一， DHCP環(huán)境下手工上網(wǎng)簡介：

    DHCP服務(wù)能夠自動為連接到網(wǎng)絡(luò)的計算機提供包括IP地址， 子網(wǎng)掩碼， 網(wǎng)關(guān)地址以及DNS服務(wù)器地址等信息， 通過DHCP分配后我們的客戶機應(yīng)該可以順利上網(wǎng)。 不過在DHCP環(huán)境下如果客戶機不將網(wǎng)絡(luò)參數(shù)設(shè)置為“自動獲得地址”方式而是手工指定上述地址信息的話， 如果設(shè)置得和DHCP服務(wù)器分配一致并正確的話， 客戶機依舊可以正常上網(wǎng)。

    正因為這種問題的存在造成一些非法入侵者或者并沒有權(quán)限的用戶， 甚至是某些想要搗亂的人會采取手工設(shè)置地址的方法來連接到企業(yè)內(nèi)網(wǎng)中。 輕者造成IP地址沖突問題帶來其他機器的上網(wǎng)故障， 重者會帶來內(nèi)網(wǎng)不安全問題， 出現(xiàn)問題后無法快速定位攻擊發(fā)動者。 當企業(yè)內(nèi)網(wǎng)某計算機被外部網(wǎng)絡(luò)入侵制作成肉雞時這種手工設(shè)置地址聯(lián)網(wǎng)帶來的問題將變得更加明顯。

    那么有沒有辦法可以強制客戶端計算機必須使用DHCP自動獲得方式取得IP等地址才能夠順利上網(wǎng)呢？答案是肯定的， 今天就請各位跟隨筆者一起領(lǐng)教網(wǎng)管支招強制DHCP上網(wǎng)。

    二， 網(wǎng)管支招強制DHCP上網(wǎng)的思路：

    網(wǎng)管支招強制DHCP上網(wǎng)的思路來自于網(wǎng)絡(luò)廠商， 不管是華為3C0M公司還是CISCO廠商， 他們都針對強制DHCP上網(wǎng)提供了相應(yīng)的技術(shù)支持。 對于Cisco公司的產(chǎn)品來說我們可以通過dhcp-snooping和Dynamic ARP Inspection來完成；對于華為3COM來說通過ip-snooping技術(shù)也可以有效解決。

    華為的dhcp snooping在dhcp server發(fā)回ACK報文后， 生成綁定表， 可選擇檢查以下信息， 通過檢查這些報文數(shù)據(jù)達到了強制DHCP上網(wǎng)的目的。

    （1）dhcp報文內(nèi)client hardware address與報文源MAC是否匹配。

    （2）arp報文senderip和sendermac與綁定表是否匹配。

    （3）IP報文SIP和SMAC是否與綁定表匹配。

    （4）檢查dhcp續(xù)租時client發(fā)出的request報文， 檢查綁定表內(nèi)續(xù)租ip對應(yīng)的SMAC與報文SMAC是否匹配。

    Cisco的dhcp snooping可以防止非法dhcp服務(wù)器的建立， 并且可以根據(jù)相關(guān)參數(shù)生成一個ip-mac-port的一個綁定表， 然后可以根據(jù)這個表檢查所有的arp包是否合法， 用來避免arp攻擊， 同時也可以一般方式私設(shè)ip。 說白了經(jīng)過ip-mac-port綁定后在相應(yīng)客戶端上網(wǎng)時一方面可以通過DHCP獲得地址信息， 另一方面在手工設(shè)置時也不能隨意添加地址， 必須使用ip-mac-port綁定表中的IP地址作為自己的上網(wǎng)地址， 這樣的策略實際上限制了手工設(shè)置IP的地址信息， 解決了上文提到的種種安全和管理問題。

    總之這些技術(shù)的實現(xiàn)思路就是通過檢查流經(jīng)端口數(shù)據(jù)包的信息， 分析該數(shù)據(jù)中是否有明確的DHCP標識， 如果沒有相應(yīng)的標識那就可以確定源地址是通過手工設(shè)置上網(wǎng)的， 通過過濾技術(shù)和策略命令可以實現(xiàn)數(shù)據(jù)包的丟棄， 從而阻止了采取手工設(shè)置IP地址方式上網(wǎng)客戶端的正常聯(lián)機。 三， 實戰(zhàn)強制采取DHCP上網(wǎng)：

    接下來筆者舉兩個例子來說明如何在路由交換設(shè)備上開啟相關(guān)的策略與功能， 讓內(nèi)網(wǎng)管理強制采取DHCP方式上網(wǎng)。

    （1）Cisco設(shè)備的設(shè)置與操作：

    在Cisco設(shè)備上通過dhcp snooping技術(shù)建立ip-mac-port的一個綁定表即可阻止手工隨意設(shè)置IP上網(wǎng)問題的發(fā)生。

    第一步：首先通過configure terminal 進入路由交換設(shè)備配置模式。

    第二步：在配置模式下啟用DHCP Snooping， 具體指令為ip dhcp snooping。

    第三步：在固定接口或VLAN上啟用 DHCP Snooping， 具體指令是ip dhcp snooping vlan XXX。

    第四步：通過“interface 接口號”命令進入交換機對應(yīng)的接口。

    第五步：輸入ip dhcp snooping trust將接口設(shè)置為受信任端口。

    第六步：設(shè)置每秒鐘處理DHCP數(shù)據(jù)包上限為500個——ip dhcp snooping limit rate 500 。 （如圖1）

    第七步：之后我們的Cisco相關(guān)設(shè)備會針對當前環(huán)境建立一個ip-mac-port三方綁定表， 通過這個ip-mac-port綁定表我們可以阻止手工設(shè)置網(wǎng)絡(luò)參數(shù)問題的發(fā)生。 通過show ip dhcp snooping binding命令可以查詢此綁定表信息， 具體格式是00:22:09:11:33:16 192.168.1.1 3209 dhcp-snooping 103 GigabitEth ernet1/0/28， 依次顯示MAC地址， IP地址以及應(yīng)用的VLAN號還有對應(yīng)的接口信息。

    （2）華為3COM設(shè)備上的操作：

    在華為3COM設(shè)備上開啟dhcp snooping功能可以阻止客戶端手工設(shè)置IP地址上網(wǎng)。 具體操作如下。

    第一步：設(shè)置DHCP服務(wù)器相關(guān)信息——dhcp-server 1 ip 192.168.11.2 192.168.0.25。

    第二步：進入某端口——interface Vlan-interface3

    第三步：為端口設(shè)置IP地址——ip address 192.168.3.254 255.255.255.0

    第四步：指定該端口使用的DHCP服務(wù)器號——dhcp-server 1

    第五步：強制查詢連接該端口主機的IP地址設(shè)置情況， 要求必須通過DHCP服務(wù)器獲取IP地址信息——address-check enable， 說白了就是開啟dhcp snooping檢查功能。 （如圖2）

    四， 總結(jié)：

    強制內(nèi)網(wǎng)客戶端必須使用DHCP上網(wǎng)是個非常不錯的管理策略， 這樣客戶機就不能夠隨意越權(quán)和入侵內(nèi)網(wǎng)了， 對于企業(yè)網(wǎng)絡(luò)管理員來說管理內(nèi)網(wǎng)也很方便， 出現(xiàn)問題直接查詢DHCP服務(wù)器上的租約及對應(yīng)地址關(guān)系即可。 當然本文主要從路由交換設(shè)備下手講解強制采取DHCP方式上網(wǎng)的辦法， 對于非Cisco和華為3COM產(chǎn)品來說可以參考產(chǎn)品說明書或詢問技術(shù)支持熱線了解解決辦法