Nebula 交換器如何透過存取控制清單(ACL)阻擋非法 DHCP 伺服器

Zyxel小編 Corey

前言

一般網路環境只會有一台合法的 DHCP 伺服器，發送正確的 IP 資訊給網路裝置。但是萬一有使用者自行攜帶 IP 分享器這類非法的 DHCP 伺服器，串接到內部網路，導致裝置取得錯誤 IP，將無法進行網路傳輸。

遇到此問題，可以透過 Nebula Switch IP 來源防護功能阻擋，但是這需要組織擁有專業版本授權才能使用。

因此我們也提供免費的方式可以達到此功能，透過 ACL 封鎖非法 DHCP 伺服器，即可確保用戶端能夠獲得正確的 DHCP IP 位址設定。

若您的組織擁有專業版本授權，我們強烈建議您使用 Nebula Switch IP 來源防護功能，達到更全面的防護，您可以參考此篇文章 :

https://community.zyxel.com/tw/discussion/19043/%E5%A6%82%E4%BD%95%E9%80%8F%E9%81%8E-nebula-switch-ip-%E4%BE%86%E6%BA%90%E9%98%B2%E8%AD%B7%E9%98%BB%E6%93%8B%E9%9D%9E%E6%B3%95-dhcp-%E4%BC%BA%E6%9C%8D%E5%99%A8%E8%88%87%E9%9D%9E%E6%B3%95%E5%85%A5%E4%BE%B5%E8%80%85-nebula-%E5%B0%88%E6%A5%AD%E7%89%88%E6%9C%AC%E5%8A%9F%E8%83%BD

網路架構與情境

DHCP 透過 UDP 67 Port 發送 IP 資訊，只要透過 Nebula Switch ACL 只允許可信任 DHCP 伺服器 IP 使用 UDP 連接埠 67 發送 DHCP 封包，並阻擋其他 IP 位址，即可防止用戶端取得錯誤的 IP 資訊。

設定步驟

請參考以下設定步驟，IP 資訊請依照您網路環境替換。

注意事項 : 請確保每一步驟皆有正確配置，否則將導致所有設備皆無法取得 IP 位址。

步驟 1 - 允許合法 DHCP 伺服器傳輸

新增第一條規則，允許合法 DHCP 伺服器提供 IP 設定。

若您的網路環境擁有不止一台合法 DHCP 伺服器，請新增兩條允許的規則。

前往 整個站點 > 設定 > 交換器 > 存取控制清單(ACL)

• 策略：允許
• 協定：UDP
• 來源 MAC：any
• 來源 IP：10.214.48.254（請輸入您網路環境中的合法 DHCP 伺服器 IP）
• 來源連接埠：67
• 目標 MAC：any
• 目標 IP：any
• 目標連接埠：any
• VLAN ：any
• 描述 : 合法 DHCP 伺服器 (可辨識規則用途即可)

步驟 2 - 封鎖其他非法 DHCP 伺服器

設定好允許規則後，我們需要新增一條拒絕規則，以阻擋其他非法 DHCP 伺服器發送 OFFER 和 ACK 封包。

• 政策：拒絕
• 協定：UDP
• 來源MAC：any
• 來源IP：any
• 來源連接埠：67
• 目標MAC：any
• 目標IP：any
• 目標連接埠：any
• VLAN：any
• 描述 : 阻擋非法 DHCP 伺服器 (可辨識規則用途即可)

確認規則優先順序，阻擋的規則必須在下方，否則合法 DHCP 伺服器也無法派送 IP 位址。

拖移規則前方 " = " 符號可以調整規則順序，確認無誤後，請點選儲存，套用設定。

步驟 3 - 驗證功能

使用 Windows PC 作為 DHCP 用戶端，使用 cmd 和命令「ipconfig」來檢查 IPv4 位址。

然後使用指令「ipconfig /release」和「ipconfig /renew」讓客戶端傳送新的 DHCP 尋找封包，確認是否仍會取得錯誤 IP 資訊。