Düşük bütçeli bir ağı kötü niyetli DHCP sunucularından nasıl korurum?

22

Bir arkadaşıma, her biri 10 daireli 80 daireden oluşan - 8 merdivenli bir apartman dairesinde paylaşılan bir internet bağlantısını yönetme konusunda yardım ediyorum. Ağ, binanın bir ucunda, ilk 10 dairenin de bağlandığı ilk merdivendeki yönetilmeyen 16 portlu ucuz bir anahtara bağlı olarak internet yönlendiricisine yerleştirilir. Bir liman, bu 10 dairenin bağlı olduğu bir sonraki merdiven boşluğundaki 16 port ucuz anahtarına bağlanır. Her "papatya" da konuşmacı olarak 10 daire ile bir papatya zinciri zinciri sıralama. Bina, U şeklinde, yaklaşık 50 x 50 metre, 20 metre yükseklikte - yönlendiriciden en uzak daireye kadar, yukarı ve aşağı merdivenler dahil olmak üzere yaklaşık 200 metredir.

İnsanların wifi yönlendiricilerini yanlış yönlendiren, kullanıcıları haksız yere kesen sahte DHCP sunucuları yaratan sorunlarımız var ve bu problemi, ağı daha akıllı hale getirerek (fiziksel olarak çıkartılan bir ikili arama yapmak yerine) çözmek istiyoruz. ).

Sınırlı ağ oluşturma becerilerimle iki yol görüyorum - DHCP her bir daire için ağın tamamını ayırma ya da ayrı VLAN'lara bölme. Ayrı VLANS, her daireye yönlendirici ile kendi özel bağlantılarını verirken, DHCP gözetimi hala LAN oyunlarına ve dosya paylaşımına izin verecek.

DHCP taraması bu tür bir ağ topolojisi ile mi çalışacak, yoksa ağın uygun bir merkez-konuş-konfigürasyonunda olmasına mı dayanıyor? Farklı DHCP gözetleme seviyelerinin olup olmadığından emin değilim - pahalı Cisco anahtarlarının bir şey yapacağını söyleyin ama TP-Link, D-Link veya Netgear gibi ucuz olanlar sadece belirli topolojilerde yapacak mı?

Temel VLAN desteği bu topoloji için yeterince iyi olacak mı? Sanırım ucuz yönetilen anahtarlar bile her bir bağlantı noktasındaki trafiği kendi VLAN etiketiyle etiketleyebilir, ancak papatya zincirindeki bir sonraki anahtar “aşağı bağlantı” bağlantı noktasındaki paketi aldığında, VLAN etiketini kendi etiketiyle değiştirmez veya değiştirmez ana hat etiketi (veya omurga trafiğinin adı ne olursa olsun).

Para sıkışık ve bence profesyonel sınıf Cisco'yu karşılayabileceğimizi sanmıyorum (yıllardır bu kampanyayı sürdürüyorum), bu nedenle hangi çözümün düşük uçlu ağ donanımları için en iyi desteğe sahip olduğu konusunda bir tavsiyede bulunmak isterim. önerilen bazı özel modeller nelerdir? Örneğin, düşük kaliteli HP anahtarları veya hatta TP-Link, D-Link vb. Gibi bütçe markaları.

Bu sorunu çözmenin başka bir yolunu görmezden gelirsem, bu benim bilgi eksikliğimden kaynaklanıyor. :)

networking dhcp

— Kenned
kaynak

Kullanıcıları birbirinden korumak ve aynı zamanda LAN oyununa izin vermek biraz zor olacak. Gerçekten bir seçim yapmak zorundasın. Belki armudu ikiye keser ve 1 VLAN / Stairway yapar?

— mveroone

Ne tür bir yönlendirici kullanıyorsunuz?

