Возможна ли DHCP фильтрация по MAC для двух разных областей на Win Server?

Question

Sergey IT @Francyz

Photographer & SysAdmin

Возможна ли DHCP фильтрация по MAC для двух разных областей на Win Server?

Приветствую, Камрады!

В win server есть такая замечательная вещь как фильтрация по MAC. Вот только находится она в корне IPv4 и работает глобально. А как бы сделать так, чтобы для каждой области была своя МАС фильтрация?
К примеру есть две подсети 2.0/24 - куда могут подключаться только те, у кого MAC добавлен в разрешенные. И есть вторая подсеть 30.0/24 - куда могут подключаться все. Проблема в том, что если я активирую MAC филттрацию, то работать она будет на обе области и следовательно если МАКа нет в разрешенных, то и в во вторую подсеть никто не подключиться. Как быть?

Вопрос задан более трёх лет назад
608 просмотров

Комментировать

Подписаться 1 Оценить Комментировать

Помогут разобраться в теме Все курсы

Onskills

Системный администратор

1 месяц

Далее
Skillbox

Системный администратор с нуля

6 месяцев

Далее
Сетевая Академия ЛАНИТ

Установка, организация хранилища и работа в Windows Server 2016

1 неделя

Далее

Решения вопроса 1

12 комментариев

Sergey IT @Francyz Автор вопроса

1 интерфейс, разруливаю Vlan'ами. Корпоративная и DMZ сеть.

Написано более трёх лет назад
Axian Ltd. @AxianLTD

У нас была сделано через https://en.m.wikipedia.org/wiki/IEEE_802.1X и radius. Оборудование, на котором dhcp хелперы настроены, какое?

Написано более трёх лет назад
Sergey IT @Francyz Автор вопроса

Axian Ltd.: hpe aruba 2930f

Написано более трёх лет назад
Sergey IT @Francyz Автор вопроса

Axian Ltd.: короче штатными средствами винды не сделать, как я понял

Написано более трёх лет назад
Axian Ltd. @AxianLTD

Похоже что так. Я бы попробовал вариант - сделать статику на все запрещенные MAC, все на один и тот же IP адрес (или сделать фейковый диапазон)). А адрес запретить в ACL VLAN на свиче.

Написано более трёх лет назад
Sergey IT @Francyz Автор вопроса

Axian Ltd.: Да не, тут тоже немного не то, костыль конечно. У меня есть в запасе свой план, в итоге скорее всего так и придется делать. Просто на области куда доступ тока по MAC сделаю запрет выдачи всех адресов и буду по надобности просто забивать руками резервирование. Хотя странно что в Винде не сделали фильтр для областей, вроде бы очевидная и удобная вещь была бы.

Написано более трёх лет назад
Alex Suvoroff @Axel_L

Sergey Ryzhkin: а чем подключаете клиентов, кабелем или вай фаем?

Написано более трёх лет назад
Sergey IT @Francyz Автор вопроса

Alex Suvoroff: корпоративная сеть оба варианта, стационарные + ноуты. DMZ только WiFi, ноуты гостей и т.д. Сделал костыль как описал выше. В корп сеть никто не подключится т.к. запретил выдачу адресов в подсети, когда нужно кого то добавить просто добавляю резервирование. Хотя фильтрация для каждой зоны упростило бы решение.

Написано более трёх лет назад
Alex Suvoroff @Axel_L

Sergey Ryzhkin: я хотел предложить использование vlanо-в и указание для каждого своего пула адресов, при условии, конечно же, что соответствующее оборудование поддерживает это дело

Написано более трёх лет назад
Sergey IT @Francyz Автор вопроса

Alex Suvoroff: так сейчас так и есть, DHCP выдается каждому влану свою подсеть. Проблема в том что если человек узнает данные вафли корпоративного влана он сможет подключиться в сеть. Фильтр бы решал эту проблему, нет в фильтре - нет адреса. Сейчас это решает резервирование, не добавлен - нет адреса.

Написано более трёх лет назад
Alex Suvoroff @Axel_L

Sergey Ryzhkin: немного не ясно, статические данные сети дают доступ + насколько я помню, незарезервированные клиенты получают временный адрес. Фильтровать устройства надо на уровни сети, а тут только радиус , как сказали выше

Написано более трёх лет назад
Sergey IT @Francyz Автор вопроса

Alex Suvoroff: радиуса нигде нет.

Написано более трёх лет назад