怎么维护区域网安全介绍

为了提高区域网的地址管理效率，相信很多网路管理员都会在单位内部架设一台DHCP伺服器，来为网路中的客户端系统自动分配上网引数，在这种上网环境下，DHCP伺服器的工作安全性，会直 接影响着整个区域网的执行安全性。下面由我给你做出详细的!希望对你有帮助!

:

区域网安全维护思路:

对于DHCP伺服器来说，DHCP监听技术其实就是一种过滤DHCP报文的技术。通过在区域网的核心交换机中启用DHCP监听功能，可以将来自区域网中重 要主机或网路装置的不可信任DHCP报文过滤掉，保证客户端系统只能从经过网路管理员特别授权的可信任DHCP伺服器那里获得上网引数，那样一来可信任的 DHCP伺服器就不会受到非信任DHCP伺服器的“干扰”，那么区域网的执行安全性、稳定性就能得到保证。比方说，区域网中原先只有一台可信任的DHCP 伺服器，当用户不小心将自带有DHCP服务功能的列印伺服器接入到网路后，那么列印伺服器就会“摇身”变成一台非信任的DHCP伺服器，这时区域网中就会 同时存在两台DHCP伺服器，那么普通的客户端系统该从哪一台DHCP伺服器中获得上网引数呢为了保证客户端系统能够获得合法上网引数，我们只要在交换 机上启用了DHCP监听功能，那么普通客户端系统就会忽略列印伺服器的存在，而会自动向可信任的DHCP伺服器去申请上网引数。

DHCP监听功能在工作的时候，交换机会只允许客户端使用者传送DCHP请求，同时会将类似提供响应的其他DCHP报文自动丢弃掉，这么一来普通客户端系统 只能从合法的DHCP伺服器那里获得有效的上网引数;虽然非法的DHCP伺服器也能够对客户端系统的上网请求进行响应，但是交换机的DHCP监听功能会将 非法DHCP伺服器的提供响应报文自动丢弃掉，那么客户端系统是无法接受到非法DHCP伺服器的回复报文的。此外，通过DHCP监听功能，交换机会将局域 网中的DHCP报文，自动识别为可信任的DHCP报文和不可信任的DHCP报文，对于来自防火墙、外网装置或者没有经过网路管理员授权的DHCP伺服器发 送过来的DHCP报文，DHCP监听功能会自动将它识别为不可信任的DHCP报文，同时对这样的报文执行丢弃处理，那样一来没有授权的非信任DHCP服务 器就不会干扰区域网的安全执行。

区域网安全维护范围:

DHCP监听技术在保护区域网的DHCP伺服器执行安全时，主要是通过过滤资料报 文的方式，来将DHCP伺服器识别为信任埠或非信任埠的，对于来自信任埠的资料资讯，交换机会允许其正常接受和传送，而对于来自非信任埠的资料信 息，交换机则不予响应。具体的来说，DHCP监听技术的安全维护范围主要表现在以下几个方面：

维护区域网安全1、预防地址冲突

DHCP监听技 术可以防止非信任DHCP伺服器通过地址冲突的方式，干扰信任DHCP伺服器的工作稳定性。在实际管理网路的时候，我们经常会发现在相同的工作子网中，可 能同时有多台DHCP伺服器存在，这其中有的是网路管理员专门架设的，也有的是无意中接入到网路中的。比方说，ADSL拨号装置可能就内建有DHCP服务 功能，一旦将该装置接入到区域网中后，那么该装置内建的DHCP伺服器就会自动为客户端系统分配IP地址。这个时候，经过网路管理员授权的合法DHCP服 务器，就可能与ADSL拨号装置内建的DHCP伺服器发生地址上的冲突，从而可能会对整个区域网的安全性带来威胁。这种威胁行为往往比较隐蔽，一时半会很 难找到。一旦使用了DHCP监听技术，我们就可以在区域网的核心交换机后台系统修改IP源系结表中的引数，并以此系结表作为每个上网埠接受资料包的检测 过滤标准，来将没有授权的DHCP伺服器传送的资料报文自动过滤掉，那样一来就能有效预防非法DHCP伺服器引起的地址冲突问题了。

