Jak chronić sieć o niskim budżecie przed nieuczciwymi serwerami DHCP?

22

Pomagam znajomemu zarządzać wspólnym połączeniem internetowym w mieszkaniu z 80 mieszkaniami - 8 klatkami schodowymi po 10 mieszkań w każdym. Sieć jest ułożona z routerem internetowym na jednym końcu budynku, podłączonym do taniego niezarządzanego 16-portowego przełącznika na pierwszych schodach, do których podłączonych jest również pierwszych 10 mieszkań. Jeden port jest podłączony do innego 16-portowego przełącznika Cheapo w następnych schodach, do których podłączonych jest 10 mieszkań i tak dalej. Coś w rodzaju stokrotkowego łańcucha przełączników z 10 mieszkaniami jako szprychami na każdej „stokrotce”. Budynek ma kształt litery U, około 50 x 50 metrów, 20 metrów wysokości - więc od routera do najdalszego mieszkania jest prawdopodobnie około 200 metrów, w tym schody w górę iw dół.

Mamy sporo problemów z tym, że ludzie podłączają routery Wi-Fi w niewłaściwy sposób, tworząc fałszywe serwery DHCP, które przerywają duże grupy użytkowników, i chcemy rozwiązać ten problem, czyniąc sieć bardziej inteligentną (zamiast fizycznego odłączania wyszukiwania binarnego ).

Mając ograniczone umiejętności sieciowe, widzę dwa sposoby - szperanie DHCP lub dzielenie całej sieci na osobne sieci VLANS dla każdego mieszkania. Oddzielna sieć VLANS zapewnia każdemu mieszkaniu swoje prywatne połączenie z routerem, a szpiegowanie DHCP nadal umożliwia granie w sieci LAN i udostępnianie plików.

Czy szpiegowanie DHCP będzie działać z tego rodzaju topologią sieci, czy też zależy to od tego, czy sieć jest w odpowiedniej konfiguracji koncentratora i szprychy? Nie jestem pewien, czy istnieją różne poziomy szpiegowania DHCP - powiedzmy, że drogie przełączniki Cisco zrobią wszystko, ale niedrogie, takie jak TP-Link, D-Link lub Netgear, zrobią to tylko w niektórych topologiach?

Czy podstawowa obsługa sieci VLAN będzie wystarczająca dla tej topologii? Wydaje mi się, że nawet tanie zarządzane przełączniki mogą oznaczać ruch z każdego portu za pomocą własnego znacznika VLAN, ale kiedy następny przełącznik w łańcuchowym łańcuchu odbierze pakiet na swoim porcie „w łączu w dół”, czy nie usunie ani nie zastąpi znacznika VLAN własnym tag-trunk (lub jakakolwiek jest nazwa ruchu szkieletowego).

Pieniądze są ciasne i nie sądzę, że stać nas na profesjonalne Cisco (od lat prowadzę kampanię), dlatego chętnie doradzę, które rozwiązanie ma najlepsze wsparcie dla sprzętu sieciowego klasy niskiej, a jeśli tak, to czy są jakieś konkretne modele, które są zalecane? Na przykład tanie przełączniki HP, a nawet tanie marki, takie jak TP-Link, D-Link itp.

Jeśli przeoczyłem inny sposób rozwiązania tego problemu, wynika to z braku mojej wiedzy. :)

Kenned
źródło
Trudno będzie bronić użytkowników przed sobą i jednocześnie pozwalać na grę w sieci LAN. Rzeczywiście musisz dokonać wyboru. Może pokroić gruszkę na pół i zrobić 1 VLAN / Stairway?
mveroone
Jakiego routera używasz?
longneck
7
Wspominasz o Cisco kilka razy. Powinieneś także spojrzeć na ProCurve, zwłaszcza, że ​​używany sprzęt jest dostępny na eBayu tanio , ma dożywotnią gwarancję i ma prawie wszystkie te same funkcje. Używam sprzętu ProCurve do sieci domowych i małych firm, które obsługuję i absolutnie uwielbiam te rzeczy. A jeśli masz wątpliwości co do „zużytego”, to jest to program „ReNew” odnowionego, certyfikowanego, prawie nowego sprzętu. Oczywiście zawsze dostępne są nowe dla osób z zapasowymi zmianami.
Chris S
Router to Excito B3 z systemem iptables na Debianie.
Kenned
Dziękuję wszystkim za komentarze. To była amunicja, której potrzebowałem, aby przekonać innych, aby wybrali kilka używanych przełączników Procurve 26xx i ustawili osobne sieci dla każdego mieszkania (i to prawdopodobnie spowoduje pojawienie się więcej pytań z mojej strony). :)
Kenned

Odpowiedzi:

20

Myślę, że powinieneś wybrać trasę z wieloma sieciami VLAN - i to nie tylko z powodu problemu z serwerem DHCP. W tej chwili masz jedną dużą płaską sieć i chociaż do pewnego stopnia użytkownicy powinni dbać o własne bezpieczeństwo, osobiście uważam, że jest to dość niedopuszczalna konfiguracja.

