Оптимизация сети MikroTik с использованием DHCP Snooping

Базовая функциональность RouterOS
gabin8207
Сообщения: 2
Зарегистрирован: 21 янв 2025, 22:17

Оптимизация сети MikroTik с использованием DHCP Snooping

Сообщение gabin8207 »

Здравствуйте!
Я хочу оптимизировать свою сеть, используя функцию DHCP Snooping на устройствах MikroTik.
Однако мне хотелось бы углубиться в некоторые аспекты, специфичные для MikroTik, которые не были освещены в статье. Например, как настроить DHCP Snooping на интерфейсах VLAN в RouterOS? Нужно ли добавлять интерфейсы VLAN в основной bridge, чтобы DHCP Snooping работал корректно?
Кроме того, какие лучшие практики существуют для мониторинга и записи попыток работы неавторизованных DHCP-серверов, обнаруженных DHCP Snooping на коммутаторе MikroTik? И как активировать опцию 82 для усиления безопасности?
Буду очень признателен, если кто-то поделится своим опытом или предоставит рекомендации по этим вопросам.
Заранее спасибо за помощь!
Аватара пользователя
Chupaka
Сообщения: 4116
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Оптимизация сети MikroTik с использованием DHCP Snooping

Сообщение Chupaka »

Приветствую.

О какой сети речь? Что именно вы хотите оптимизировать? У меня был обширный опыт использования Option82 на коммутаторах, когда DHCP-сервером выступал MikroTik в связке с RADIUS-сервером. Со Snooping на самих микротиках не работал :)

Для мониторинга можно DHCP Server Alerts использовать :)

З.Ы. Какую статью вы упомянули?
gabin8207
Сообщения: 2
Зарегистрирован: 21 янв 2025, 22:17

Re: Оптимизация сети MikroTik с использованием DHCP Snooping

Сообщение gabin8207 »

Здравствуйте, Chupaka,

Спасибо за ваш ответ и за информацию о применении Опции 82 с DHCP-сервером MikroTik и сервером RADIUS — это действительно интересно!

Речь идет о гибридной сети, где устройства MikroTik используются как маршрутизаторы и как коммутаторы. Моя главная цель — усилить безопасность сети от атак DHCP-spoofing, а также эффективно управлять VLAN и расширенными DHCP-настройками.

Что касается Опции 82, сталкивались ли вы с какими-либо особыми ограничениями при её использовании с MikroTik? Если да, то какие шаги вы предпринимали для их обхода? Вы упомянули, что это не работает с DHCP Snooping на MikroTik. Это означает, что есть какая-то несовместимость? Или же существуют определенные конфигурации, которые позволяют это настроить?

И ещё, вы сказали, что для мониторинга можно использовать предупреждения DHCP-сервера. Могли бы вы подробнее рассказать, как их настроить для сигнализации об аномалиях, например, о несанкционированных DHCP-серверах в определённом VLAN? Можно ли эти уведомления централизовать или интегрировать с существующими системами мониторинга?

Мне было бы интересно узнать ваши рекомендации или любую дополнительную документацию, которая поможет оптимизировать мою конфигурацию. Заранее благодарю за ваш ценный совет!
Аватара пользователя
Chupaka
Сообщения: 4116
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск

Re: Оптимизация сети MikroTik с использованием DHCP Snooping

Сообщение Chupaka »

gabin8207 писал(а): 23 янв 2025, 23:08 Моя главная цель — усилить безопасность сети от атак DHCP-spoofing
Тогда, по идее, достаточно на бриджах настроить снупинг с Trusted-портами - и вуаля, сторонние серверы вам не мешают.
gabin8207 писал(а): 23 янв 2025, 23:08 а также эффективно управлять VLAN и расширенными DHCP-настройками.
Вот тут непонятно, что имеется в виду.
gabin8207 писал(а): 23 янв 2025, 23:08 Что касается Опции 82, сталкивались ли вы с какими-либо особыми ограничениями при её использовании с MikroTik? Если да, то какие шаги вы предпринимали для их обхода? Вы упомянули, что это не работает с DHCP Snooping на MikroTik. Это означает, что есть какая-то несовместимость? Или же существуют определенные конфигурации, которые позволяют это настроить?
Когда работал - не сталкивался. Но это было лет 8 назад :) И я упомянул, что это я не работал со Snooping на MikroTik - его ещё тогда, вроде, и не было, позже добавили.
gabin8207 писал(а): 23 янв 2025, 23:08 И ещё, вы сказали, что для мониторинга можно использовать предупреждения DHCP-сервера. Могли бы вы подробнее рассказать, как их настроить для сигнализации об аномалиях, например, о несанкционированных DHCP-серверах в определённом VLAN? Можно ли эти уведомления централизовать или интегрировать с существующими системами мониторинга?
Создаёте на этих VLAN алерты, логи централизованно собираете, из них узнаёте о фактах появления "левых" серверов.