मैं दुष्ट डीएचसीपी सर्वर से कम बजट नेटवर्क की रक्षा कैसे करूं?

मैं एक दोस्त को 80 अपार्टमेंट वाले एक अपार्टमेंट में साझा इंटरनेट कनेक्शन का प्रबंधन करने में मदद कर रहा हूं - प्रत्येक में 10 अपार्टमेंट के साथ 8 सीढ़ी। नेटवर्क को भवन के एक छोर पर इंटरनेट राउटर के साथ रखा गया है, पहले सीढ़ी में एक सस्ते गैर-प्रबंधित 16 पोर्ट स्विच से जुड़ा हुआ है जहां पहले 10 अपार्टमेंट भी जुड़े हुए हैं। एक बंदरगाह अगले सीढ़ी मार्ग में एक और 16 बंदरगाह सस्ते स्विच से जुड़ा हुआ है, जहां उन 10 अपार्टमेंट जुड़े हुए हैं, और आगे। प्रत्येक "डेज़ी" पर प्रवक्ता के रूप में 10 अपार्टमेंट के साथ स्विच की डेज़ी श्रृंखला की तरह। इमारत एक यू-आकार की है, लगभग 50 x 50 मीटर, 20 मीटर ऊंची - इसलिए राउटर से सबसे दूर के अपार्टमेंट तक यह लगभग 200 मीटर है जिसमें अप और डाउन सीढ़ी शामिल हैं।

हमें गलत तरीके से लोगों को परेशान करने वाले लोगों के साथ समस्याओं का एक अच्छा सा तरीका है, दुष्ट डीएचसीपी सर्वर का निर्माण करना, जो उपयोगकर्ताओं के बड़े समूहों को बाधित करता है और हम नेटवर्क को स्मार्ट बनाने के बजाय इस समस्या को हल करने की इच्छा रखते हैं (बजाय एक भौतिक अनप्लग बाइनरी खोज )।

अपने सीमित नेटवर्किंग कौशल के साथ, मुझे दो तरीके दिखाई देते हैं - प्रत्येक अपार्टमेंट के लिए डीएचसीएल-स्नूपिंग या पूरे नेटवर्क को अलग वीएलएएनएस में विभाजित करना। अलग वीएलएएनएस प्रत्येक अपार्टमेंट को राउटर के लिए अपना निजी कनेक्शन देता है, जबकि डीएचसीपी स्नूपिंग अभी भी लैन गेमिंग और फ़ाइल साझाकरण की अनुमति देगा।

क्या डीएचसीपी स्नूपिंग इस तरह के नेटवर्क टोपोलॉजी के साथ काम करेगा, या क्या यह नेटवर्क को एक उचित हब-एंड-स्पोक-कॉन्फ़िगरेशन में होने पर निर्भर करता है? मुझे यकीन नहीं है कि डीएचसीपी स्नूपिंग के अलग-अलग स्तर हैं - कहते हैं कि जैसे महंगे सिस्को स्विच कुछ भी करेंगे, लेकिन टीपी-लिंक, डी-लिंक या नेटगियर जैसे सस्ती चीजें केवल कुछ टोपोलॉजी में ही करेंगी?

और बेसिक वीएलएएन समर्थन इस टोपोलॉजी के लिए काफी अच्छा होगा? मुझे लगता है कि सस्ते प्रबंधित स्विच भी प्रत्येक पोर्ट से ट्रैफ़िक को टैग कर सकते हैं, जब वह स्वयं VLAN टैग हो, लेकिन जब डेज़ी श्रृंखला में अगला स्विच "डाउनलिंक" पोर्ट पर पैकेट प्राप्त करता है, तो यह पट्टी नहीं होगी या वीएलएएन टैग को स्वयं के साथ प्रतिस्थापित नहीं करेगा। ट्रंक-टैग (या बैकबोन ट्रैफ़िक के लिए जो भी नाम है)।

