Как защитить малобюджетную сеть от мошеннических DHCP-серверов?

Я помогаю другу управлять общим доступом в Интернет в многоквартирном доме с 80 квартирами - 8 лестницами по 10 квартир в каждой. Сеть спроектирована с помощью интернет-маршрутизатора на одном конце здания, подключенного к дешевому неуправляемому 16-портовому коммутатору на первой лестнице, к которому также подключены первые 10 квартир. Один порт связан с другим 16-портовым дешевым коммутатором на следующей лестнице, где соединены эти 10 квартир и так далее. Вроде цепочки гирлянд с 10 квартирами в виде спиц на каждой «маргаритке». Здание имеет U-образную форму, приблизительно 50 x 50 метров, высотой 20 метров - поэтому от маршрутизатора до самой дальней квартиры, вероятно, около 200 метров, включая лестницы вверх и вниз.

У нас немало проблем с людьми, которые неправильно подключают Wi-Fi-маршрутизаторы, создавая мошеннические DHCP-серверы, которые прерывают работу больших групп пользователей, и мы хотим решить эту проблему, сделав сеть умнее (вместо физического отключения бинарного поиска ).

С моими ограниченными сетевыми навыками я вижу два пути - слежка по DHCP или разделение всей сети на отдельные VLANS для каждой квартиры. Отдельные сети VLANS предоставляют каждой квартире отдельное частное подключение к маршрутизатору, в то время как отслеживание DHCP по-прежнему позволяет играть в локальной сети и обмениваться файлами.

Будет ли DHCP snooping работать с такой топологией сети, или это зависит от того, находится ли сеть в надлежащей конфигурации концентратора и спицы? Я не уверен, что существуют разные уровни отслеживания DHCP - скажем, дорогие коммутаторы Cisco будут делать что-нибудь, а недорогие, такие как TP-Link, D-Link или Netgear, будут делать это только в определенных топологиях?

И будет ли достаточно базовой поддержки VLAN для этой топологии? Я предполагаю, что даже дешевые управляемые коммутаторы могут маркировать трафик с каждого порта своей собственной меткой VLAN, но когда следующий коммутатор в последовательной цепи получает пакет на свой порт «нисходящей линии связи», он не будет очищать или заменять метку VLAN своей собственной транк-тэг (или как его там называют для магистрального трафика).

Деньги ограничены, и я не думаю, что мы можем позволить себе Cisco профессионального уровня (я проводил кампанию за это годами), поэтому я хотел бы получить несколько советов о том, какое решение лучше всего подходит для сетевого оборудования низкого уровня и, если оно есть, Какие конкретные модели рекомендуются? Например, бюджетные коммутаторы HP или даже бюджетные бренды, такие как TP-Link, D-Link и т. Д.

Если я упустил другой способ решения этой проблемы, то это из-за недостатка знаний. :)

Я думаю, что вы должны идти по маршруту нескольких VLAN - и не только из-за проблемы с сервером DHCP. На данный момент у вас есть одна большая плоская сеть, и хотя в некоторой степени от пользователей следует позаботиться о собственной безопасности, я лично считаю это довольно неприемлемой установкой.

Единственные переключатели, которыми нужно управлять, являются вашими. Кроме того, вы предоставляете каждой квартире один порт в определенной VLAN - все, что находится ниже по потоку, будет совершенно не осведомлено о VLAN, и вы сможете нормально функционировать.

Что касается ваших коммутаторов - порты коммутатора к коммутатору необходимо будет настроить как транковые порты, и вам нужно будет соответствовать вашим идентификаторам VLAN. Другими словами, VLAN100 ДОЛЖЕН соответствовать VLAN100 везде в сети.

Кроме этого, вы можете настроить конфигурацию «Маршрутизатор на палочке», в которой каждая VLAN (и связанный с ней пул IP-адресов *) сконфигурирована только для маршрутизации туда и обратно в Интернет, а НЕ в другие внутренние сети.

* Я не мог придумать где-нибудь еще, чтобы придерживаться этого, но помните, что в идеале вы должны предоставлять своим VLAN свой собственный пул IP-адресов. Самый простой способ сделать это - сохранить один из октетов в качестве идентификатора VLAN, например

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

После того, как все это будет сделано, вы можете начать работать с такими вещами, как качество обслуживания, мониторинг трафика и так далее, если хотите!

Мне кажется, что запрос «LAN Games» - это относительно нишевая просьба, и, конечно, я не думаю о ней. Они по-прежнему могут нормально играть через NAT, выходя в Интернет и обратно - не идеально, но ничем не отличается от каждой квартиры, имеющей свое собственное соединение, что является нормой в Великобритании. Тем не менее, в каждом конкретном случае вы можете добавить полную маршрутизацию между VLAN между квартирами, которые хотят таким же образом распределять свою сеть.

Фактически, вы МОЖЕТЕ добавить полную маршрутизацию между VLAN везде - это решило бы ваши проблемы с DHCP, разрешило QoS, но, по моему мнению, все еще является серьезной проблемой безопасности.

