我今天遇到了一个问题,有人在测试机器上设置了静态 IP,而这台机器恰好是我的互联网网关。然后他们连接到主网络并搞砸了出站互联网流量。
我知道如何在 dhcp 中设置 IP 保留,但我不确定这是否会对我有帮助,因为这是一个静态地址。
我可以在域级别做些什么来防止将来再次出现类似问题?
答案1
除了教育用户之外,我只能想到一件事:在托管交换机上为该 IP 添加一个固定的 ARP 地址。
并记录下来,因为当你更换网关时这会很有趣。
编辑:我刚刚意识到这解决了您遇到的具体问题,但不能解决标题中的问题。除非您在交换机中添加大量固定 ARP 条目,否则不会。这是需要避免的事情。
答案2
AD 本身的任何功能都无法为您提供帮助。
但是,如果您使用的是 Cisco 交换机,那么您需要 [IP Source Guard][1],它是 DHCP 监听的补充。如果设备未收到 DHCP 地址或尝试使用未通过 DHCP 分配的 IP 地址,则数据包将被丢弃(或端口被禁用,具体取决于您的 iOS 版本)。
我确信其他交换机供应商也有类似的功能。
答案3
不是域级别(除了不让用户使用静态 IP 之外,想不出其他任何与域级别相关的方法),但您可以在测试和生产网络之间设置防火墙吗?这样您就可以丢弃不正确的流量。