家用路由器自帶DHCP帶來的辦公網(wǎng)絡(luò)故障分析與探討

任 澎 高占江

（青島科技大學(xué) 山東 261500）

0 引言

網(wǎng)絡(luò)的普及，無疑給網(wǎng)絡(luò)管理帶來了很大困難，動(dòng)態(tài)主機(jī)配置協(xié)議（Dynamic Host Con-figuration Protoco1,DHCP）服務(wù)已成為各企事業(yè)單位簡化網(wǎng)絡(luò)管理的有效手段。同時(shí)，隨著移動(dòng)終端的大量增加，在一些無線網(wǎng)絡(luò)不完善的地方，因家用路由器（SOHO路由器）自帶的無線功能，使其受到眾多普通用戶的青睞，私自使用家用路由器成為了較為普遍的現(xiàn)象，而家用路由器帶有的DHCP服務(wù)功能有時(shí)會(huì)對網(wǎng)絡(luò)中動(dòng)態(tài)分配IP地址造成很大干擾，勢必影響網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性。

1 典型網(wǎng)絡(luò)結(jié)構(gòu)與問題分析

不同單位的網(wǎng)絡(luò)結(jié)構(gòu)雖然存在差異，但一般與以下結(jié)構(gòu)近似。

圖1 使用家用路由器的典型辦公網(wǎng)絡(luò)結(jié)構(gòu)

說明：

（1）單位內(nèi)由S0作為DHCP服務(wù)器統(tǒng)一分配管理IP地址；

（2）很多單位所采用的接入交換機(jī)為非網(wǎng)管交換機(jī)，即S2、S3均為非網(wǎng)管交換機(jī)；

（3）家用路由器默認(rèn)是開啟DHCP服務(wù)的。

直接與接入交換機(jī)相連的終端（如 PC_C）以廣播方式發(fā)送DHCP DISCOVER消息，在網(wǎng)絡(luò)中接收到該消息的 DHCP服務(wù)器都會(huì)做出響應(yīng)，向DHCP客戶機(jī)發(fā)送一個(gè)包含出租的IP地址和其他設(shè)置的 DHCP offer提供信息。主機(jī) PC_C發(fā)出的DHCP DISCOVER消息，三層交換機(jī)S0與家用路由器均會(huì)收到，而二者又都開啟了DHCP服務(wù)，均會(huì)向PC_C提供一個(gè)IP地址，因此，PC_C獲取到的IP地址很有可能來自家用路由器。

2 故障防范與解決

針對這種私自使用帶有DHCP服務(wù)功能的家用路由器引起的網(wǎng)絡(luò)故障，現(xiàn)有的防范與解決措施主要有以下幾種：

2.1 客戶端嘗試法

通過反復(fù)發(fā)送DHCP 請求廣播報(bào)文的方法，直到用戶主機(jī)能夠從合法的 DHCP 服務(wù)器那里得到有效的上網(wǎng)參數(shù)為止。當(dāng)然，也可以先給用戶計(jì)算機(jī)設(shè)一個(gè)固定的IP及網(wǎng)關(guān)、子網(wǎng)掩碼、DNS，也可確保暫時(shí)上網(wǎng)。

2.2 更改啟用了非法DHCP服務(wù)的路由器設(shè)置

找到帶有DHCP服務(wù)功能的家用無線路由器后，最簡單的方法是直接將其換為交換機(jī)，但該方法喪失了無線接入的功能。更理想的方法是將該無線路由器通過設(shè)置當(dāng)成無線交換機(jī)來使用，具體更改步驟如下：

（1）將進(jìn)入該辦公室的線連接在無線路由器的LAN口；

（2）更改無線路由器管理IP（即LAN口IP），使之與合法DHCP服務(wù)器所分IP處于同一網(wǎng)段；

（3）關(guān)閉該無線路由器的DHCP功能。

2.3 封殺端口法

對于具有防火墻功能的家用路由器來說，由于DHCP服務(wù)器端應(yīng)答數(shù)據(jù)包使用68端口，客戶機(jī)發(fā)送請求時(shí)使用67端口，因此，我們可以在該路由器上封閉除了合法DHCP服務(wù)器之外的所有68端口，就能達(dá)到過濾非法DHCP服務(wù)器的目的。但家用路由器不一定具有防火墻功能，因此此方法的應(yīng)用受到很大限制。

