非法DHCP Server引發的網絡沖突及解決方法

華新

（武城縣職業中等專業學校 山東德州 253300）

非法DHCP Server引發的網絡沖突及解決方法

華新

（武城縣職業中等專業學校 山東德州 253300）

DHCP被廣泛應用于廣域網和局域網，為網絡用戶動態提供IP地址、子網掩碼和網關等信息。越來越多的網絡設備能夠提供DHCP Server，當這些設備被錯誤的接入到原有網絡時，會影響用戶從合法的DHCP Server中獲取地址信息，有時候還會造成沖突，影響網絡的正常使用。本文給出了屏蔽非法DHCP Server的方法，保障正常的網絡應用。

非法DHCPDHCP ServerDHCP snooping網絡沖突

1.非法DHCP Server產生背景

在傳統的網絡中，DHCP Server使用固定IP地址，對于其他包括筆記本和臺式機在內的眾多客戶端，可使用DHCP協議進行地址分配，其模型如圖1所示。過去網絡的綜臺布線系統以雙絞線和光纖等有線介質為主，當網絡中需要延伸距離、增加信息點時重新布線會存在種種困難。此時，使用無線設備進行網絡的擴展成了首選。同時，智能手機、平板電腦的普及也使得人們對無線網絡有了更迫切的需求。因此，大量的Soho無線路由被應用在了辦公室、會議室等場所。這些Soho無線路由器自帶的DHCP Server功能經常造成主機無法從合法的DHCP Server處獲得IP地址。

圖1

在本例所示的拓撲中，核心交換機開啟DHCP服務作為DHCP Server，核心交換機下連接接入交換機再連接至PC。未配置IP信息的PC機啟動后將發送DHCP Discover報文，DHCP Server收到后將為客戶端分配相應的IP配置信息。擴展的網絡模型如圖2所示。

在這個拓撲結構中，每個無線路由使用WAN接口上聯至交換機，通過DHCP為WAN接口配置地址。同時每個無線路由器又是個DHCP Server，通過LAN和WLAN接口為下聯的臺式機（使用有線連接）和筆記本、平板電腦及手機（使用無線連接）分配地址并提供網絡接入服務。

無線路由器通常分為兩類接口：WAN接口和LAN接口，接入網絡正確的連接方式應該是使用WAN接口連接交換機至上層網絡，使用LAN接口連接PC或筆記本等網絡邊緣設備。無線路由器將使用DHCP為連接在LAN接口的下聯設備分配IP地址（通常為192.168.1.0/24網段），同時以NAT的方式通過WAN接口為下聯設備提供網絡通訊服務。但在實際使用時，用戶可能將LAN接口錯誤連接至上層交換機，而由于DHCP Server在無線路由上默認是開啟的，則每臺無線路由都是一臺DHCP Server，這就使得網絡中出現了很多非法DHCP Server。

圖2

當無線路由器連接到LAN端口時，由于DHCP的請求報文是以廣播的形式發送出去，所有收到請求的DHCP Server都可以進行應答，客戶端通常會用最先收到的DHCP應答來配置自己的地址信息。如果非法DHCP Server的應答先于合法DHCP Server的應答，則客戶端將獲得錯誤的IP，將不能訪問網絡。

當故障發生時，在客戶端使用ipconfig查看，

發現客戶端獲得的IP地址為192.168.1.102，而非正確的IP。

使用Wireshark捕獲DHCP報文，發現提供給客戶端DHCP Offer的DHCP Server的MAC地址也不是合法DHCP Server的地址，表明網內存在其他非法DHCP Server。

