Вопрос: Предотвращение дублирования DHCP-сервера в сети


Как я могу препятствовать дублированию DHCP-сервера в сети? Является ли это возможным?

Я не прошу какого-либо реального сценария, который происходит, просто любопытство. В моем жилом комплексе есть сеть и интернет, кто-то вызвал проблемы со всей сетью, потому что они подключили свой беспроводной маршрутизатор, на котором был включен DHCP-сервер.

Как бы вы предотвратили такие конфликты / проблемы в сети, или это невозможно, если не использовать брандмауэр и управлять машинами в вашей сети?


5
2018-06-02 16:22


Источник




Ответы:


Любая сетевая безопасность невозможна, а не строго контролирует доступ к сети. Если вы разрешаете людям подключать случайные аппаратные средства, на этом оборудовании работает DHCP-сервер, и этот сервер считает, что он должен выдавать адреса, у вас будут конфликты.

Лучшее решение, о котором я могу думать без каких-либо других изменений в вашей среде, - определить, какой сетевой порт запущен на DHCP-сервере, и закрыть его. Вы можете сделать это вручную для редких / случайных проблем, но есть также системы предотвращения вторжений, которые могут это сделать, признав, что ответ DHCP был отправлен с неавторизованного MAC-адреса, определить, какой порт коммутатора связан с этим MAC и отключить порт ( У Cisco есть программное обеспечение, которое может это сделать, и вы также можете настроить Sort, чтобы сделать это с некоторой работой).

Лучшим решением, вероятно, является сегмент вашей сети, поэтому каждая квартира / пользователь получает виртуальную локальную сеть. Это позволяет избежать одного устройства-изгоев, влияющего на весь ваш комплекс.


5
2018-06-02 16:34



К вашей интуиции «административного бремени» настройка индивидуальных VLAN более трудоемка, но это также правильная вещь, если вы предоставляете услуги типа ISP (надеюсь, с оборудованием на уровне ISP / совместимым оборудованием). - user48838
Настройка отдельных сетей VLAN добавляет к административной нагрузке - в случае этого парня это, вероятно, стирка с отслеживанием DHCP (и может даже иметь смысл настроить оба). Подобная ситуация я бы придерживался одной VLAN на квартиру и, возможно, один для общих зон / общественного Wi-Fi, если они есть, - должен быть разовой инвестицией - voretaq7
Да правильно. Жилые здания собираются инвестировать в коммутаторы, которые делают VLAN, а затем управляют ими, когда люди перемещаются и выходят. - KCotreau
@KCotreau - одна VLAN на квартиру, назначенная одному сетевому порту на квартиру. Никакое дальнейшее управление не требуется, если вы не хотите проявлять интерес и помещать имя резидента в поле описания VLAN (если ваш коммутатор поддерживает такую ​​вещь) или порты администрирования для незанятых единиц / единиц, которые не платят за сетевой доступ. Я не вижу здесь проблемы ... - voretaq7


Включив «DHCP Snooping» на управляемом коммутаторе, который поддерживает эту функцию.


2
2018-06-02 16:33



Если у вас есть ключи, поддерживающие эту функцию, и они готовы взять на себя административную нагрузку на поддержку списков доступа, это хороший вариант. - voretaq7
Список доступа относится к авторизованному серверу (-ам) DHCP, который не должен быть таким большим для большинства практических конфигураций. - user48838
Это, в основном, список «доверенных портов», который нужно поддерживать - как вы сказали, это должно быть небольшое число для большинства конфигураций (1 или 2 порта) - voretaq7


Когда ваш компьютер нуждается в поддержке DHCP, он транслирует сообщение с запросом DHCP в локальной сети. Если в сетевом сегменте имеется более одного DHCP-сервера, первым DHCP-сервером, который отвечает, будет DHCP-сервер, который предоставляет необходимую информацию вашему компьютеру.


0
2018-06-02 16:31





Существует еще один потенциальный вариант, который должен был бы отказать только в ответах DHCP от всех физических портов, за исключением порта, подключенного к допустимому серверу - порт 68 UDP-адреса (довольно уверенно, 67/68 - bootps / bootpc).

Таким образом, вы не запрещаете клиентам запрашивать адреса, но вы предотвращаете ответ на что-либо, не подключенное к вашим разрешенным портам. Вы хотите, чтобы это было только на краю сети, портах прямого доступа и т. Д.


0
2018-06-03 00:32



И без установки брандмауэра для каждого порта, как это сделать? - John Gardeniers