Nebula 如何使用 ACL 阻擋未經授權的 DHCP 伺服器
Zyxel Employee
前言:DHCP 安全的重要性
一個穩定的網路,依賴於一台合法的 DHCP 伺服器來派發正確的 IP 位址。若有使用者不慎將自帶的家用路由器或分享器(即非法的 DHCP 伺服器)接入公司網路,可能會導致其他使用者取得錯誤的 IP 資訊,進而無法上網。
本文將介紹如何利用交換器的「存取控制清單 (ACL)」功能,來阻擋未經授權的 DHCP 伺服器。這是在 Nebula 免費版 (Base Pack) 中,一個非常有效的防護方法。
專業版用戶請注意:若您的組織擁有 Pro Pack 授權,我們強烈建議您直接使用功能更全面的「IP 來源防護 (IP Source Guard)」來達到此目的。
➡️ 參考教學:如何透過 IP 來源防護阻擋非法 DHCP 伺服器
版本資訊:本篇教學的截圖與操作,基於 Nebula Control Center 19.00 版本。
運作原理:針對 DHCP 服務埠進行過濾
DHCP 伺服器在派發 IP 時,會使用 UDP Port 67 作為來源埠。我們的 ACL 策略就是基於此原理:
- 建立第一條規則:明確允許 (Allow) 我們信任的合法 DHCP 伺服器 IP,可以透過 UDP Port 67 發送封包。
- 建立第二條規則:拒絕 (Deny) 其他所有 IP 位址使用 UDP Port 67 發送封包。
⚠️ 極重要設定警告
設定錯誤將導致全網無法取得 IP ,此設定極為敏感,任何參數設定錯誤,都可能導致所有使用者無法正常取得 IP。請務必仔細核對。
規則順序至關重要「允許」的規則,其優先級必須高於「拒絕」的規則。若順序錯誤,合法伺服器也會被阻擋。
設定步驟
路徑:【設定 > 交換器 > 存取控制清單(ACL)】
步驟一:建立「允許合法伺服器」規則
點擊「+新增」,並填寫以下參數 (其餘欄位保持 any 即可):
欄位 | 設定值 | 說明 |
|---|---|---|
策略 (Policy) |
| |
協定 (Protocol) |
| |
來源 IP |
| 請務必替換為您合法 DHCP 伺服器的 IP |
來源連接埠 |
| |
描述 |
| 可自訂,方便識別 |
步驟二:建立「阻擋非法伺服器」規則
再次點擊「+新增 」,建立第二條規則 (其餘欄位保持 any 即可):
欄位 | 設定值 | 說明 |
|---|---|---|
策略 (Policy) |
| |
協定 (Protocol) |
| |
來源連接埠 |
| |
描述 |
| 可自訂,方便識別 |
步驟三:確認規則順序並儲存
- 在 ACL 列表中,務必確認「允許」規則位於「拒絕」規則的上方。
- 若順序不對,請用滑鼠拖曳規則前方的
=符號來進行調整。 - 確認無誤後,點擊頁面底部的「儲存」按鈕。
驗證功能
- 將一台 Windows 電腦連接到已套用規則的交換器。
- 開啟「命令提示字元 (cmd)」,輸入指令「ipconfig」紀錄當前 IP 位址。
- 依序輸入
ipconfig /release和ipconfig /renew指令,讓電腦重新發送 DHCP 請求。 - 再次使用
ipconfig檢查,確認取得的 IP 位址、預設閘道等資訊,皆來自您所允許的合法 DHCP 伺服器。
