(2).在路由器/交换机上封杀

有的路由交换设备自身功能比较强,例如具有extreme功能,他可以自动抑制非授权dhcp的数据包。如果没有extreme功能我们如何提前预防非授权DHCP服务器的接入呢?

首先需要对DHCP数据包使用的端口有所了解,DHCP服务主要使用的是UDP的67和68端口,服务器端应答数据包使用68端口,67端口为客户机发送请求时使用。所以我们可以在路由器和交换机上通过访问控制列表来屏蔽除合法DHCP服务器以外的所有DHCP应答包,也就是说将68端口封闭。具体命令为:

access-list 108 deny udp any eq 68 any

图5

图5

这种方法只对于WINDOWS操作系统的DHCP服务器有效,对于在其他操作系统上建立的DHCP服务器则无法完全过滤。而且大量的ACL也会降低路由交换设备的性能,使网络速度受到一定的影响。


共5页: 上一页12345下一页

相关内容