可以执行 MAC 锁定,MAC 锁定包括:如果它是连接到端口的设备,并且不具有路由器列表(ARP 表)中指定的 IP 和 MAC,则它将无法拥有通信 通过网关,您将无法与其他设备进行通信,也无法访问互联网。
为了使其工作,您必须在接口中启用 arp 仅回复模式,并手动将 arp、ip、mac 和接口添加到表中。
当客户使用其 LAN 端口之一错误地将路由器连接到网络,并且该路由器开始发布 IP 地址(充当未经授权的 DHCP 服务器)时,可能会导致网络上的 IP 冲突和连接问题。
要在 MikroTik 设备管理的网络上解决此问题,您可以采取措施阻止来自导致问题的特定 IP 地址的流量或禁用不需要的 DHCP 服务器。
以下是使用 MikroTik 防火墙阻止特定 IP 地址的方法:
使用WinBox
- 访问您的 MikroTik:使用 WinBox 登录您的 MikroTik 设备。
- 打开防火墙: 去 IP > 防火墙 在菜单上。
- 在“转发”链中添加新规则:
- 点击标签 筛选规则 然后在按钮上 + 添加新规则。
- 其他咨询:在“常规”选项卡中,将“链”设置为
forward
. - 高级:无需为此目的在此处设置选项。
- 源地址:输入要阻止的未经授权的 DHCP 服务器的 IP 地址。
- 操作:切换到“操作”选项卡,选择
drop
在“操作”字段中。这将阻止来自该 IP 地址的所有流量。 - 点击 使用 然后在 OK 来遵守规则。
使用 CLI
如果您更喜欢使用命令行,以下是相应的命令:
/ip firewall filter add action=drop chain=forward src-address=<IP_Servidor_DHCP_Errado>
取代 <IP_Servidor_DHCP_Errado>
与导致问题的恶意 DHCP 服务器的 IP 地址。
附加解决方案
除了阻止 IP 之外,您还可以考虑采取其他策略来防止将来发生此类事件:
- 在不需要的端口上禁用 DHCP:如果 MikroTik 和用户之间有可管理的交换机,则可以将端口配置为 DHCP 侦听“不可信”,以防止它们充当 DHCP 服务器。
- 使用 DHCP 侦听:如果您的网络设备支持,DHCP Snooping 可以帮助识别并阻止网络上未经授权的 DHCP 响应。
- 警报和监控:设置警报,以便在发生 IP 冲突或新设备尝试充当网络上的 DHCP 服务器时通知您。
这些措施将帮助您维护网络的稳定性,并避免因网络设备配置错误而导致的连接问题。
这篇文章没有标签。