Как защитить низкобюджетную сеть от нечистых серверов DHCP?

Я помогаю другу управлять общим доступом к Интернету в квартире, в которой работают 80 квартир - 8 лестниц с 10 квартирами в каждой. Сеть выложена с помощью интернет-маршрутизатора на одном конце здания, подключенного к дешевому неконтролируемому коммутатору на 16 портов на первой лестнице, где также подключены первые 10 квартир. Один порт подключен к другому коммутатору 16 портов дешево на следующей лестнице, где эти 10 квартир подключены и так далее. Сорт линейчатой ​​цепи выключателей с 10 апартаментами в качестве спиц на каждой «ромашке». Здание имеет U-образную форму, приблизительно 50 x 50 метров, высоту 20 метров, поэтому от маршрутизатора до самой далекой квартиры это, вероятно, около 200 метров, включая лестницы вверх и вниз.

У нас есть довольно много проблем с тем, что люди подключают Wi-Fi-маршрутизаторы неправильно, создавая изгои DHCP-серверов, которые прерывают большие группы пользователей, и мы хотим решить эту проблему, сделав сеть более умной (вместо того, чтобы делать физические отключение бинарного поиска).

Благодаря моим ограниченным сетевым навыкам я вижу два способа: DHCP-отслеживание или разделение всей сети на отдельные VLANS для каждой квартиры. Отдельные VLANS предоставляют каждой квартире свое личное подключение к маршрутизатору, а отслеживание DHCP по-прежнему разрешает сетевые игры и совместное использование файлов.

Будет ли отслеживание DHCP работать с такой топологией сети, или это зависит от того, что сеть находится в правильной конфигурации с концентратором и спицами? Я не уверен, что существуют различные уровни отслеживания DHCP - скажем, что дорогостоящие коммутаторы Cisco будут делать что-либо, но недорогие, такие как TP-Link, D-Link или Netgear, будут делать это только в определенных топологиях?

И будет ли базовая поддержка VLAN достаточной для этой топологии? Я думаю, что даже дешевые управляемые коммутаторы могут помечать трафик с каждого порта с помощью своего собственного тега VLAN, но когда следующий коммутатор в цепочке масок получает пакет на своем «нисходящем» порту, не будет ли он лишать или заменить тег VLAN своим собственным trunk-tag (или любое другое имя для основного трафика).

Деньги напряжены, и я не думаю, что мы можем позволить себе профессиональный класс Cisco (я много лет занимался этой кампанией), поэтому мне хотелось бы получить некоторые рекомендации о том, какое решение имеет наилучшую поддержку на сетевом оборудовании низкого уровня и если есть некоторые конкретные модели, которые рекомендуются? Например, низкопроизводительные коммутаторы HP или даже бюджетные бренды, такие как TP-Link, D-Link и т. Д.

Если я упустил другой путь для решения этой проблемы, это связано с моим недостатком знаний. :)

22 голоса | спросил Kenned 28 +04002013-10-28T16:33:04+04:00312013bEurope/MoscowMon, 28 Oct 2013 16:33:04 +0400 2013, 16:33:04

4 ответа


19

Я думаю, вам нужно идти по маршруту с несколькими VLAN, а не только из-за проблемы с сервером DHCP. На данный момент у вас есть одна большая плоская сеть, и хотя в какой-то степени пользователям следует заботиться о своей собственной безопасности, я лично считаю это довольно неприемлемой настройкой.

Единственными переключателями, которые нужно управлять, являются вашими. Кроме того, вы предоставляете каждой квартире один порт на определенной VLAN - все, что находится ниже по течению, будет полностью не осведомлено о VLAN, и вы можете нормально функционировать.

В терминах ваших коммутаторов - порты коммутатора должны быть настроены как соединительные порты, и вам нужно будет соответствовать вашим идентификаторам VLAN. Другими словами, VLAN100 ДОЛЖЕН соответствовать VLAN100 всюду в сети.

Кроме этого, вы можете настроить конфигурацию «Маршрутизатор на карте», причем каждая VLAN (и связанный с ней пул IP) * настроена только для маршрутизации в Интернет и НЕ к другим внутренним сетей.

* Я не мог придумать нигде, чтобы придерживаться этого, но помните, что в идеале вы должны предоставить своим VLAN свой собственный пул IP. Самый простой способ сделать это - сохранить один из октетов таким же, как идентификатор VLAN, например.

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Как только все это будет на месте, вы действительно сможете начать использовать его в таких вещах, как Quality-Of-Service, мониторинг трафика и т. д., если хотите!

Запрос «LAN Games», по-видимому, является относительно нишевым запросом, для меня, и, конечно, я не думаю об этом. Они все еще могут нормально играть через NAT, выйдя в Интернет и обратно - не идеально, но ничем не отличаются от каждой квартиры, имеющей собственную связь, которая является нормой здесь, в Великобритании. Однако в каждом конкретном случае вы могли бы добавить полную межоблачную маршрутизацию между квартирами, которые хотят разделить свою сеть таким образом.

На самом деле, вы МОЖЕТЕ добавить полную маршрутизацию Inter-VLAN повсюду - это позволит устранить ваши проблемы с DHCP, разрешить QoS, но по-прежнему остается серьезной проблемой безопасности.