पैसा तंग है, और मुझे नहीं लगता कि हम पेशेवर ग्रेड सिस्को खरीद सकते हैं (मैं इसके लिए वर्षों से अभियान चला रहा हूं), इसलिए मुझे कुछ सलाह पसंद आएगी, जिस पर समाधान कम-अंत नेटवर्क उपकरण और अगर वहाँ पर सबसे अच्छा समर्थन है कुछ विशिष्ट मॉडल सुझाए गए हैं? उदाहरण के लिए लो-एंड एचपी स्विच या यहां तक ​​कि बजट ब्रांड जैसे टीपी-लिंक, डी-लिंक आदि।

यदि मैंने इस समस्या को हल करने के लिए किसी अन्य तरीके की अनदेखी की है तो यह मेरे ज्ञान की कमी के कारण है। :)

मुझे लगता है कि आपको बहु-वीएलएएन मार्ग पर जाना चाहिए - और न केवल डीएचसीपी सर्वर समस्या के कारण। फिलहाल, आपके पास एक बड़ा फ्लैट नेटवर्क है और कुछ हद तक, उपयोगकर्ताओं को अपनी सुरक्षा का ख्याल रखने की उम्मीद की जानी चाहिए, मैं व्यक्तिगत रूप से इसे एक बहुत अस्वीकार्य सेटअप ढूंढूंगा।

केवल स्विचेस जिन्हें प्रबंधित करने की आवश्यकता है, वे आपके हैं। इसके अलावा, आप प्रत्येक अपार्टमेंट को एक विशिष्ट वीएलएएन पर एक सिंगल पोर्ट देते हैं - इसके नीचे कुछ भी पूरी तरह से वीएलएएन से अनजान होगा और आप सामान्य रूप से कार्य कर सकते हैं।

आपके स्विच के संदर्भ में - स्विच-टू-स्विच पोर्ट को ट्रंक पोर्ट के रूप में कॉन्फ़िगर करने की आवश्यकता होगी और आपको अपनी वीएलएएन आईडी के अनुरूप होना होगा। दूसरे शब्दों में, VLAN100 नेटवर्क पर हर जगह VLAN100 के अनुरूप होना चाहिए।

इसके अलावा, आप प्रत्येक वीएलएएन (और यह आईपी के * से जुड़ा पूल है) के साथ "राउटर-ऑन-ए-स्टिक" कॉन्फ़िगरेशन सेट कर सकते हैं, केवल इंटरनेट के आगे और पीछे के मार्ग के लिए कॉन्फ़िगर किया गया है और अन्य आंतरिक नेटवर्क के लिए नहीं।

* मैं इसे छड़ी करने के लिए कहीं और नहीं सोच सकता, लेकिन याद रखें कि आदर्श रूप से आपको अपने वीएलएएन को आईपी का अपना पूल देना चाहिए। इसका सबसे आसान तरीका है कि आप ऑक्टेट में से किसी एक को वीएलएएन आईडी, जैसे कि रखें

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

एक बार यह सब जगह हो जाने के बाद, आप वास्तव में क्वालिटी-ऑफ़-सर्विस, ट्रैफ़िक मॉनिटरिंग जैसी चीजों के साथ इसे लेना शुरू कर सकते हैं और यदि आप चाहें तो!

"LAN गेम्स" अनुरोध मुझे लगता है, और निश्चित रूप से ऐसा नहीं है जिसके बारे में मैं सोचूं। वे अभी भी नेट के माध्यम से इंटरनेट और बैक-आउट पर सामान्य रूप से खेल सकते हैं - आदर्श नहीं, लेकिन प्रत्येक अपार्टमेंट के लिए कोई अलग नहीं है, यह स्वयं का कनेक्शन है जो यूके में यहां पर आदर्श है। किसी मामले के आधार पर, हालाँकि, आप अपार्टमेंट के बीच पूर्ण अंतर-वीएलएएन मार्ग जोड़ सकते हैं जो उस तरह से अपने नेटवर्क को साझा करना चाहते हैं।

वास्तव में, आप सभी जगह पूर्ण इंटर-वीएलएएन रूटिंग जोड़ सकते हैं - जो आपके डीएचसीपी मुद्दों को ठीक करेगा, क्यूओएस की अनुमति देगा लेकिन अभी भी मेरी राय में एक बड़े पैमाने पर सुरक्षा मुद्दा है।

