防止不受信任的网络机器的 IP 冲突

防止不受信任的网络机器的 IP 冲突

我维护一个小型局域网(192.168.1.0/24),其中有几台不受信任的机器,这些机器的用户拥有管理权限或能够将自己的机器连接到网络。

该服务器也位于该网络上(192.168.1.200),并且当用户将其机器的 IP 设置为与服务器相同(可能是恶意的)时,我需要防止 IP 冲突导致网络服务中断。

我曾考虑过将网络分成两个(类似于192.168.1.0/25192.168.1.128/25)。

保持服务正常运行的最佳方法是什么?

答案1

将服务器移至单独的 VLAN - 虽然没有什么可以阻止用户将其 IP 设置为网关的 IP,但这样做可以缓解问题。或者更好的方法是将有问题的用户移至他自己的 VLAN。

也可以通过使用动态 arp 检查在足够好的管理交换机上。

也可以将其视为需要在该层面解决的纪律问题,从而解决这一问题。

否则,指甲棒可能是最后的手段。

答案2

解决此类问题的技术方法是802.1x,但对于这种情况来说这可能有点小题大做。

让您的用户信任 DHCP 和/或不允许他们修改他们的 IP 设置。

答案3

如果他知道 IP,并且有权更改机器的 IP 地址,那么您就无能为力了。您可以尝试使用 IP Source guard 和 DHCP Snooping 来强制用户使用 DHCP。

相关内容