维盟DHCP防御配置丨让“DHCP欺骗”无处遁形

2017-05-16

目前大多数用户网络均有架设DHCP服务器,为终端PC或手机自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率及网络接入体验。

但您是否遭遇过电脑获取不到IP地址导致的无法上网?特别是在宾馆酒店、厂区宿舍、写字楼、学校等场所,注意,这不是高科技的黑客攻击,也不是小儿科的电脑系统问题,而是您的网络设备缺少一个特殊功能——DHCP防御!

接下来为各位爷奉上配置教程~
DHCP防御配置

在导航栏中选择“故障 / 安全> 防攻击>防 DHCP攻击”,开启防 DHCP 攻击功能,拦截仿冒 DHCP 服务器及地址耗竭攻击报文,禁止私设 DHCP 服务器,如下图:

参数说明

使用说明

    对于网络中出现非法DHCP服务器的问题,需要防止其为客户端分配IP地址,仅允许合法的DHCP服务器提供服务。交换机的DHCP防御特性可以满足这个要求,阻止非法服务器为客户端分配IP地址。

     DHCP 信任端口配置,选择端口作为信任端口。禁止 DHCP 方式申请地址,选择端口后保存, 可禁用该端口的此项功能。

    开启 DHCP 防攻击功能,需将 DHCP 防护 VLAN同时进行设置,其他功能才生效。

配置举例

如:1、将 DHCP snooping 打开

描述:当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。

2、设置 DHCP snooping vlan

描述:设置 DHCP-Snooping功能将作用于哪些VLAN

3、设置连接路由器 10 端口为信任,再将 12 端口设置为抑制


描述:若10、12号都连接的是DHCP SERVER,将10号端口设置为信任,12号端口设置抑制,DHCP用户获取的是10号端口下发的IP地址。

4、效验源 MAC  F0:DE:F1:12:98:D2,将服务器设置为 10.10.10.2

描述:设置了MAC校验,或者是绑定了IP地址。

客户端通过发DHCPREQUEST 响应 DHCPOFFER,从捕获的信息中对所获得的MAC/IP地址进行确认,不符合就会选择丢弃。

其中的MAC/IP地址是DHCP服务器地址

5、设置 option82 信息

option 82是DHCP报文中的中继代理信息选项。

当DHCP Client发送请求报文到DHCP server时,若需要经过DHCP中继,则由DHCP中继将option 82添加到请求报文中。

描述:option82子选项1定义了代理电路ID(即Circuit ID),它表示接收到的DHCP请求报文来自的链路标识(VLAN编号及MAC地址),这个标识只在中继代理节点内部有意义,在服务器端不可以解析其含义,只作为一个不具含义的标识使用

描述:option82子选项2定义了代理远程ID(即 Remote ID),代理远程ID是指接收到DHCP请求报文的接入交换机的vlan MAC地址(通常使用子项1和子项2要共同使用来标识DHCP源端的信息)

描述:这也是option 82的一个子选项,为链路选择(link selection)子项,该选项中包含了DHCP中继添加的IP地址。
这样DHCP server在分配 IP地址给DHCP客户端的时候就可以分配与该地址同网段的IP地址。

6、将端口 7 进行绑定


描述:MAC+VLAN ID+端口号,属于三元绑定。
参数设置绑定后,端口7只能接入该MAC地址的设备,且该设备在VLAN1中。

【维盟科技,专业网络设备提供商】

维盟科技(WayOS)是一家提供高性能的路由系统及先进高效的流量管理解决方案的网络服务供应商,同时也是集研发、生产、销售于一体的新兴高科技公司。

企业微信:woyaowifi

维盟官网:www.wayos.com

智慧WIFI:www.wamwifi.com

客服咨询:4006-12580-5

服务时间:周一至周日09:00-22:00


(免责声明:本文部分图片来源于网络,版权归原作者所有,如有侵权请联系我们予以支付报酬)

商务合作
服务时间:9:00-21:00
技术支持
服务时间:9:00-21:00
投诉建议
服务时间:9:00-21:00