如何阻止其他不需要的 DHCP 服务器?

如何阻止其他不需要的 DHCP 服务器?

我有一个带有 DHCP 服务器和 RADIUS 身份验证的网络。

客户端连接到我的网络,获取 DHCP 地址,进入登录页面,输入他们的预付卡,然后访问互联网。

我们有时会看到一些客户端(曾经是恶意的)将路由器连接到我的一个接入点,并且他们没有禁用该路由器上的 DHCP 功能...整个网络崩溃了,直到我们断开该参与者的连接或重新配置他的路由器以禁用 DHCP,并允许该路由器从我们控制的主 DHCP 服务器获取 DHCP 租约。

那么我该如何强制我的网络仅遵守我控制的 DHCP 服务器呢?

事实上,我现在看到的整个问题都是数据包循环。我假设是有人连接了配置错误的路由器,并且启用了 DHCP。所以我试图禁止任何人承担 DHCP 角色。

DHCP 服务器位于 192.168.1.5(RouterBoard 设备)

网络图

答案1

您无法阻止某人激活 DHCP,但您可以使用“Rogue DHCP Detection”设置您的 RouterBoard,并在发生这种情况时提醒您,或者(使用额外的脚本/自动化)以编程方式阻止他们的交换机端口或 Wifi 访问。

在您的 DHCP 服务器上,警报将如下所示:

00:34:23 dhcp,critical,error,warning,info,debug dhcp alert on Public:
    discovered unknown dhcp server, mac 00:02:29:60:36:E7, ip 10.5.8.236

http://wiki.mikrotik.com/wiki/Manual:IP/DHCP_Server更多细节。

答案2

你试过了吗DHCP 侦听

DHCP 侦听是内置于功能强大的网络交换机操作系统中的第 2 层安全技术,可丢弃被确定为不可接受的 DHCP 流量。DHCP 侦听的基本用例是防止未经授权的(恶意)DHCP 服务器向 DHCP 客户端提供 IP 地址。 来源

虽然看起来你的装备可能不支持它,所以被动方法可能是你唯一的选择。

相关内容