Come posso proteggere una rete a basso budget da server DHCP non autorizzati?

Sto aiutando un amico a gestire una connessione Internet condivisa in un appartamento costruito con 80 appartamenti - 8 scale con 10 appartamenti ciascuno. La rete è strutturata con il router Internet a un'estremità dell'edificio, collegata a uno switch economico a 16 porte non gestito nella prima scala dove sono collegati anche i primi 10 appartamenti. Una porta è collegata a un altro interruttore cheapo a 16 porte nella scala successiva, dove sono collegati quei 10 appartamenti e così via. Sorta di una catena di interruttori a margherita, con 10 appartamenti come raggi su ogni "margherita". L'edificio è a forma di U, circa 50 x 50 metri, alto 20 metri, quindi dal router all'appartamento più lontano sono probabilmente circa 200 metri comprese le scale su e giù.

Abbiamo un bel po 'di problemi con le persone che collegano i router wifi nel modo sbagliato, creando server DHCP canaglia che interrompono grandi gruppi di utenti e desideriamo risolvere questo problema rendendo la rete più intelligente (invece di fare una ricerca binaria scollegando fisicamente ).

Con le mie limitate competenze di rete, vedo due modi: DHCP snooping o suddivisione dell'intera rete in VLANS separati per ogni appartamento. VLANS separati fornisce ad ogni appartamento la propria connessione privata al router, mentre lo snooping DHCP consentirà comunque il gioco LAN e la condivisione di file.

Lo snooping DHCP funzionerà con questo tipo di topologia di rete o si baserà sul fatto che la rete si trova in una corretta configurazione hub-spoke? Non sono sicuro che ci siano diversi livelli di snooping DHCP - diciamo che i costosi switch Cisco faranno qualsiasi cosa, ma quelli economici come TP-Link, D-Link o Netgear lo faranno solo in alcune topologie?

E il supporto VLAN di base sarà abbastanza buono per questa topologia? Immagino che anche gli switch gestiti a basso costo possano taggare il traffico da ciascuna porta con il proprio tag VLAN, ma quando lo switch successivo nella catena a margherita riceve il pacchetto sulla sua porta "downlink", non si spoglia o sostituirebbe il tag VLAN con il proprio trunk-tag (o qualunque sia il nome per il traffico backbone).

I soldi sono limitati e non credo che possiamo permetterci Cisco di livello professionale (ho fatto campagne per questo per anni), quindi mi piacerebbe qualche consiglio su quale soluzione abbia il miglior supporto su apparecchiature di rete di fascia bassa e se ci sono alcuni modelli specifici che sono raccomandati? Ad esempio switch HP di fascia bassa o persino marchi economici come TP-Link, D-Link ecc.

Se ho trascurato un altro modo di risolvere questo problema, è dovuto alla mia mancanza di conoscenza. :)

Penso che dovresti seguire il percorso multi-VLAN e non solo a causa del problema del server DHCP. Al momento, disponi di una grande rete piatta e mentre, in una certa misura, ci si dovrebbe aspettare che gli utenti si prendano cura della propria sicurezza, troverei personalmente una configurazione piuttosto inaccettabile.

Gli unici switch che devono essere gestiti sono tuoi. Oltre a ciò, dai a ogni appartamento una singola porta su una VLAN specifica - qualsiasi cosa a valle di ciò sarà completamente inconsapevole della VLAN e puoi funzionare normalmente.

In termini di switch, le porte switch-to-switch dovranno essere configurate come porte trunk e sarà necessario essere coerenti con gli ID VLAN. In altre parole, VLAN100 DEVE corrispondere a VLAN100 ovunque nella rete.

Oltre a ciò, è possibile impostare una configurazione "Router-on-a-stick", con ogni VLAN (e il relativo pool di IP *) configurato solo per instradare avanti e indietro verso Internet e NON verso altre reti interne.

* Non riuscivo a pensare a nessun altro posto dove attaccarlo, ma ricorda che idealmente dovresti dare alle tue VLAN il loro pool di IP. Il modo più semplice per farlo è mantenere uno degli ottetti uguale all'ID VLAN, ad es

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Una volta che tutto questo è a posto, puoi davvero iniziare a prenderlo con cose come Quality-Of-Service, monitoraggio del traffico e così via se lo desideri!

La richiesta di "Giochi LAN" sembra essere una richiesta relativamente di nicchia, per me, e certamente non una a cui penserei. Possono comunque giocare normalmente attraverso NAT andando su Internet e viceversa - non è l'ideale, ma non è diverso per ogni appartamento con la propria connessione che è la norma qui nel Regno Unito. Caso per caso, tuttavia, è possibile aggiungere il routing inter-VLAN completo tra appartamenti che vogliono condividere la propria rete in quel modo.

In effetti, POTREBBE aggiungere ovunque il routing Inter-VLAN completo, che risolverà i problemi DHCP, consentirebbe QoS, ma secondo me è ancora un grosso problema di sicurezza.

