基于ISC DHCP的简单准入开源方案

实现所需要的组件：

1）LINUX操作系统；ISC-DHCP-SERVER软件

2）支持DHCP Snooping、防ARP中间人攻击的接入交换机

 

实现简单准入的原理：

ISC-DHCP-Server的配置文件dhcpd.conf里面，如果把range语句去掉，就可以不随机分配IP地址，而ISC-DHCP-Server支持IP-MAC绑定功能。所以可以实现对登记过的MAC地址分配IP地址。对于没有登记过的MAC地址不能分配不到IP地址。同时，交换机开启DHCP snooping和ARP防攻击的功能后，终端设置静态IP后也不能入网。因为终端设置了静态IP后，交换机的dhcp snooping绑定表没有该记录。

 

实现流程：

在公司的OA等系统上增加MAC地址登记的功能。然后流程自动转到进行IP-MAC绑定的管理员。

 

该准入的破解方法：

抓包，找到经过登记的MAC地址，然后把自己网卡的MAC设置成该地址。

 

ISC-DHCP-Server配置举例：

subnet 192.168.0.0 netmask 255.255.255.0 {

  option domain-name-servers 192.168.0.1,192.168.20.2;

  option domain-name "chelun.com";

  option subnet-mask 255.255.255.0;

  option routers 192.168.0.1;

  option broadcast-address 192.168.0.255;

  default-lease-time 5760;

  max-lease-time 8640;

host zhangsan {

hardware ethernet 00:01:11:eb:d5:66;

fixed-address 192.168.0.192;

}

}

 

 

交换机配置举例（华为V200R007C00SPC500）：

dhcp enable

dhcp snooping enable

interface GigabitEthernet0/0/1                 

arp anti-attack check user-bind enable 

dhcp snooping enable