解決局域網(wǎng)無線路由器泛濫

如果單位IP地址是動態(tài)分配的話，用戶會經(jīng)常遇到客戶端本地連接顯示正常卻無法正常訪問網(wǎng)絡(luò)，而且發(fā)現(xiàn)IP地址非單位地址。當(dāng)換成單位分配的IP地址后便能正常訪問。

有時當(dāng)你換成正確的靜態(tài)IP地址后，過一會另外一個用戶就會報IP地址沖突。作為網(wǎng)絡(luò)管理員，每天都會重復(fù)這樣的勞動。那么該怎么處理呢？

這種現(xiàn)象其實是由于客戶端獲取到非法DHCP服務(wù)器提供的IP地址而造成了無法正常上網(wǎng)。

隨著互聯(lián)網(wǎng)和移動設(shè)備的迅速發(fā)展，各辦公室私自連接無線路由器已屢見不鮮，無疑加重這種現(xiàn)象。

說到這里可能大家的第一反應(yīng)是直接將IP地址和MAC地址綁定，問題就能解決了，但是除了繁瑣配置和綁定工作以及日后設(shè)備維修更換不便外，VLAN技術(shù)可以有很多網(wǎng)段，將來維護(hù)起來更會加重管理員的工作負(fù)擔(dān)。

不過，最致命的是IP地址和MAC地址綁定根本解決不了這個問題，這是因為常見的無線路由器都支持一個叫MAC地址克隆的功能。那么，利用DHCP Snooping功能如何解決這個問題呢？

首先我們先了解下DHCP的優(yōu)缺點，然后對癥下藥。

1.DHCP的優(yōu)點：

每個客戶端能夠動態(tài)獲取IP地址、網(wǎng)關(guān)信息和DNS信息等，而不需要給每臺連網(wǎng)的客戶端去手動的配置IP地址等參數(shù)。

在用戶網(wǎng)關(guān)所在的那臺匯聚或者核心交換機(jī)上面配置DHCP功能就可以實現(xiàn)為用戶分配地址，大大減少網(wǎng)絡(luò)管理員的工作量。

2.DHCP的缺點：

DHCP的不足也很明顯，我們來看下它的工作原理。

當(dāng)一臺主機(jī)客戶端需要上網(wǎng)時，DHCP客戶端會以廣播的方式發(fā)出DHCP Discover報文，所有的DHCP服務(wù)器都能夠接收到客戶端發(fā)送的DHCP Discover報文，所有的DHCP 服務(wù)器都會給出響應(yīng)，向客戶端發(fā)送一個DHCP Offer報文。

DHCP Offer報文中“Your(Client) IP Address”字段就是DHCP服務(wù)器能夠提供給DHCP客戶端使用的IP地址。

既然是所有DHCP服務(wù)器都會給出響應(yīng)，那客戶端會先處理哪一個呢？

我們得出這樣一個結(jié)論：DHCP客戶端處理的是最先收到的DHCP Offer報文，也就是先收到誰的IP地址就用誰的，而不一定就是正確的那個。

DHCP Snooping又是如何來避免這個問題呢？

DHCP Snooping 把端口分為兩種類型，TRUST口和UNTRUST口，設(shè)備只轉(zhuǎn)發(fā)TRUST口收到的DHCP應(yīng)答報文，而丟棄所有來自UNTRUST口的DHCP 應(yīng)答報文。

以此把合法的DHCP Server連接的端口設(shè)置為TRUST口，則其他口為UNTRUST口，就可以實現(xiàn)對非法DHCP Server的屏蔽。

也就是說，我們只要在接入層交換機(jī)開啟snooping功能，然后將與匯聚或核心成連接的上聯(lián)口設(shè)置成trust口即可。

當(dāng)然事物總存在兩面性，為了保證效果應(yīng)在接入層交換機(jī)上面部署該功能時，越靠近客戶端端口控制的越準(zhǔn)確，而且同時每個交換機(jī)的端口建議只連接一臺PC客戶端。

圖1 相關(guān)命令行配置

這是由于如果某端口下串接一個交換機(jī)又連接若干PC客戶端，那么當(dāng)該交換機(jī)下發(fā)生了DHCP欺騙，由于欺騙報文都在該交換機(jī)端口間直接轉(zhuǎn)發(fā)了，沒有受到接入層交換機(jī)的DHCP snooping功能的控制，這樣的欺騙就無法防止了。

相關(guān)命令行配置，如圖1所示：

//將連接DHCP服務(wù)器的上聯(lián)口設(shè)置為trust口