如何强制所有网络计算机从 DHCP 服务器获取 IP,并防止它们手动编辑网络配置。有 Linux 和 Windows 计算机。DHCP 服务器是 Debian。目前它可以工作,但如果有人从他们的机器手动设置 IP,我们就会遇到问题。
我的路由器无法通过安装 DDWRT 之类的程序来配置强制 DNS。我们使用 IP 电视,路由器嵌入了这些设置。无法更改它。如何在没有路由器帮助的情况下做到这一点?
答案1
你无法控制别人的电脑。如果别人拥有“管理员”或超级用户级别的计算机访问权限,那么一切都将不复存在。
你最好在网络中这样做,在那里你能控制事物。我看到你说“...没有路由器的帮助”,但使用网络设备执行网络策略可以让你获得积极结果。
如果我要自己组装,我会考虑使用类似阿普观察就 MAC/IP 对的更改发出警报。您甚至可以结合脚本来定位和禁用托管交换机上的端口,如果您愿意花时间编写脚本(并且显然有托管交换机)。
答案2
首先,您必须使用托管交换机。如果您不使用托管交换机,那么没有什么可以阻止在单个机器上拥有足够权限的人简单地欺骗另一台机器的 MAC 地址。一旦 MAC 地址被欺骗,就无法区分两者。
使用托管交换机,您可以将交换机端口和 MAC 地址的某些组合列入白名单或黑名单。您还可以在 CAM 中安装永久条目,这样交换机就不会根据网络上看到的数据包来学习它们。
这不会阻止 ARP 欺骗,但 ARP 欺骗是您可以留意的。更高级的管理型交换机可能具有防止 ARP 欺骗的功能(如果您要走这条路,请确保交换机也可以防止 ND 欺骗,否则您将会遇到一些令人讨厌的意外。)
或者,您可以使用托管交换机上的 VLAN 功能。通过将两个交换机端口放在不同的 VLAN 中,它们将完全分离。这意味着您需要一个能够在标记 VLAN 之间路由的路由器。
这种方法的缺点是各个主机之间的所有内部流量都必须经过路由器。交换机和路由器之间的链路很快就会成为瓶颈。
高端交换机实际上是同一芯片中的混合路由器和交换机。它是充当交换机还是路由器完全取决于配置。这可以解决瓶颈问题。您可以重新配置交换机以充当路由器。
如果您想要尽可能多地隔离,这确实是您的选择。忘记交换机,只使用路由器。除非可以重新配置为路由器,否则不要购买任何交换机。对于许多用例来说,这都是过度的。