Nebula 交換器如何透過存取控制清單(ACL)阻擋非法 DHCP 伺服器

Zyxel小編 Corey

前言

一般的網路環境通常只會有一台合法的 DHCP 伺服器，用來發送正確的 IP 資訊給網路裝置。但如果有使用者攜帶非法的 DHCP 分享器進入內部網路，這可能會導致裝置取得錯誤的 IP，進而無法正常進行網路傳輸。

遇到這種情況，您可以透過 Nebula Switch 的 IP 來源防護功能來阻擋，不過這需要組織擁有專業版本的授權才能使用。如果您想要免費達成類似的保護效果，可以使用 ACL（存取控制清單）來封鎖非法的 DHCP 伺服器，這樣可以確保客戶端獲得正確的 DHCP IP 位址設定。

若您的組織已經擁有專業版本的授權，我們強烈建議您使用 Nebula Switch 的 IP 來源防護功能，這樣能夠達到更全面的防護效果。您可以參考這篇文章來了解更多信息：

https://community.zyxel.com/tw/discussion/19043/%E5%A6%82%E4%BD%95%E9%80%8F%E9%81%8E-nebula-switch-ip-%E4%BE%86%E6%BA%90%E9%98%B2%E8%AD%B7%E9%98%BB%E6%93%8B%E9%9D%9E%E6%B3%95-dhcp-%E4%BC%BA%E6%9C%8D%E5%99%A8%E8%88%87%E9%9D%9E%E6%B3%95%E5%85%A5%E4%BE%B5%E8%80%85-nebula-%E5%B0%88%E6%A5%AD%E7%89%88%E6%9C%AC%E5%8A%9F%E8%83%BD

網路架構與情境

DHCP 透過 UDP 67 Port 發送 IP 資訊，只要透過 Nebula Switch ACL 只允許可信任 DHCP 伺服器 IP 使用 UDP 連接埠 67 發送 DHCP 封包，並阻擋其他 IP 位址，即可防止用戶端取得錯誤的 IP 資訊。

設定步驟

請參考以下設定步驟，IP 資訊請依照您網路環境替換。

注意事項 : 請確保每一步驟皆有正確配置，否則將導致所有設備皆無法取得 IP 位址。

步驟 1 - 允許合法 DHCP 伺服器傳輸

新增第一條規則，允許合法 DHCP 伺服器提供 IP 設定。

若您的網路環境擁有不止一台合法 DHCP 伺服器，請新增兩條允許的規則。

前往 整個站點 > 設定 > 交換器 > 存取控制清單(ACL)

• 策略：允許
• 協定：UDP
• 來源 MAC：any
• 來源 IP：10.214.48.254（請輸入您網路環境中的合法 DHCP 伺服器 IP）
• 來源連接埠：67
• 目標 MAC：any
• 目標 IP：any
• 目標連接埠：any
• VLAN ：any
• 描述 : 合法 DHCP 伺服器 (可辨識規則用途即可)

步驟 2 - 封鎖其他非法 DHCP 伺服器

設定好允許規則後，我們需要新增一條拒絕規則，以阻擋其他非法 DHCP 伺服器發送 OFFER 和 ACK 封包。

• 政策：拒絕
• 協定：UDP
• 來源MAC：any
• 來源IP：any
• 來源連接埠：67
• 目標MAC：any
• 目標IP：any
• 目標連接埠：any
• VLAN：any
• 描述 : 阻擋非法 DHCP 伺服器 (可辨識規則用途即可)

確認規則優先順序，阻擋的規則必須在下方，否則合法 DHCP 伺服器也無法派送 IP 位址。

拖移規則前方 " = " 符號可以調整規則順序，確認無誤後，請點選儲存，套用設定。

步驟 3 - 驗證功能

使用 Windows PC 作為 DHCP 用戶端，使用 cmd 和命令「ipconfig」來檢查 IPv4 位址。

然後使用指令「ipconfig /release」和「ipconfig /renew」讓客戶端傳送新的 DHCP 尋找封包，確認是否仍會取得錯誤 IP 資訊。