当前位置:主页>知识>电脑知识>

善用DHCP监听技术,维护局域网安全

来源:zhuakuai.com  作者:实文网  时间:2018-04-12  

  为了提高局域网的地址管理效率,相 信很多网络管理员都会在单位内部架设一台DHCP服务器,来为网络中的客户端系统自动分配上网参数,在这种上网环境下,DHCP服务器的工作安全性,会直 接影响着整个局域网的运行安全性。在实际管理网络的过程中,局域网可能经常会遇到同时存在多台DHCP服务器的现象,这些现象一旦出现,很可能引起资源方 面的冲突,最终引发局域网不能安全、稳定地运行。为了维护局域网的运行安全,我们可以尝试利用DHCP监听技术,对DHCP服务器的工作安全性进行监听, 以及早消除单位内网中潜在的安全隐患。

  安全维护思路

  对于DHCP服务器来说,DHCP监听技术其实就是一种过滤DHCP报文的技术。通过在局域网的核心交换机中启用DHCP监听功能,可以将来自局域网中重 要主机或网络设备的不可信任DHCP报文过滤掉,保证客户端系统只能从经过网络管理员特别授权的可信任DHCP服务器那里获得上网参数,那样一来可信任的 DHCP服务器就不会受到非信任DHCP服务器的“干扰”,那么局域网的运行安全性、稳定性就能得到保证。比方说,局域网中原先只有一台可信任的DHCP 服务器,当用户不小心将自带有DHCP服务功能的打印服务器接入到网络后,那么打印服务器就会“摇身”变成一台非信任的DHCP服务器,这时局域网中就会 同时存在两台DHCP服务器,那么普通的客户端系统该从哪一台DHCP服务器中获得上网参数呢?为了保证客户端系统能够获得合法上网参数,我们只要在交换 机上启用了DHCP监听功能,那么普通客户端系统就会忽略打印服务器的存在,而会自动向可信任的DHCP服务器去申请上网参数。

  DHCP监听功能在工作的时候,交换机会只允许客户端用户发送DCHP请求,同时会将类似提供响应的其他DCHP报文自动丢弃掉,这么一来普通客户端系统 只能从合法的DHCP服务器那里获得有效的上网参数;虽然非法的DHCP服务器也能够对客户端系统的上网请求进行响应,但是交换机的DHCP监听功能会将 非法DHCP服务器的提供响应报文自动丢弃掉,那么客户端系统是无法接受到非法DHCP服务器的回复报文的。此外,通过DHCP监听功能,交换机会将局域 网中的DHCP报文,自动识别为可信任的DHCP报文和不可信任的DHCP报文,对于来自防火墙、外网设备或者没有经过网络管理员授权的DHCP服务器发 送过来的DHCP报文,DHCP监听功能会自动将它识别为不可信任的DHCP报文,同时对这样的报文执行丢弃处理,那样一来没有授权的非信任DHCP服务 器就不会干扰局域网的安全运行。

  安全维护范围

  DHCP监听技术在保护局域网的DHCP服务器运行安全时,主要是通过过滤数据报 文的方式,来将DHCP服务器识别为信任端口或非信任端口的,对于来自信任端口的数据信息,交换机会允许其正常接受和发送,而对于来自非信任端口的数据信 息,交换机则不予响应。具体的来说,DHCP监听技术的安全维护范围主要表现在以下几个方面:

  1、预防地址冲突

  DHCP监听技 术可以防止非信任DHCP服务器通过地址冲突的方式,干扰信任DHCP服务器的工作稳定性。在实际管理网络的时候,我们经常会发现在相同的工作子网中,可 能同时有多台DHCP服务器存在,这其中有的是网络管理员专门架设的,也有的是无意中接入到网络中的。比方说,ADSL拨号设备可能就内置有DHCP服务 功能,一旦将该设备接入到局域网中后,那么该设备内置的DHCP服务器就会自动为客户端系统分配IP地址。这个时候,经过网络管理员授权的合法DHCP服 务器,就可能与ADSL拨号设备内置的DHCP服务器发生地址上的冲突,从而可能会对整个局域网的安全性带来威胁。这种威胁行为往往比较隐蔽,一时半会很 难找到。一旦使用了DHCP监听技术,我们就可以在局域网的核心交换机后台系统修改IP源绑定表中的参数,并以此绑定表作为每个上网端口接受数据包的检测 过滤标准,来将没有授权的DHCP服务器发送的数据报文自动过滤掉,那样一来就能有效预防非法DHCP服务器引起的地址冲突问题了。

