Назад | Перейти на главную страницу

Как предотвратить или заблокировать другие DHCP-серверы?

Возможно ли в управляемом коммутаторе, таком как 3com 4500 или коммутатор типа HP Baseline PWR-Plus, заблокировать обслуживание DHCP через определенные порты или все, кроме 1 порта?

У меня есть DHCP-сервер, например, подключенный к порту 1, мне нужно, чтобы он продолжал работать, но я хочу предотвратить проблему, когда пользователь подключает мошенническое устройство (маршрутизатор), которое обслуживает dhcp.

Когда это происходит, в некотором проценте случаев клиенты теперь будут получать dhcp от этого мошеннического устройства, что не соответствует правильному диапазону IP, поэтому клиенты теряют связь.

Мне интересно, есть ли какие-то настройки в переключателях или какой-то другой подход?

Многие производители коммутаторов предлагают варианты своего управляемого оборудования для решения этой проблемы. В Cisco, например, есть «отслеживание DHCP», которое определяет, откуда могут поступать сообщения DHCP, и «IP Source Guard», который также предотвращает трафик от использования IP-адреса, который они не получили от DHCP-сервера. Видеть http://www.ciscopress.com/articles/article.asp?p=1181682&seqNum=7

HP также отслеживает DHCP: http://h40060.www4.hp.com/procurve/uk/en/pdfs/application-notes/AN-S12_ProCurve-DHCP-snooping-final.pdf

... а остальные интересующие продавцы будут упражнением для читателя.

Коммутаторы позволяют фильтровать IP-порты. Таким образом, вам просто нужно заблокировать порт UDP 67 (DHCP DISCOVER) или UDP 68 (DHCP OFFER) (в зависимости от того, хотите ли вы заблокировать ввод или вывод, или, может быть, оба), за исключением желаемого порта коммутатора.