불량 DHCP 서버로부터 저예산 네트워크를 어떻게 보호합니까?

친구가 80 개의 아파트가있는 아파트에서 10 개의 아파트가있는 8 개의 계단으로 공동 인터넷 연결을 관리하도록 돕고 있습니다. 네트워크는 건물의 한쪽 끝에 인터넷 라우터가 배치되어 있으며 첫 10 개의 아파트도 연결되어있는 첫 번째 계단의 관리되지 않는 저렴한 16 포트 스위치에 연결되어 있습니다. 하나의 포트는 그 다음 10 개의 아파트가 연결되는 다음 계단의 다른 16 포트 cheapo 스위치에 연결됩니다. 각 "데이지"에 스포크로서 10 개의 아파트가있는 스위치의 데이지 체인 종류. 건물은 대략 50 x 50 미터, 20 미터 높이의 U 자 모양이므로 라우터에서 가장 먼 아파트까지는 계단을 포함하여 약 200 미터 일 것입니다.

Wi-Fi 라우터를 잘못 연결하는 사람들에게는 상당한 문제가 있습니다. 많은 사용자 그룹을 방해하는 불량 DHCP 서버를 생성하며 물리적으로 분리하는 이진 검색을 수행하는 대신 네트워크를보다 스마트하게 만들어이 문제를 해결하고자합니다. ).

제한된 네트워킹 기술로 DHCP 스누핑 또는 전체 네트워크를 각 아파트에 대한 별도의 VLAN으로 분할하는 두 가지 방법이 있습니다. 별도의 VLAN은 각 아파트에 라우터에 대한 개인 연결을 제공하지만 DHCP 스누핑은 여전히 ​​LAN 게임 및 파일 공유를 허용합니다.

DHCP 스누핑은 이러한 종류의 네트워크 토폴로지에서 작동합니까, 아니면 적절한 허브 및 스포크 구성에있는 네트워크에 의존합니까? 다른 수준의 DHCP 스누핑이 있는지 확실하지 않습니다. 고가의 Cisco 스위치가 어떤 작업을 수행하는 것처럼 말하지만 TP-Link, D-Link 또는 Netgear와 같은 저렴한 스위치는 특정 토폴로지에서만 작동합니까?

그리고이 토폴로지에 기본 VLAN 지원이 충분할까요? 저렴한 매니지드 스위치조차도 자체 포트에 자체 VLAN 태그를 사용하여 각 포트의 트래픽에 태그를 지정할 수 있지만 데이지 체인의 다음 스위치가 "다운 링크"포트의 패킷을 수신하면 VLAN 태그를 자체 태그로 제거하거나 교체하지 않습니다 트렁크 태그 (또는 백본 트래픽의 이름)

돈이 빡빡해서 전문가 급 Cisco를 감당할 수 없다고 생각합니다. (저는 수년간 캠페인을 해왔습니다) 어떤 솔루션이 저사양 네트워크 장비를 가장 잘 지원하는지에 대한 조언이 필요합니다. 권장되는 특정 모델은 무엇입니까? 예를 들어 저가형 HP 스위치 또는 TP-Link, D-Link 등과 같은 저예산 브랜드

이 문제를 해결하는 다른 방법을 간과 한 경우 지식이 부족하기 때문입니다. :)

DHCP 서버 문제 때문이 아니라 다중 VLAN 경로를 사용해야한다고 생각합니다. 현재로서는 하나의 큰 플랫 네트워크가 있으며 어느 정도 사용자는 자신의 보안을 관리해야합니다. 개인적으로 꽤 받아 들일 수없는 설정입니다.

관리해야하는 유일한 스위치는 귀하의 스위치입니다. 그 외에도 각 아파트에 특정 VLAN의 단일 포트를 제공합니다. 다운 스트림은 VLAN을 완전히 인식하지 못하므로 정상적으로 작동 할 수 있습니다.

스위치 측면에서 스위치 간 포트는 트렁크 포트로 구성해야하며 VLAN ID와 일치해야합니다. 즉, VLAN100은 네트워크의 다른 곳에서 VLAN100과 일치해야합니다.

그 외에는 각 VLAN (및 관련 IP 풀 *)이 다른 내부 네트워크가 아닌 인터넷으로 앞뒤로 라우팅되도록 구성된 "라우터 온 스틱"구성을 설정할 수 있습니다.

* 나는 이것을 고집 할 다른 곳을 생각할 수 없었지만 이상적으로는 VLAN에 자체 IP 풀을 제공해야한다는 것을 기억하십시오. 가장 쉬운 방법은 옥텟 중 하나를 VLAN ID와 동일하게 유지하는 것입니다.

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

이 모든 것이 완료되면 원하는 경우 QoS (Quality-of-Service), 트래픽 모니터링 등과 같은 작업을 수행 할 수 있습니다.

"LAN 게임"요청은 저에게 비교적 틈새 요청 인 것 같습니다. 그들은 인터넷으로 나가서 다시 NAT를 통해 정상적으로 게임을 할 수 있습니다. 이상적이지는 않지만 영국의 표준 인 자체 연결을 가진 각 아파트와 다르지 않습니다. 그러나 경우에 따라 네트워크를 공유하려는 아파트간에 전체 VLAN 간 라우팅을 추가 할 수 있습니다.

사실, 당신은 모든 Inter-VLAN 라우팅을 어디에나 추가 할 수 있습니다-DHCP 문제를 해결하고 QoS를 허용하지만 여전히 큰 보안 문제입니다.

