防止私架DHCP服务器的好帮手:DHCP Snooping

供稿:中波动光工业通信(江苏)有限公司

  • 关键词:DHCP,物联网,动态主机配置协议
  • 作者:中波动光
  • 摘要:DHCP动态主机配置协议是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供有效方法:即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。可有效杜绝未认证的DHCP服务器,让取得IP错误地址的问题永远不再发生!

DHCP (动态主机配置协议) 是一种简化主机IP地址配置管理的TCP/IP标准。

该标准为DHCP服务器的使用提供了一种有效的方法:即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。


在基于TCP/IP协议的网络中,每台计算器都必须有唯一的IP地址才能访问网络上的资源,网络中计算器之间的通信是通过IP地址来实现的,并且通过IP地址和子网掩码来标识主计算器及其所连接的子网。在局域网中如果计算器的数量比较少,当然可以手动设置其IP地址,但是如果在计算器的数量较多并且划分了多个子网的情况下,为计算器配置IP地址所涉及的管理员工作量和复杂性就会相当繁重,而且容易出错,如在实际使用过程中,我们经常会遇到因IP地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP地址等问题。


DHCP则很好地解决了上述的问题,通过在网络上安装和配置DHCP服务器,启用了DHCP的客户机可在每次启动并加入网络时,自动地获得其上网所需的IP地址和相关的配置参数,从而减少了配置管理的时间。


然而,在网络里,若有人私接IP分享器/寛频分享器,这些分享器的DHCP服务器预设都是开启的,以致于有些用户取得不正确的IP地址,导致无法上网或存取公司数据。


中波动光全系列的管理型交换机支持DHCP监听 (DHCP Snooping) 功能,可以有效杜绝未认证的DHCP服务器,让取得IP错误地址的问题,永远不会再发生!




DHCP监听 (DHCP Snooping) 是一种通过建立DHCP监听绑定数据库(DHCP Snooping Binding Database),过滤非信任的DHCP消息,从而保证网络安全的特性。


DHCP监听就像是非信任的主机和DHCP服务器之间的防火墙。

通过DHCP监听来区分连接到末端客户的非信任接口和连接到DHCP服务器或者其他交换机的受信任接口。


当DHCP监听功能启用后,交换机会监看DHCP的数据包,只允许指定的(已受信) 交换机的网口放行DHCP服务器的响应数据包,所以只会取得指定的(已受信) DHCP服务器响应的DHCP内容,任何来自不信任网口的DHCP数据包将会被丢弃,确保用户取得的IP地址都是网由信任的/合法的DHCP服务器发送的;在收到合法响应后,DHCP服务器会记录已完成的DHCP信息,其内容包含MAC地址、IP地址、租用时间等信息。


**值得注意的是,在下述情况中,DHCP数据包将同样被丢弃

1. 来自外网或者防火墙的DHCP服务器,包括DHCP_OFFER、DHCP_ACK、DHCP_NAK、DHCP_LEASE_QUERY。

2. 来自非信任端口,且目的MAC地址和DHCP客户端的硬件地址不匹配。

3. 交换机收到DHCP_RELEASE或者DHCP_DECLINE的广播信息,其MAC地址包含在DHCP 监听绑定数据库数据库中,但与数据库中的接口信息不匹配。


也就是说,如果DHCP服务器不是直接接在交换机上时,上行的网口就必须要允许DHCP服务器的响应数据包通过,不然整台交换器上的用户将无法得到IP地址。



**中波动光全系列管理型交换机:

DP310:工业用 8+2G 智能二层导轨型PoE交换机

DS310:工业 8+2G L2 智能网管以太网交换机

DS409:工业 9G L2 智能网管以太网交换机

MP310-HV:工业 7+3G L2 智能 M12 PoE交换机

MP614:强固型三层M12 PoE交换机

WR322G系列:工业物联网强固LTE路由器




扫一扫 - 关注中波动光微信公众号 『取得IIoT最新消息』

波动光集团是跨国的公司,有20多年工业市场销售的经验。从工业计算机,数据撷取,有线与无线网络通讯,与网络监控,均有非常完整的解决方案。客户遍及各垂直产业,包含电厂,智能交控,医疗,铁道,公共工程与工厂自动化。

发布时间:2018年5月25日 10:00  人气:   审核编辑(王静 )
相关链接

我有需求