5.5.1 配置伪DHCP服务器检测功能
经常看到网友在读者群中问,他们的主机为什么分配到了一个不属于他们自己DHCP服务器地址池的地址,这就是伪DHCP服务器干扰所致。一般来说,这种伪DHCP服务器的检测比较难,在像网络服务器操作系统中配置的DHCP服务器好象还没有相应功能。不过,在H3C设备DHCP服务器有一种伪(也就是假的、非法的)DHCP服务器检测功能。启用伪DHCP服务器检测功能后,DHCP服务器会检查接收到的DHCP报文中是否携带Option 54(Server Identifier Option,服务器标识选项)。如果携带该选项,DHCP服务器会从接收到的DHCP报文中获取给客户端分配IP地址的服务器IP地址,并在日志中记录此伪DHCP服务器的IP地址及接收到报文的接口信息,以便管理员及时发现并处理伪DHCP服务器(需要通过display logbuffer命令从日志信息中查找伪DHCP服务器)。
【说明】伪DHCP服务器检测功能仅是一种事后检测的安全功能,它并不能预防非法DHCP服务器的发生,要预防非法DHCP服务器产生干扰作用,要采用本章后面介绍的DHCP Snooping功能。
伪DHCP服务器检测功能的启用是在系统视图下使用dhcp server detect命令。当然也可以用undo dhcp server detect命令禁止伪DHCP服务器检测功能,因为启用伪DHCP服务器检测功能后,对所有DHCP服务器都会进行记录,包括合法的DHCP服务器(但对每个DHCP服务器只记录一次),需要消耗比较多的路由器系统资源。默认伪DHCP服务器检测功能是禁止的。
以下示例是启用伪DHCP服务器检测功能。
system-view
[Sysname] dhcp server detect
下面是一条检测到DHCP服务器的日志记录。管理员通过这些记录可以分析出是否存在伪DHCP服务器。
Local DHCP server information: Server IP (detected by DHCP server) =
10.10.0.99, DHCP serverinterface=GigabitEthernet2/0/1
【责任编辑:book TEL:(010)68476606】
点赞 0