web-dev-qa-db-ja.com

低予算のネットワークを不正なDHCPサーバーから保護するにはどうすればよいですか?

私は友人が80のアパート-10のアパートを持つ8つの階段を持つアパートで共有インターネット接続を管理するのを手伝っています。ネットワークは、建物の一方の端にあるインターネットルーターでレイアウトされ、最初の10アパートが接続されている最初の階段の安価な非管理型16ポートスイッチに接続されています。 1つのポートは、次の階段にある別の16ポートのチーポスイッチに接続され、そこで10のアパートが接続されます。スイッチのデイジーチェーンの一種で、各「デイジー」のスポークとして10のアパートメントがあります。建物はU字型で、高さは約50 x 50メートル、高さは20メートルです。ルーターから最も遠いアパートまでは、階段を含めて約200メートルです。

私たちは人々が間違った方法でwifiルーターを接続し、ユーザーの大規模なグループに割り込む不正なDHCPサーバーを作成するというかなりの問題を抱えており、ネットワークをよりスマートにすることでこの問題を解決したいと思います(物理的にプラグを抜くバイナリ検索を行うのではなく) )。

私のネットワーキングスキルは限られているため、DHCPスヌーピングまたは各アパートメントのネットワーク全体を個別のVLANに分割するという2つの方法があります。個別のVLANは、各アパートメントにルーターへの独自のプライベート接続を提供しますが、DHCPスヌーピングは引き続きLANゲームとファイル共有を許可します。

DHCPスヌーピングはこの種のネットワークトポロジで機能しますか、それとも適切なハブアンドスポーク構成のネットワークに依存していますか?さまざまなレベルのDHCPスヌーピングがあるかどうかはわかりません。たとえば、高価なCiscoスイッチは何でもできるようですが、TP-Link、D-Link、Netgearなどの安価なものは特定のトポロジでしか機能しません。

そして、基本的なVLANサポートはこのトポロジーに十分対応できますか?安価なマネージドスイッチでさえ、各ポートからのトラフィックに独自のVLANタグを付けることができますが、デイジーチェーンの次のスイッチは、その「ダウンリンク」ポートでパケットを受信しますが、VLANタグをそれ自体のトランクタグ(または、バックボーントラフィック)。

お金が限られているので、プロ級のCiscoを購入する余裕はないと思います(私は何年もこのキャンペーンを行ってきました)、ローエンドのネットワーク機器で最も優れたサポートが得られるソリューションと、それがあるかどうかについてのアドバイスが欲しいです推奨される特定のモデルはありますか?たとえば、ローエンドのHPスイッチや、TP-Link、D-Linkなどの予算のブランドなどです。

この問題を解決する別の方法を見落としてしまった場合、それは私の知識不足によるものです。 :)

networkingdhcp
22
Kenned

DHCPサーバーの問題だけでなく、マルチVLANルートを使用する必要があると思います。現時点では、1つの大きなフラットネットワークがあり、ある程度、ユーザーは自分のセキュリティを管理する必要がありますが、個人的には許容できない設定だと思います。

管理する必要がある唯一のスイッチはあなたのものです。それを超えて、各アパートメントに特定のVLANの単一ポートを与えます-その下流は、VLANを完全に認識しなくなり、正常に機能します。

スイッチの観点から-スイッチ間ポートはトランクポートとして構成する必要があり、VLAN IDのIDと一致している必要があります。言い換えると、VLAN100はどこでもVLAN100に対応している必要がありますネットワーク上の他の。

それ以外は、「Router-on-a-stick」構成をセットアップできます。各VLAN(およびそれに関連付けられたIPのプール*)は、インターネットと他の内部ネットワークではありません。

*これを続ける他の方法は考えられませんでしたが、理想的にはVLANに独自のIPプールを提供する必要があることを忘れないでください。これを行う最も簡単な方法は、VLAN IDと同じオクテットの1つを維持することです。

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

これらすべての準備が整ったら、必要に応じて、サービスの品質、トラフィックの監視などを実際に開始できます。

「LAN Games」リクエストは、私にとっては比較的ニッチなリクエストのようであり、確かに私が考えるものではありません。彼らはまだNATインターネット経由で戻ることでゲームを続けることができます-理想的ではありませんが、ここ英国での標準である独自の接続を持つ各アパートメントと違いはありません。ただし、ケースバイケースで、その方法でネットワークを共有したいアパートメント間に完全なVLAN間ルーティングを追加できます。