ते एक बात जो मैंने यहां नहीं कवर की है वह है आपका डीएचसीपी - संभवतः आपके सभी ग्राहकों के लिए इस समय आपके पास एक ही गुंजाइश है। यदि आप उन्हें अलग नेटवर्क पर रखते हैं तो आपको प्रत्येक वीएलएएन के लिए एक अलग गुंजाइश का प्रबंधन करने की आवश्यकता होगी। यह वास्तव में डिवाइस और इन्फ्रास्ट्रक्चर पर निर्भर है, इसलिए मैं इसे अभी के लिए छोड़ दूंगा।

अपने बजट के आधार पर, बहुत कम से कम एक प्रबंधित स्विच चुनें और प्रत्येक मंजिल को वीएलएएन पर रखें।

अपनी सुरक्षा और डीएचसीपी समस्या को पूरी तरह से हल करने के लिए, यदि केबल बिछाने की अनुमति मिलती है, तो प्रत्येक दो मंजिलों के लिए 24-पोर्ट प्रबंधित स्विच प्राप्त करें। यदि केबल बिछाने की अनुमति नहीं है, तो रनों का विस्तार करने के लिए पैच पैनल का उपयोग अधिक स्विच की तुलना में सस्ता है।

आप 10/100 प्रबंधित स्विच का उपयोग करके गियर पर बचत कर सकते हैं, हालांकि, विक्रेता के आधार पर इसे स्थापित करने के लिए विशेषज्ञता का एक बड़ा सौदा (सिस्को) की आवश्यकता हो सकती है।

फाइबर के साथ 8 स्टोरी ऑफिस बिल्डिंग में एक 1000+ पोर्ट नेटवर्क स्थापित करने के लिए एक प्रोग्रामर के रूप में, मैं कह सकता हूं कि डी-लिंक प्रबंधित स्विच जीयूआई को मैनुअल के साथ जोड़ा गया है जो आपको आपकी आवश्यकता के अनुसार कुछ भी करने की अनुमति देगा। मैं यह नहीं कह रहा हूं कि आपको डी-लिंक का उपयोग करना होगा, मैं सिर्फ यह कह रहा हूं कि मुझे नहीं लगता कि आप निराश होंगे। डी-लिंक प्रबंधित स्विच (स्तर 2+) सस्ती हैं और स्विच पर डीएचसीपी चला सकते हैं (यह अनुशंसा नहीं कर रहे हैं, लेकिन यह एक विकल्प है)। उनके पास एक कम "स्मार्ट" स्विच टीयर है जो आपकी ज़रूरत का सब कुछ कर सकता है।

यदि आप प्रति फर्श एक वीएलएएन ए / 23 (512 होस्ट) पर्याप्त होना चाहिए (यदि आप कभी वायरलेस को रोल आउट करने की योजना बनाते हैं तो बड़ा हो जाना चाहिए)। यदि आप प्रति अपार्टमेंट में एक वीएलएएन करते हैं, तो एक / 27 (30 होस्ट) करना चाहिए।

मेरी राय में कई वीएलएएन के लिए डीएचसीपी करने का सबसे आसान तरीका एक रास्पबेरी पीआई को पकड़ना और आईएससी डीएचसीपी का उपयोग करना होगा । आप किसी भी निम्न-शक्ति मशीन का उपयोग कर सकते हैं जिसमें एक एनआईसी है जो वीएलएएन का समर्थन करता है। (व्यक्तिगत रूप से, मैं $ 99 के लिए एजमैक्स राउटर हड़पूंगा और उस पर डीएचसीपी चलाऊंगा !)

