首页 > 所有文章 > 行业 >文章详情

自动获取ip网段错误(本机ip)

时间:2023-10-29 18:40:35 浏览量:63

现在有不少人因为无线上网,但所在单位的无线网络覆盖不到,于是就出现了员工私下将无线路由器接入办公室的有线网口,因为不太熟悉将网线插在了无线路由器的LAN口上的情形,而单位的网络又没有做MAC地址绑定等限制,此时如果该办公室所在网段的设备是通过DHCP获取IP的,很可能会出现网络不通的问题。

出现该问题的原因是: DHCP Server和DHCP Client之间没有认证机制,而目前绝大部分无线路由器默认是开启了DHCP服务器功能,当它通过LAN口接入单位网络后,如果此时有客户端请求IP地址,而该无线路由器又最先应答的话,它就会为客户端分配IP地址以及其他网络参数,从而 出现网络不通的问题

此时可以尝试打开网络设备的DHCP Snooping功能(网络设备支持的话),来防止上述问题或者DHCP Server仿冒者攻击。

一、实验目的

配置DHCP Snooping功能,防止随意接入DHCP服务器或者DHCP Server仿冒者攻击。

二、实验内容

模拟某单位的网络场景:单位内部是一个局域网,有多台接入交换机(如S2~S3)用于连接用户设备,接入交换机之间通过汇聚交换机S1相连;内部划分了VLAN,如PC1、共享打印机PriSrv1被划入VLAN 100,PC2、共享打印机PriSrv2被划入VLAN 200,VLAN 2为服务器部署区域;集中部署一台DHCP服务器(用一台在VLAN 2中路由器DHCP_Srv来模拟),为VLAN100、VLAN200的用户IP地址信息自动分配。

本实验模拟员工将无线AP的LAN口(为简单起见用一台路由器代替)接入办公室有限网口的情形——接在S2的Ethernet0/0/2,在如图1所示。

图1

实验在《 为不同子网集中部署DHCP服务器——DHCP中继配置实验摘要 》的配置基础上进行,本次主要涉及

(一) 接入模拟的无线路由器后,以PC1为例观察IP地址分配情况

(二) 配置DHCP Snooping相关功能

(三) 再次观察PC1的IP地址分配情况

三、实验步骤

(一) 接入模拟的无线路由器后,以PC1为例观察IP地址分配情况

重启PC1后,如图2

图2

可以看到,PC1本来应该分配IP地址在192.168.100网段、默认网关192.168.100.254、DNS119.29.29.29,现在却是IP地址192.168.1.253、默认网关192.168.1.1、DNS192.168.1.1,明显是无线路由器分配的地址。那么,也就会出现PC1网络通信问题。

(二) 配置DHCP Snooping相关功能

下面以S2为例进行配置

1、 全局使能DHCP

[S2] dhcp enable

2、 全局使能DHCP Snooping

[S2] dhcp snooping enable

3、 使能用户侧接口的DHCP Snooping功能

以S2的Ethernet0/0/2为例

[S2] interface Ethernet0/0/2

[S2-Ethernet0/0/2] dhcp snooping enable

[S2-Ethernet0/0/2] quit

4、 配置接口的信任状态

[S2] interface GigabitEthernet 0/0/1

[S2-GigabitEthernet0/0/1] dhcp snooping trusted

注:

1、通过dhcp snooping trust将 与合法DHCP服务器直接或间接连接的接口 设置为 信任接口 (trusted),其它接口通过dhcp Snooping enable设置为默认的 非信任接口 (Untrusted)。此后,从“非信任(Untrusted)”接口上收到的DHCP回应报文将被直接丢弃,这样就可以 防止随意接入DHCP服务器或者DHCP Server仿冒者攻击。

2、S2的G0/0/1口与单位的DHCP_Srv经由S1相连,即是上面说的“与合法DHCP服务器间接连接的接口”;除G0/0/1口之外的接口则都是“其它接口”或者说是用户侧接口——在各自接口下输入 dhcp Snooping enable

3、S3的配置方法与S2相同。

4、S1如有必要可以将G0/0/1设置为信任接口,其他接口设置为非信任接口。

(三) 再次观察PC1IP地址分配情况

先用ipconfig /release释放IP,然后用ipconfig /renew刷新,结果如图3

图3

可以看出PC1被分配的IP地址、网关、DNS等参数恢复了正常。

PC1发出的DHCP请求报文如图4中绿色箭头所示,分别到达了单位的DHCP服务器DHCP_Srv和模拟员工接入的无线路由器;DHCP_Srv作出了回应,如图4中的绿色箭头;无线路由器也作出了应答,如图4中的黄色箭头,但被SW2的E/0/0/2拦截了(红色×示意)。

图4

至此,实验达到了预期。

以上输入和描述可能有疏漏、错误,欢迎大家在下方评论区留言指正!

另以上实验如有帮助,望不吝转发!

附:

为不同子网集中部署DHCP服务器——DHCP中继配置实验摘要

更多内容请访问 头条主页