如何阻止某些 DHCP 服务器的响应

Question

不幸的是，这是实现这一目标的错误方法。 DHCP 是一种完全以广播方式工作的协议。从发现，到提供，到请求和确认；每一步都发生在广播地址上255.255.255.255。

DHCP 服务器通常使用选项 54 来标识自己（请参见RFC2132，第 9.7 章）。如果您的网络中存在恶意 DHCP 服务器，则没有什么可以阻止他使用该选项 54 将自己标识为您的 DHCP 服务器。

因此，您可以将客户端系统配置为忽略其他 DHCP 服务器，但正如您所见，这只是一个无效的解决方案。

如果有人在您的网络中插入了“流氓 DHCP 服务器”，那么您需要找出原因/原因并采取必要措施以确保这种情况不再发生。如果可能的话，这样的问题应该在第 1 层或第 2 层解决。

一种解决方案称为DHCP 侦听。这是一种将交换机配置为确定允许 DHCP 消息来自何处的机制。您的交换机必须支持这一点。

另一种解决方案是使用 VLAN。例如，在公司中，您可以将每个部门或每个楼层置于单独的 VLAN 中。如果现在有一个非法 DHCP 服务器，则仅 VLAN 受到影响，您可以非常快速地围堵非法设备。交换机当然必须支持VLAN。

Answer 1

不幸的是，这是实现这一目标的错误方法。 DHCP 是一种完全以广播方式工作的协议。从发现，到提供，到请求和确认；每一步都发生在广播地址上255.255.255.255。

DHCP 服务器通常使用选项 54 来标识自己（请参见RFC2132，第 9.7 章）。如果您的网络中存在恶意 DHCP 服务器，则没有什么可以阻止他使用该选项 54 将自己标识为您的 DHCP 服务器。

因此，您可以将客户端系统配置为忽略其他 DHCP 服务器，但正如您所见，这只是一个无效的解决方案。

如果有人在您的网络中插入了“流氓 DHCP 服务器”，那么您需要找出原因/原因并采取必要措施以确保这种情况不再发生。如果可能的话，这样的问题应该在第 1 层或第 2 层解决。

一种解决方案称为DHCP 侦听。这是一种将交换机配置为确定允许 DHCP 消息来自何处的机制。您的交换机必须支持这一点。

另一种解决方案是使用 VLAN。例如，在公司中，您可以将每个部门或每个楼层置于单独的 VLAN 中。如果现在有一个非法 DHCP 服务器，则仅 VLAN 受到影响，您可以非常快速地围堵非法设备。交换机当然必须支持VLAN。

相关内容