无线路由引发的校园网DHCP冲突

精品文档-下载后可编辑无线路由引发的校园网DHCP冲突【摘要】DHCP被广泛应用于广域网和局域网，为网络用户动态提供IP地址、子网掩码和网关等信息。现在越来越多的网络设备能够提供DHCP服务，当这些设备被错误的接入到原有网络时，会影响用户从合法的DHCP服务器中获取地址信息，有时候还会造成冲突，影响网络的正常使用。本文给出了屏蔽非法DHCP服务器的方法，保障正常的网络应用。

一、DHCP简述

DHCP（DynamicHostConfigurationProtocol，动态主机配置协议）使用UDP协议的67和68端口号，DHCP服务器端可以为DHCP客户端动态分配IP地址等信息，其主要工作过程如图1所示。

（一）请求：当DHCP客户端登录网络时，它会向网络发出一个DHCPDISCOVER广播报文。网络中的所有主机都将收到该报文，但只有DHCPServer会进行应答。

（二）应答：当DHCPServer收到DHCPDiscover广播后，它会选择第一个闲置IP，连同其它TCP/IP设定（如子网掩码、网关、DNS等），响应给客户端一个DHCPOffer报文。若网络中有多台DHCPServer，则客户端会收到多个响应，通常客户端将选择最先到达的DHCPOffer。

（三）接受：如果客户端接受了某台DHCP服务器的租约，客户端会向网络发送一个DHCPRequest广播报文，告诉所有DHCP服务器它将接受哪一台服务器提供的IP地址，未被接受的DHCP服务器将收回它们为这台客户端所提供的租约。

（四）确认：DHCP服务器接收到客户端的DHCPRequest之后，会向客户端发出一个DHCPACK，以确认IP租约的生效。

二、由无线路由扩展的校园网

传统的校园网中，服务器使用固定IP地址，对于其他包括笔记本和台式机在内的众多客户端，可使用DHCP协议进行地址分配，其模型如图2所示。

在本例所示的拓扑中，DHCPServer连接至核心交换机，核心交换机下连各楼宇二层交换机再连接至PC。未配置IP信息的PC机启动后将发送DHCPDiscover，DHCPServer收到后将为客户端分配相应的IP配置信息。

过去校园网的综合布线系统以双绞线和光纤等有线介质为主，当校园网中需要延伸距离、增加信息点时重新布线会存在种种困难。此时，使用无线设备进行网络的扩展成了首选。同时，智能手机的普及也使得人们对无线网络有了更迫切的需求。因此，无线路由被大量的应用在了办公室、会议室等场所。扩展的网络模型如图3所示。

在这个拓扑结构中，每个无线路由使用WAN接口上联至交换机，通过DHCP为WAN接口配置地址。同时每个无线路由器又是一个DHCP服务器，通过LAN和WLAN接口为下联的台式机（使用有线连接）和笔记本、平板电脑及手机（使用无线连接）分配地址并提供网络接入服务。

三、无线路由引发的DHCP冲突

无线路由器通常分为两类接口：WAN接口和LAN接口，接入网络正确的连接方式应该是使用WAN接口连接交换机至上层网络，使用LAN接口连接PC或笔记本等网络边缘设备。无线路由器将使用DHCP为连接在LAN接口的下联设备分配IP地址（通常为192.168.1.0/24网段），同时以NAT的方式通过WAN接口为下联设备提供网络通讯服务。但在实际使用时，用户可能将LAN接口错误连接至上层交换机，而由于DHCP服务在无线路由上默认是开启的，则每台无线路由都是一台DHCP服务器，这就使得网络中出现了很多非法DHCP服务器。由于DHCP的请求报文是以广播的形式发送出去，所有收到请求的DHCPServer都可以进行应答，客户端通常会用最先收到的DHCP应答来配置自己的地址信息。如果非法DHCPServer的应答先于合法DHCPServer的应答，则客户端将获得错误的IP，将不能访问网络。如图4所示。

当故障发生时，在客户端使用ipconfig查看，发现客户端获得的IP地址为192.168.1.*，而非正确的IP。使用ethereal捕获DHCP报文，发现提供给客户端DHCPOffer的DHCPServer的MAC地址也不是合法DHCPServer的地址，表明网内存在其他非法DHCPServer。

四、DHCP冲突的解决

在该例中，导致DHCP冲突的原因是由于用户错误的网络连接，导致无线路由能够从LAN接口上收到DHCPDiscover并把响应报文送入到交换机转发给客户端。因此，要解决此类故障，应对交换机进行设置，仅允许合法DHCPServer的应答报文进入到交换机的端口。

为实现这样的目标，需要使用DHCPSnooping技术。该技术可以对DHCP报文进行监测，允许将交换机的某个物理端口设置为信任端口或不信任端口。交换机将所收到的来自于客户端的DHCPDiscover报文仅向信任端口转发，这样保证所有客户端的DHCP请求仅会被送往合法的DHCP服务器。同时信任端口会转发来自于DHCPServer的DHCPOffer报文，而不信任端口会丢弃接收到的DHCPOffer报文。此时，仅需将连接至合法DHCPServer的交换机端口及交换机之间的互联端口设置为信任端口，而将其他端口设置为不信任端口，即可阻止其他非法DHCPServer所发送的DHCPOffer进入到网络。

在本例中，核心交换机型号为CiscoCatalyst4503，配置信任端口的主要配置语句如下。

C4503#configterminal

C4503（config）#ipdhcpsnooping

//在全局模式下启用DHCPSnooping

C4503（config）#ipdhcpsnoopingvlan210

//为vlan210配置DHCPSnooping

C4503（config）#interfaceGigabitEthernet2/21//进入到指定接口

C4503（config-if）#ipdhcpsnoopingtrust

//将该端口设置为信任端口

二层接入交换机的配置略。

五、结束语

DHCP是网络中分配IP信息的主要方式，由DHCP引发的网络故障甚至攻击行为也经常发生，客户端无法获得正确的IP地址。在解决此类问题时要区分不同的故障类型，并结合报