如何防止networking上的重复DHCP服务器干扰? 可能吗?
我没有要求任何实际情况发生,只是好奇心。 在我的公寓大楼里有一个networking和互联网提供,有人在整个networking上引起了问题,因为他们插入了启用了DHCP服务器的无线路由器。
你将如何防止networking上的这种冲突/问题,或者防火墙和控制networking上的机器是不可能的?
任何一种networking安全都是不可能的,并不能严格控制对networking的访问。 如果您允许用户插入一个随机的硬件,那么这个硬件正好在运行一个DHCP服务器,并且这个服务器认为它应该发送地址,否则您将会发生冲突。
我能想到的最好的解决scheme是在你的环境中没有任何其他的改变,就是确定stream氓DHCP服务器在哪个networking端口上运行并closures它。 您可以手动为罕见/偶发性问题做到这一点,但也有入侵防御系统,可以通过认识到一个DHCP答复是从一个未经授权的MAC地址发送,确定哪个交换机端口与该MAC关联和禁用端口(思科有软件可以做到这一点,你也可以configurationsorting做一些工作)。
一个更好的解决scheme可能是分割您的networking,使每个公寓/用户获得一个VLAN。 这可以避免一个stream氓设备影响你的整个复杂。
通过在支持该function的pipe理型交换机上启用“DHCP Snooping”。
当您的计算机需要DHCP支持时,它会在本地networking上广播DHCP请求消息。 如果网段上有多个DHCP服务器,则响应的第一个DHCP服务器将是为您的计算机提供必要信息的DHCP服务器。
还有另外一个潜在的select,那就是只拒绝从所有物理端口入站的DHCP响应,除了连接到有效服务器的端口 – UDP目的端口68(很确定,67/68是bootps / bootpc)。
这样,您不会阻止客户端请求地址,但可以防止任何未连接到允许的端口的响应。 你只想在networking边缘,直接访问端口等