我可以防止 LAN 上的辅助 DHCP 服务器接管 SRX Juniper 的 DHCP 吗?

网络工程 dhcp 杜松 杜松-朱诺斯
2022-02-08 21:05:59

我拥有 SRX550 Juniper 的管理员访问权限,但我无法从 Juniper 获得帮助或加入他们的董事会,因为 Juniper 属于 Century Link,而不是我们。

我有以下内容:

# show system services dhcp
NEW JUNIPER CONFIG 20180409
version 12.1X44-D35.5;

[...]

pool 10.203.0.0/24 {
    address-range low 10.203.0.10 high 10.203.0.254;
    exclude-address {
        10.203.0.101;
        10.203.0.102;
        10.203.0.103;
        10.203.0.104;
        10.203.0.105;
        10.203.0.106;
    }
    maximum-lease-time 31622400;
    name-server {
        208.67.222.222;
        208.67.220.220;
    }
    router {
        10.203.0.1;
    }
}

但是当局域网上的某个人决定连接自己的路由器时,突然有些人获得了 10.0.1.1 或 10.0.7.1 中的 IP。我试图追踪这些人并应用线索蝙蝠,但这是一场打地鼠游戏,因为他们不是员工。是否可以设置瞻博网络,使其不会通过任何 DHCP 分配,而是通过自己的分配?

(排除的地址列表适用于尚未工作的静态绑定)

1个回答

您应该在您的交换机上启用 DHCP 侦听。DHCP 侦听专为这种特定用例而设计。

DHCP 监听的基本用例是防止未经授权的(流氓)DHCP 服务器向 DHCP 客户端提供 IP 地址。流氓 DHCP 服务器通常用于中间人或出于恶意目的的拒绝服务攻击。

To enable DHCP snooping:

On a specific VLAN:
[edit ethernet-switching-options secure-access port]
user@switch# set vlan vlan-name examine-dhcp
On all VLANs:
[edit ethernet-switching-options secure-access port]
user@switch# set vlan all examine-dhcp

To enable DHCPv6 snooping:

On a specific VLAN:
[edit ethernet-switching-options secure-access port]
user@switch# set vlan vlan-name examine-dhcpv6
On all VLANs:
[edit ethernet-switching-options secure-access port]
user@switch# set vlan all examine-dhcpv6
其它你可能感兴趣的问题
上一篇探测段的 1 字节传输是否基于超时操作? 下一篇如何检查网络性能以顺利传输海量数据?