维护区域网安全2、预防Dos攻击

大家知道，一些非常阴险的攻击者往往会单独使用Dos攻击，袭击区域网或网路中的重要主机系统;要是不幸遭遇Dos攻击的话，那么区域网的宝贵频宽资源 或重要主机的系统资源，就会被迅速消耗，轻则导致网路传输速度缓慢或系统反应迟钝，重则出现瘫痪现象。而要是在核心交换机中使用了DHCP监听技术的话， 那么区域网就可以有效抵御Dos攻击了，因为Dos攻击主要是用大量的连线请求冲击区域网或重要主机系统，来消耗频宽资源或系统资源的，而DHCP监听技 术恰好具有报文限速功能，利用这个功能我们可以合理配置许可的每秒资料包流量，这样就能实现抵御Dos攻击的目的了。

维护区域网安全3、及时发现隐患

大家知道，在预设状态下核心交换机会自动对第二层Vlan域中的DHCP资料报文进行拦截，具体地说，就是在选用中级代理资讯选项的情况下，交换机在将客 户端的上网请求转发给特定的DHCP伺服器之前，它会自动将埠号码、入站模组、MAC地址、Vlan号等资讯插入到上网请求资料包中。这个时候，如果结 合介面跟踪功能，DHCP监听技术就能够自动跟踪DHCP伺服器中地址池里的所有上网地址，而不会受到单位区域网中跨网段访问的限制，这么一来就能及时发 现区域网中的一些安全隐患，对于跨网段的DHCP伺服器执行安全也能起到一定程度的防护作用。

维护区域网安全4、控制非法接入

由于任何一种形 式的资料报文，都是通过交换埠完成传送与接收 *** 作的，显然交换埠的工作状态与DHCP监听的效果息息相关。一般来说，我们会将网路管理员授权的合法 DHCP伺服器所连的交换埠设定为DHCP监听信任埠，或者是将分布层交换机之间的上行链路埠设定为DHCP监听信任埠。对于信任埠来说，交换 机会允许它正常传送或接收所有的DHCP资料报文，这么一来交换机就会只允许合法的DHCP伺服器对客户端系统的上网请求进行响应，而非法的DHCP服务 器则不能向区域网传送或接收DHCP资料报文。很明显，通过这种技术手段，就能控制非法的DHCP伺服器接入到单位区域网中了。

区域网安全维护配置

为了有效使用DHCP监听功能，防护区域网的执行安全，我们需要对该功能进行正确配置，让其按照实际安全执行需求进行工作。由于DHCP监听功能主要是通 过建立埠信任关系实现资料过滤目的的，为此我们需要重点配置究竟哪些交换埠是信任埠，哪些交换埠是非信任埠。具体的说，我们需要在交换机中进行 下面几项安全维护配置 *** 作：

维护区域网安全1、信任配置

这种配置主要就是在合法DHCP伺服器所连交换埠上启用信任，或者是在分布层或接入层交换机之间的互连埠上启用信任。如果不对上述重要埠建立信任配 置，那么普通客户端系统将无法正常从合法DHCP伺服器那里接受到有效的上网引数。当然，为了防止普通员工私下搭建DHCP伺服器，威胁合法DHCP服务 器的执行安全，我们有必要将普通客户端系统所连的交换埠设定为非信任的埠，那样一来交换机会将来自客户端系统的提供响应报文自动丢弃掉，此时区域网中 的其他客户端系统不知道有这台非法DHCP伺服器的存在。

