Posted by Kittisak 01/10/2024 0 Comment(s) เรียนออนไลน์,

ป้องกัน Rogue DHCP Server (DHCP Server สวนทาง) ด้วย DHCP Snooping บน MikroTik

 

        โดยปกติในระบบเครือข่ายเบื้องต้นประกอบไปด้วย Router, Switch, PC, Laptop เป็นต้น โดย Router จะทำหน้าที่แจก IP Address, Gateway, DNS ให้กับทางผู้ที่ร้องขอ คือ PC, Laptop โดย Router ทำการแจก IP Address ผ่านทาง Switch ซึ่งเป็นตัวกลางในการส่งต่อจาก Router อีกทีในกรณีที่ระบบเครือข่ายมีขนาดเล็กจะสามารถจัดการได้ง่าย แต่ถ้าระบบเครือข่ายมีขนาดใหญ่การจัดการกับผู้ใช้งานก็จะทำได้ยากขึ้นตามลำดับ

 

 

ปัญหาที่พบเจอกับเครือข่าย

 

        ปัญหาที่ผู้ดูแลระบบหลาย ๆ ท่านเจอในระบบเครือข่ายที่มีขนาดใหญ่ เช่น ผู้ใช้งานซื้ออุปกรณ์ WiFi Router หรือ Switch 4 Port มี WiFi มาต่อใช้งานในระบบเครือข่ายเองโดยที่ไม่ได้ทำการ Config ตัวอุปกรณ์ทำให้ค่าเดิมของตัวอุปกรณ์ WiFi Router จ่าย DHCP Server ออกมาด้วยทำให้ DHCP Server สวนกลับเข้าไปในระบบเครือข่ายหลัก ทำให้ผู้ใช้งานท่านอื่นได้รับ IP Address ที่ไม่ได้จ่ายมาจาก DHCP Servers หลักส่งผลให้เกิดปัญหาขึ้น

 

 

แก้ปัญหาด้วย DHCP Snooping

 

        ปัญหาที่เกิด DHCP Server จ่ายสวนกลับเข้ามาในระบบเครือข่ายสามารถทำการแก้ไขโดยใช้ " DHCP Snooping " DHCP Snooping คือ การกำหนดให้ Port บนอุปกรณ์นั้น ๆ ว่า Port ไหนน่าเชื่อถือ " Trusted " อนุญาตให้มี DHCP Server ผ่านเข้ามาด้วยที่เรียกว่า UP-Link Port ไหนไม่น่าเชื่อถือ  " Untrusted " ไม่อนุญาตให้มี DHCP Server จ่ายสวนเข้ามาที่เรียกว่า Down-Link

 

ตั้งค่า DHCP Snooping บน MikroTik

 

1. ทำการตั้งค่าโดยเข้าที่เมนู " Bridge "

  • หัวข้อ " Bridge " กดปุ่ม Add
  • ทำเครื่องหมายถูกที่ช่อง : DHCP Snooping
  • ทำเครื่องหายถูกที่ช่อง : Add DHCP Option 82

 

 

2. ทำการตั้งค่าหัวข้อ " Ports "

  • กดปุ่ม Add แล้วทำการตั้งค่าดังรูป
  • Interface : ether4 (คือ Interface ที่เชื่อถือให้มีการจ่าย DHCP Server เข้ามาได้ " UP-Link "
  • Bridge : bridge1 (เลือก bridge1 ที่ทำการสร้างไว้ตามข้อ 1 )
  • ทำเครื่องหมายถูก : Trusted (คือ การยินยอมให้มีการจ่าย DHCP Server เข้ามา)

 

 

3. ทำการตั้งค่าหัวข้อ " Ports "

  • กดปุ่ม Add แล้วทำการตั้งค่าดังรูป
  • Interface : ether6  (คือ Interface ที่ไม่น่าเชื่อถือไม่ให้มีการจ่าย DHCP Server เข้ามาได้ " Down-Link "
  • Bridge : bridge1 (เลือก bridge1 ที่ทำการสร้างไว้ตามข้อ 1 )
  • นำเครื่องหมายถูกออก : Trusted (คือ ไม่ยินยอมให้มีการจ่าย DHCP Server เข้ามา)

 

 

นึกถึงทีมงานมืออาชีพนึกถึง VRProService