Как правильно защитить компы от конфликтов IP адресов?
Добрый день.
Вопрос такой. У меня в сети есть небольшой пул ip адресов которые выдаются автоматически, но я решил прикрыть эту тему потому как в конторе начали злоупотреблять этим притаскивая и подключая свои ноуты в корп сеть.
Вопрос такой, если я сейчас уберу этот пул и найдется какой нибудь умник который пропишет ручками ip и который совпадет с компом работающим в сети и тогда будет конфликт IP адресов.
и вот возникло два вопроса:
1) как уберечься от этих умников в сети которые могут ручками напакостничать?
2) как сделать на программном уровне (windows 2008 server ) что бы если кто то подсоединился неизвестный к сети и вбил в настройки сети правильный ip адрес, доступа к сети не было бы. т.е. полный денайд!
т.е. на коммутаторе нужно вести и прописать для каждого порта mac адрес. юзера правильно? И вопрос такой, если на другой стороне порта стоит свич к которому подсоединены 5 компов, как тогда решается данная задачка?
nibbl: Она не решается ибо это неправильно. Ставится управляемый свитч и от него на компы тянутся кабеля.
Ну хотя в зависимости от железа, никто не мешает на порту задать пачку маков :)
это решается либо аппаратно (типа привязки mac к порту коммутутора или даже через 802.1X ), либо административно - выпускаете документ о запрете подключения левых устройств в сеть с описанием санкций, настраиваете мониторинг DHCP/ARP, пару раз показательно дрючите непонимающих - и все.
Самое надежное - 802.1Х. Но нужны умные коммутаторы + RADIUS. К слову - с этого решения получите и дополнительный профит в виде возможности разделять компьютеры на VLANы, выделять всяки карантинные подсети и т.д. Но непросто.
поддерживаю, с точки зрения интереса и получаемых возможностей - самый добротный вариант с RADIUS. противопоказания: некому или нет времени с ним разбираться; негде поднять RADIUS-сервер и CA-сервер; отсутствие поддержки 802.1X в коммутаторах.
Еще есть 802.1х технология. Защита на уровне порта. Втыкаете комп в порт - а он логин и пароль запрашивает. Если правильный - линк поднимается, выдается адрес....
Но для этого соответствующее оборудование надо...
Я бы пока на вашем месте выделил в дхцп некий диапазон, который выдается неизвестному оборудованию. А все известное - зафиксировал бы маки и повыдавал адреса вне диапазона.
Ну а выделив неизвестное в отдельный блок адресов - можно уже что то делать... Доступ в инет не открывать, еще что нить...
Это не решает его проблему с статикой у умных юзеров :)
Фактически у ТС это не техническая проблема я организационная - нефиг свои ноуты разрешать и темболее лишнии дырки в розетках держать подключенными к сети.
Если у вас оборудование CISCO модно использовать security port, чтобы при подключении неизвестного устройства порт отключался, потому что, выданный IP или прописанный статически нереально отозвать у оборудования, придется бегать по этажам и искать кто подключил компьютер еще есть NAP от microsoft
Аналог такого решения есть как минимум у Д-Линка, НР, Делла. Наверное, у многих. Если к порту долбится устройство с неправильным МАС - то свитч не отвечает.
Средний
