Возможно ли выдавать IP-адреса из разных подсетей для разных устройств?

Question

[Дмитрий Иванов]

Имеем сервер с Windows Server 2008 R2 на борту с установленной ролью DHCP.
В DHCP настроено 2 области, путь это будут 192.168.1.0/24 и 192.168.2.0/24

Стоит задача выдавать мобильным устройствам (для примера ограничимся устройствами на базе Android) адреса и параметры из первой области, а всем остальным (ПК, ноутбуки, сетевые принтеры и т.д.) - из второй область.

Я пытался решить эту проблему через классы поставщиков, но моих знаний в DHCP явно не хватает и, как следствие, ничего у меня не вышло - адреса всем выдавались из второй области.

Возможно ли решить мою задачу и если да, то как?

Answer 1

[Дмитрий]

У вас подсети разделены на vlan? Если да, то лучше решать эту задачу через dhcp-relay. Если нет, и всё в одной l2 сети, то придётся кодовать с определением по префиксами производителей в mac адресах.

Answer 2

[res2001]

Фильтр по МАКу. Правда каждое устройство придется заносить отдельно.

Comments

[Дмитрий Иванов]

Спасибо, но "мартышкин труд" - это не наш метод

Answer 3

[Андрей Ермаченок]

Это вы таким образом видите решение своей задачи.
А задача скорее всего - чтобы мобильники на Андроидах и гости с ноутами не могли влезть по WiFi в корпоративную сеть, цеплялись к гостевой сети, где есть только Инет?
Сделайте 2 WiFi - гостевой и корпоративный в разных VLANах или вообще не связанные друг с другом. Гостям пусть роутер раздает адреса, а не сервер.

Comments

[Дмитрий Иванов]

Вы почти угадали. Цель такая: Android устройства помещать в первую подсеть, рабочие машины - во вторую (рабочую) подсеть. Тут правда есть одно "но" о котором я забыл упомянуть - это корпоративные мобильники, которые нужно также помещать во вторую (рабочую) подсеть.

Вариант с настройкой роутера - не вариант, т.к. роутера у меня нет (использую точки доступа подключённые к серверу). Выбить же с руководства денег не покупку роутера тоже не получиться - уже пробовал.

[Андрей Ермаченок]

Дмитрий Иванов: Значит есть 2 отдельные сети - WiFi и проводная?
Остается придумать DHCP для второй сети - роутер, старый комп, ноут с битым экраном, ... - такое добро у сотрудников или знакомых вполне забесплатно можно найти.

[Дмитрий Иванов]

Андрей Ермаченок: сервер, ПК, ноуты и точки доступа физически в одной сети (объединены свитчем).

Получается, что без физического разделения не получиться решить мою задачу? Но если так, то как тогда быть с корпоративными мобильными устройствами?

[Андрей Ермаченок]

Дмитрий Иванов: Как только более четко встанет задача - так и появится решение.
Сколько компов? Сколько мобил?
Не дать ли компам статические адреса, если их мало?
Свитч управляемый или нет? Не организовать ли VLANы?
Зачем разные подсети вообще в принципе?

[athacker]

Андрей Ермаченок: разные подсети -- это логично и правильно. Сегментация сети позволяет более точно разграничивать доступ и уменьшать периметр атаки при компрометации отдельного сегмента.

Answer 4

[athacker]

Делите сети! В том числе и беспроводные. Для левых людей -- какой-нибудь wifi-guest, со своими IP-адресами. Для сотрудников -- wifi-corp, со своими адресами. Для проводных сетей -- разделение вланами на базе отделов (каждый отдел -- свой VLAN + своя подсеть). Сетевые устройства (принтеры, сканеры) -- в отдельный сегмент. И контроль доступа на маршрутизаторе, какой сети в какую ходить можно.