実際、あらゆる場所に完全なVLAN間ルーティングを追加できます-これはDHCPの問題を修正し、QoSを許可しますが、私の意見では依然として大きなセキュリティの問題です。

ここで取り上げていないことの1つはDHCPです。おそらく、現時点では、すべてのクライアントに対して1つのスコープしかありません。それらを個別のネットワークに配置する場合は、VLANごとに個別のスコープを管理する必要があります。これは実際にはデバイスとインフラストラクチャに依存しているので、ここでは省略します。

20
Dan

予算に応じて、少なくとも1つの管理対象スイッチを取得し、各フロアをVLANに配置します。

セキュリティとDHCPの問題を完全に解決するために、ケーブル接続が可能であれば、2フロアごとに24ポートのマネージドスイッチを入手してください。ケーブル接続が許可しない場合、パッチパネルを使用して配線を延長する方が、多くのスイッチよりも安価です。

10/100マネージドスイッチを使用することで機材を節約できますが、ベンダーによっては、セットアップにかなりの専門知識が必要になる場合があります(Cisco)。

プログラマーがファイバーを使って8階建てのオフィスビルに1000以上のポートネットワークをセットアップするように投げ込まれたとき、マニュアルと組み合わせたDリンクマネージドスイッチのGUIで、必要なことは何でもできると言えます。 D-Linkを使用する必要があると言っているのではなく、ただ失望しないと言っているだけです。 D-Link管理スイッチ(レベル2+)は手頃な価格で、スイッチでDHCPを実行できます(これはお勧めしませんが、オプションです)。彼らはあなたが必要とするすべてをするかもしれないより低い「スマート」スイッチ層を持っています。

VLANフロアごとに/ 23(512ホスト)で十分です(ワイヤレスを展開する予定がある場合は、さらに大きくします)。VLANアパートメントごとに、/ 27(ホスト30台)で十分です。

私の考えでは、複数のVLANに対してDHCPを実行する最も簡単な方法は、Raspberry Piを取得して ISC DHCP を使用することです。 NIC VLANをサポートする)低電力のマシンならどれでも使用できます(個人的には、$-99で EdgeMaxルーター を入手してDHCPを実行します! )

各VLANごとにIP範囲/サブネットを選択するだけで、VLANのISC DHCP構成は次のようになります。

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

グローバルオプションは各スコープの外に置くことができるので、少なくとも次のような結果になります。

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

各アパートメントに複数のネットワークジャックがあり、ループを回避するためにスパニングツリープロトコルが設定されている場合これにより、各ポートを適切に構成しないと、速度が低下する可能性があります表示されるまでに30秒以上かかるので、必ずテストしてください。有効にしたいオプションがあります。シスコではこれをPortFastと呼んでいると思います。

私は個人的にこれを行ったわけではありませんが、どうやらWindowsサーバーではこれを簡単にセットアップできます。

以下も考慮してください:

  • ローカルキャッシングDNSフォワーダー、トラフィックシェーピング、そしておそらくVoIPのQoSにより、全体的な応答性が向上します(ハードウェアが上記のサービスを回線速度で実行できる場合)。

  • 防犯カメラのアップグレードやワイヤレスの導入を計画している場合は、POE機器を入手する価値があるかもしれません。

  • 安価なワイヤレスルーターの多くはスタンドアロンAPとして機能しないため、テナントがダブルNATを使用することを期待できます。全員がWAN /インターネットポートを介してルーターをネットワークに接続すると、セキュリティが向上し、DHCPの問題も解消されます。一般的なルーターのブランドがよく印刷された指示書があれば、機器や手間を省くことができます。ただし、完全なコンプライアンスは困難です。

  • namebench のようなツールを使用して、ISPの最高速のDNSサーバーを見つけます。

幸運を!

6
Jeff

まともなルーターをお持ちの場合、1つのVLANアパートメントごとに/ 30アドレスを割り当てて、各VLANにDHCPスコープを作成します。また、各VLAN 1つのIPアドレスのみを割り当てます。

例えば:

  • vlan 100
    • サブネット10.0.1.0/30
    • ルータ10.0.1.1
    • ユーザー10.0.1.2
  • vlan 104
    • サブネット10.0.1.4/30
    • ルータ10.0.1.5
    • ユーザー10.0.1.6

これは、ルーターがアパート間をルーティングできるため、アパート間のゲームの問題を解決します。また、DHCPトラフィックがそのアパートメントのVLAN=に分離され、IPアドレスを1つしか取得しないため、不正なDHCP問題が解決されます。

1
longneck