我已经使用 pfSense 设置了我的网络,有 8 个子网,每个子网都有自己的 DHCP 服务器范围。我已经在服务器上启用了静态 ARP 和静态 MAC 条目,这样任何未知的机器都无法访问网络。问题是,有没有办法检测和阻止用户静态设置的那些 IP 地址?由于 IP 冲突,经过身份验证的用户面临断开连接的问题??
我不希望任何人在整个网络上使用静态 IP 地址。有什么方法可以找到并阻止使用静态 IP 地址的系统?
答案1
不只是 pfSense 可以做到。这类保护通常在交换机中完成,使用 DHCP 侦听等端口安全选项以及 802.1x 等更高级的功能。
通过在网络上您想要的所有设备上设置静态 IP,您可以通过禁用所有客户端和 pfSense 框上的地址学习(ARP)来几乎阻止其他静态 IP,但这将是一个非常非标准的配置,并且您需要在任何地方定义静态 arp 条目,以便它们可以通信。
更好的选择是在 pfSense 机器上运行 arpwatch;当网络上发现新的 IP/MAC 或 IP 更改其关联的 MAC 时,它会发送电子邮件警报。它不会阻止问题,但它会让您知道存在问题并提供信息以追踪源头。