— longneck

7

Cisco'dan birkaç kez bahsediyorsunuz .. ProCurve'a da bakmalısınız, özellikle de kullanılmış eBay'de ucuz olan , ömür boyu garantili olduğu ve neredeyse aynı özelliklere sahip olduğu için. ProCurve ekipmanını, desteklediğim ev ve küçük işletme ağları için alıyorum ve kesinlikle eşyaları seviyorum. Ve eğer "kullanılmış" konusunda cilveli iseniz, yenilenmiş, sertifikalı, neredeyse yeni ekipmanların "ReNew" programı var. Tabii ki, her zaman yedek değişikliği olanların bırakabileceği Yeni var.

— Chris S

Router Debian'da çalışan bir Excito B3'tür.

— Kenned

Herkese teşekkürler, yorumlarınız için. Bu, diğerlerini bir grup kullanılmış Procurve 26xx şalterine gitmeye ve her daire için ayrı bir vlans kurmaya ikna etmek için gereken cephaneydi (ve bu muhtemelen benim açımdan daha fazla soru ortaya çıkarır). :)

— Kenned

20

Bence çoklu VLAN rotasına gitmelisin - ve sadece DHCP sunucusu sorunu yüzünden değil. Şu anda, büyük bir düz ağınız var ve bir dereceye kadar, kullanıcıların kendi güvenliklerine dikkat etmesi bekleniyor, kişisel olarak kabul edilemez bir kurulum buldum.

Yönetilmesi gereken tek anahtar sizindir. Bunun ötesinde, her daireye belirli bir VLAN üzerinde tek bir bağlantı noktası verirsiniz - bunun altındaki herhangi bir şey VLAN'ın tamamen farkında olmayacaktır ve normal şekilde çalışabilirsiniz.

Anahtarlarınız açısından - to-to-switch portları gövde portları olarak yapılandırılmaya ihtiyaç duyacak ve VLAN ID'niz ile tutarlı olmanız gerekecektir. Başka bir deyişle, VLAN100, ağdaki diğer her yerdeki VLAN100'e karşılık gelmelidir.

Bunun dışında, yalnızca internete ve diğer dahili ağlara yönlendirmek için ileri geri yönlendirmek üzere yapılandırılmış her bir VLAN (ve ilişkili IP havuzları *) ile bir "Stick-on Router" yapılandırması ayarlayabilirsiniz.

* Bunu yapmak için başka bir yer düşünemedim, ama ideal olarak VLAN'larınıza kendi IP havuzlarını vermeniz gerektiğini unutmayın. Bunu yapmanın en kolay yolu, oktetlerden birini VLAN ID ile aynı tutmaktır;

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Bunların hepsi bir kez gerçekleştiğinde, gerçekten Hizmet Kalitesi, trafik izleme ve benzeri şeylerle yerlerini almaya başlayabilirsiniz!

"LAN Games" isteği, bana göre oldukça uygun bir istek gibi görünüyor ve kesinlikle düşünmeyeceğim biri. Yine de NAT üzerinden internete gidip geri dönerek normal bir şekilde oyun oynayabilirler - ideal değiller, ancak İngiltere'de normal olarak kendi bağlantılarına sahip olan her daireden farklı değiller. Ancak, duruma göre, ağlarını bu şekilde paylaşmak isteyen apartmanlar arasına tam VLAN arası yönlendirme ekleyebilirsiniz.

Aslında, her yere tam VLAN Inter-yönlendirme eklemelisiniz - DHCP sorunlarını giderir, QoS'ye izin verir ancak bence hala çok büyük bir güvenlik sorunu.

Burada ele almadığım bir şey DHCP'niz - muhtemelen şu anda tüm müşterileriniz için tek bir kapsamınız var. Onları ayrı ağlara yerleştirirseniz, her VLAN için ayrı bir kapsam yönetmeniz gerekir. Bu gerçekten cihaz ve altyapıya bağlı, bu yüzden şimdilik bunu bırakacağım.

— Dan
kaynak

Bu rotaya gitme konusundaki meselesi anahtarları bu noktada yönetilememesidir, bu yüzden bagaj portu yapılandırmasını ayarlayamadı (hatta bu noktada port başına vlan bile ayarlayamadı). En azından yeni değişime ihtiyacı var.

