我有一个包含 500 多台计算机的网络,我所在地区有很多合作公司,他们有时会自带路由器。如果他们偷偷摸摸地这样做,并且不关闭设备上的 DHCP 服务,许多设备就会获得错误的地址,并且需要很长时间才能找到它。有什么解决办法吗?
我考虑过使用具有单独子网的 VLAN 来隔离部门或建筑。我还考虑过在主交换机上使用静态 arp,并将 192.168.0.1 和 192.168.1.1 的条目放入我的 DHCP。这有意义吗?它能以任何方式保护地址更改吗?
答案1
有很多方法可以确保其安全:
- 将您的网络划分为 VLAN。您可以在必须相互通信的 VLAN 之间设置路由。
- 设置内部防火墙以不允许非来自授权服务器的 DHCP 数据包(即使用发送方 IP 检测)
- 使用 802.1x 对连接到网络的每个客户端进行授权。这是最佳解决方案,但实施起来最慢(您需要手动检查和添加每个设备)。当然,您可以仅在可访问端口上设置此功能,服务器不需要检查这一点。
没有灵丹妙药可以安全地避免不良的 DHCP 服务器并且不限制您的用户,您必须平衡它。
答案2
探索“DHCP 侦听”技术 - 它应该适用于任何企业级交换机/路由器。而且配置起来非常简单。您有哪些交换机?
关于其他人的建议:
- 802.1X 将阻止所有未经身份验证的客户端(即那些公司)使用网络。
- VLAN 不会起到什么帮助作用——最多只能限制损害的范围。
- “使用 DHCP 防火墙”——DHCP 侦听就是这个防火墙
顺便问一下:您是如何建立如此庞大的网络的?