L'unica cosa che non ho trattato qui è il tuo DHCP - presumibilmente al momento hai un unico ambito per tutti i tuoi clienti. Se le metti su reti separate, dovrai gestire un ambito separato per ogni VLAN. Dipende molto dal dispositivo e dall'infrastruttura, quindi per ora lo lascerò spento.

A seconda del budget, prendi almeno uno switch gestito e metti ogni piano su una VLAN.

Per risolvere completamente il problema di sicurezza e DHCP, se il cablaggio lo consente, ottenere uno switch gestito a 24 porte per ogni due piani. Se il cablaggio non lo consente, l'uso di patch panel per estendere le corse è probabilmente più economico di più switch.

È possibile risparmiare sull'attrezzatura utilizzando gli switch gestiti 10/100, tuttavia, a seconda del fornitore, potrebbe essere necessaria una grande esperienza per la configurazione (Cisco).

Come programmatore spinto a configurare una rete di oltre 1000 porte in un edificio per uffici a 8 piani con fibra, posso dire che la GUI degli switch gestiti D-link abbinata al manuale ti consentirà di fare tutto ciò di cui hai bisogno. Non sto dicendo che devi usare D-Link, sto solo dicendo che non penso che sarai deluso. Gli switch gestiti D-Link (Livello 2+) sono convenienti e possono eseguire DHCP sullo switch (non raccomandandolo, ma è un'opzione). Hanno un livello di commutazione "Smart" inferiore che può fare tutto il necessario.

Se esegui una VLAN per piano un / 23 (512 host) dovrebbe essere sufficiente (ingrandisci se prevedi di implementare il wireless). Se si esegue una VLAN per appartamento, dovrebbe essere un / 27 (30 host).

A mio parere, il modo più semplice per eseguire DHCP per più VLAN sarebbe quello di prendere un Raspberry PI e usare il DHCP ISC . È possibile utilizzare qualsiasi macchina a basso consumo dotata di una scheda NIC che supporti VLAN. (Personalmente, prenderei un router EdgeMax per $ 99 ed eseguirò DHCP su quello!)

Basta scegliere un intervallo / sottorete IP per ogni VLAN, la configurazione DHCP dell'ISC per una VLAN potrebbe essere simile a questa:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Puoi attaccare le opzioni globali al di fuori di ogni ambito, quindi almeno finirai con qualcosa del genere:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Se in ogni appartamento sono presenti più prese di rete, impostare lo spanning tree protocol per evitare loop. Questo può rallentare le cose se non lo si configura correttamente, facendo sì che ciascuna porta impieghi 30 secondi o più, quindi assicurati di provarla. C'è un'opzione che vorrai abilitare, credo che Cisco lo chiami PortFast.

Non l'ho fatto personalmente, ma apparentemente il server Windows rende molto semplice l'installazione.

Considera anche:

• Un server di inoltro DNS nella cache locale, il traffic shaping e forse QoS per VoIP migliorerebbero la reattività generale (se l'hardware fosse in grado di eseguire tali servizi a velocità di linea).

• Se prevedi di aggiornare le telecamere di sicurezza o di implementare il wireless, potrebbe valere la pena procurarti attrezzature POE.

• Poiché molti router wireless economici non funzionano come AP standalone, il meglio che si possa sperare è che gli inquilini utilizzino un doppio NAT. Se tutti dovessero collegare il proprio router alla rete tramite la porta WAN / Internet, ciò migliorerebbe la sicurezza ed eliminerebbe anche il problema DHCP. Un foglio di istruzioni ben stampato con i comuni marchi di router potrebbe farti risparmiare alcune attrezzature e problemi; tuttavia, la piena conformità sarebbe difficile.

• Utilizza uno strumento come namebench per trovare i server DNS più veloci per il tuo ISP.

In bocca al lupo!

Se si dispone di un router decente, una possibile soluzione è impostare una VLAN per appartamento e assegnare un indirizzo / 30 a ciascuna VLAN. Creare anche un ambito DHCP per ogni VLAN che assegna un solo indirizzo IP.

Per esempio:

• vlan 100
  • sottorete 10.0.1.0/30
  • router 10.0.1.1
  • utente 10.0.1.2
• vlan 104
  • sottorete 10.0.1.4/30
  • router 10.0.1.5
  • utente 10.0.1.6

Questo risolve il problema del gioco tra appartamenti perché il router può instradare tra appartamenti. Risolve anche il problema DHCP non autorizzato perché il traffico DHCP è isolato dalla VLAN dell'appartamento e ottengono un solo indirizzo IP.

Vorrei scegliere PPPOE e un server semplice, come ... mikrotik o qualunque cosa lo supporti. Questo sembrerebbe il modo più semplice. Sono sicuro che lo hai risolto ormai, ma per chiunque avrà questo problema ... pppoe è la risposta più veloce.