豪華酒店上網難��,到底誰之過����?
來源 : 本站發布日期 : 2016-04-25瀏覽次數 : 40622 次
入住豪華酒店��,發現無法上網很窩火,但酒店總說網絡是可以用��?
? ? 目前大多數用戶網絡均有架設DHCP服務器來為終端PC或手機自動分配IP地址���、掩碼�����、默認網關�、DNS服務器等網絡參數����,簡化了網絡配置,提高了管理效率及網絡接入體驗。但您是否遭遇過電腦獲取不到IP地址導致的無法上網?特別是賓館酒店、廠區宿舍�����、辦公場所�、學校等場所,注意,這不是高科技的黑客攻擊,也不是小兒科的電腦系統問題��,而是您的網絡設備缺少一個特殊功能�����,接下來小編為您從原理上進行剖析��。
?
真相大白
原來如此:
? ? 酒店、宿舍��、辦公場所��,人員密集型的場所,常有上網者為了擴展接入終端����,私接隨身路由���,由于這些小路由器自帶DHCP功能���,胡亂給內網其他終端分配地址�,使其他終端不能正常獲取到網絡中真正的IP地址�����,從而導致無法上網�;或者網絡中有個別終端用的是window 2003���、2008系統�����,這些系統默認開啟了DHCP服務,從而也胡亂給內網其他終端分配地址�����,導致網絡故障�����,這就是傳說中的DHCP欺騙����。
問題來了,該如何搞定?
? ? 那有沒有技術能防止這類DHCP欺騙呢�����?或者說即使內網有多個DHCP服務器�����,也能是終端用戶獲取到真正的內網IP地址呢?答案是肯定的����,TG-NET交換機特色功能之“DHCP snooping”便是一劑“良方解藥”�!
? ? DHCP
snooping���,即為DHCP窺探�,在終端PC動態獲取IP地址的過程中,通過對終端PC和DHCP服務器(可能是路由器�、交換機或專門的DHCP服務器)之間的DHCP交互報文進行窺探��,實現對用戶的監控,同時DHCP Snooping起到一個DHCP報文過濾的功能����,通過合理的配置實現對非法服務器的過濾�����,防止用戶端獲取到非法DHCP服務器提供的地址而無法上網。
注意事項:
? ? 在實際的網絡施工中我們推薦在接入層交換機上面部署該功能�,如S3500���、P3000M系列交換機��,因為越靠近終端PC端口,控制的越準確及時�。而且每個交換機的端口推薦只連接一臺終端PC�����,因為如果交換機某端口下串接一個普通交換機��,再級聯擴展若干PC的話�,那么如果湊巧該普通交換機下發生DHCP欺騙����,由于欺騙報文都在普通交換機端口間直接轉發了,沒有受到接入層交換機的DHCP snooping功能的控制,這樣的欺騙就無法防止了��。
DHCP snooping + IP Source Guard網絡雙劍客:
? ? 在DHCP環境的網絡里經常會出現用戶隨意設置靜態IP地址的問題����,用戶隨意設置的IP地址不但使網絡難以維護,而且會導致一些合法的使用DHCP獲取IP的用戶因為沖突而無法正常使用網絡,DHCP Snooping通過窺探Client和Server之間交互的報文��,把用戶獲取到的IP信息以及用戶MAC地址信息�、VLAN
ID信息、端口信息等組成用戶記錄表項,再配合IP Source Guard進行端口綁定,防止用戶隨意設置IP地址����、偽造IP地址進行內網掃描攻擊�,達到控制用戶合法使用IP地址的目的��。
