路由器网关冲突怎么解决(路由器和路由器冲突怎么解决)
实现控制只能获得企业内合法DHCP服务分配的地址,其余DHCP服务器无法通过。说明:为什么需要这项技术?因为DHCP的工作原理是第一个响应的服务器,PC会得到服务器分配的IP地址。在这种情况下,一些恶意的人将网关指向自己的电脑,然后通过抓包工具实现抓包分析等功能,就会造成不安全。另外,网段不一致,导致访问公司内网或外网出现问题,一定要杜绝这个问题。
正常情况下,内网所有用户通过内部部署的服务集集群正确获取IP地址。但是,如果有人不经意或者恶意的在接入层放置了一个设备,而这个设备恰好有DHCP功能【比如无线路由器等。],那么后面的用户得到的将是服务器提供的地址段,而不是内部规划的。当恶意DHCP服务器出现时[查看]
可以看出,这次获得的是172.16.1.0网段,而这是由恶意DHCP服务器提供的。那么结果就是
访问失败。
解决方法(1)全局DHCP侦听功能 [boss] DHCP启用 [boss] DHCP侦听启用
(2)面向用户的接口开启DHCP Snooping功能[boss]port-group 1[boss-port-group-1]DHCP Snooping enable说明:这个接口组之前已经定义过了,可以在里面直接调用。
(3)上行接口[连接DHCP服务器接口]开启信任功能[boss]port-group2[boss-port-group-2]DHCP snooping trusted说明:上行接口之前是在port-group 2中定义的,开启即可。注意,接口A和B在这里连接。(4)测试结果
看到Renew后,正常获取IP地址。
说明:DHCP Snooping的工作原理是,当DHCP Snooping功能开启时,当接口处于信任状态时,会收到相应的DHCP ACK和Offer报文,而其余接口默认处于不信任状态,所以这些报文会被丢弃。
可以看到有动态条目,后续的安全部署可以根据这个条目进行安全控制。
部署用户只能通过DHCP访问内网和外网,但不能人为定义。说明:有时候,客户会私自定义IP地址,但并不是很了解,可能会导致与网关或其他PC的地址冲突。所以这里一定要杜绝这种情况,一定要通过DHCP获取地址才能访问内网和外网。
手动定义访问地址。
可以看到可以正常访问。
解决方法:开启DAI功能+ip源guead(1)部署DAI[boss]port-group 1[boss-port-group-1]ARP防攻击检查user-bind enable 说明:默认情况下,检查ip、MAC、VLAN信息,可以修改ARP防攻击检查user-bind检查-item IP-address MAC-address VLAN
你可以看到,当你定义自己的IP地址,你不会访问它。
(2)部署ip源guead说明:为什么需要部署IP源guead?因为DAI的存在,DAI的作用是在PC第一次访问的时候放松ARP信息,DAI检测ARP信息。如果本地没有对应的DHCP Snooping条目,就会丢弃ARP报文。那么如果客户知道网关的MAC地址,然后手动定义一个ARP【对于懂一点技术的人来说也很简单。】
例如,手动指定静态映射。
你可以看到它,参观它。
[boss]port-group 1[boss-port-group-1]ip源检查user-bind enable 说明:打开IP源功能并检查。它将根据DHCP侦听表条目检查数据包的IP、MAC和VLAN是否在绑定表中,如果不在,则将其丢弃。
你可以看到它,然后把它扔掉。
(3)静态绑定表项描述:为什么需要静态绑定?因为有时候一些打印机之类的有固定的IP地址,所以必须允许通过。 [boss]用户绑定静态IP地址192.168.44.1 MAC地址4422-1111-3423 VLAN 40 添加一个静态条目,这样就可以通过了。
你可以看到它。没问题。
如有疑问或文中有错误或遗漏,欢迎留言指出,博主们一看到就会修改。谢谢你的支持。更多技术文章在互联网之路博客,版权归互联网之路博客所有。原创不易,侵权必究。
以前的审查
下一项研究
23.华为华三中小企业的网口隔离和MAC地址认证