封殺端口法更適合于接入交換機(jī)為可配交換機(jī)時(shí)，在接入交換機(jī)上設(shè)置訪問控制列表來實(shí)現(xiàn)對非法DHCP服務(wù)的過濾。

除了以上三種方法之外，還有其他一些方法可以實(shí)現(xiàn)解決非法DHCP引起的網(wǎng)絡(luò)故障，但都不適用于本文所述場合。如，“域保護(hù)法” 是將合法的DHCP服務(wù)器添加到活動(dòng)目錄中，通過認(rèn)證的方式可以有效的制止非法DHCP服務(wù)器，但這種方法需要域的支持，一般辦公環(huán)境下并沒有與服務(wù)器，不太適合實(shí)際情況；“DHCP- Snooping法”是通過建立和維護(hù) DHCP Snooping綁定表，過濾不可信任的DHCP 信息，此方法也需要接入交換機(jī)是可配交換機(jī)，在可配交換機(jī)上進(jìn)行相應(yīng)設(shè)置。

3 更優(yōu)化的解決思路設(shè)想

上述幾種方法中，最簡單、快速解決上網(wǎng)問題的是給客戶機(jī)設(shè)置靜態(tài)IP地址，但此舉又有可能引發(fā)IP地址沖突等問題，更長遠(yuǎn)的做法是將無線路由器通過設(shè)置當(dāng)成無線交換機(jī)來使用。

但不管哪種方法，都需要用戶對網(wǎng)絡(luò)知識(shí)有一定了解。然而，現(xiàn)實(shí)生活中能夠發(fā)現(xiàn)網(wǎng)絡(luò)故障原因所在，并能夠?qū)蛻魴C(jī)或家用路由器進(jìn)行設(shè)置的用戶少之又少；并且，家用路由器迅速發(fā)展，很大原因就是使用便捷，最好是能夠連接、供電便能使用。那么，有沒有方法讓家用路由器連接、供電便能使用，還不會(huì)出現(xiàn)文中所述故障呢？

事實(shí)上，解決思路很簡單，只需要在家用路由器WAN端口上禁止DHCP Offer信息的發(fā)出即可。這樣，既不影響連接在該家用路由器上的下級(jí)終端從LAN口自動(dòng)獲取IP地址，也杜絕了其向外部終端（如，本文結(jié)構(gòu)中的PC_C）提供非法IP地址的可能性。

4 結(jié)束語

網(wǎng)絡(luò)的正常運(yùn)行，一方面需要網(wǎng)絡(luò)管理人員本身技術(shù)的提高，另一方面也需要網(wǎng)絡(luò)設(shè)備、工具的設(shè)計(jì)更合理。隨著網(wǎng)絡(luò)地迅速普及，很多網(wǎng)絡(luò)設(shè)備的使用者都是無網(wǎng)絡(luò)專業(yè)知識(shí)的普通用戶，這就需要生產(chǎn)廠商不斷從用戶使用體驗(yàn)入手優(yōu)化產(chǎn)品的功能，保證家庭用和普通辦公用網(wǎng)絡(luò)設(shè)備的使用更便捷、網(wǎng)絡(luò)更穩(wěn)定。

[1]魏辰.園區(qū)網(wǎng)防范非法DHCP服務(wù)策略[J].網(wǎng)絡(luò)與信息.2011.

[2]劉小華.DHC P在校網(wǎng)應(yīng)用中的安全問題及對策研究[J].計(jì)算機(jī)安全.2013.

[3]段煜暉.非法 DHCP服務(wù)器攻擊解決方案[J].計(jì)算機(jī)與網(wǎng)絡(luò).2012.

[4]徐堅(jiān).探討DHCP環(huán)境下防范非法DHCP服務(wù)器的措施[J].電腦知識(shí)與技術(shù).2011.