校園局域網(wǎng)非法DHCP接入問(wèn)題的研究與解決辦法

王景明

摘要：在校園網(wǎng)迅速發(fā)展、規(guī)模不斷擴(kuò)大的背景下，校園網(wǎng)內(nèi)非法接入問(wèn)題日漸突出。校園網(wǎng)非法接入問(wèn)題直接影響校園網(wǎng)底層協(xié)議，網(wǎng)內(nèi)越來(lái)越多的非法接入，無(wú)論是有意的還是無(wú)意的，都將影響整個(gè)校園網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性。由于現(xiàn)在帶有DHCP功能的路由設(shè)備非常普遍，有些用戶在安裝設(shè)置的錯(cuò)誤有意無(wú)意影響干擾其他用戶正常獲取正確的ip地址，甚至造成網(wǎng)絡(luò)癱瘓，給網(wǎng)絡(luò)維護(hù)帶來(lái)非常大的工作量。該文從實(shí)際出發(fā)，就校園網(wǎng)內(nèi)非法DHCP接入的問(wèn)題起因及危害進(jìn)行分析研究，提出了具體可行的解決方法。

關(guān)鍵詞：非法DHCP；無(wú)線路由設(shè)備；vlan；DHCP-snooping

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2014）17-4001-03

Illegal DHCP Access of Research and Solution on the Campus Network

WANG Jing-ming

（Shanxi Forestry Vocational Technical College， Taiyuan 030009， China）

Abstract： In the campus network under the background of rapid development， the scale expands unceasingly， in the campus network illegal access problem increasingly prominent. Campus network illegal access problems directly affect the campus network the underlying protocol， the network more and more illegal access， whether intentional or unintentional， will influence the stability of the whole campus network operation. Because now with the function of DHCP routing equipment is very common， some users in the installation error， intentionally or not， affects other users to get the correct IP address normally， even cause network paralysis， bring very big workload of network maintenance. This article embarks from the actual， causes and harm of the illegal DHCP access within campus network analysis， puts forward the concrete solution.

Key words： Illegal DHCP； Wireless routing equipment； Vlan； DHCP snooping

1 概述

可靠穩(wěn)定的網(wǎng)絡(luò)平臺(tái)，是校園內(nèi)應(yīng)用業(yè)務(wù)系統(tǒng)得以實(shí)施和推廣的基石，網(wǎng)絡(luò)平臺(tái)的必須從設(shè)備、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)技術(shù)、用戶管理等幾個(gè)方面保證網(wǎng)絡(luò)的可靠穩(wěn)定性。隨著internet的迅猛發(fā)展及校園網(wǎng)應(yīng)用快速普及，校園網(wǎng)的規(guī)模也越來(lái)越大，特別在高等院校高職高專校園局域網(wǎng)內(nèi)，接入用戶數(shù)目成千上萬(wàn)的比比皆是。

網(wǎng)絡(luò)層IP地址的分配、管理，數(shù)據(jù)鏈路層ARP地址的學(xué)習(xí)、映射是網(wǎng)絡(luò)使用的重要基礎(chǔ)，在小型網(wǎng)絡(luò)中，由于用戶數(shù)目較少，解決非法比較直接的方法是進(jìn)行IP-MAC綁定，但這種方式在中、大型網(wǎng)絡(luò)不適合實(shí)現(xiàn)，主要由于用戶數(shù)量龐大和用戶接入環(huán)境多變，移動(dòng)終端在網(wǎng)絡(luò)中漫游，難以準(zhǔn)確收集定位，靜態(tài)IP地址分配方式容易造成IP地址沖突和配置錯(cuò)誤，給用戶和網(wǎng)絡(luò)管理帶來(lái)很多不便，實(shí)際工作中無(wú)法實(shí)現(xiàn)。基于IP地址的校園網(wǎng)內(nèi)，絕大多數(shù)校園網(wǎng)都必須采用DHCP機(jī)制提高了地址分配管理效率，但是，非法接入設(shè)備、誤操作、病毒等難以管理的行為威脅影響了合法網(wǎng)絡(luò)服務(wù)的安全正常運(yùn)行。

2 非法DHCP出現(xiàn)的原因和危害

合法DHCP服務(wù)器提供正確的地址分配數(shù)據(jù)，任何用戶學(xué)習(xí)和使用未經(jīng)授權(quán)的IP地址都應(yīng)視為IP非法使用。歸納校園網(wǎng)內(nèi)大部分非法IP出現(xiàn)的成因：1.在DHCP環(huán)境下的校園網(wǎng)絡(luò)，不當(dāng)設(shè)置使用了帶有DHCP sever功能的家用網(wǎng)絡(luò)設(shè)備，比如無(wú)線路由設(shè)備。2.用戶端私自指定IP地址有意或無(wú)意造成IP地址沖突欺騙。3.有意無(wú)意安裝或打開了操作系統(tǒng)的DHCP服務(wù)功能。4.處于某種目的有意捕獲擾亂正常用戶數(shù)據(jù)報(bào)文。