Те, что я не затронул здесь, - это ваш DHCP - предположительно, у вас сейчас есть одна область для всех ваших клиентов. Если вы поместите их в отдельные сети, вам необходимо будет управлять отдельной областью для каждой VLAN. Это действительно зависит от устройства и инфраструктуры, поэтому я оставлю это сейчас.

ответил Dan 28 +04002013-10-28T17:27:28+04:00312013bEurope/MoscowMon, 28 Oct 2013 17:27:28 +0400 2013, 17:27:28
6

В зависимости от вашего бюджета, по крайней мере, возьмите один управляемый коммутатор и поместите каждый этаж в VLAN.

Чтобы полностью решить вашу проблему безопасности и DHCP, если позволяет кабели, получите 24-портовый управляемый коммутатор на каждые два этажа. Если кабели не позволяют, использование патч-панелей для расширения прогонов, вероятно, будет дешевле, чем больше коммутаторов.

Вы можете сэкономить на передаче, используя привычные 10/100 управляемые коммутаторы, однако, в зависимости от поставщика, для его настройки может потребоваться большой опыт. (Cisco).

Как программист, брошенный в настройку сети с 1000 портами в 8-этажном офисном здании с волокном, могу сказать, что графический интерфейс с управляемыми ключами D-link, сопряженный с руководством, позволит вам делать все, что вам нужно. Я не говорю, что вы должны использовать D-Link, я просто говорю, что не думаю, что вы будете разочарованы. Управляемые коммутаторы D-Link (уровень 2+) являются доступными и могут запускать DHCP на коммутаторе (не рекомендуя это, но это вариант). Они имеют более низкий «умный» уровень переключения, который может делать все, что вам нужно.

Если вы выполняете VLAN на один этаж, необходимо наличие достаточного количества хостов (235 хостов) (если вы планируете когда-либо выходить из беспроводной сети). Если вы делаете VLAN на квартиру, необходимо сделать /27 (30 хостов).

Самый простой способ сделать DHCP для нескольких VLAN, на мой взгляд, - это захватить PI малины и использовать ISC DHCP . Вы можете использовать любую маломощную машину с сетевым интерфейсом, который поддерживает VLAN. (Лично я бы захватил маршрутизатор EdgeMax за 99 долларов и запустил DHCP на что!)

Просто выберите IP-диапазон /подсеть для каждой VLAN, ваша конфигурация DHCP DHCP для VLAN может выглядеть примерно так:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Вы можете использовать глобальные параметры вне каждой области, поэтому, по крайней мере, вы получите что-то вроде этого:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Если в каждой квартире есть несколько сетевых гнезд, установите протокол spanning tree, чтобы избежать циклов. Это может замедлить работу, если вы не настроите его правильно, заставляя каждый порт занять 30 секунд или больше поэтому убедитесь, что вы его протестировали. Есть вариант, который вы хотите включить, я считаю, что Cisco называет его PortFast.

Я не делал этого лично, но, видимо, сервер Windows очень упрощает настройку.

Также рассмотрим:

  • Локальный кеширующий DNS-форвардер, формирование трафика и, возможно, QoS для VoIP, улучшат общую отзывчивость (если ваше оборудование будет работать с указанными службами на скорости линии).

  • Если вы планируете модернизировать камеры безопасности или развертывать беспроводные устройства, возможно, стоит получить передачу POE.

  • Поскольку многие дешевые беспроводные маршрутизаторы не работают как автономные точки доступа, лучше всего вы можете надеяться, что арендаторы будут использовать Double NAT. Если бы каждый подключил свой маршрутизатор к своей сети через WAN /интернет-порт, который улучшил бы безопасность и устранил бы проблему DHCP. Хорошо напечатанная инструкция с обычными марками маршрутизаторов может сэкономить вам некоторое оборудование и проблемы; однако полное соблюдение было бы трудным.

  • Используйте инструмент, например namebench , чтобы найти самые быстрые DNS-серверы для вашего ISP.

Удачи!

ответил Jeffrey 28 +04002013-10-28T18:07:12+04:00312013bEurope/MoscowMon, 28 Oct 2013 18:07:12 +0400 2013, 18:07:12
1

Если у вас есть достойный маршрутизатор, одним из возможных решений является настройка одной VLAN на квартиру и назначение адреса /30 для каждой VLAN. Также создайте область DHCP для каждой VLAN, которая назначает только один IP-адрес.

Например:

  • vlan 100
    • подсеть 10.0.1.0/30
    • router 10.0.1.1
    • пользователь 10.0.1.2
  • vlan 104
    • подсеть 10.0.1.4/30
    • router 10.0.1.5
    • пользователь 10.0.1.6

Это решает проблему игр между квартирами, потому что маршрутизатор может маршрутизировать между квартирами. Он также решает проблему жулика DHCP, потому что трафик DHCP изолирован от VLAN этой квартиры и получает только один IP-адрес.

ответил longneck 28 +04002013-10-28T18:30:06+04:00312013bEurope/MoscowMon, 28 Oct 2013 18:30:06 +0400 2013, 18:30:06
-2

Я бы выбрал PPPOE и простой сервер, например ... mikrotik или что-то его поддерживает. Казалось бы, это простой способ. Я уверен, что вы решили это к настоящему времени, но для кого-то будет эта проблема ... pppoe - это самый быстрый ответ.

ответил Cip 10 thEurope/Moscowp30Europe/Moscow09bEurope/MoscowThu, 10 Sep 2015 22:02:25 +0300 2015, 22:02:25

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132