Jedynymi przełącznikami, którymi trzeba zarządzać, są twoje. Poza tym dajesz każdemu mieszkaniu jeden port na konkretnej sieci VLAN - wszystko za nim będzie zupełnie nieświadome sieci VLAN i będziesz mógł normalnie funkcjonować.

Jeśli chodzi o twoje przełączniki - porty przełączające między przełącznikami będą musiały zostać skonfigurowane jako porty magistralne i musisz być zgodny z identyfikatorami VLAN. Innymi słowy, VLAN100 MUSI odpowiadać VLAN100 wszędzie indziej w sieci.

Poza tym możesz skonfigurować konfigurację „Router-on-a-stick”, przy czym każda sieć VLAN (i powiązana z nią pula adresów IP *) jest skonfigurowana tylko do kierowania tam iz powrotem do Internetu, a NIE do innych sieci wewnętrznych.

* Nie mogłem wymyślić innego miejsca, aby to przykleić, ale pamiętaj, że najlepiej byłoby, gdybyś dał sieci VLAN własną pulę adresów IP. Najprostszym sposobem na to jest zachowanie jednego z oktetów jako identyfikatora VLAN, np

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Gdy wszystko to jest na miejscu, możesz naprawdę zacząć zajmować się takimi rzeczami, jak jakość usług, monitorowanie ruchu i tak dalej, jeśli chcesz!

Żądanie „Gry LAN” wydaje mi się względnie niszowe, a na pewno nie takie, o którym myślałem. Nadal mogą normalnie grać przez NAT, wychodząc z Internetu iz powrotem - nie jest to idealne, ale nie różni się tym, że każde mieszkanie ma własne połączenie, które jest normą tutaj w Wielkiej Brytanii. Jednak w poszczególnych przypadkach można dodać pełny routing między sieciami VLAN między apartamentami, które chcą w ten sposób współdzielić swoją sieć.

W rzeczywistości MUSISZ dodać pełny routing Inter-VLAN wszędzie - to rozwiązałoby problemy z DHCP, pozwoliło na QoS, ale moim zdaniem nadal jest ogromnym problemem bezpieczeństwa.

Jedną rzeczą, której nie omówiłem tutaj, jest twój DHCP - prawdopodobnie masz teraz jeden zakres dla wszystkich swoich klientów. Jeśli umieścisz je w osobnych sieciach, będziesz musiał zarządzać osobnym zakresem dla każdej sieci VLAN. To zależy od urządzenia i infrastruktury, więc na razie o tym zapomnę.

Dan
źródło
Jego problemem z przejściem tej trasy jest to, że jego przełączniki są w tym momencie niezarządzane, więc nie mógł ustawić konfiguracji portu trunk (w tym momencie nawet ustawić vlan dla portu). On potrzebuje przynajmniej nowej zmiany.
Rex,
2
@Rex Nie sądzę, żeby kiedykolwiek pojawiło się pytanie o potrzebę nowych przełączników - OP zdawał się wiedzieć, że jego obecne niezarządzane przełączniki nie są wystarczająco dobre.
Dan
4
+1 To jedyny sposób na latanie. Musisz jednak dodać routing między sieciami VLAN przed lub w ramach wdrażania IPv6.
Michael Hampton
2
+1 Vlany zapewniają bezpieczeństwo każdego mieszkania, a także DHCP. Należy również wspomnieć o autoryzacji sieci, warunkach usługi i ograniczaniu przepustowości (według limitu Vlan, limitu protokołu). I możesz zbadać pamięć podręczną treści (netflix, vudu, etal).
ChuckCottrill
6

W zależności od budżetu, przynajmniej wybierz jeden zarządzany przełącznik i umieść każde piętro w sieci VLAN.

Aby całkowicie rozwiązać problem z zabezpieczeniami i DHCP, jeśli pozwala na to okablowanie, uzyskaj zarządzany 24-portowy przełącznik na każde dwa piętra. Jeśli okablowanie nie zezwala, użycie paneli krosowych do przedłużenia przebiegów jest prawdopodobnie tańsze niż więcej przełączników.

Możesz zaoszczędzić na sprzęcie, korzystając z zarządzanych przełączników 10/100, jednak w zależności od dostawcy konfiguracja może wymagać dużej wiedzy (Cisco).

Jako programista zaangażowany w konfigurację ponad 1000 portów w 8-piętrowym budynku biurowym z włóknem, mogę powiedzieć, że GUI przełączników zarządzanych D-link w połączeniu z instrukcją pozwoli ci zrobić wszystko, czego potrzebujesz. Nie mówię, że musisz użyć D-Link, mówię tylko, że nie sądzę, że będziesz rozczarowany. Przełączniki zarządzane D-Link (poziom 2+) są niedrogie i mogą obsługiwać DHCP na przełączniku (nie polecając tego, ale jest to opcja). Mają niższą warstwę przełączników „Smart”, która może zrobić wszystko, czego potrzebujesz.

Jeśli wykonujesz sieć VLAN na piętrze, wystarczające będzie A / 23 (512 hostów) (zwiększ się, jeśli planujesz kiedykolwiek wdrożyć sieć bezprzewodową). Jeśli wykonujesz VLAN na mieszkanie, powinien to zrobić / 27 (30 hostów).