— Rex

2

@Rex Yeni anahtarlar talep etmenin herhangi bir sorusu olduğunu sanmıyorum - OP mevcut yönetilmeyen anahtarlarının yeterince iyi olmadığını biliyor gibiydi.

— Dan,

4

+1 Bu uçmanın tek yolu. Ancak, IPv6'yı dağıtmadan önce veya bunun parçası olarak VLANlar arası yönlendirmeyi eklemeniz gerekir.

— Michael Hampton

2

+1 Bölgeler, DHCP'nin yanı sıra her daire için güvenlik sağlar. Ayrıca ağ yetkilendirmesinden, hizmet şartlarından ve bant genişliği kısıtlamasından da söz etmelisiniz (Vlan sınırı başına, protokol sınırı başına). Ve bir içerik önbelleğini araştırabilirsiniz (netflix, vudu, etal).

— ChuckCottrill

6

Bütçenize bağlı olarak, en azından bir tane yönetilen anahtarı seçin ve her katı bir VLAN'a koyun.

Güvenlik ve DHCP probleminizi tamamen çözmek için, eğer kablolama izin veriyorsa, her iki kat için 24 portlu bir anahtar edinin. Kablolama izin vermiyorsa, çalışmaların genişletilmesi için yama panellerinin kullanılması muhtemelen daha fazla anahtardan daha ucuzdur.

10/100 yönetilen anahtarlar kullanarak donanımdan tasarruf edebilirsiniz, ancak satıcıya bağlı olarak kurmak için çok fazla uzmanlık gerektirebilir (Cisco).

Fiber içeren 8 katlı bir ofis binasında 1000'den fazla bağlantı noktası ağı kurmaya çalışan bir programcı olarak, kılavuzla eşleştirilen D-link yönetilen anahtarların GUI'nin ihtiyacınız olan her şeyi yapmanıza izin vereceğini söyleyebilirim. D-Link kullanmanız gerektiğini söylemiyorum, sadece hayal kırıklığına uğramayacağınızı sanmıyorum. D-Link yönetilen anahtarlar (Seviye 2+) uygun maliyetlidir ve anahtar üzerinde DHCP çalıştırabilir (bunu önermez, ancak bir seçenektir). İhtiyacınız olan her şeyi yapabilecek daha düşük bir "Akıllı" anahtar katmanına sahipler.

Kat başına bir VLAN yaparsanız, 23 (512 ana bilgisayar) yeterli olacaktır (daha önce kablosuz yayın yapmayı planlıyorsanız, daha büyük olmalıdır). Daire başına bir VLAN yaparsanız, / 27 (30 ana bilgisayar) yapmalıdır.

Bence birden fazla VLAN için DHCP yapmanın en kolay yolu bir ahududu PI kapmak ve ISC DHCP kullanmak olacaktır . VLAN'ları destekleyen NIC'ye sahip herhangi bir düşük güçlü makineyi kullanabilirsiniz. (Şahsen, bir EdgeMax yönlendiriciyi 99 $ 'a alıp bunun üzerinde DHCP kullanacağım !)

Her VLAN için bir IP aralığı / alt ağ seçmeniz yeterlidir; VLAN için ISC DHCP yapılandırmanız şöyle görünebilir:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Global seçenekleri her kapsamın dışında tutabilirsiniz, böylece en azından böyle bir şeyle sonuçlanırsınız:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Her dairenin birden fazla ağ jakı varsa, döngülerden kaçınmak için yayılan ağaç protokolünü ayarlayın. Her bağlantı noktasının 30 saniye veya daha uzun sürmesine neden olacak şekilde düzgün bir şekilde yapılandırmazsanız, işlemleri yavaşlatabilir, bu yüzden test ettiğinizden emin olun. Etkinleştirmek isteyeceğiniz bir seçenek var, Cisco'nun PortFast olarak adlandırıldığını düşünüyorum.

