เมื่อไคลเอนต์วางสายเราเตอร์ในเอาต์พุต LAN และออก IP ที่ไม่ถูกต้องและทำให้เครือข่ายล่ม IP นั้นจะถูกบล็อกได้อย่างไร
แมคล็อคสามารถทำได้ โดยแมคล็อคประกอบด้วยหากเป็นอุปกรณ์ที่เชื่อมต่อกับพอร์ตและไม่มี IP และแมคที่ระบุไว้ในรายการ (ตาราง ARP) ในเราเตอร์ก็จะไม่สามารถมีได้ การสื่อสาร ด้วยเกตเวย์ของคุณ คุณจะไม่สามารถสื่อสารกับอุปกรณ์อื่น ๆ และจะไม่สามารถเข้าถึงอินเทอร์เน็ตได้
เพื่อให้ใช้งานได้ ในอินเทอร์เฟซ คุณต้องเปิดใช้งานโหมดตอบกลับอย่างเดียวของ arp และเพิ่ม arp, ip, mac และอินเทอร์เฟซลงในตารางด้วยตนเอง
เมื่อลูกค้าเชื่อมต่อเราเตอร์กับเครือข่ายอย่างไม่ถูกต้องโดยใช้พอร์ต LAN พอร์ตใดพอร์ตหนึ่ง และเราเตอร์นี้เริ่มออกที่อยู่ IP (ทำหน้าที่เป็นเซิร์ฟเวอร์ DHCP ที่ไม่ได้รับอนุญาต) อาจทำให้เกิดข้อขัดแย้งของ IP และปัญหาการเชื่อมต่อบนเครือข่ายได้
หากต้องการแก้ไขปัญหานี้บนเครือข่ายที่จัดการโดยอุปกรณ์ MikroTik คุณสามารถดำเนินการเพื่อบล็อกการรับส่งข้อมูลจากที่อยู่ IP เฉพาะที่เป็นสาเหตุของปัญหาหรือปิดใช้งานเซิร์ฟเวอร์ DHCP ที่ไม่ต้องการ
ต่อไปนี้เป็นวิธีบล็อกที่อยู่ IP เฉพาะนั้นโดยใช้ไฟร์วอลล์ MikroTik:
การใช้ WinBox
- เข้าถึง MikroTik ของคุณ: เข้าสู่ระบบอุปกรณ์ MikroTik ของคุณโดยใช้ WinBox
- เปิดไฟร์วอลล์: ไปที่ IP > ไฟร์วอลล์ บนเมนู
- เพิ่มกฎใหม่ในห่วงโซ่ 'ส่งต่อ':
- คลิกที่แท็บ กฎการกรอง และจากนั้นที่ปุ่ม + เพื่อเพิ่มกฎใหม่
- General: ในแท็บ "ทั่วไป" ให้ตั้งค่า "เชน" เป็น
forward. - ระดับสูง: ไม่จำเป็นต้องตั้งค่าตัวเลือกที่นี่เพื่อจุดประสงค์นี้
- ที่อยู่ต้นทาง: ป้อนที่อยู่ IP ของเซิร์ฟเวอร์ DHCP ที่ไม่ได้รับอนุญาตที่คุณต้องการบล็อก
- การกระทำ: สลับไปที่แท็บ “การกระทำ” เลือก
dropในช่อง "การดำเนินการ" วิธีนี้จะบล็อกการรับส่งข้อมูลทั้งหมดที่มาจากที่อยู่ IP นั้น - คลิกที่ ใช้ แล้วใน OK เพื่อรักษากฎเกณฑ์
การใช้ CLI
หากคุณต้องการใช้บรรทัดคำสั่ง นี่คือคำสั่งที่เกี่ยวข้อง:
/ip firewall filter add action=drop chain=forward src-address=<IP_Servidor_DHCP_Errado>แทนที่ <IP_Servidor_DHCP_Errado> ด้วยที่อยู่ IP ของเซิร์ฟเวอร์ DHCP อันธพาลที่เป็นสาเหตุของปัญหา
โซลูชันเพิ่มเติม
นอกเหนือจากการบล็อก IP แล้ว ยังมีกลยุทธ์อื่นๆ ที่คุณสามารถพิจารณาเพื่อป้องกันเหตุการณ์ประเภทนี้ในอนาคต:
- ปิดการใช้งาน DHCP บนพอร์ตที่ไม่ต้องการ: หากคุณมีสวิตช์ที่จัดการได้ระหว่าง MikroTik และผู้ใช้ คุณสามารถกำหนดค่าพอร์ตเป็น “ไม่น่าเชื่อถือ” สำหรับ DHCP Snooping เพื่อป้องกันไม่ให้พอร์ตเหล่านั้นทำหน้าที่เป็นเซิร์ฟเวอร์ DHCP
- การใช้ DHCP สอดแนม: หากอุปกรณ์เครือข่ายของคุณรองรับ DHCP Snooping สามารถช่วยระบุและบล็อกการตอบสนอง DHCP ที่ไม่ได้รับอนุญาตบนเครือข่ายได้
- การแจ้งเตือนและการติดตาม: ตั้งค่าการแจ้งเตือนเพื่อแจ้งให้คุณทราบเมื่อเกิดความขัดแย้งของ IP หรือเมื่ออุปกรณ์ใหม่พยายามทำหน้าที่เป็นเซิร์ฟเวอร์ DHCP บนเครือข่าย
มาตรการเหล่านี้จะช่วยให้คุณรักษาเสถียรภาพของเครือข่ายของคุณและหลีกเลี่ยงปัญหาการเชื่อมต่อที่เกิดจากการกำหนดค่าอุปกรณ์บนเครือข่ายไม่ถูกต้อง
ไม่มีแท็กสำหรับโพสต์นี้- แบ่งปันบทความนี้