여기서 다루지 않은 것은 DHCP입니다. 아마도 모든 클라이언트에 대해 단일 범위가있을 것입니다. 별도의 네트워크에 배치하면 각 VLAN에 대해 별도의 범위를 관리해야합니다. 그것은 실제로 장치 및 인프라에 따라 다르므로 지금은이 부분을 생략하겠습니다.

예산에 따라 최소한 하나의 관리되는 스위치를 선택하고 각 층을 VLAN에 배치하십시오.

보안 및 DHCP 문제를 완전히 해결하려면 케이블 연결이 가능한 경우 2 층마다 24 포트 관리 스위치를 받으십시오. 케이블 연결이 허용되지 않는 경우 패치 패널을 사용하여 실행을 연장하는 것이 더 많은 스위치보다 저렴합니다.

그러나 10/100 매니지드 스위치를 사용하면 장비를 절약 할 수 있지만 공급 업체에 따라 설정하는 데 많은 전문 지식 (Cisco)이 필요할 수 있습니다.

8 층짜리 사무실 건물에 파이버가있는 1000 개 이상의 포트 네트워크를 설정하는 프로그래머로서 매뉴얼과 쌍을 이루는 D- 링크 관리 스위치 GUI를 사용하면 필요한 모든 작업을 수행 할 수 있다고 말할 수 있습니다. 나는 당신이 D-Link를 사용해야한다고 말하는 것이 아닙니다. 나는 당신이 실망 할 것이라고 생각하지 않습니다. D-Link 관리 형 스위치 (레벨 2 이상)는 저렴하며 스위치에서 DHCP를 실행할 수 있습니다 (권장하지는 않지만 옵션 임). 여기에는 필요한 모든 것을 할 수있는 더 낮은 "스마트"스위치 계층이 있습니다.

층당 VLAN을 수행하는 경우 / 23 (512 호스트)이면 충분합니다 (무선을 롤아웃하려는 경우 더 커짐). 아파트 당 VLAN을 수행하는 경우 / 27 (30 호스트)이 수행해야합니다.

내 생각에 여러 VLAN에 대해 DHCP를 수행하는 가장 쉬운 방법은 라즈베리 PI를 잡고 ISC DHCP를 사용하는 것 입니다. VLAN을 지원하는 NIC가있는 저전력 시스템을 사용할 수 있습니다. (개인적으로 EdgeMax 라우터 를 99 달러에 구입하고 DHCP를 실행합니다!)

각 VLAN마다 IP 범위 / 서브넷을 선택하면 VLAN에 대한 ISC DHCP 구성은 다음과 같습니다.

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

각 범위 밖에서 전역 옵션을 사용할 수 있으므로 최소한 다음과 같은 결과가 발생합니다.

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

각 아파트에 여러 개의 네트워크 잭이있는 경우 스패닝 트리 프로토콜을 설정하여 루프를 피할 수 있습니다. 제대로 구성하지 않으면 각 포트가 작동하는 데 30 초 이상이 걸리므로 속도가 느려질 수 있으므로 테스트하십시오. 활성화하려는 옵션이 있습니다. Cisco가이를 PortFast라고합니다.

개인적 으로이 작업을 수행하지는 않았지만 Windows 서버에서이를 쉽게 설정할 수 있습니다.

또한 다음을 고려하십시오.

• 로컬 캐싱 DNS 전달자, 트래픽 쉐이핑 및 VoIP에 대한 QoS는 전체 응답 성을 향상시킵니다 (하드웨어가 해당 서비스를 회선 속도로 실행할 수있는 경우).

• 보안 카메라를 업그레이드하거나 무선으로 배포 할 계획이라면 POE 장비를 구입하는 것이 좋습니다.

• 저렴한 무선 라우터는 독립형 AP로 작동하지 않기 때문에 테넌트가 이중 NAT를 사용하는 것이 가장 좋습니다. 모든 사람이 WAN / 인터넷 포트를 통해 라우터를 네트워크에 플러그인하면 보안을 향상시키고 DHCP 문제도 제거 할 수 있습니다. 일반적인 라우터 브랜드와 함께 잘 인쇄 된 사용 설명서는 일부 장비와 문제를 줄일 수 있습니다. 그러나 완전한 준수는 어려울 것입니다.

• namebench 와 같은 도구를 사용 하여 ISP에 가장 빠른 DNS 서버를 찾으십시오.

행운을 빕니다!

적절한 라우터가있는 경우 가능한 솔루션 중 하나는 아파트 당 하나의 VLAN을 설정하고 각 VLAN에 / 30 주소를 할당하는 것입니다. 또한 하나의 IP 주소 만 할당하는 각 VLAN에 대해 DHCP 범위를 만듭니다.

예를 들면 다음과 같습니다.

• 블란 100
  • 서브넷 10.0.1.0/30
  • 라우터 10.0.1.1
  • 사용자 10.0.1.2
• 블랜 104
  • 서브넷 10.0.1.4/30
  • 라우터 10.0.1.5
  • 사용자 10.0.1.6

라우터가 아파트 간을 라우팅 할 수 있기 때문에 아파트 간 게임 문제를 해결합니다. 또한 DHCP 트래픽이 해당 아파트의 VLAN에 격리되어 하나의 IP 주소 만 가져 오기 때문에 불량 DHCP 문제를 해결합니다.

나는 PPPOE와 ... mikrotik 또는 그것을 지원하는 것과 같은 간단한 서버를 선택할 것입니다. 이것은 쉬운 방법처럼 보일 것입니다. 나는 당신이 지금까지 그것을 해결했다고 확신하지만, 누구나이 문제를 겪을 것입니다 ... pppoe가 가장 빠른 대답입니다.