如何阻止某些 DHCP 服务器的响应

如何阻止某些 DHCP 服务器的响应

我们的 LAN 上运行着多个 DHCP 服务器,其中一些是不需要的。我可以将操作系统配置为拒绝某些响应,以便获得正确的响应吗?

答案1

不幸的是,这是实现这一目标的错误方法。 DHCP 是一种完全以广播方式工作的协议。从发现,到提供,到请求和确认;每一步都发生在广播地址上255.255.255.255

DHCP 服务器通常使用选项 54 来标识自己(请参见RFC2132,第 9.7 章)。如果您的网络中存在恶意 DHCP 服务器,则没有什么可以阻止他使用该选项 54 将自己标识为您的 DHCP 服务器。

因此,您可以将客户端系统配置为忽略其他 DHCP 服务器,但正如您所见,这只是一个无效的解决方案。

如果有人在您的网络中插入了“流氓 DHCP 服务器”,那么您需要找出原因/原因并采取必要措施以确保这种情况不再发生。如果可能的话,这样的问题应该在第 1 层或第 2 层解决。

一种解决方案称为DHCP 侦听。这是一种将交换机配置为确定允许 DHCP 消息来自何处的机制。您的交换机必须支持这一点。

另一种解决方案是使用 VLAN。例如,在公司中,您可以将每个部门或每个楼层置于单独的 VLAN 中。如果现在有一个非法 DHCP 服务器,则仅 VLAN 受到影响,您可以非常快速地围堵非法设备。交换机当然必须支持VLAN。

相关内容