Eine Mac-Sperre kann durchgeführt werden. Die Mac-Sperre besteht darin, dass ein Gerät, das eine Verbindung zu einem Port herstellt und nicht über die IP und den Mac verfügt, die in einer Liste (ARP-Tabelle) im Router angegeben sind, nicht verfügbar ist Kommunikation Mit Ihrem Gateway können Sie weder mit anderen Geräten kommunizieren noch auf das Internet zugreifen.
Damit es funktioniert, müssen Sie in der Schnittstelle den Arp-Antwortmodus aktivieren und manuell Arp, IP, Mac und Schnittstelle zur Tabelle hinzufügen.
Wenn ein Kunde einen Router über einen seiner LAN-Ports fälschlicherweise mit dem Netzwerk verbindet und dieser Router anfängt, IP-Adressen zu vergeben (und als nicht autorisierter DHCP-Server fungiert), kann es zu IP-Konflikten und Verbindungsproblemen im Netzwerk kommen.
Um dieses Problem in einem von einem MikroTik-Gerät verwalteten Netzwerk zu beheben, können Sie Maßnahmen ergreifen, um den Datenverkehr von der spezifischen IP-Adresse, die das Problem verursacht, zu blockieren oder den unerwünschten DHCP-Server zu deaktivieren.
So blockieren Sie diese bestimmte IP-Adresse mithilfe der MikroTik-Firewall:
Verwenden von WinBox
- Greifen Sie auf Ihr MikroTik zu: Melden Sie sich mit WinBox bei Ihrem MikroTik-Gerät an.
- Öffnen Sie die Firewall: gehe zu IP > Firewall auf der Speisekarte.
- Fügen Sie eine neue Regel in der „Vorwärts“-Kette hinzu:
- Klicken Sie auf die Registerkarte Filterregeln und dann auf den Knopf + um eine neue Regel hinzuzufügen.
- Allgemeines: Stellen Sie auf der Registerkarte „Allgemein“ die „Kette“ auf ein
forward
. - Fortgeschrittener: Zu diesem Zweck müssen hier keine Optionen festgelegt werden.
- Quelladresse: Geben Sie die IP-Adresse des nicht autorisierten DHCP-Servers ein, den Sie blockieren möchten.
- Action: Zur Registerkarte „Aktion“ wechseln, auswählen
drop
im Feld „Aktion“. Dadurch wird der gesamte Datenverkehr blockiert, der von dieser IP-Adresse kommt. - Klicken Sie auf Jetzt bewerben und dann in OK um die Regel einzuhalten.
Verwenden Sie die CLI
Wenn Sie lieber die Kommandozeile nutzen möchten, finden Sie hier den entsprechenden Befehl:
/ip firewall filter add action=drop chain=forward src-address=<IP_Servidor_DHCP_Errado>
Ersetzt <IP_Servidor_DHCP_Errado>
mit der IP-Adresse des nicht autorisierten DHCP-Servers, der das Problem verursacht.
Zusätzliche Lösungen
Neben der IP-Blockierung gibt es noch andere Strategien, die Sie in Betracht ziehen könnten, um solche Vorfälle in Zukunft zu verhindern:
- Deaktivieren Sie DHCP für unerwünschte Ports: Wenn Sie einen verwaltbaren Switch zwischen MikroTik und den Benutzern haben, können Sie die Ports als „nicht vertrauenswürdig“ für DHCP-Snooping konfigurieren und so verhindern, dass sie als DHCP-Server fungieren.
- Verwendung von DHCP-Snooping: Wenn Ihr Netzwerkgerät dies unterstützt, kann DHCP-Snooping dabei helfen, nicht autorisierte DHCP-Antworten im Netzwerk zu identifizieren und zu blockieren.
- Warnungen und Überwachung: Richten Sie Benachrichtigungen ein, um Sie zu benachrichtigen, wenn IP-Konflikte auftreten oder wenn ein neues Gerät versucht, als DHCP-Server im Netzwerk zu fungieren.
Diese Maßnahmen helfen Ihnen, die Stabilität Ihres Netzwerks aufrechtzuerhalten und Verbindungsprobleme zu vermeiden, die durch Fehlkonfigurationen von Geräten im Netzwerk verursacht werden.
Es gibt keine Tags für diesen Beitrag.