Como protejo uma rede de baixo orçamento de servidores DHCP não autorizados?

Estou ajudando um amigo a gerenciar uma conexão compartilhada à Internet em um prédio com 80 apartamentos - 8 escadas com 10 apartamentos em cada um. A rede é projetada com o roteador da Internet em uma extremidade do prédio, conectada a um switch de 16 portas barato e não gerenciado na primeira escada, onde também estão conectados os 10 primeiros apartamentos. Uma porta está conectada a outro switch de preço baixo de 16 portas na próxima escada, onde esses 10 apartamentos estão conectados, e assim por diante. Uma espécie de cadeia de interruptores, com 10 apartamentos como raios em cada "margarida". O edifício é em forma de U, com aproximadamente 50 x 50 metros, 20 metros de altura - portanto, do roteador ao apartamento mais distante, provavelmente há cerca de 200 metros, incluindo escadas para cima e para baixo.

Temos muitos problemas com as pessoas que conectam roteadores wifi da maneira errada, criando servidores DHCP não autorizados que interrompem grandes grupos de usuários e queremos resolver esse problema tornando a rede mais inteligente (em vez de fazer uma pesquisa binária desconectada física) )

Com minhas habilidades limitadas de rede, vejo duas maneiras - espionar DHCP ou dividir toda a rede em VLANs separadas para cada apartamento. O VLANS separado fornece a cada apartamento sua própria conexão privada com o roteador, enquanto a espionagem DHCP ainda permite jogos em LAN e compartilhamento de arquivos.

A espionagem DHCP funcionará com esse tipo de topologia de rede ou depende da rede estar em uma configuração apropriada de hub e spoke? Não tenho certeza se existem níveis diferentes de espionagem DHCP - digamos, como os switches Cisco caros farão qualquer coisa, mas os baratos, como TP-Link, D-Link ou Netgear, farão isso apenas em determinadas topologias?

E o suporte básico a VLAN será bom o suficiente para essa topologia? Eu acho que até mesmo switches gerenciados baratos podem marcar o tráfego de cada porta com sua própria tag VLAN, mas quando o próximo switch na cadeia daisy recebe o pacote em sua porta de "downlink", ele não tira ou substitui a tag VLAN por sua própria tag de tronco (ou qualquer que seja o nome para o tráfego de backbone).

O dinheiro é escasso, e acho que não podemos pagar pela Cisco de nível profissional (faço campanhas há anos), então gostaria de alguns conselhos sobre qual solução tem o melhor suporte em equipamentos de rede low-end e, se houver alguns modelos específicos são recomendados? Por exemplo, switches HP low-end ou até marcas de orçamento como TP-Link, D-Link etc.

Se eu esqueci outra maneira de resolver esse problema, é devido à minha falta de conhecimento. :)

Eu acho que você deve seguir a rota multi-VLAN - e não apenas por causa do problema do servidor DHCP. No momento, você tem uma grande rede plana e, até certo ponto, espera-se que os usuários cuidem de sua própria segurança, eu pessoalmente consideraria uma configuração inaceitável.

As únicas opções que precisam ser gerenciadas são as suas. Além disso, você atribui a cada apartamento uma única porta em uma VLAN específica - qualquer coisa a jusante disso desconhecerá completamente a VLAN e poderá funcionar normalmente.

Em termos de seus switches - as portas switch a switch precisarão ser configuradas como portas de tronco e você precisará ser consistente com os IDs de sua VLAN. Em outras palavras, a VLAN100 DEVE corresponder à VLAN100 em qualquer outro lugar da rede.

Fora isso, você pode definir uma configuração de "Roteador no bastão", com cada VLAN (e seu conjunto de IPs *) configurado apenas para rotear de um lado para o outro na Internet e NÃO em outras redes internas.

* Eu não conseguia pensar em nenhum outro lugar para resolver isso, mas lembre-se de que idealmente você deve dar às suas VLANs seu próprio pool de IPs. A maneira mais fácil de fazer isso é manter um dos octetos igual ao ID da VLAN, por exemplo

192.168.100.x - VLAN100
192.168.101.x - VLAN101
192.168.102.x - VLAN102

Quando tudo isso estiver no lugar, você poderá realmente começar a ocupar lugares como Qualidade de Serviço, monitoramento de tráfego e assim por diante, se desejar!

O pedido "LAN Games" parece ser relativamente um nicho para mim, e certamente não um em que eu pensaria. Eles ainda podem jogar normalmente através do NAT, indo para a Internet e retornando - não é o ideal, mas não é diferente de cada apartamento ter sua própria conexão, que é a norma aqui no Reino Unido. Porém, caso a caso, você pode adicionar um roteamento completo entre VLANs entre apartamentos que desejam compartilhar sua rede dessa maneira.

Na verdade, você PODE adicionar roteamento completo entre VLANs em todos os lugares - isso resolveria seus problemas de DHCP, permitiria QoS, mas ainda é um grande problema de segurança na minha opinião.

