|
你好。刚好这两天正在解决这个问题,获得了一些新得。 首先,我觉得题主描述得并不是很清楚:是较大型的网络还是小型的局域网,有哪些设备?因为这些都涉及到具体的管控措施,描述很清楚的话,有利于获得直接的答案。 如果是小型的局域网,用无线路由器等小型设备来组网的话:解决的办法是严格按照LAN口接WAN口的方式,并设置不同网段的IP地址。这样内部有多少DHCP服务器都无所谓了,因为你连不同无线路由器的无线信号,只会获得该无线路由器分配的IP地址,不会造成冲突。千万不要把把无线路由器的LAN口直接相连,这样每个无线路由器就起到交换机的桥接作用,而每个无线路由器的DHCP默认是打开,终端获取的网关IP地址就很可能不是出口路由器的网关IP地址,原因是网关不可达,自然就上不了网。 上图中虽然可以LAN-LAN,但必须关闭B的DHCP,一是需要手动操作,二是最头疼的地方是网络环境不可控或不可知,假设在一个大型的场所中,各无线路由器链路可达,一个水货或者恶意者这样做了后,一定会出现DHCP仿冒攻击。这是网管最恼火的地方,我这两天就被这个事儿搞毛了。 第二种:网络规模较大的网络。网络规模上升到一定程度后,互联设备肯定不会是像家庭无线路由器的傻瓜式设备,都会使用专业的设备来组网,而这些设备制造商肯定会知道DHCP仿冒攻击的现象,因此在设备中一定有针对这种情况的配置命令。比如华为的交换机,就有DHCP snooping命令,在用户侧端口使能(enable),配置为非信任端口,在DHCP服务器的端口配置信任端口,那么交换机下面无论出现多少个DHCP服务器,都不会起作用,终端只会从合法的、信任的端口获得IP地址,确保了既不影响终端掉线,又不影响全网稳定运行。 其它厂商的设备都有类似功效的配置命令,看设备手册自行配置好即可。 希望回答对你有帮助。 |
|
|
来自: 昵称11935121 > 《未命名》
