理策略， 這樣客戶機(jī)就不能夠隨意越權(quán)和入侵內(nèi)網(wǎng)了， 對(duì)于企業(yè)網(wǎng)絡(luò)管理員來說管理內(nèi)網(wǎng)也很方便， 出現(xiàn)問題直接查詢DHCP服務(wù)器上的租約及對(duì)應(yīng)地址關(guān)系即可。 當(dāng)然本文主要從路由交換設(shè)備下手講解強(qiáng)制采取DHCP方式上網(wǎng)的辦法， 對(duì)于非Cisco和華為3COM產(chǎn)品來說可以參考產(chǎn)品說明書或詢問技術(shù)支持熱線了解解決辦法