动态ip地址和静态ip地址都可由用户自己设定模块二WAN4PPPNCP报文


企业私接乱拉路由器

企业私接乱拉路由器,造成的结果,一种是在DHCP的网络中,部分主机从私接路由器的DHCP获得IP地址,从而不能连接网络,另外一种是扩展局域网,增加局域网中的网络设备,造成带宽压力,网络安全受到威胁。
如果企业对第二种情况还能容忍,对于私接路由器,睁一只眼,闭一只眼。
如果是第一种现象,是要彻查,因为已经影响到企业办公。
如果想彻底杜绝这种现象,我想有两种方法。
第一种就是局域网中使用静态IP地址,每个工位分配一个固定IP地址,在接入交换机实行端口绑定(IP+MAC+交换机端口),开启端口的IP和ARP检测策略,这样即使接入路由器,也不能与局域网中的其他主机通信,自然不能连接网络。
第二种是局域网中安装上网行为管理设备(深信服或者网康),这些设备在监控中,可以发现共享上网(私接的路由器)的设备,从而精准打击。
当然阻止这种行为,必须有制度的支撑,只要提前打了预防针,设定边界,我想可以大概率阻止私接乱拉路由器的现象,剩下那些偷偷摸摸干活的,用技术手段监控和捉拿足够了。

模块
WAN
4 PPP NCP报文

模块
WAN
4 PPP NCP报文

1、静态协商ip地址
IPCP,用于协商控制IP参数,使PPP可用于传输IP数据包。
IPCP使用和LCP相同的协商机制、报文类型,但IPCP并非调用LCP,只是工作过程、报文等和LCP相同。
两端配置的IP地址分别为网页链接和网页链接(两端IP地址即使不在同一网段也会通过IPCP协商)。
两端静态配置IP地址的时候协商过程如下:
R1和R2都要发送Configure-Request报文,在此报文中包含本地配置的IP地址。
R1和R2接收到对端的Configure-Request报文之后,检查其中的IP地址,如果IP地址是一个合法的单播IP地址,而且和本地配置的IP地址不同(没有IP冲突),则认为对端可以使用该地址,回应一个Configure-Ack报文。
通过IPCP发送的信息,PPP链路的两端都可以知道对端使用的32位IP地址。


2、动态协商ip地址
如图所示,R1配置为请求对端分配IP地址,R2配置静态IP地址网页链接,并且启用R2给对端分配IP地址的能力,给R1分配IP地址12.1.1.1。
两端动态协商IP地址的过程如下:
R1向R2发送一个Configure-Request报文,此报文中含有IP地址0.0.0.0,一个含有0.0.0.0的IP地址的Configure-Request报文表示向对端请求IP地址;
R2收到上述Configure-Request报文后,认为其中包含的地址(0.0.0.0)不合法,使用Configure-Nak回应一个新的IP地址12.1.1.1;
R1收到此Configure-Nak报文之后,更新本地IP地址,并重新发送一个Configure-Request报文,包含新的IP地址12.1.1.1;
R2收到Configure-Request报文后,认为其中包含的IP地址为合法地址,回应一个Configure-Ack报文;
同时,R2也要向R1发送Configure-Request报文请求使用地址12.1.1.2,R1认为此地址合法,回应Configure-Ack报文。