Как в Микротике в DHCP фильтровать неизвестные устройства?
Есть сеть с Микротиком в качестве центрального устройства. Он же является DHCP-сервером.
IP-адреса выдаются на основании соответствия по MAC-адресу (Lease)
Бывают ситуации, когда в сети появляются неизвестные устройства: либо кто-то из коллег забыл предоставить информацию, либо кто-то из пользователей самовольничает.
Хотелка: Устройствам, которым не заданы соответствия - выдавать IP из специального диапазона, для которого нет маршрутизации ни с другими сегментами ЛВС, ни с Интернет. Как такое сделать?
Настройте на своём DHCP пул "из специального диапазона, для которого нет маршрутизации ни с другими сегментами ЛВС, ни с Интернет", а статические адреса выдавайте из какой хотите подсети.
Дополнительно, можно ограничить использование статических адресов в вашей сети: на интерфейсе с DHCP включить ARP в reply-only, а у DHCP сервера поставить Add Leases to arp.
Сергей, помимо dhcp, можно настроить статический ip на клиенте. Скорее всего, вы захотите лишить клиентов такой привилегии. При настройке arp в reply-only, только dhcp сможет добавлять записи в таблицу arp. Соответственно, сетью воспользоваться смогут лишь клиенты, получившие адрес от dhcp
Дмитрий Шицков, за объяснения - спасибо! Возьму на заметку.
Но как бы не хотелось " лишить клиентов такой привилегии" - кроме пользователей - есть сетевое оборудование и сервера, которые настроены именно статически и иначе их настраивать - не корректно.
Сергей, в данном случае сервера должны быть статически прописаны в arp таблице, дабы убить второго зайца - защитить от подмены адреса сервера злоумышленником(arp spoofing) .
Предлагаю зайти с другого края. А зачем Вам надо, что бы могли подключаться пользователи, которые все равно не смогут пользоваться сетью? Или они смогут работать в локальной сети и ничего больше?
И на всякий случай уточните сразу: речь идет только про беспроводные устройства или про проводные тоже?
"офис" большой (150+ рабочих мест). за всеми "за руку" не уследишь.
Есть коллеги ИТ-шники, которые могут установить устройство и забыть сообщить (пофигизм или запарка).
Есть производство, они обитают немого в другой вселенной. Воткнули контроллер. Работает. Выяснять МАС, сообщать... зачем? - работает же.
Есть человеческий фактор - кто-то приперся с несанкционированным устройством, есть свободный RJ45-конец... (точек доступа к Wi-Fi можно считать что нет)
Надо своих - дисциплинировать. Не очень своих - еще больше дисциплинировать и в крайних случаях - препятствовать.
Сергей, а вот от левых DHCP стоит позащищаться, включив DHCP snooping на коммутаторе. Практически любой управляемый это может. Больше никак не избавится от этих "леваков" в виде wifi-роутеров.
Дмитрий Шицков, у Микротов с DHCP snooping сложности.
Есть в сети устройства, умеющие это дело, но не на всех портах центрального Микрота.
Но за верный посыл - спасибо.
Сергей, Микрот - это роутер, а потому вы можете фаерволом отфильтровать dhcp-ответы на определенных его портах. Так же, натыкался на посты в Микротик-вики со скриптом, блокирующим хосты, пытающиеся отсылать dhcp-ответы. Так что не слишком все плохо)
Если принципиально, что бы они все таки получали IP-адрес, то интерфейсы, которые смотрят в LAN надо перевести в режим reply-only.
Так же по прежнему не понятно зачем им иметь хоть какой-то IP-адрес?
Если отвлечься от технического решения, а говорить, как это реально выглядит в жизни.
1. 150+ устройств администрировать в ручную крайне тяжело.
2. Вопросы дисциплины должно решать руководство. Я когда работал в банке видел следующую картину. Офис типа "open space" на сотню с лишним человек. У всех ноутбуки. Правило: ноутбук должен быть пристегнут замком. Если кто-то забыл пристегнуть, а другой это заметил, то ноутбук уходил в отдел IT-безопасности и назад он получался только через объяснительную руководителю. Другой пример. Руководство захотело сложные пароли: не менее 7 знаков, большие и маленькие буквы, цифры и знаки препинания обязательны. Обязательная смена пароля 1 раз в месяц. Как думаете за 3 года сколько сотрудников забыло свой пароль? Всего два. Почему? Потому, что оба получили доступ к новому паролю только после того, как объяснили генеральному почему они его забыли. А он у них военный бывший. У всех теперь память хорошая.
Только, что пришел еще один вариант. Сразу оговорюсь, что он гипотетический, но я думаю, что осуществим. Настроить QoS так, что бы "нормальным" устройствам Интернет был хороший. А плохим, например, по 64 Кбит/с выделялось на устройство.
про reply-only сказали ранее и после более глубокого изучения темы - скорей всего будет внедрено.
"Если принципиально, что бы они все таки получали IP-адрес" - тут вопрос удобства администрирования: вместо ручного занесения устройства в Leases - Make static и назначение верного IP для "правильного" устройства.
Хороший директор, мне сейчас такое не светит. не в ближайшее время. Хотя все верно и к этому надо стремиться.
QoS - не вариант. И доступ для "не нормальных" не нужен, и нагрузка лишняя на Микротик.
QoS надо уметь правильно настраивать. Если маршрутизатор многоядерный и не оптимально настроить QoS, то может получиться так, что будет загружено всего одно ядро, а остальные простаивают. При этом будет принцип бутылочного горлышка. Тут главное правильно настроить.
не знаю что такое Микротик, но я аналогичное делал - подымал 2 сети, одну с привязкой к мак-адресу, с
роутингом, а другую для всех, но с доступом к 1 сайту.
можно и на одной сети, но тогда надо прописывать таблицы (iptables на линухе) с учетом мак-адресов.
Простой
Сложный
