Eu mantenho uma pequena LAN ( 192.168.1.0/24) na qual temos várias máquinas não confiáveis, onde os usuários dessas máquinas têm direitos administrativos ou são capazes de conectar suas próprias máquinas à rede.
O servidor também está nessa rede ( 192.168.1.200) e preciso evitar que um conflito de IP desative os serviços de rede quando o usuário definir o IP de sua máquina igual ao do servidor (possivelmente de forma maliciosa).
Pensei em dividir a rede em duas (algo como 192.168.1.0/25e 192.168.1.128/25).
Qual é a melhor maneira de manter os serviços em funcionamento?
Responder1
Mova seus servidores para uma VLAN separada - isso atenuará, embora não haja nada que impeça o usuário de definir seu IP para o do gateway. Ou melhor, mova o usuário problemático para sua própria VLAN.
Isso também pode ser resolvido usandoinspeção dinâmica de arpem um switch gerenciado bom o suficiente.
Isto também pode ser resolvido tratando-o como um problema disciplinar que precisa ser abordado nessa camada.
Caso contrário, umPregopode ser o último recurso.
Responder2
A solução técnica para este tipo de problema é802.1x, mas isso provavelmente é um exagero para esta situação.
Faça com que seus usuários confiem no DHCP e/ou não permita que eles modifiquem suas configurações de IP.
Responder3
Se ele conhece o IP e tem direitos para alterar o endereço IP de uma máquina, não há muito que você possa fazer. Você pode brincar com o IP Source Guard com DHCP Snooping para forçar o usuário a usar o DHCP.