Возможна ли DHCP фильтрация по MAC для двух разных областей на Win Server?

Question

[Sergey Ryzhkin]

Приветствую, Камрады!

В win server есть такая замечательная вещь как фильтрация по MAC. Вот только находится она в корне IPv4 и работает глобально. А как бы сделать так, чтобы для каждой области была своя МАС фильтрация?
К примеру есть две подсети 2.0/24 - куда могут подключаться только те, у кого MAC добавлен в разрешенные. И есть вторая подсеть 30.0/24 - куда могут подключаться все. Проблема в том, что если я активирую MAC филттрацию, то работать она будет на обе области и следовательно если МАКа нет в разрешенных, то и в во вторую подсеть никто не подключиться. Как быть?

Answer 1

[Axian Ltd.]

Imho задачка для radius. Вопрос - а как вы различаете кому из каой подсети выдать адреса? Интерфейсов на сервер сколько?

Comments

[Sergey Ryzhkin]

1 интерфейс, разруливаю Vlan'ами. Корпоративная и DMZ сеть.

[Axian Ltd.]

У нас была сделано через https://en.m.wikipedia.org/wiki/IEEE_802.1X и radius. Оборудование, на котором dhcp хелперы настроены, какое?

[Sergey Ryzhkin]

Axian Ltd.: hpe aruba 2930f

[Sergey Ryzhkin]

Axian Ltd.: короче штатными средствами винды не сделать, как я понял

[Axian Ltd.]

Похоже что так. Я бы попробовал вариант - сделать статику на все запрещенные MAC, все на один и тот же IP адрес (или сделать фейковый диапазон)). А адрес запретить в ACL VLAN на свиче.

[Sergey Ryzhkin]

Axian Ltd.: Да не, тут тоже немного не то, костыль конечно. У меня есть в запасе свой план, в итоге скорее всего так и придется делать. Просто на области куда доступ тока по MAC сделаю запрет выдачи всех адресов и буду по надобности просто забивать руками резервирование. Хотя странно что в Винде не сделали фильтр для областей, вроде бы очевидная и удобная вещь была бы.

[Alex Suvoroff]

Sergey Ryzhkin: а чем подключаете клиентов, кабелем или вай фаем?

[Sergey Ryzhkin]

Alex Suvoroff: корпоративная сеть оба варианта, стационарные + ноуты. DMZ только WiFi, ноуты гостей и т.д. Сделал костыль как описал выше. В корп сеть никто не подключится т.к. запретил выдачу адресов в подсети, когда нужно кого то добавить просто добавляю резервирование. Хотя фильтрация для каждой зоны упростило бы решение.

[Alex Suvoroff]

Sergey Ryzhkin: я хотел предложить использование vlanо-в и указание для каждого своего пула адресов, при условии, конечно же, что соответствующее оборудование поддерживает это дело

[Sergey Ryzhkin]

Alex Suvoroff: так сейчас так и есть, DHCP выдается каждому влану свою подсеть. Проблема в том что если человек узнает данные вафли корпоративного влана он сможет подключиться в сеть. Фильтр бы решал эту проблему, нет в фильтре - нет адреса. Сейчас это решает резервирование, не добавлен - нет адреса.

[Alex Suvoroff]

Sergey Ryzhkin: немного не ясно, статические данные сети дают доступ + насколько я помню, незарезервированные клиенты получают временный адрес. Фильтровать устройства надо на уровни сети, а тут только радиус , как сказали выше

[Sergey Ryzhkin]

Alex Suvoroff: радиуса нигде нет.