A única coisa que não cobri aqui é o seu DHCP - presumivelmente você tem um único escopo no momento para todos os seus clientes. Se você colocá-los em redes separadas, precisará gerenciar um escopo separado para cada VLAN. Isso depende muito do dispositivo e da infraestrutura, então deixarei isso por enquanto.

Dependendo do seu orçamento, escolha pelo menos um switch gerenciado e coloque cada andar em uma VLAN.

Para resolver completamente seu problema de segurança e DHCP, se o cabeamento permitir, obtenha um switch gerenciado de 24 portas para cada dois andares. Se o cabeamento não permitir, o uso de painéis de conexão para estender as execuções provavelmente será mais barato do que mais comutadores.

Você pode economizar no uso de switches gerenciados 10/100, no entanto, dependendo do fornecedor, pode ser necessário um grande conhecimento para configurar (Cisco).

Como um programador criado para configurar uma rede de mais de 1000 portas em um prédio de 8 andares com fibra, posso dizer que a GUI dos switches gerenciados D-link emparelhada com o manual permitirá que você faça o que precisar. Não estou dizendo que você precisa usar o D-Link, apenas estou dizendo que não acho que você ficará desapontado. Os comutadores gerenciados da D-Link (nível 2+) são acessíveis e podem executar o DHCP no comutador (não recomendando isso, mas é uma opção). Eles têm um nível de switch "Inteligente" mais baixo que pode fazer tudo o que você precisa.

Se você faz uma VLAN por andar, um / 23 (512 hosts) deve ser suficiente (aumente se você planeja lançar sem fio). Se você faz uma VLAN por apartamento, um / 27 (30 hosts) deve fazer.

A maneira mais fácil de fazer DHCP para várias VLANs, na minha opinião, seria pegar um PI framboesa e usar o ISC DHCP . Você pode usar qualquer máquina de baixo consumo de energia que possua uma NIC compatível com VLANs. (Pessoalmente, eu pegaria um roteador EdgeMax por US $ 99 e executaria o DHCP nisso!)

Basta escolher um intervalo / sub-rede IP por cada VLAN, a configuração DHCP do ISC para uma VLAN pode ser algo como isto:

subnet 10.4.0.0 netmask 255.255.192.0 {
        interface net0;
        option routers 10.4.0.20;
        option subnet-mask 255.255.192.0;
        pool {
                range 10.4.1.1 10.4.63.254;
        }
}

Você pode colocar opções globais fora de cada escopo; assim, você terá pelo menos algo como isto:

option domain-name "well-wired--apts.org";
option domain-name-servers 4.2.2.2, 8.8.8.8, 8.8.4.4;
default-lease-time 3600;
ddns-update-style none;

Se cada apartamento tiver várias tomadas de rede, configure o protocolo de spanning tree para evitar loops. Isso pode tornar as coisas mais lentas se você não a configurar corretamente, fazendo com que cada porta demore 30 segundos ou mais a aparecer, portanto, teste-a. Há uma opção que você deseja ativar, acredito que a Cisco chama PortFast.

Eu não fiz isso pessoalmente, mas aparentemente o Windows server facilita muito a configuração.

Considere também:

• Um encaminhador DNS de cache local, modelagem de tráfego e talvez QoS para VoIP melhorariam a capacidade de resposta geral (caso o seu hardware seja capaz de executar os serviços na velocidade da linha).

• Se você planeja atualizar as câmeras de segurança ou instalar dispositivos sem fio, pode valer a pena adquirir equipamentos POE.

• Como muitos roteadores sem fio baratos não funcionam como pontos de acesso autônomos, o melhor que você pode esperar é que os inquilinos estejam usando um NAT duplo. Se todos conectassem seu roteador à sua rede através da porta WAN / Internet, isso melhoraria a segurança e eliminaria também o problema do DHCP. Uma folha de instruções bem impressa com marcas comuns de roteador pode economizar alguns equipamentos e problemas; no entanto, a total conformidade seria difícil.

• Use uma ferramenta como o namebench para encontrar os servidores DNS mais rápidos para o seu ISP.

Boa sorte!

Se você possui um roteador decente, uma solução possível é configurar uma VLAN por apartamento e atribuir um endereço / 30 a cada VLAN. Crie também um escopo DHCP para cada VLAN que atribua apenas um endereço IP.

Por exemplo:

• vlan 100
  • sub-rede 10.0.1.0/30
  • roteador 10.0.1.1
  • usuário 10.0.1.2
• vlan 104
  • sub-rede 10.0.1.4/30
  • roteador 10.0.1.5
  • usuário 10.0.1.6

Isso resolve o problema de jogar entre apartamentos porque o roteador pode rotear entre apartamentos. Ele também resolve o problema de DHCP não autorizado, porque o tráfego DHCP está isolado na VLAN desse apartamento e eles obtêm apenas um endereço IP.

Eu escolheria o PPPOE e um servidor simples, como ... mikrotik ou qualquer outro suporte. Isso pareceria o caminho mais fácil. Tenho certeza que você já resolveu o problema agora, mas para qualquer um terá esse problema ... pppoe é a resposta mais rápida.