以我院校園網(wǎng)為例，由于現(xiàn)在帶有DHCP功能的路由設(shè)備非常普遍，有些用戶在安裝設(shè)置時(shí)的錯(cuò)誤有意無(wú)意影響干擾同一VLAN下其他用戶正常獲取正確的ip地址，發(fā)送錯(cuò)誤ARP報(bào)文，并將非法設(shè)備的MAC地址偽裝成網(wǎng)關(guān)MAC地址，導(dǎo)致其他主機(jī)無(wú)法上網(wǎng)或頻繁掉線，甚至造成網(wǎng)絡(luò)癱瘓，給網(wǎng)絡(luò)維護(hù)帶來(lái)非常大的工作量。

解決這類問(wèn)題，需要對(duì)網(wǎng)絡(luò)合理規(guī)劃，在交換設(shè)備上設(shè)定合理的訪問(wèn)控制策略，指定從信任端口學(xué)習(xí)正確的DHCP數(shù)據(jù)包，開啟DHCP-snooping，PVLAN，或者端口隔離功能等多方面考慮解決。

3 解決非法DHCP接入的方法

3.1 DHCP-snooping技術(shù)

適合于匯聚層和接入層結(jié)構(gòu)劃分規(guī)范，交換設(shè)備都配備了可網(wǎng)管支持DHCP-snooping功能的交換機(jī)的校園網(wǎng)中。DHCP Snooping技術(shù)是DHCP安全特性，通過(guò)建立和維護(hù)DHCP-snooping綁定表過(guò)濾不可信任的DHCP信息，這些信息是指來(lái)自不信任區(qū)域的DHCP信息。DHCP-snooping技術(shù)有三個(gè)主要作用：endprint

a.防止在動(dòng)態(tài)獲得IP地址的網(wǎng)絡(luò)環(huán)境中用戶手動(dòng)配置PC的IP地址；

b.防止A用戶的PC靜態(tài)配置的IP地址頂?shù)鬊用戶PC動(dòng)態(tài)獲得的IP地址的網(wǎng)絡(luò)訪問(wèn)權(quán)；

c.防止在動(dòng)態(tài)獲得IP地址的網(wǎng)絡(luò)環(huán)境中，內(nèi)網(wǎng)私自架設(shè)非法的DHCP服務(wù)器，導(dǎo)致內(nèi)網(wǎng)合法用戶得到?jīng)]有訪問(wèn)網(wǎng)絡(luò)能力的IP地址；

交換機(jī)開啟了DHCP-Snooping后，會(huì)對(duì)DHCP報(bào)文進(jìn)行偵聽，并可以從接收到的DHCP Request或DHCP Ack報(bào)文中提取并記錄IP地址和MAC地址信息。另外，DHCP-Snooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報(bào)文，而不信任端口會(huì)將接收到的DHCP Offer報(bào)文丟棄。這樣，可以完成交換機(jī)對(duì)假冒DHCP Server的屏蔽作用，確?？蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。

DHCP Snooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID 接口等信息。如下表所示：

switch#sh ip dhcp snooping binding

MacAddress IpAddress Lease（sec） Type VLAN Interface

01：0E：30：2A：45：D0 192.168.100.3 610035 dhcp-snooping 100 GigabitEthernet2/0/3

這張表不僅解決了 DHCP用戶的IP和端口跟蹤定位問(wèn)題，為用戶管理提供方便，而且還供給動(dòng)態(tài)ARP檢測(cè)DAI和IP Source Guard使用。

DHCP Snooping配置

switch（config）#ip dhcp snooping

switch（config）#ip dhcp snooping vlan 10

switch（config-if）#ip dhcp snooping limit rate 10

/*dhcp包的轉(zhuǎn)發(fā)速率，超過(guò)就接口就shutdown，默認(rèn)不限制

switch（config-if）#ip dhcp snooping trust

/*這樣這個(gè)端口就變成了信任端口，信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報(bào)文，不記錄ip和mac地址的綁定，默認(rèn)是非信任端口"

switch#ip dhcp snooping binding 0009.3452.3ea4 vlan 7 192.168.10.5 interface gi1/0/10

/*這樣可以靜態(tài)ip和mac一個(gè)綁定；

3.2端口隔離技術(shù)

端口隔離技術(shù)在運(yùn)營(yíng)商寬帶接入中已經(jīng)普遍使用，但在校園網(wǎng)中的應(yīng)用還不多。由于網(wǎng)絡(luò)規(guī)模擴(kuò)大，網(wǎng)絡(luò)中廣播、非法服務(wù)、病毒干擾等情況日益增加，端口隔離技術(shù)對(duì)網(wǎng)絡(luò)凈化、安全和故障隔離都有相當(dāng)好的作用，在接入層交換機(jī)上容易實(shí)現(xiàn)。