防止别人蹭网有多种方法，设置MAC地址过滤只是一种方法。
查询是否被别人蹭网的方法
你用的路由器吧，在IE地址栏输入19216811，然后看到输入密码和用户名，密码和用户名都是admin，看到当前连接项目，有多余的电脑的话就被蹭网了，如果是无线路由器，最好是把无线广播给关了。
防止被别人蹭网的防御措施
1、采用WPA/WPA2-PSK加密
蹭网一族一般用的都是傻瓜破解软件，只能破解WEP加密的无线信号；稍微高级点的蹭网族会用抓包工具分析数据包里面的内容，从而破解得到WEP的密钥。但是如果采用了WPA-PSK或者WPA2-PSK加密的话，一般情况下很难有人可以蹭到你的网。这是目前杜绝蹭网最有效的方法！设置方法也很简单，只要进到无线设置中，把加密模式改为WPA-PSK，再输入密钥就OK啦。
2、关闭SSID(网络名称)广播
设置好无线加密后，我们就需要开始隐藏自己了。通过关闭无线路由/AP的SSID广播，“蹭网”者就很难在搜索无线时发现你的无线网络，这也就减少了你的无线网络被“蹭”的机会。当然，修改一个有个性的SSID也很重要，这样可以防止被“蹭网”者猜到。
设置方法很简单，进入无线路由/AP的Web配置界面，然后找到“基本设置”菜单，在其中修改SSID名称，然后选择“停用SSID广播”，最后点击确定即可。
3、关闭DHCP功能
关闭了SSID广播，我们还需要关闭DHCP功能，也就是让无线路由/AP无法自动给无线客户端分配IP地址。而为了进一步防止被“蹭网”，我们最好修改无线路由/AP的默认IP地址，例如默认IP地址为：19216811，我们可以修改为10001，这样可以防止被“蹭网”者轻易猜到。
设置方法同样简单，进入无线路由/AP的Web配置界面，找到“局域网设置”菜单，然后修改默认IP地址，并“停用DHCP服务器”，最后点击确定即可。
4、设置MAC地址过滤
在防止“蹭网”的整体设置中，MAC地址过滤是非常关键的一步。我们利用网络设备MAC地址唯一性的特点，通过设置“允许MAC地址连接”的列表，仅允许列表中的客户端连接无线网络，这样即使无线密钥被破解，“蹭网”者依然无法连入你的无线网络。
MAC地址过滤一般在无线路由/AP的“高级设置”菜单中，我们只需启用其中的MAC地址过滤功能，并将允许连接的客户端设备的MAC地址输入在列表中，最后点击确定即可。
那么如何查看客户端设备的MAC地址呢？很简单，我们只需依次单击“开始”→“运行”→输入“cmd”→回车,在出现的命令提示符界面中输“ipconfig /all”→回车，就可以得到客户端的MAC地址了。
5、修改内部IP设置
如果你觉得还不够安全，那么可以继续设置。首先，关闭DHCP服务器。DHCP可以自动为无线网络分配IP，这也同时方便了蹭网一族破解了你的密钥以后接入你的路由器。关闭DHCP以后，自己的电脑无线网卡需要手动指定IP，别急，咱先把路由器的内部IP改掉。
一般路由器默认IP地址都是19216811，也就是网关地址，我们把该地址改为任意的一个内网地址，比如17288881，这样内部的电脑可以指定IP为1728888X网段。如此一来，一般的蹭网族根本就摸不清你内网的IP设置，也无法下手给自己分配IP上网。
这样我们的整体防护设置也就全部完成了。在这套整体防护方案的保护下，一般的“蹭网”者就很难侵入到你的无线网络了，你的网络将会恢复往日的畅通，你的数据信息将变得更加安全。

这种情况其实比较常见

因为设备在他们手里

你也不可能随时掌控！

解决方法是把交换机换成支持端口vlan的交换机

一个端口是上行的，其他端口是相互隔离的，那么其他端口下的dhcp就不会干扰其他的客户机。

会出现信号干扰或者冲突吗？
》》要根据物理位置相近选择不同的频道。
这样的设置，公司内无线网络会干扰或者冲突吗？
》》不会，因为跨网段了 。但是你如果是按照部门划分的IP 段的话，使用DHCP是不好管理的，主机会连接信号最好的一个无线路由器。

路由器桥接使用经常掉线怎么办。
主路由器的信号太弱，使得路由器桥接使用经常掉线，这时候我们可以调整路由器摆放位置，或者缩小两个路由器之间的距离，确保副路由器能够扫描主路由器的强度大于20DB
在设置路由器桥接时，没有关闭副路由器的DHCP服务器，我们应当将副路由器的DHCP服务器选择为关闭状态。
在设置桥接功能时，应修改副路由器的LAN口的IP地址，确保与主路由器不会相互冲突。
然后我们应该设置主路由器的无线信道，可以将我们主路由器的无线信道设置为1、6、11，这样可以防止周围的无线信号过多产生的干扰。
然后我们可以限制无线终端的接入数量，防止无线设备过多，超过无线路由器的带机数量，导致的桥接的不稳定。

---