Одна вещь, которую я здесь не рассмотрел, - это ваш DHCP - возможно, у вас есть одна область действия для всех ваших клиентов. Если вы поместите их в отдельные сети, вам нужно будет управлять отдельной областью для каждой VLAN. Это зависит от устройства и инфраструктуры, поэтому я пока остановлюсь на этом.

В зависимости от вашего бюджета, по крайней мере, выберите один управляемый коммутатор и поместите каждый этаж в VLAN.

Чтобы полностью решить вашу проблему безопасности и DHCP, если кабели позволяют, установите 24-портовый управляемый коммутатор на каждые два этажа. Если кабели не позволяют, использование патч-панелей для увеличения длины трассы, вероятно, дешевле, чем большее количество коммутаторов.

Вы можете сэкономить на оборудовании, используя 10/100 управляемые коммутаторы, однако, в зависимости от поставщика, для настройки может потребоваться большой опыт (Cisco).

Как программист, настроенный на настройку сети с более чем 1000 портами в 8-этажном офисном здании с оптоволоконным кабелем, я могу сказать, что графический интерфейс управляемых коммутаторов D-Link в сочетании с руководством позволит вам делать все, что вам нужно. Я не говорю, что вы должны использовать D-Link, я просто говорю, что не думаю, что вы будете разочарованы. Управляемые коммутаторы D-Link (уровень 2+) доступны по цене и могут запускать DHCP на коммутаторе (не рекомендуется, но это вариант). Они имеют более низкий уровень «умного» переключателя, который может делать все, что вам нужно.

Если вы используете виртуальную локальную сеть на каждом этаже, то достаточно / 23 (512 хостов) (увеличьте, если вы планируете использовать беспроводную сеть). Если вы делаете VLAN на квартиру, то / 27 (30 хостов) должны это делать.

На мой взгляд, самый простой способ сделать DHCP для нескольких VLAN - это взять малиновый PI и использовать ISC DHCP . Вы можете использовать любую машину с низким энергопотреблением, которая имеет сетевой адаптер, поддерживающий VLAN. (Лично я бы взял маршрутизатор EdgeMax за 99 долларов и запустил DHCP на этом!)

Просто выберите диапазон IP / подсеть для каждой VLAN, ваша конфигурация ISC DHCP для VLAN может выглядеть примерно так:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Вы можете прикрепить глобальные параметры вне каждой области, так что, по крайней мере, вы получите что-то вроде этого:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Если в каждой квартире есть несколько сетевых разъемов, установите протокол связующего дерева, чтобы избежать петель. Это может замедлить процесс, если вы не настроите его должным образом, что заставит каждый порт работать в течение 30 секунд или более, поэтому обязательно проверьте его. Есть вариант, который вы хотите включить, я полагаю, Cisco называет его PortFast.

Я не делал этого лично, но, видимо, сервер Windows позволяет легко это настроить.

Также учтите:

• Пересылка DNS локального кэширования, формирование трафика и, возможно, QoS для VoIP улучшат общую скорость отклика (если ваше оборудование будет способно поддерживать указанные службы на скорости линии).

• Если вы планируете обновить камеры видеонаблюдения или развернуть беспроводную связь, возможно, стоит приобрести POE.

• Поскольку многие дешевые беспроводные маршрутизаторы не работают в качестве автономных точек доступа, самое лучшее, на что можно надеяться, это то, что арендаторы будут использовать Double NAT. Если бы каждый подключил свой маршрутизатор к вашей сети через порт WAN / Internet, это улучшило бы безопасность и устранило бы проблему DHCP. Хорошо напечатанный лист инструкций с обычными марками маршрутизаторов может сэкономить вам некоторое оборудование и проблемы; однако полное соблюдение будет затруднено.

• Используйте инструмент вроде namebench, чтобы найти самые быстрые DNS-серверы для вашего интернет-провайдера.

Удачи!

Если у вас есть приличный маршрутизатор, одним из возможных решений является настройка одной VLAN на квартиру и назначение адреса / 30 для каждой VLAN. Также создайте область DHCP для каждой VLAN, которая назначает только один IP-адрес.

Например:

• Влан 100
  • подсеть 10.0.1.0/30
  • маршрутизатор 10.0.1.1
  • пользователь 10.0.1.2
• Влан 104
  • подсеть 10.0.1.4/30
  • роутер 10.0.1.5
  • пользователь 10.0.1.6

Это решает проблему игр между квартирами, потому что маршрутизатор может маршрутизировать между квартирами. Это также решает проблему мошеннического DHCP, потому что трафик DHCP изолирован от VLAN той квартиры, и они получают только один IP-адрес.

Я бы выбрал PPPOE и простой сервер, например ... mikrotik или любой другой, поддерживающий его. Казалось бы, легкий путь. Я уверен, что вы уже решили ее, но для любого возникнет эта проблема ... pppoe - самый быстрый ответ.