Moim zdaniem najłatwiejszym sposobem wykonania DHCP dla wielu sieci VLAN byłoby złapanie malinowego PI i użycie ISC DHCP . Możesz użyć dowolnego urządzenia o niskiej mocy, które ma kartę sieciową obsługującą sieci VLAN. (Osobiście wziąłbym router EdgeMax za 99 USD i uruchomiłem na nim DHCP!)

Wystarczy wybrać zakres IP / podsieć dla każdej sieci VLAN, konfiguracja ISC DHCP dla sieci VLAN może wyglądać mniej więcej tak:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Możesz trzymać globalne opcje poza każdym zakresem, więc przynajmniej będziesz mieć coś takiego:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Jeśli w każdym mieszkaniu jest wiele gniazd sieciowych, skonfiguruj protokół drzewa opinającego, aby uniknąć pętli. Może to spowolnić działanie, jeśli nie skonfigurujesz go poprawnie, co spowoduje pojawienie się każdego portu przez 30 sekund lub dłużej, więc przetestuj go. Istnieje opcja, którą chcesz włączyć. Uważam, że Cisco nazywa ją PortFast.

Nie zrobiłem tego osobiście, ale najwyraźniej serwer Windows bardzo ułatwia konfigurację.

Weź również pod uwagę:

  • Lokalny buforujący serwer przesyłania dalej DNS, kształtowanie ruchu i być może QoS dla VoIP poprawiłyby ogólną reakcję (jeśli twój sprzęt byłby w stanie uruchomić te usługi z prędkością linii).

  • Jeśli planujesz unowocześnić kamery bezpieczeństwa lub wdrożyć sieć bezprzewodową, być może warto kupić sprzęt POE.

  • Ponieważ wiele tanich routerów bezprzewodowych nie działa jako samodzielne punkty dostępowe, możesz mieć nadzieję, że lokatorzy będą korzystać z podwójnego NAT. Gdyby wszyscy podłączali router do sieci przez port WAN / Internet, poprawiłoby to bezpieczeństwo i wyeliminowało problem DHCP. Dobrze wydrukowana instrukcja z typowymi markami routerów może zaoszczędzić trochę sprzętu i kłopotów; pełna zgodność byłaby jednak trudna.

  • Użyj narzędzia, takiego jak nazwa, aby znaleźć najszybsze serwery DNS dla swojego dostawcy usług internetowych.

Powodzenia!

Jeffrey
źródło
Co rozumiesz przez „Używanie paneli krosujących do przedłużania serii”? Panele krosowe nie zapewniają dodatkowej maksymalnej odległości okablowania.
Justus Thane
Nie miałem na myśli maksymalnej odległości okablowania; Mówiłem po prostu, że jeśli przewody są zbyt krótkie, aby umożliwić przełączanie co drugiej podłogi, że panel krosowy idący do najbliższej podłogi za pomocą przełącznika może załatwić sprawę.
Jeffrey
2
Kiedy byłem Software Development Managerem dla firmy, która zapewniała sieci oparte na odwiedzających dla hoteli (od 500 do 1000 witryn), prowadziliśmy Squid na> 500 stronach. Mierzyliśmy współczynnik trafień w pamięci podręcznej Squid przez około rok i stwierdziliśmy, że nasz współczynnik trafień w pamięci podręcznej wynosił <2%, więc wyłączyliśmy Squid i poprawiła się wydajność sieci.
ChuckCottrill
1
Chuck, świetny punkt z wielkimi liczbami do poparcia. Twoje wskaźniki trafień mają sens, ponieważ większość sieci używa teraz protokołu SSL. W moich wdrożeniach buforowałem i filtrowałem zawartość SSL na urządzeniach należących do firmy. Z przykrością stwierdzam, że nie widzę Squid odgrywającej rolę poza wdrożeniami korporacyjnymi podobnymi do moich.
Jeffrey
1

Jeśli masz przyzwoity router, jednym z możliwych rozwiązań jest skonfigurowanie jednej sieci VLAN na mieszkanie i przypisanie adresu / 30 do każdej sieci VLAN. Utwórz także zakres DHCP dla każdej sieci VLAN, która przypisuje tylko jeden adres IP.

Na przykład:

  • vlan 100
    • podsieć 10.0.1.0/30
    • router 10.0.1.1
    • użytkownik 10.0.1.2
  • vlan 104
    • podsieć 10.0.1.4/30
    • router 10.0.1.5
    • użytkownik 10.0.1.6

To rozwiązuje problem grania między mieszkaniami, ponieważ router może trasować między mieszkaniami. Rozwiązuje również nieuczciwy problem DHCP, ponieważ ruch DHCP jest izolowany do sieci VLAN tego mieszkania i otrzymują tylko jeden adres IP.

długa szyja
źródło
-2

Wybrałbym PPPOE i prosty serwer, taki jak ... mikrotik lub cokolwiek, co go obsługuje. Wydawałoby się to łatwe. Jestem pewien, że już to rozwiązałeś, ale dla każdego ten problem będzie ... pppoe to najszybsza odpowiedź.

Cip
źródło