22 votos

¿Cómo puedo proteger un bajo presupuesto de la red de rogue DHCP servidores?

Estoy ayudando a un amigo a manejar una conexión compartida a internet en un apartamento buildling con 80 apartamentos - 8 escaleras con 10 apartamentos en cada uno. La red se diseña con el router de internet en uno de los extremos del edificio, conectado a un barato no logró conmutador de 16 puertos en la primera escalera donde los primeros 10 apartamentos también están conectados. Un puerto está conectado a otro de 16 puertos cheapo interruptor en el lado de la escalera, donde los 10 apartamentos están conectados, y así sucesivamente. Ordenación de una cadena de interruptores, con 10 apartamentos como los radios en cada una de las "margaritas". El edificio es una forma de U, de aproximadamente 50 x 50 metros, 20 metros de alto por lo que desde el router a la lejana apartamento es probablemente alrededor de 200 metros incluyendo arriba y abajo de las escaleras.

Tenemos un poco de problemas con las personas que conectar wifi de los routers de la manera equivocada, la creación de rogue DHCP servidores que interrumpir los grandes grupos de los usuarios y queremos resolver este problema haciendo que la red inteligente (en lugar de realizar un físico desconectar de búsqueda binaria).

Con mis limitados conocimientos de redes, veo dos maneras - DHCP snooping o la división de la totalidad de la red en VLAN separadas para cada apartamento. VLAN separadas da a cada apartamento de su propia conexión con el router, mientras que el DHCP snooping todavía permitirá que los juegos en red y el intercambio de archivos.

Se DHCP snooping trabajar con este tipo de topología de la red, o que dependen de la red que se está en un buen hub-and-spoke-configuración? No estoy seguro de si hay diferentes niveles de DHCP snooping - dice caro switches Cisco va a hacer nada, pero de bajo costo, como los de TP-Link, D-Link o Netgear sólo lo hará en ciertas topologías?

Y le básicos de soporte de VLAN ser lo suficientemente bueno para esta topología? Supongo que incluso los hoteles de switches gestionados etiqueta de tráfico de cada puerto con su propia etiqueta de VLAN, pero cuando el siguiente interruptor en la cadena recibe el paquete en es "descendente" de puerto, no se tira o reemplazar la etiqueta de VLAN con su propio tronco-etiqueta (o cualquiera que sea el nombre de la columna vertebral de tráfico).

El dinero es escaso, y creo que no podemos darnos el lujo de grado profesional de Cisco (me han estado haciendo campaña para esto durante años), así que me gustaría algunos consejos sobre la solución que tiene el mejor soporte en la gama baja de los equipos de red y si hay algunos modelos específicos que se recomienda? Por ejemplo, la gama baja de HP interruptores o incluso el presupuesto de marcas como TP-Link, D-Link, etc.

Si se me ha pasado por alto otra manera de resolver este problema es debido a mi falta de conocimiento. :)

20voto

Dan Puntos 12476

Creo que deberías ir a la multi-VLAN ruta - y no sólo por el servidor DHCP problema. En el momento, usted tiene una gran red plana y mientras en algún grado, los usuarios deben esperar a tener cuidado de su propia seguridad, yo personalmente encuentro que es una muy inaceptable la instalación.

La única interruptores que deben ser administrados son los suyos. Más allá de eso, dar a cada apartamento de un solo puerto en una VLAN específica - cualquier cosa aguas abajo de que va a ser completamente inconsciente de la VLAN y puede funcionar normalmente.

En términos de su interruptores el interruptor a interruptor de los puertos necesitará configurar como el tronco de los puertos y deberá ser consistente con su ID de VLAN. En otras palabras, VLAN100 DEBE corresponder a VLAN100 en todas partes en la red.

Aparte de eso, usted puede configurar un "Router-on-a-stick" de configuración, con cada VLAN (Y se asocia a la piscina de IP*) configurado sólo para la ruta de ida y vuelta a internet y NO a otras redes internas.

*Yo no podía pensar en ningún otro sitio para meter esto, pero recuerda que lo ideal sería que usted debe dar a su Vlan su propia piscina de IP. La manera más fácil de hacer esto es mantener uno de los octetos mismo que el ID de VLAN, por ejemplo,

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Una vez que todo esto está en su lugar, usted realmente puede comenzar a tomar los lugares con cosas como la Calidad De Servicio, monitoreo de tráfico y así sucesivamente si usted desea!

El "LAN Games", una petición que parece ser un nicho relativamente solicitud, a mí y ciertamente no uno que me gustaría pensar. Se puede todavía juego normalmente a través de NAT por salir a la Internet y la espalda - no es ideal, pero no es diferente para cada apartamento tiene conexión, que es la norma aquí en el reino unido. Sobre una base de caso por caso, sin embargo, se podría añadir completo inter-VLAN routing entre los apartamentos, que quieren compartir su red de esa manera.

