Возможна ли DHCP фильтрация по MAC для двух разных областей на Win Server?
Приветствую, Камрады!
В win server есть такая замечательная вещь как фильтрация по MAC. Вот только находится она в корне IPv4 и работает глобально. А как бы сделать так, чтобы для каждой области была своя МАС фильтрация?
К примеру есть две подсети 2.0/24 - куда могут подключаться только те, у кого MAC добавлен в разрешенные. И есть вторая подсеть 30.0/24 - куда могут подключаться все. Проблема в том, что если я активирую MAC филттрацию, то работать она будет на обе области и следовательно если МАКа нет в разрешенных, то и в во вторую подсеть никто не подключиться. Как быть?
Похоже что так. Я бы попробовал вариант - сделать статику на все запрещенные MAC, все на один и тот же IP адрес (или сделать фейковый диапазон)). А адрес запретить в ACL VLAN на свиче.
Axian Ltd.: Да не, тут тоже немного не то, костыль конечно. У меня есть в запасе свой план, в итоге скорее всего так и придется делать. Просто на области куда доступ тока по MAC сделаю запрет выдачи всех адресов и буду по надобности просто забивать руками резервирование. Хотя странно что в Винде не сделали фильтр для областей, вроде бы очевидная и удобная вещь была бы.
Alex Suvoroff: корпоративная сеть оба варианта, стационарные + ноуты. DMZ только WiFi, ноуты гостей и т.д. Сделал костыль как описал выше. В корп сеть никто не подключится т.к. запретил выдачу адресов в подсети, когда нужно кого то добавить просто добавляю резервирование. Хотя фильтрация для каждой зоны упростило бы решение.
Sergey Ryzhkin: я хотел предложить использование vlanо-в и указание для каждого своего пула адресов, при условии, конечно же, что соответствующее оборудование поддерживает это дело
Alex Suvoroff: так сейчас так и есть, DHCP выдается каждому влану свою подсеть. Проблема в том что если человек узнает данные вафли корпоративного влана он сможет подключиться в сеть. Фильтр бы решал эту проблему, нет в фильтре - нет адреса. Сейчас это решает резервирование, не добавлен - нет адреса.
Sergey Ryzhkin: немного не ясно, статические данные сети дают доступ + насколько я помню, незарезервированные клиенты получают временный адрес. Фильтровать устройства надо на уровни сети, а тут только радиус , как сказали выше