Как я могу предотвратить создание дублирующего DHCP-сервера в сети? Является ли это возможным?
Я не прошу о каком-либо реальном сценарии, просто из любопытства. В моем жилом комплексе есть сеть и Интернет, кто-то вызвал проблемы со всей сетью, потому что он подключил свой беспроводной маршрутизатор, на котором был включен DHCP-сервер.
Как бы вы предотвратили такие конфликты / проблемы в сети, или это невозможно без брандмауэра и контроля машин в вашей сети?
Никакая сетевая безопасность невозможна, кроме строгого контроля доступа к сети. Если вы разрешаете людям подключать случайное оборудование, на котором работает DHCP-сервер, и этот сервер считает, что должен раздавать адреса, у вас будут конфликты.
Лучшее решение, которое я могу придумать без каких-либо других изменений в вашей среде, - это определить, на каком сетевом порту работает мошеннический DHCP-сервер, и выключить его. Вы можете сделать это вручную для редких / случайных проблем, но есть также системы предотвращения вторжений, которые могут сделать это, распознав, что ответ DHCP был отправлен с неавторизованного MAC-адреса, определить, какой порт коммутатора связан с этим MAC-адресом, и отключить порт ( У Cisco есть программное обеспечение, которое может это сделать, и вы, вероятно, также можете настроить сортировку, чтобы сделать это с некоторой работой).
Лучшее решение, вероятно, - сегментировать вашу сеть, чтобы каждая квартира / пользователь получил vLAN. Это позволяет избежать воздействия одного мошеннического устройства на весь ваш комплекс.
Включив «DHCP Snooping» на управляемом коммутаторе, который поддерживает эту функцию.
Когда вашему компьютеру требуется поддержка DHCP, он передает сообщение с запросом DHCP в локальную сеть. Если в сегменте сети имеется более одного DHCP-сервера, первым ответившим DHCP-сервером будет тот DHCP-сервер, который предоставляет необходимую информацию вашему компьютеру.
Существует еще один потенциальный вариант, который заключается в том, чтобы запретить только ответы DHCP, входящие со всех физических портов, за исключением порта, подключенного к допустимому серверу - UDP-порт назначения 68 (точно, 67/68 - это bootps / bootpc).
Таким образом, вы не запрещаете клиентам запрашивать адреса, но предотвращаете ответ всего, что не подключено к вашим разрешенным портам. Вы бы хотели, чтобы это было только на границе сети, портов прямого доступа и т. Д.