v DHCP serveru nastavit add ARP for leases.
odpovídající rozhraní na mikrotiku nastavit jako arp reply only
Problém je ovšem v části sítě za mikrotikem. Tedy na switchi (nepíšeš, zda máš). Pokud ten nemá podporu pro spolupráci s DHCP serverem, tak úplně těm unesením IP nezabráníš.
DHCP snooping je takový základ - zabezpečí, že si nikdo nepustí DHCP server někde kde nechceš. A především si udržuje tabulky MAC-IP podle odpovědí DHCP serveru. A k tomu lze použít další ochrany, typicky ARP inspection (ono jich je víc) - to pak zajistí, že portem projde provoz IP adresy jen a pouze přidělené z DHCP serveru.
Bez toho takový počítač sice nekomunikuje s RBčkem, ale se vším ostatním může.