De hecho, se PODRÍA añadir completo Inter-VLAN routing en todas partes - que podría solucionar sus problemas de DHCP, permitir QoS, pero sigue siendo un enorme problema de seguridad en mi opinión.

Te una cosa que no he cubierto aquí está tu DHCP - es de suponer que usted tiene un único ámbito en el momento para que todos sus clientes. Si los pones en redes separadas, entonces usted tendrá que gestionar un ámbito diferente para cada VLAN. Que realmente dispositivo y de la infraestructura a su cargo, así que voy a dejar esto por ahora.

6voto

Jeffrey Puntos 323

Dependiendo de su presupuesto, al menos, recoger un switch gestionado y poner cada palabra en una VLAN.

Para resolver por completo su seguridad y DHCP problema, si el cableado permite, obtener un 24 puertos switch gestionado por cada dos plantas. Si el cableado no permite, utilizando los paneles de parcheo para ampliar las pistas son probablemente más barato que más interruptores.

Usted podría ahorrar en el engranaje por acostumbrarse 10/100 switches gestionados, sin embargo, dependiendo del proveedor es posible que requiera una gran cantidad de conocimientos para configurar Cisco (Cisco).

Como programador tirado en la configuración de un 1000+ puerto de red en un 8 pisos de edificio de oficinas con fibra, puedo decir que el D-link switches gestionados GUI emparejado con el manual le permitirá hacer cualquier cosa que usted necesita. No estoy diciendo que usted tiene que usar de D-Link, solo estoy diciendo que no creo que te quedarás decepcionado. D-Link switches gestionados (Nivel 2+) son asequibles y pueden ejecutar el DHCP en el interruptor (no recomendar este, pero es una opción). Tienen un menor "Inteligente" interruptor de nivel que puede hacer todo lo que usted necesita.

Si vas a hacer una VLAN por cada piso de un /23 (512 hosts) debería ser suficiente (vaya más grande si usted planea nunca rollo de cable). Si vas a hacer una VLAN por el apartamento, a /27 (30 hosts) debe hacer.

La manera más fácil de hacer DHCP para varias Vlan en mi opinión sería agarrar una raspberry PI y el uso de DHCP de ISC. Puede utilizar cualquiera de baja potencia de la máquina que tiene una NIC que soporta Vlan. (Personalmente, me gustaría tomar un EdgeMax router por $99 y ejecutar DHCP en eso!)

Escoge un rango de direcciones IP/subred por cada VLAN, su DHCP de ISC de configuración de una VLAN podría ser algo como esto:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Usted puede pegar opciones globales fuera de cada ámbito, así que a menos que usted va a terminar con algo como esto:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Si cada apartamento dispone de varias tomas de red configurar el protocolo de árbol de expansión para evitar bucles. Esto puede ralentizar las cosas si no se configurarlo correctamente, lo que provoca cada uno de los puertos de tomar 30 segundos o más para llegar, así que asegúrese de probar. Hay una opción que usted desea habilitar, creo Cisco llama PortFast.

Yo no he hecho esto personalmente, pero al parecer Windows server hace que sea muy fácil de configurar esto.

También considere la posibilidad de:

  • Un local de almacenamiento en caché de DNS forwarder, traffic shaping y tal vez QoS para VoIP podría mejorar la capacidad de respuesta global (en caso de que su hardware sea capaz de ejecutar dichos servicios a la velocidad de la línea).

  • Si usted planea en la mejora de las cámaras de seguridad o el despliegue de una conexión inalámbrica, puede ser vale la pena llegar POE engranaje.

  • Ya que muchos hoteles de Routers Inalámbricos no funcionan de forma independiente de la APs, lo mejor que podemos esperar son que los inquilinos se va a utilizar un Doble NAT. Si todos se complemento de su router a la red a través de la WAN/puerto de Internet que iba a mejorar la seguridad y eliminar el DHCP problema así. Un bien impreso hoja de instrucciones comunes router marcas puede ahorrar un poco de equipo y problemas; sin embargo, el pleno cumplimiento sería difícil.

  • El uso de una herramienta como namebench para encontrar el más rápido de los servidores DNS de su ISP.

Buena suerte!

1voto

webyz Puntos 11

Si usted tiene un router decente, una posible solución es configurar una VLAN por apartamento y asignar un /30 dirección a cada VLAN. También crear un ámbito DHCP para cada VLAN que sólo asigna una dirección IP.

Por ejemplo:

  • vlan 100
    • subred 10.0.1.0/30
    • router 10.0.1.1
    • usuario 10.0.1.2
  • vlan 104
    • subred 10.0.1.4/30
    • router 10.0.1.5
    • usuario 10.0.1.6

Esto resuelve el problema de los juegos de azar entre los apartamentos, ya que el router puede enrutar entre los apartamentos. También resuelve el rogue DHCP problema porque el tráfico DHCP es aislado al apartamento de la VLAN y solo una dirección IP.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: