ฉันจะป้องกันเครือข่ายงบประมาณต่ำจากเซิร์ฟเวอร์ DHCP อันธพาลได้อย่างไร

ฉันกำลังช่วยเพื่อนจัดการการเชื่อมต่ออินเทอร์เน็ตที่ใช้ร่วมกันในอพาร์ทเมนต์บิลดิ้งที่มี 80 อพาร์ทเมนต์ - 8 บันไดที่มี 10 อพาร์ทเมนท์ในแต่ละ เครือข่ายวางกับเราเตอร์อินเทอร์เน็ตที่ปลายด้านหนึ่งของอาคารเชื่อมต่อกับสวิตช์พอร์ต 16 พอร์ตที่ไม่มีการจัดการในบันไดแรกที่เชื่อมต่ออพาร์ทเมนท์ 10 แห่งแรก หนึ่งพอร์ตเชื่อมต่อกับสวิตช์ cheapo อีก 16 พอร์ตในบันไดถัดไปซึ่งอพาร์ทเมนท์ทั้ง 10 แห่งเชื่อมต่อกันและอื่น ๆ เรียงจากสวิตช์โซ่เดซี่โดยมีอพาร์ทเมนท์ 10 ห้องเป็นซี่ "เดซี่" แต่ละตัว ตัวอาคารเป็นรูปตัวยูสูงประมาณ 50 x 50 เมตรสูง 20 เมตรจากเราเตอร์ไปจนถึงอพาร์ทเมนต์ที่ไกลที่สุดมันอาจจะอยู่ที่ประมาณ 200 เมตรรวมถึงบันไดขึ้นและลง

เรามีปัญหาเล็กน้อยกับผู้ที่เชื่อมต่อ wifi-routers ผิดวิธีสร้างเซิร์ฟเวอร์ DHCP อันธพาลซึ่งขัดจังหวะกลุ่มผู้ใช้จำนวนมากและเราต้องการที่จะแก้ปัญหานี้ด้วยการทำให้เครือข่ายฉลาดขึ้น (แทนที่จะทำการค้นหาแบบถอดปลั๊กทางกายภาพ )

ด้วยทักษะเครือข่ายที่ จำกัด ของฉันฉันเห็นสองวิธี - การสอดแนม DHCP หรือแยกเครือข่ายทั้งหมดเป็น VLANS แยกสำหรับแต่ละอพาร์ตเมนต์ แยก VLANS ให้แต่ละอพาร์ทเมนท์มีการเชื่อมต่อส่วนตัวกับเราเตอร์ในขณะที่การดักฟัง DHCP ยังคงอนุญาตให้เล่นเกม LAN และแชร์ไฟล์

DHCP การสอดแนมจะทำงานกับทอพอโลยีเครือข่ายชนิดนี้หรือไม่นั้นขึ้นอยู่กับเครือข่ายที่อยู่ในการกำหนดค่าฮับและพูดที่เหมาะสมหรือไม่ ฉันไม่แน่ใจว่ามีการดักฟัง DHCP ในระดับที่แตกต่างกันหรือไม่เช่นสวิตช์ของ Cisco ที่มีราคาแพงจะทำอะไรบ้าง แต่สวิตช์ที่ราคาไม่แพงเช่น TP-Link, D-Link หรือ Netgear จะทำในโทโพโลยีบางอย่างเท่านั้น

และ VLAN พื้นฐานจะสนับสนุนดีพอสำหรับทอพอโลยีนี้หรือไม่? ฉันเดาว่าสวิตช์ที่มีการจัดการราคาถูกสามารถติดแท็กทราฟฟิกจากแต่ละพอร์ตด้วยแท็ก VLAN ของตัวเอง แต่เมื่อสวิตช์ถัดไปในเดซี่เชนได้รับแพ็คเก็ตบนพอร์ต "downlink" จะไม่ดึงหรือเปลี่ยนแท็ก VLAN ด้วยตนเอง แท็ก trunk (หรือชื่ออะไรก็ตามสำหรับการรับส่งข้อมูลกระดูกสันหลัง)

เงินแน่นและฉันไม่คิดว่าเราจะจ่ายให้กับซิสโก้ระดับมืออาชีพ (ฉันได้รณรงค์มานานหลายปี) ดังนั้นฉันชอบคำแนะนำเกี่ยวกับวิธีแก้ปัญหาที่ได้รับการสนับสนุนที่ดีที่สุดสำหรับอุปกรณ์เครือข่ายต่ำและถ้ามี รุ่นที่แนะนำคืออะไร ตัวอย่างเช่นสวิตช์ HP ต่ำสุดหรือแม้กระทั่งแบรนด์งบประมาณเช่น TP-Link, D-Link เป็นต้น

หากฉันมองข้ามอีกวิธีหนึ่งในการแก้ปัญหานี้เป็นเพราะขาดความรู้ :)

ฉันคิดว่าคุณควรไปเส้นทาง multi-VLAN - และไม่ใช่เพียงเพราะปัญหาเซิร์ฟเวอร์ DHCP ในขณะนี้คุณมีเครือข่ายแฟลตขนาดใหญ่หนึ่งเครือข่ายและในระดับหนึ่งผู้ใช้ควรได้รับการคาดหวังว่าจะดูแลความปลอดภัยของตัวเองฉันจะพบว่าเป็นการตั้งค่าที่ไม่น่ารับ

สวิตช์เดียวที่จำเป็นต้องจัดการเป็นของคุณ นอกเหนือจากนั้นคุณให้แต่ละอพาร์ทเมนท์มีพอร์ตเดียวบน VLAN ที่เฉพาะเจาะจง - อะไรก็ตามที่ล่องไปนั้นจะไม่รู้ VLAN อย่างสมบูรณ์และคุณสามารถทำงานได้ตามปกติ

ในแง่ของสวิทช์ของคุณ - พอร์ตสวิทช์เพื่อสลับจะต้องกำหนดค่าเป็นพอร์ต trunk และคุณจะต้องสอดคล้องกับ VLAN ID ของคุณ กล่าวอีกนัยหนึ่ง VLAN100 ต้องสอดคล้องกับ VLAN100 ทุกที่ในเครือข่าย

นอกเหนือจากนั้นคุณสามารถตั้งค่า "เราเตอร์ - on - a - stick" การกำหนดค่าด้วย VLAN แต่ละ (และมันเป็นสระว่ายน้ำที่เกี่ยวข้องกับ IP ของ *) กำหนดค่าเพียงเพื่อเส้นทางไปมาอินเทอร์เน็ตและไม่ไปยังเครือข่ายภายในอื่น ๆ

* ฉันไม่คิดว่าจะติดที่ใดก็ได้ แต่จำไว้ว่าคุณควรให้ VLAN ของคุณเป็นกลุ่มของ IP วิธีที่ง่ายที่สุดในการทำเช่นนี้คือการทำให้หนึ่งในอ็อกเท็ตเหมือนกับ VLAN ID เช่น

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

เมื่อทั้งหมดนี้อยู่ในสถานที่คุณสามารถเริ่มต้นใช้สถานที่กับสิ่งต่างๆเช่นคุณภาพของการบริการการตรวจสอบการจราจรและอื่น ๆ หากคุณต้องการ!

คำขอ "เกม LAN" ดูเหมือนจะเป็นคำขอที่ค่อนข้างเฉพาะสำหรับฉันและแน่นอนไม่ใช่คำถามที่ฉันคิด พวกเขายังคงสามารถเล่นเกมผ่าน NAT โดยปกติโดยออกไปที่อินเทอร์เน็ตและกลับ - ไม่เหมาะ แต่แต่ละอพาร์ตเมนต์มีการเชื่อมต่อของตัวเองซึ่งเป็นบรรทัดฐานที่นี่ในสหราชอาณาจักร อย่างไรก็ตามคุณสามารถเพิ่มเส้นทางระหว่าง VLAN เต็มรูปแบบระหว่างอพาร์ทเมนต์ที่ต้องการแบ่งปันเครือข่ายของพวกเขาในแบบนั้น

ในความเป็นจริงคุณสามารถเพิ่มการกำหนดเส้นทาง Inter-VLAN ได้ทุกที่ - ซึ่งจะแก้ไขปัญหา DHCP ของคุณ, อนุญาตให้ QoS แต่ยังคงเป็นปัญหาด้านความปลอดภัยขนาดใหญ่ในความคิดของฉัน

สิ่งหนึ่งที่ฉันไม่ได้กล่าวถึงที่นี่คือ DHCP ของคุณ - สมมุติว่าคุณมีขอบเขตเดียวในขณะนี้สำหรับลูกค้าทั้งหมดของคุณ หากคุณวางมันลงในเครือข่ายที่แยกจากกันคุณจะต้องจัดการขอบเขตที่แยกต่างหากสำหรับแต่ละ VLAN มันขึ้นอยู่กับอุปกรณ์และโครงสร้างพื้นฐานจริงๆดังนั้นฉันจะออกไปก่อน

ขึ้นอยู่กับงบประมาณของคุณอย่างน้อยเลือกสวิตช์ที่มีการจัดการอย่างน้อยหนึ่งสวิตช์และวางแต่ละชั้นบน VLAN

เพื่อแก้ปัญหาความปลอดภัยและ DHCP ของคุณอย่างสมบูรณ์หากสายอนุญาตให้รับสวิตช์ที่มีการจัดการ 24 พอร์ตสำหรับทุกสองชั้น หากการเดินสายเคเบิลไม่อนุญาตให้ใช้แผงแพทช์เพื่อยืดระยะการวิ่งอาจมีราคาถูกกว่าสวิตช์มากขึ้น

คุณสามารถประหยัดได้ด้วยการใช้สวิตช์ที่มีการจัดการ 10/100 อย่างไรก็ตามขึ้นอยู่กับผู้ขายซึ่งอาจต้องใช้ความเชี่ยวชาญอย่างมากในการตั้งค่า (Cisco)

ในฐานะที่โปรแกรมเมอร์เขียนการตั้งค่าเครือข่ายพอร์ตมากกว่า 1,000 แห่งในอาคารสำนักงาน 8 ชั้นที่มีไฟเบอร์ฉันสามารถพูดได้ว่าสวิตช์ที่จัดการด้วย D-link GUI GUI ที่จับคู่กับคู่มือนั้นจะช่วยให้คุณทำสิ่งที่คุณต้องการ ฉันไม่ได้บอกว่าคุณต้องใช้ D-Link ฉันแค่บอกว่าฉันไม่คิดว่าคุณจะผิดหวัง สวิตช์ที่มีการจัดการ D-Link (ระดับ 2+) มีราคาไม่แพงและสามารถเรียกใช้ DHCP บนสวิตช์ได้ (ไม่แนะนำสิ่งนี้ แต่เป็นตัวเลือก) พวกมันมีสวิตช์ระดับ "สมาร์ท" ที่ต่ำกว่าซึ่งอาจทำทุกสิ่งที่คุณต้องการ

หากคุณทำ VLAN ต่อชั้น a / 23 (โฮสต์ 512 คน) ควรเพียงพอ (ใหญ่กว่าถ้าคุณวางแผนที่จะแผ่เครือข่ายไร้สาย) หากคุณทำ VLAN ต่ออพาร์ทเมนต์คุณควรทำ / 27 (30 ครอบครัว)

วิธีที่ง่ายที่สุดที่จะทำ DHCP สำหรับหลาย VLANs ในความคิดของฉันจะคว้า PI ราสเบอร์รี่และใช้ISC DHCP คุณสามารถใช้เครื่องจักรพลังงานต่ำที่มี NIC ซึ่งรองรับ VLAN (โดยส่วนตัวแล้วฉันจะคว้าEdgeMax เราเตอร์ในราคา $ 99 และเรียกใช้ DHCP ในนั้น!)

