我有搭载 Linux(EdgeOS)的 EdgeRouter X,因此当我为 VLAN 创建新的 DHCP 服务器时,我为设备保留了几个 IP(将 IP 映射到 MAC 地址),以便能够绕过防火墙规则并调整配置;对于其他所有尝试连接到路由器的人,防火墙只会断开连接。但我仍然可以通过手动输入保留 IP 使用其他设备连接到路由器。有没有办法禁止路由器将保留 IP 分配给 MAC 地址与映射 IP 不匹配的设备?
答案1
当您手动为设备分配 IP 地址时,您没有使用 DHCP,并且由于您根据设备的 IP 地址制定防火墙规则,因此任何在规则中手动分配地址的设备都将被允许使用该地址。如果您想为特定设备创建防火墙规则,则应该根据 MAC 地址制定规则。此链接可能会对您有所帮助。 https://community.ubnt.com/t5/EdgeMAX/Mac-filtering-list/td-p/498197
答案2
DHCP 本身并不具备安全性。最接近的就是避免重复 IP 地址。所有网络都有可能有人在其设备上手动配置静态 IP 地址,而该地址已用于其他授权用途。了解这种情况发生的最佳方法是让您的设备已经使用该 IP 地址。这样您就可以看到重复 IP 地址警告,从而知道有人使用了错误的地址。
话虽如此,您的 EdgeOS 可能具有安全功能,可以识别与保留 IP 地址关联的错误 MAC 地址并通知您可能阻止来自该地址的连接。但是,除非您的 EdgeOS 与网络交换机紧密集成并且能够关闭交换机端口,否则无法真正阻止设备未经授权使用保留 IP 地址。