  2、预防Dos攻击

  大家知道,一些非常阴险的攻击者往往会单独使用Dos攻击,袭击局域网或网络中的重要主机系统;要是不幸遭遇Dos攻击的话,那么局域网的宝贵带宽资源 或重要主机的系统资源,就会被迅速消耗,轻则导致网络传输速度缓慢或系统反应迟钝,重则出现瘫痪现象。而要是在核心交换机中使用了DHCP监听技术的话, 那么局域网就可以有效抵御Dos攻击了,因为Dos攻击主要是用大量的连接请求冲击局域网或重要主机系统,来消耗带宽资源或系统资源的,而DHCP监听技 术恰好具有报文限速功能,利用这个功能我们可以合理配置许可的每秒数据包流量,这样就能实现抵御Dos攻击的目的了。

  3、及时发现隐患

  大家知道,在默认状态下核心交换机会自动对第二层Vlan域中的DHCP数据报文进行拦截,具体地说,就是在选用中级代理信息选项的情况下,交换机在将客 户端的上网请求转发给特定的DHCP服务器之前,它会自动将端口号码、入站模块、MAC地址、Vlan号等信息插入到上网请求数据包中。这个时候,如果结 合接口跟踪功能,DHCP监听技术就能够自动跟踪DHCP服务器中地址池里的所有上网地址,而不会受到单位局域网中跨网段访问的限制,这么一来就能及时发 现局域网中的一些安全隐患,对于跨网段的DHCP服务器运行安全也能起到一定程度的防护作用。

  4、控制非法接入

  由于任何一种形 式的数据报文,都是通过交换端口完成发送与接收操作的,显然交换端口的工作状态与DHCP监听的效果息息相关。一般来说,我们会将网络管理员授权的合法 DHCP服务器所连的交换端口设置为DHCP监听信任端口,或者是将分布层交换机之间的上行链路端口设置为DHCP监听信任端口。对于信任端口来说,交换 机会允许它正常发送或接收所有的DHCP数据报文,这么一来交换机就会只允许合法的DHCP服务器对客户端系统的上网请求进行响应,而非法的DHCP服务 器则不能向局域网发送或接收DHCP数据报文。很明显,通过这种技术手段,就能控制非法的DHCP服务器接入到单位局域网中了。

  安全维护配置

  为了有效使用DHCP监听功能,防护局域网的运行安全,我们需要对该功能进行正确配置,让其按照实际安全运行需求进行工作。由于DHCP监听功能主要是通 过建立端口信任关系实现数据过滤目的的,为此我们需要重点配置究竟哪些交换端口是信任端口,哪些交换端口是非信任端口。具体的说,我们需要在交换机中进行 下面几项安全维护配置操作:

  1、信任配置

  这种配置主要就是在合法DHCP服务器所连交换端口上启用信任,或者是在分布层或接入层交换机之间的互连端口上启用信任。如果不对上述重要端口建立信任配 置,那么普通客户端系统将无法正常从合法DHCP服务器那里接受到有效的上网参数。当然,为了防止普通员工私下搭建DHCP服务器,威胁合法DHCP服务 器的运行安全,我们有必要将普通客户端系统所连的交换端口设置为非信任的端口,那样一来交换机会将来自客户端系统的提供响应报文自动丢弃掉,此时局域网中 的其他客户端系统不知道有这台非法DHCP服务器的存在。

  2、限速配置

  为了防止Dos攻击,我们需要将DHCP监听功能自带的 报文限速特性启用起来,通过这个特性避免连续、大流量的数据攻击,保证局域网的宝贵带宽资源不会被迅速消耗,从而维护局域网的运行安全性。很多时候,网络 管理员都会在局域网中部署这样或那样的Dos防护工具,不过从实践安全防护效果来看,我们建议大家还是启用DHCP监听技术的请求限速功能。在启用这项功 能时,我们只要简单地执行“IP Dhcp Snooping Limit Rate x”命令就可以了,其中“x”为具体的限速标准,该数值需要网络管理员依照单位局域网的实际运行情况来有针对性的配置。

  3、代理配置

  在局域网中存在多个Vlan的情况下,我们必须在交换机中启用中级代理信息选项,也就是启用82选项,才能保证DHCP监听功能提供跨网段安全防护服务。 在DHCP监听中启用中级代理信息选项时,只要执行“ip dhcp snooping information option”命令就可以了。

善用DHCP监听技术,维护局域网安全
人气:128
电脑知识
善用DHCP监听技术,维护局域网安全

大家都在看

雉科【雪鹑】生活习性简介 Snow Partridge图片

雉科【雪鹑】生活习性简介 Snow Partridge图片

雪鹑-外形描述 描述:中等体型(35厘米),通体灰色,上体、头、颈及尾具黑色及白色细条纹,背及两翼淡染棕褐色,胸白且具宽的矛状栗色特征性条纹。各亚种野外难辨。 详细见: 雪鹑百科 虹膜红...

科普知识 74 阅读

什么是蒸气挂烫机?什么牌子挂烫机好用

什么是蒸气挂烫机?什么牌子挂烫机好用

什么是挂烫机? 挂烫机也叫挂式熨斗、立式烫斗,就是能挂着烫衣服和布料的机器。挂烫机通过内部产生的灼热水蒸汽不断接触衣服和布料,达到软化衣服和布料纤维组织的目的,并通过拉、压喷的动作...

