如何防止客户端使用静态IP导致IP地址冲突
客户端会使用静态IP的上网方式,并采用静态IP+MAC地址绑定的形式,在IP-MAC列表里内的客户端才允许正常使用网络,一定程度上保证了网络的安全性。但这往往会带来一些繁琐的事,比如每次有一批新机器都需要在网络设备后台添加若干条IP-MAC绑定信息;当某个员工换了另一个客户端时,都需要找网管修改列表里的MAC地址,给管理带来了额外的工作负担。若仅使用静态IP地址的上网方式,同时为每1个IP地址配置不同的上网权限,当某些人修改客户端上的IP地址时,将会造成IP地址冲突的网络问题。
所以,有些客户的网络组网需求其中就要求具有禁止客户端使用静态IP的功能,采用DHCP+账号的认证方式,方便对整个网络进行维护管理。
同理,在绝大部分的无线网络部署中,无线客户端都使用 DHCP 方式获取 IP 地址、网关、DNS等。因此,为了避免手动配置静态IP 地址可能带来的 IP 冲突问题,信锐技术提供了禁止配置静态 IP 地址的功能。
信锐技术支持根据VLAN来设定静止客户端使用静态IP的功能,可以在所有VLAN中禁止或指定VLAN中禁止。启用此功能的额外好处是,可以阻止无线客户端进行 ARP 欺骗攻击。
此功能的实现过程如下:
1、系统将持续监听无线客户端的 DHCP 分配过程数据包,并从 DHCP 报文中,获取无线客户端的 MAC 地址以及分配的 IP 地址,并依据此信息构建有效的 IP、MAC 对应关系数据库。
2、检测无线客户端发出的 ARP 数据包,检查 IP 与 MAC 地址对应关系的合法性,丢弃不合法的 ARP 包。