प्रत्येक वीएलएएन के लिए बस एक आईपी रेंज / सबनेट चुनें, एक वीएलएएन के लिए आपका आईएससी डीएचसीपी कॉन्फ़िगरेशन कुछ इस तरह दिखाई दे सकता है:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

आप प्रत्येक विकल्प के बाहर वैश्विक विकल्प चिपका सकते हैं, इसलिए बहुत कम से कम आप इस तरह से कुछ के साथ समाप्त करेंगे:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

यदि प्रत्येक अपार्टमेंट में लूप से बचने के लिए फैले हुए ट्री प्रोटोकॉल में कई नेटवर्क जैक हैं। यह चीजों को धीमा कर सकता है यदि आप इसे ठीक से कॉन्फ़िगर नहीं करते हैं जिसके कारण प्रत्येक पोर्ट को 30 सेकंड या उससे अधिक समय लग सकता है, इसलिए सुनिश्चित करें कि आप इसका परीक्षण करें। एक विकल्प है जिसे आप सक्षम करना चाहते हैं, मेरा मानना ​​है कि सिस्को इसे पोर्टफ़ास्ट कहता है।

मैंने इसे व्यक्तिगत रूप से नहीं किया है, लेकिन जाहिरा तौर पर विंडोज सर्वर इसे सेट करना बहुत आसान बनाता है।

इस पर भी विचार करें:

• एक स्थानीय कैशिंग डीएनएस फारवर्डर, ट्रैफ़िक को आकार देने और शायद वीओआईपी के लिए क्यूओएस समग्र जवाबदेही में सुधार करेगा (क्या आपका हार्डवेयर लाइन गति पर सेवाओं को चलाने में सक्षम होना चाहिए)।

• यदि आप सुरक्षा कैमरों को अपग्रेड करने या वायरलेस को चालू करने की योजना बनाते हैं, तो यह POE गियर प्राप्त करने के लायक हो सकता है।

• चूंकि कई सस्ते वायरलेस राउटर स्टैंडअलोन एपी के रूप में कार्य नहीं करते हैं, इसलिए आप सबसे अच्छी उम्मीद कर सकते हैं कि किरायेदार डबल नेट का उपयोग करेंगे। यदि हर कोई WAN / इंटरनेट पोर्ट के माध्यम से अपने राउटर को अपने नेटवर्क में प्लग इन करता है जो सुरक्षा में सुधार करेगा और साथ ही DHCP समस्या को भी समाप्त करेगा। सामान्य राउटर ब्रांडों के साथ एक अच्छी तरह से मुद्रित अनुदेश शीट आपको कुछ उपकरण और परेशानी से बचा सकती है; हालाँकि, पूर्ण अनुपालन मुश्किल होगा।

• अपने ISP के लिए सबसे तेज़ DNS सर्वर खोजने के लिए namebench जैसे टूल का उपयोग करें ।

सौभाग्य!

यदि आपके पास एक सभ्य राउटर है, तो एक संभावित समाधान प्रति अपार्टमेंट में एक वीएलएएन स्थापित करना और प्रत्येक वीएलएएन को एक / 30 पता देना है। प्रत्येक वीएलएएन के लिए एक डीएचसीपी गुंजाइश भी बनाएं जो केवल एक आईपी पते को असाइन करता है।

उदाहरण के लिए:

• vlan 100
  • सबनेट 10.0.1.0/30
  • राउटर 10.0.1.1
  • उपयोगकर्ता 10.0.1.2
• वलान 104
  • सबनेट 10.0.1.4/30
  • राउटर 10.0.1.5
  • उपयोगकर्ता 10.0.1.6

यह अपार्टमेंट के बीच गेमिंग की समस्या को हल करता है क्योंकि राउटर अपार्टमेंट के बीच मार्ग कर सकता है। यह दुष्ट डीएचसीपी समस्या को भी हल करता है क्योंकि डीएचसीपी ट्रैफिक को उस अपार्टमेंट के वीएलएएन से अलग किया जाता है और उन्हें केवल एक आईपी पता मिलता है।

मैं PPPOE और एक साधारण सर्वर को चुनूंगा, जैसे ... mikrotik या जो भी इसका समर्थन करता है। यह आसान तरीका प्रतीत होगा। मुझे यकीन है कि आपने इसे अभी तक हल कर लिया है, लेकिन किसी के लिए भी यह समस्या होगी ... pppoe सबसे तेज़ जवाब है।