Bunu kişisel olarak yapmadım, ancak görünüşe göre Windows sunucusu bunu ayarlamayı çok kolaylaştırıyor.

Ayrıca düşünün:

Yerel önbellekleme DNS ileticisi, trafik şekillendirme ve VoIP için QoS genel olarak yanıt verebilirliği artırabilir (donanımınız söz konusu hizmetleri hat hızında çalıştırabiliyorsa).
Güvenlik kameralarını yükseltmeyi veya kablosuz yayını kurmayı planlıyorsanız, POE donanımına sahip olmak faydalı olabilir.
Birçok ucuz Kablosuz Yönlendirici, bağımsız AP'ler olarak çalışmadığından, en iyisini umabilirsiniz kiracılar bir Double NAT kullanacaktır. Herkes yönlendiricisini ağınıza WAN / Internet portu üzerinden bağlarsa, güvenliği artıracak ve DHCP problemini ortadan kaldıracaktı. Yaygın yönlendirici markalarına sahip iyi basılmış bir talimat sayfası, bazı ekipman ve sorunlardan tasarruf etmenizi sağlayabilir; Ancak, tam uyum zor olabilir.
ISS'niz için en hızlı DNS sunucularını bulmak için namebench benzeri bir araç kullanın .

İyi şanslar!

— Jeffrey
kaynak

"Koşuları uzatmak için yama panellerini kullan" derken ne demek istiyorsunuz? Patch paneller size ilave maksimum kablolama mesafesi sağlamaz.

— Justus Thane

Maksimum kablolama mesafesine değiniyordum; Tellerin diğer katlarda geçiş yapmak için çok kısa olup olmadığını söylemek gerekirse, bir anahtar ile en yakın kata giden yama panelinin bir numara yapabileceğini söylüyordum.

— Jeffrey,

2

Otellere ziyaretçi tabanlı ağlar sağlayan bir şirketin Yazılım Geliştirme Müdürü olduğumda (500-1000 site arasında), Squid'i> 500 siteye koyduk. Squid önbellek isabet oranımızı yaklaşık bir yıl boyunca ölçtük ve önbellek isabet oranımızın <% 2 olduğunu belirledik, böylece Squid'i kapattık ve ağ performansı düzeldi.

— ChuckCottrill

1

Chuck, yedeklemesi gereken çok sayıda harika nokta. Vuruş oranlarınız, web’in büyük çoğunluğunun artık SSL kullandığı için anlamlıdır. Dağıtımlarımda, şirketin sahip olduğu cihazlardaki SSL içeriğini önbelleğe alıyor ve filtreliyordum. Squid'in benimkine benzer kurumsal dağıtımlar dışında bir rol oynadığını görmediğim için üzgünüm.

— Jeffrey,

1

İyi bir yönlendiriciniz varsa, olası bir çözüm, daire başına bir VLAN ayarlamak ve her VLAN'a bir / 30 adresi atamaktır. Ayrıca, yalnızca bir IP adresi atayan her VLAN için bir DHCP kapsamı oluşturun.

Örneğin:

vlan 100
- alt ağ 10.0.1.0/30
- yönlendirici 10.0.1.1
- kullanıcı 10.0.1.2
vlan 104
- alt ağ 10.0.1.4/30
- yönlendirici 10.0.1.5
- kullanıcı 10.0.1.6

Bu, yönlendirici daireler arasında yönlendirebildiğinden, daireler arasında oyun oynama sorununu çözer. Ayrıca, DHCP trafiği bu dairenin VLAN'ına izole edildiğinden ve yalnızca bir IP adresi aldıklarından, sahte DHCP sorununu da çözmektedir.

— uzun boyun
kaynak

-2

PPPOE ve basit bir sunucuyu seçerdim ... mikrotik veya onu destekleyenler gibi. Bu kolay bir yol gibi görünüyor. Şimdiye kadar çözdüğüne eminim, ama herkes bu problemi yaşayacak ... pppoe en hızlı cevap.

— Cip
kaynak