Jump to content
Калькуляторы

Клиентские роутера раздают DHCP в сеть Проблема "левых" DHCP серверов в сети

Всем привет.

Имеется неуправляемая сеть, в ней постоянно бегает около 1000 мак адресов. Все клиенты получают свои айпишки по DHCP (DHCP сервер на OS Mikrotik), но сегодня, каким-то образом часть клиентов у которых установлены роутеры D-Link (DIR300, DI604 и т.п.) начали раздавать в сеть фейковые айпишки (через WAN). Роутеры подключены правильно. Такой флешмоб сегодня только у меня? :)

 

Поделитесь опытом, как вы боритесь с левыми DHCP в сетке?

Share this post


Link to post
Share on other sites

Было дело. Выключил порт, с которого этот дхцп раздавал, и всего делов :D

Share this post


Link to post
Share on other sites

Было дело. Выключил порт, с которого этот дхцп раздавал, и всего делов :D

За сегодня уже 4-х клиентов таких отключил, но это не выход... :(

Share this post


Link to post
Share on other sites
Всем привет.

Имеется неуправляемая сеть, в ней постоянно бегает около 1000 мак адресов. Все клиенты получают свои айпишки по DHCP (DHCP сервер на OS Mikrotik), но сегодня, каким-то образом часть клиентов у которых установлены роутеры D-Link (DIR300, DI604 и т.п.) начали раздавать в сеть фейковые айпишки (через WAN). Роутеры подключены правильно. Такой флешмоб сегодня только у меня? :)

 

Поделитесь опытом, как вы боритесь с левыми DHCP в сетке?

1) на свитчах зарезаются dhcp ответы кроме порта с сервером

2) где зарезать нельзя используется http://netpatch.ru/dhcdrop.html

 

Share this post


Link to post
Share on other sites
Всем привет.

Имеется неуправляемая сеть, в ней постоянно бегает около 1000 мак адресов. Все клиенты получают свои айпишки по DHCP (DHCP сервер на OS Mikrotik), но сегодня, каким-то образом часть клиентов у которых установлены роутеры D-Link (DIR300, DI604 и т.п.) начали раздавать в сеть фейковые айпишки (через WAN). Роутеры подключены правильно. Такой флешмоб сегодня только у меня? :)

 

Поделитесь опытом, как вы боритесь с левыми DHCP в сетке?

1) на свитчах зарезаются dhcp ответы кроме порта с сервером

2) где зарезать нельзя используется http://netpatch.ru/dhcdrop.html

В первом случае левый dhcp сервер может остаться незамеченным и промышлять в пределах одного порта (это может до 50 клиентов), проблему не решает. Если бы все клиенты были в управляемых портах...

Второй способ интересен, попробую воспользоваться, спасибо :)

Share this post


Link to post
Share on other sites
Всем привет.

Имеется неуправляемая сеть, в ней постоянно бегает около 1000 мак адресов. Все клиенты получают свои айпишки по DHCP (DHCP сервер на OS Mikrotik), но сегодня, каким-то образом часть клиентов у которых установлены роутеры D-Link (DIR300, DI604 и т.п.) начали раздавать в сеть фейковые айпишки (через WAN). Роутеры подключены правильно. Такой флешмоб сегодня только у меня? :)

 

Поделитесь опытом, как вы боритесь с левыми DHCP в сетке?

1) на свитчах зарезаются dhcp ответы кроме порта с сервером

2) где зарезать нельзя используется http://netpatch.ru/dhcdrop.html

В первом случае левый dhcp сервер может остаться незамеченным и промышлять в пределах одного порта (это может до 50 клиентов), проблему не решает. Если бы все клиенты были в управляемых портах...

Второй способ интересен, попробую воспользоваться, спасибо :)

ну я как бы вам и написал 2 способа в зависимости от конечного оборудования.

Share this post


Link to post
Share on other sites

Тема весьма актуальная для неуправляемых сетей. А автору за программу спасибо, нужно попробовать.

Share this post


Link to post
Share on other sites

Только вот неуправляемые сети - уже неактуально...

Share this post


Link to post
Share on other sites

Только вот неуправляемые сети - уже неактуально...

А управляемые - дорого.

Share this post


Link to post
Share on other sites
Только вот неуправляемые сети - уже неактуально...
А управляемые - дорого.

Это смотря с какой стороны посмотреть.

Share this post


Link to post
Share on other sites
Только вот неуправляемые сети - уже неактуально...
А управляемые - дорого.

если немного включить мозги, то можно построить вменяемую сетку даже на неуправляемом доступе. Для начала можно начать юзать свитчи с изолированными клиентскими портами.

Share this post


Link to post
Share on other sites
Для начала можно начать юзать свитчи с изолированными клиентскими портами.

Но лучше начать юзать нормального админа, который промоет мозги начальству, что на неуправляемых свитчах что то "рабочее" построить нельзя.

 

Сеть, функционирование которой может буть нарушено даже не предумышленными действиями, сетью оператора быть не может.

Share this post


Link to post
Share on other sites
Для начала можно начать юзать свитчи с изолированными клиентскими портами.

Но лучше начать юзать нормального админа, который промоет мозги начальству, что на неуправляемых свитчах что то "рабочее" построить нельзя.

 

Сеть, функционирование которой может буть нарушено даже не предумышленными действиями, сетью оператора быть не может.

Еще скажи, что в сетях операторов работают мега(нано) человеки.

Безусловно, надо стремиться к совершенству, но и понимать, что это не достежимо ;)

Share this post


Link to post
Share on other sites

Безусловно, надо стремиться к совершенству, но и понимать, что это не достежимо ;)

Стабильно работающая сеть, которая не падает от первого шального абонентского девайса - это недостижимо?

Share this post


Link to post
Share on other sites

Тема о борьбе с левыми DHCP серверами в неуправляемой сети, а не о актуальности управляемых и неуправляемых сетей.

Вчера потестил DHCDrop в лабораторных условиях, всё просто и работает, что не может не радовать.

 

если немного включить мозги, то можно построить вменяемую сетку даже на неуправляемом доступе. Для начала можно начать юзать свитчи с изолированными клиентскими портами.
Что Вы имеете в виду под словосочетанием "изолированные клиентские порты"? Если не сложно, поделитесь знаниями в ЛС.
Edited by whiteshark

Share this post


Link to post
Share on other sites
Что Вы имеете в виду под словосочетанием "изолированные клиентские порты"? Если не сложно, поделитесь знаниями в ЛС.
http://www.dlink.ru/ru/products/1/763.html

http://www.dlink.ru/ru/products/1/764.html

http://www.novintex.ru/read/cat/hub_switch/Compex_PS2216/

 

т.е. клиенты не коммутируются друг с другом непосредственно через данный свитч, а имеют связь только с аплинком.

Share this post


Link to post
Share on other sites

Изолированные порты, это когда на свиче разрешен обмен только с одним портом - аплинком, трафик между абонентскими портами не передается.

Share this post


Link to post
Share on other sites

Да, коммутаторы с изоляцией портов и раздача инета через PPPoE полностью решают проблему.

Share this post


Link to post
Share on other sites

http://www.dlink.by/ru/faq/62/228.html

http://www.dlink.by/ru/faq/62/198.html

 

и всё)) и нефиг жевать пионерские сопли, как говориться вам шашечки или ехать? тупое оборудование на доступ выгодно только если оно стоит в качестве грозозащиты на какойнибудь клиентской вайфаине и кроме 1 клиента к ней никто не подключен

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this