我维护一个小的局域网( 192.168.1.0/24 ),在这个局域网上有几个不受信任的机器,这些机器的用户具有pipe理权限,或者能够将他们自己的机器连接到networking。
服务器也在那个networking上( 192.168.1.200 ),当用户把他的机器的IP设置为与服务器相同(可能是恶意的)时,我需要防止IP冲突取消networking服务。
我已经把Netowrk分成了两个(类似192.168.1.0/25和192.168.1.128/25 )。
什么是保持服务最好的方法?
移动你的服务器到一个单独的VLAN – 这将减轻,虽然没有什么阻止用户将他的IP设置为网关的IP。 或者更好,将问题用户移到他自己的VLAN中。
这也可以通过对足够好的pipe理交换机使用dynamicARP检查来解决。
这也可以通过将其视为需要在该层面解决的纪律问题来解决。
否则, Nailbat可能是最后的手段。
这种问题的技术解决scheme是802.1x ,但这可能是矫枉过正的这种情况。
让你的用户信任DHCP和/或不允许他们修改他们的IP设置。
如果他知道IP,并且有权更改机器的IP地址,那么你可以做的事情就不多了。 你可以看看和DHCP Snooping一起玩IP Source Guard,强制用户使用DHCP。