เพียงเลือกช่วง IP / ซับเน็ตต่อ VLAN แต่ละตัวการกำหนดค่า ISC DHCP ของคุณสำหรับ VLAN อาจมีลักษณะดังนี้:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

คุณสามารถติดกับตัวเลือกระดับโลกนอกขอบเขตแต่ละขอบเขตดังนั้นอย่างน้อยที่สุดคุณก็จะพบกับสิ่งนี้:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

หากแต่ละอพาร์ทเมนท์มีแจ็คเครือข่ายหลายตัวตั้งค่าโปรโตคอลต้นไม้ทอดเพื่อหลีกเลี่ยงการวนซ้ำสิ่งนี้อาจทำให้ช้าลงหากคุณไม่ได้กำหนดค่าไว้อย่างเหมาะสมทำให้แต่ละพอร์ตใช้เวลา 30 วินาทีขึ้นไปดังนั้นให้แน่ใจว่าคุณทดสอบ มีตัวเลือกที่คุณต้องการเปิดใช้งานฉันเชื่อว่า Cisco เรียกว่า PortFast

ฉันยังไม่ได้ทำสิ่งนี้เป็นการส่วนตัว แต่เห็นได้ชัดว่าเซิร์ฟเวอร์ Windows ทำให้การติดตั้งนี้ง่ายมาก

พิจารณาด้วย:

• ผู้ส่งต่อ DNS แคชในท้องถิ่นการสร้างทราฟฟิกและบางที QoS สำหรับ VoIP จะปรับปรุงการตอบสนองโดยรวม

• หากคุณวางแผนที่จะอัพเกรดกล้องรักษาความปลอดภัยหรือเปิดตัวระบบไร้สายมันอาจคุ้มค่าที่จะได้รับอุปกรณ์ POE

• เนื่องจากเราเตอร์ไร้สายราคาถูกจำนวนมากไม่ทำงานในฐานะ AP แบบสแตนด์อโลนสิ่งที่ดีที่สุดที่คุณหวังได้คือผู้เช่าจะใช้ NAT แบบ Double หากทุกคนต้องเชื่อมต่อเราเตอร์กับเครือข่ายของคุณผ่านพอร์ต WAN / อินเทอร์เน็ตที่จะปรับปรุงความปลอดภัยและขจัดปัญหา DHCP เช่นกัน แผ่นคำแนะนำที่พิมพ์ออกมาอย่างดีกับแบรนด์เราเตอร์ทั่วไปอาจช่วยให้คุณประหยัดอุปกรณ์และปัญหาบางอย่าง อย่างไรก็ตามการปฏิบัติตามเต็มรูปแบบอาจเป็นเรื่องยาก

• ใช้เครื่องมือเช่นnamebenchเพื่อค้นหาเซิร์ฟเวอร์ DNS ที่เร็วที่สุดสำหรับ ISP ของคุณ

โชคดี!

หากคุณมีเราเตอร์ที่ดีวิธีหนึ่งที่เป็นไปได้คือตั้งค่า VLAN หนึ่งตัวต่ออพาร์ตเมนต์และกำหนดที่อยู่ / 30 ให้กับแต่ละ VLAN สร้างขอบเขต DHCP สำหรับแต่ละ VLAN ที่กำหนดที่อยู่ IP เดียวเท่านั้น

ตัวอย่างเช่น:

• vlan 100
  • subnet 10.0.1.0/30
  • เราเตอร์ 10.0.1.1
  • ผู้ใช้ 10.0.1.2
• vlan 104
  • ซับเน็ต 10.0.1.4/30
  • เราเตอร์ 10.0.1.5
  • ผู้ใช้ 10.0.1.6

วิธีนี้ช่วยแก้ปัญหาการเล่นเกมระหว่างอพาร์ทเมนท์เนื่องจากเราเตอร์สามารถกำหนดเส้นทางระหว่างอพาร์ทเมนท์ นอกจากนี้ยังแก้ปัญหา DHCP อันธพาลได้เนื่องจากทราฟฟิก DHCP แยกไปที่ VLAN ของอพาร์ทเมนต์นั้นและพวกเขาได้รับที่อยู่ IP เดียวเท่านั้น

ฉันจะเลือก PPPOE และเซิร์ฟเวอร์อย่างง่ายเช่น ... mikrotik หรืออะไรก็ตามที่รองรับ ดูเหมือนจะเป็นวิธีที่ง่าย ฉันแน่ใจว่าคุณจะแก้ไขมันได้ในตอนนี้ แต่สำหรับทุกคนจะมีปัญหานี้ ... pppoe เป็นคำตอบที่เร็วที่สุด