2.解決方案DHCPsnooping

2.1 DHCP Snooping簡介

問題1主要考查學生運用不同數據分析方法的意識和能力．如利用表格的基本數據，可以通過空氣指數的平均數、中位數、眾數、方差等統計量去比較兩個城市的空氣質量．由于統計量的值是對樣本特征的數值體現，因此，對兩個城市空氣質量的比較，其結果往往因數據分析方法的不同而有所差異．譬如從空氣等級的優良率（昆明100%，烏魯木齊85.7%）看，昆明的空氣質量好于烏魯木齊；從空氣等級為“優”的天數（烏魯木齊2，昆明0）看，烏魯木齊的空氣質量好于昆明．從空氣指數的平均值（烏魯木齊66.6，昆明68.3）來看，昆明的空氣質量好于烏魯木齊，等等．

DHCP Snooping具有屏蔽非法DHCP服務器和過濾非法DHCP報文的功能，解決了DHCP Client和DHCP Server之間DHCP報文交互的安全問題。在網絡中如果有私自架設的DHCP Server，將可能導致用戶得到錯誤的IP地址。為了使用戶能通過合法的DHCP Server獲取IP地址，DHCP Snooping安全機制允許將端口設置為信任端口與不信任端口。

信任端口是與合法的DHCP Server直接或間接連接的端口。信任端口對接收到的DHCP報文正常轉發，從而保證了DHCP客戶端獲取正確的IP地址。不信任端口是不與合法的DHCP Server連接的端口。如果從不信任端口接收到DHCP Server響應的DHCP ACK和DHCP Offer報文則會丟棄，從而防止了DHCP客戶端獲得錯誤的IP地址。

2.2 DHCP Snooping配置：

在該例中，導致DHCP沖突的原因是由于用戶錯誤的網絡連接，導致無線路由能夠從LAN接口上收到DHCP Discover并把響應報文進入到交換機轉發給客戶端。因此，要解決此類故障，應對交換機進行設置，僅允許合法DHCP Server的應答報文進入到交換機的端口。為實現這樣的目標，需要使用DHCP Snooping技術。

圖3

在核心交換機DHCP-Server1上建立一個192.168.10.0/24的地址池，Soho無線路由器的默認DHCP地址池為192.168.1.0/24，將接入交換機與核心交換機連接的接口設置為trust信任端口，其它接口為默認untrust端口。

2.2.1 配置信息

核心交換機開啟DHCP服務

2.2.2 驗證及調試

PC2釋放IP：

PC2重新獲取IP：

檢查PC2的IP地址，獲取到192.168.10.102的IP地址.

Ping網關檢查連通性：

查看接入交換機DHCP snooping信息

檢查F0/1端口狀態為Trusted，為信任端口。

關閉F0/1端口后，客戶端 PC2重新獲取 IP地址，無法正常獲取 IP地址。

2.2.3 其他說明

Soho無線路由器接入錯誤造成的DHCP沖突，對于無線路由器下連接的無線終端，也會出現網絡錯誤，無法正常連接。一旦接入服務器設置DHCP Snooping，網絡錯誤只會影響本無線路由器下的PC或智能無線設備，網絡錯誤不會擴散，影響范圍縮小。同時更容易定位故障點，為排除故障節省大量的時間、精力。方便了網絡管理

3.總結

近年來隨著無線設備的快速發展，在內網中Soho無線路由器越來越多，對原有的網絡結構產生了很多影響，本文通過通過在接入、核心交換機配置DHCP Snooping功能可以較為直接的解決私接DHCP服務器對現有網絡的影響。

DHCP是網絡中分配IP信息的主要方式，由DHCP引發的網絡故障甚至攻擊行為也經常發生，客戶端無法獲得正確的IP地址。在解決此類問題時要區分不同的故障類型，并結合報文捕獲軟件對DHCP報文進行分析，以給出正確的解決方案。

［1］Cisco Systems公司.思科網絡技術學院（第三、四學期）（第三版）.人民郵電出版社2004

［2］王達.Cisco路由器配置與管理完全手冊［M］.2版.北京：水利水電出版社，2011.

［3］李書滿，杜衛國.Windows Server 2008服務器搭建與管理 ［M］.北京：清華大學出版社，2010.