a&s专业的自动化&安全生态服务平台
公众号
安全自动化

安全自动化

安防知识网

安防知识网

手机站
手机站

手机站

大安防供需平台
大安防供需平台

大安防供需平台

资讯频道横幅A1
首页 > 资讯 > 正文

豪华酒店上网难,到底谁之过?

入住豪华酒店,发现无法上网很窝火,但酒店总说网络是可以用? 目前大多数用户网络均有架设DHCP服务器来为终端PC或手机自动分配IP地址、...
资讯频道文章B

入住豪华酒店,发现无法上网很窝火,但酒店总说网络是可以用?

    目前大多数用户网络均有架设DHCP服务器来为终端PC或手机自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率及网络接入体验。但您是否遭遇过电脑获取不到IP地址导致的无法上网?特别是宾馆酒店、厂区宿舍、办公场所、学校等场所,注意,这不是高科技的黑客攻击,也不是小儿科的电脑系统问题,而是您的网络设备缺少一个特殊功能,接下来小编为您从原理上进行剖析。
 
真相大白 原来如此:

    酒店、宿舍、办公场所,人员密集型的场所,常有上网者为了扩展接入终端,私接随身路由,由于这些小路由器自带DHCP功能,胡乱给内网其他终端分配地址,使其他终端不能正常获取到网络中真正的IP地址,从而导致无法上网;或者网络中有个别终端用的是window 2003、2008系统,这些系统默认开启了DHCP服务,从而也胡乱给内网其他终端分配地址,导致网络故障,这就是传说中的DHCP欺骗。

问题来了,该如何搞定?

    那有没有技术能防止这类DHCP欺骗呢?或者说即使内网有多个DHCP服务器,也能是终端用户获取到真正的内网IP地址呢?答案是肯定的,TG-NET交换机特色功能之“DHCP snooping”便是一剂“良方解药”!

    DHCP snooping,即为DHCP窥探,在终端PC动态获取IP地址的过程中,通过对终端PC和DHCP服务器(可能是路由器、交换机或专门的DHCP服务器)之间的DHCP交互报文进行窥探,实现对用户的监控,同时DHCP Snooping起到一个DHCP报文过滤的功能,通过合理的配置实现对非法服务器的过滤,防止用户端获取到非法DHCP服务器提供的地址而无法上网。
注意事项:

    在实际的网络施工中我们推荐在接入层交换机上面部署该功能,如S3500、P3000M系列交换机,因为越靠近终端PC端口,控制的越准确及时。而且每个交换机的端口推荐只连接一台终端PC,因为如果交换机某端口下串接一个普通交换机,再级联扩展若干PC的话,那么如果凑巧该普通交换机下发生DHCP欺骗,由于欺骗报文都在普通交换机端口间直接转发了,没有受到接入层交换机的DHCP snooping功能的控制,这样的欺骗就无法防止了。

DHCP snooping + IP Source Guard网络双剑客:

    在DHCP环境的网络里经常会出现用户随意设置静态IP地址的问题,用户随意设置的IP地址不但使网络难以维护,而且会导致一些合法的使用DHCP获取IP的用户因为冲突而无法正常使用网络,DHCP Snooping通过窥探Client和Server之间交互的报文,把用户获取到的IP信息以及用户MAC地址信息、VLAN ID信息、端口信息等组成用户记录表项,再配合IP Source Guard进行端口绑定,防止用户随意设置IP地址、伪造IP地址进行内网扫描攻击,达到控制用户合法使用IP地址的目的。

参与评论
回复:
0/300
文明上网理性发言,评论区仅供其表达个人看法,并不表明a&s观点。
0
关于我们

a&s传媒是全球知名展览公司法兰克福展览集团旗下的专业媒体平台,自1994年品牌成立以来,一直专注于安全&自动化产业前沿产品、技术及市场趋势的专业媒体传播和品牌服务。从安全管理到产业数字化,a&s传媒拥有首屈一指的国际行业展览会资源以及丰富的媒体经验,提供媒体、活动、展会等整合营销服务。

免责声明:本站所使用的字体和图片文字等素材部分来源于互联网共享平台。如使用任何字体和图片文字有冒犯其版权所有方的,皆为无意。如您是字体厂商、图片文字厂商等版权方,且不允许本站使用您的字体和图片文字等素材,请联系我们,本站核实后将立即删除!任何版权方从未通知联系本站管理者停止使用,并索要赔偿或上诉法院的,均视为新型网络碰瓷及敲诈勒索,将不予任何的法律和经济赔偿!敬请谅解!
© 2024 - 2030 Messe Frankfurt (Shenzhen) Co., Ltd, All rights reserved.
法兰克福展览(深圳)有限公司版权所有 粤ICP备12072668号 粤公网安备 44030402000264号
用户
反馈