端口隔離技術(shù)是一種實(shí)現(xiàn)在客戶端的端口間的足夠的隔離度以保證一個(gè)客戶端不會(huì)收到另外一個(gè)客戶端的流量的技術(shù)。端口隔離特性主要用于保護(hù)用戶數(shù)據(jù)的私密性，防止惡意攻擊者獲取用戶信息。 采用端口隔離，可以實(shí)現(xiàn)同一VLAN內(nèi)部端口之間的隔離。通過(guò)端口隔離技術(shù)，用戶可以將需要進(jìn)行控制的端口加入到一個(gè)隔離組中，實(shí)現(xiàn)隔離組中的端口之間二層、三層數(shù)據(jù)的隔離。

使用隔離技術(shù)后，隔離端口之間不會(huì)產(chǎn)生單播、廣播和組播，病毒也不會(huì)在隔離計(jì)算機(jī)之間傳播，因此增加了網(wǎng)絡(luò)安全性，提高了網(wǎng)絡(luò)性能，同樣，非法DHCP報(bào)文也不能擴(kuò)散，用戶只能在正確的端口學(xué)習(xí)到正確的信息，通過(guò)端口隔離的辦法有效的減少網(wǎng)絡(luò)中的非法DHCP和ARP攻擊的隱患。

配置方法：以華為設(shè)備為例：

# 將端口Ethernet1/1、Ethernet1/2、Ethernet1/3 加入隔離組。

system-view

[Device] interface ethernet 1/1

[Device-Ethernet1/1] port-isolate enable

[Device-Ethernet1/1] quit

[Device] interface ethernet 1/2

[Device-Ethernet1/2] port-isolate enable

[Device-Ethernet1/2] quit

[Device] interface ethernet 1/3

[Device-Ethernet1/3] port-isolate enable

# 配置端口Ethernet1/0 為隔離組的上行端口。

[Device-Ethernet1/3] quit

[Device] interface ethernet 1/0

[Device-Ethernet1/0] port-isolate uplink-port

[Device-Ethernet1/0] return

3.3 接入層ACL控制

通過(guò)在接入層交換設(shè)備上使用訪問(wèn)控制列表ACL可以有效保障正確的DHCP封包傳輸，屏蔽掉非法借口上的DHCP服務(wù)。DHCP服務(wù)主要使用的是UDP的67、68端口，服務(wù)器端應(yīng)答數(shù)據(jù)包使用68端口，客戶端發(fā)送請(qǐng)求使用67端口，在交換機(jī)上通過(guò)訪問(wèn)控制列表來(lái)屏蔽掉除合法DHCP服務(wù)器以外的所有DHCP應(yīng)答包，即將68端口封閉。具體命令：

Switch（config）#Ip access-list extended dhcp_r

Switch（config-ext-nacl）access-list 110 deny udp any eq 68 any

Switch（config-ext-nacl）permit ip any any

Switch（config-ext-nacl）exit

Switch（config）#interface range fastEthernet 0/1-23 //只有24端口可以傳送DHCP報(bào)文

Switch（config-if-range）#ip access—group dhcp_r in

3.4 更換用戶認(rèn)證模式

改變校園網(wǎng)的接入認(rèn)證模式，采用RADIUS服務(wù)器對(duì)通過(guò)交換機(jī)接入的802.1x用戶實(shí)現(xiàn)IP動(dòng)態(tài)分配、認(rèn)證授權(quán)計(jì)費(fèi)，并在接入層實(shí)現(xiàn)DHCP及arp防范限制功能，構(gòu)建安全的網(wǎng)絡(luò)應(yīng)用結(jié)構(gòu)。用戶通過(guò)專用客戶端接入網(wǎng)絡(luò)，可有效防范非法DHCP干擾。

4 總結(jié)

在使用DHCP技術(shù)的校園網(wǎng)中，一定要考慮非法DHCP帶來(lái)的問(wèn)題。根據(jù)校園網(wǎng)的實(shí)際情況，對(duì)網(wǎng)絡(luò)進(jìn)行合理規(guī)劃，采取適合的技術(shù)手段，為網(wǎng)絡(luò)管理工作碰到的相關(guān)問(wèn)題提供有效的解決方案，保證網(wǎng)絡(luò)高效運(yùn)行。

參考文獻(xiàn)：

[1] 孫中廷，趙玉艷.非法DHCP帶來(lái)的災(zāi)害及其防范措施[J].網(wǎng)絡(luò)安全，2009（9）：30.

[2] 陳小中.校園網(wǎng)DHCP故障與解決[J].福建電腦，2010，（10）：167-169.

[3] 王韜.校園網(wǎng)中端口隔離的實(shí)現(xiàn)[J].科技信息，2011，（32）：306-307.

[4] 雷渭侶.計(jì)算機(jī)網(wǎng)絡(luò)與安全[M].北京：清華大學(xué)出版社，2010.

[5] 盛純.基于PPPoE的中小型網(wǎng)絡(luò)管理的功能實(shí)現(xiàn)[J].中國(guó)教育信息化，2013，（3）：71-73.