家电知识 110 阅读

邀请礼仪常识

邀请礼仪常识

社交礼仪的基本特征包括一社交为支点、以修养为基...

礼仪知识 220 阅读

套电视机罩的最佳时间

套电视机罩的最佳时间

电视机关闭后,机内尚有一定的热量,马上将机套罩上,机内热量就不宜散失,对电视机的保养不利。如果等电视机内部余热全部散失后再罩上电视机套,又容易把灰尘带入机内,因为电视机关闭后,机...

家电知识 76 阅读

公关礼仪之电话礼仪

公关礼仪之电话礼仪

打电话看起来很容易,其实也有很多注意事项,以下是小编为大家搜集整理的公关礼仪之电话礼仪,供大家参考和借鉴! 【 接听电话前的准备 】 准备记录工具:如果大家没有准备好记录工具,那么当对...

礼仪知识 187 阅读

无叶电风扇及其工作原理

无叶电风扇及其工作原理

无叶风扇也叫空气增倍机,它能产生自然持续的凉风,因无叶片,不会覆盖尘土或伤到好奇儿童手指。更奇妙的是其造型奇特,外表既流线又清爽。产品灵感源于空气叶片干手器。 无叶风扇的发明人是英...

家电知识 124 阅读

家电的购买 | 组合音响的选购技巧

家电的购买 | 组合音响的选购技巧

在选购组合音响时,首先检查外观有无破损,但最重要的是对音色、音质的检查,方法如下: 把音量拨至中间位置,将空白录音带放入,听音箱发出的噪音,噪音越小越好。把音量关死,把耳朵贴近卡座...

家电知识 162 阅读

自我管理的8个好习惯,值得收藏!

自我管理的8个好习惯,值得收藏!

01 凡事提前10分钟 凡事提前10分钟,会让你有充裕的时间应对可能的突发事件,更加从容。试着把起床闹钟提前10分钟,你就会发现你出门不必急匆匆,早饭也可慢慢享用,一整天的状态也更精神抖擞...

礼仪知识 161 阅读

巧判电熨斗的温度

巧判电熨斗的温度

普通型电熨斗的温度可以根据水珠滴在熨斗底板上发出的声音及变化情况来判断。60℃100℃时没有声音,水珠不散开;100℃140℃发出嗤嗤的声音,水珠散开,有较大气泡;140℃160℃发出叽由的声音,...

家电知识 156 阅读

节电技巧 | 洗衣机的省电技巧

节电技巧 | 洗衣机的省电技巧

洗衣机也有省电的技巧。在使用这些技巧的时候,能同时省水省洗衣粉省时间。 脏衣服要先浸泡再洗。有的衣物附着着很多土,浸泡20分钟左右后再洗,尘土便从衣物上脱落下来进入水里。这时,将衣物...

安全知识 136 阅读

电脑硬件介绍:显示器

电脑硬件介绍:显示器

电脑硬件,包括电脑中所有物理的零件,以此来区分它所包括或执行的数据和为硬件提供指令以完成任务的软件。 电脑硬件主要包含:机箱,主板,电源,CPU,硬盘,内存条,显卡,显示器,键盘,鼠...

电脑知识 162 阅读

防水数码相机真的防水吗?

防水数码相机真的防水吗?

随着近年三防、四防相机的普及,个人水底拍摄已成为现实。不过,在市场上,三防、四防相机越来越多,概念更是五花八门,有的宣称防水,但实际只是防水溅,不支持水底拍摄。若要实现水底拍摄,...

家电知识 70 阅读

吃西餐礼仪,给你一个吃西餐的标准

吃西餐礼仪,给你一个吃西餐的标准

礼仪是人们生活和社会交往中约定俗成的,人们可以根据各式各样的礼仪规范,正确把握与外界的人际交往尺度,合理的处理好人与人的关系。做到不失礼,不夺礼,给人留下良好的影响。下面是小编精...

礼仪知识 74 阅读

电脑摆放环境的选择技巧

电脑摆放环境的选择技巧

电脑摆放环境直接影响其使用寿命。下列四点建议仅供参考。 ①电脑应安置在有足够照明亮、无光线直射、无光线闪烁的地方,以避免误操作对机器和操作对象的损坏,减少操作电脑时对眼睛造成的影响...

电脑知识 153 阅读

雉科【台湾山鹧鸪 White-throated Hill Partridge】生活习性简介 台湾山鹧鸪图片

雉科【台湾山鹧鸪 White-throated Hill Partridge】生活习性简介 台湾山鹧鸪图片

台湾山鹧鸪(学名:Arborophila crudigularis,英文名:Taiwan Partridge)是雉科山鹧鸪属的鸟类。 台湾山鹧鸪(学名:Arborophila crudigularis)为雉科山鹧鸪属的鸟类,俗名深山竹鸡,是台湾...

科普知识 67 阅读