入住豪華酒店,發(fā)現(xiàn)無法上網(wǎng)很窩火,但酒店總說網(wǎng)絡(luò)是可以用?
? ? 目前大多數(shù)用戶網(wǎng)絡(luò)均有架設(shè)DHCP服務(wù)器來為終端PC或手機(jī)自動分配IP地址、掩碼、默認(rèn)網(wǎng)關(guān)、DNS服務(wù)器等網(wǎng)絡(luò)參數(shù),簡化了網(wǎng)絡(luò)配置,提高了管理效率及網(wǎng)絡(luò)接入體驗(yàn)。但您是否遭遇過電腦獲取不到IP地址導(dǎo)致的無法上網(wǎng)?特別是賓館酒店、廠區(qū)宿舍、辦公場所、學(xué)校等場所,注意,這不是高科技的黑客攻擊,也不是小兒科的電腦系統(tǒng)問題,而是您的網(wǎng)絡(luò)設(shè)備缺少一個特殊功能,接下來小編為您從原理上進(jìn)行剖析。
? ? 酒店、宿舍、辦公場所,人員密集型的場所,常有上網(wǎng)者為了擴(kuò)展接入終端,私接隨身路由,由于這些小路由器自帶DHCP功能,胡亂給內(nèi)網(wǎng)其他終端分配地址,使其他終端不能正常獲取到網(wǎng)絡(luò)中真正的IP地址,從而導(dǎo)致無法上網(wǎng);或者網(wǎng)絡(luò)中有個別終端用的是window 2003、2008系統(tǒng),這些系統(tǒng)默認(rèn)開啟了DHCP服務(wù),從而也胡亂給內(nèi)網(wǎng)其他終端分配地址,導(dǎo)致網(wǎng)絡(luò)故障,這就是傳說中的DHCP欺騙。
? ? 那有沒有技術(shù)能防止這類DHCP欺騙呢?或者說即使內(nèi)網(wǎng)有多個DHCP服務(wù)器,也能是終端用戶獲取到真正的內(nèi)網(wǎng)IP地址呢?答案是肯定的,TG-NET交換機(jī)特色功能之“DHCP snooping”便是一劑“良方解藥”!
? ? 在實(shí)際的網(wǎng)絡(luò)施工中我們推薦在接入層交換機(jī)上面部署該功能,如S3500、P3000M系列交換機(jī),因?yàn)樵娇拷K端PC端口,控制的越準(zhǔn)確及時。而且每個交換機(jī)的端口推薦只連接一臺終端PC,因?yàn)槿绻粨Q機(jī)某端口下串接一個普通交換機(jī),再級聯(lián)擴(kuò)展若干PC的話,那么如果湊巧該普通交換機(jī)下發(fā)生DHCP欺騙,由于欺騙報文都在普通交換機(jī)端口間直接轉(zhuǎn)發(fā)了,沒有受到接入層交換機(jī)的DHCP snooping功能的控制,這樣的欺騙就無法防止了。
? ? 在DHCP環(huán)境的網(wǎng)絡(luò)里經(jīng)常會出現(xiàn)用戶隨意設(shè)置靜態(tài)IP地址的問題,用戶隨意設(shè)置的IP地址不但使網(wǎng)絡(luò)難以維護(hù),而且會導(dǎo)致一些合法的使用DHCP獲取IP的用戶因?yàn)闆_突而無法正常使用網(wǎng)絡(luò),DHCP Snooping通過窺探Client和Server之間交互的報文,把用戶獲取到的IP信息以及用戶MAC地址信息、VLAN ID信息、端口信息等組成用戶記錄表項,再配合IP Source Guard進(jìn)行端口綁定,防止用戶隨意設(shè)置IP地址、偽造IP地址進(jìn)行內(nèi)網(wǎng)掃描攻擊,達(dá)到控制用戶合法使用IP地址的目的。
電話:0755-29361081
地址:深圳市龍華區(qū)大浪街道麗榮路1號國樂科技園6棟13樓
