Запретить гадким юзверям применять статические IP

[kazakru]

Есть сетка на 50 компов, стоит dhcp который жестко привязывает IP к МАС.

как обезопасить пользователей от "случайного" прописывания вручную чужого IP.

тоесть есть например пользователь с IP 192.168.1.25 выданным ему dhcp, все ок все работает , тут он выключает комп, а ктото другой прописывает себе по непонятной причине вручную этот же IP и сидит радосный что у него все работает, а нормальный пользователь тот у кого этот IP был, включая комп и либо пишет что IP занят либо получает адрес из пула свободных адресов и соответсвенно не может ни зайти на локальный вебсайт (авторизация по IP) и выйти в интернет ( автоизация по IP и MAC ).

Вычислить того кто вручную проставил адрес сложно очень, так как сеть на неуправляемых свитчах.

Что делать? поставить управляемые свитчи и в них жестко привязать порт = MAC можно , но очень дорого.

Есть ли другое решение может какое либо программное, типа прога определит что IP прописан вручную и не пустит его в сеть вообще.

или что либо в этом роде.

Я уже устал вычислять и грозить отключением, один фиг раз в месяц возникает такой конфликт, и самое главное они оправдываются что случайно прописали себе IP :)

[Harmer]

Вычислить того кто вручную проставил адрес сложно очень, так как сеть на неуправляемых свитчах.

Чего тут сложного? ARP-таблицу посмотреть. Просто нужна база по макам юзверей.

Есть ли другое решение может какое либо программное, типа прога определит что IP прописан вручную и не пустит его в сеть вообще.

Ну, например по логам dhcp-сервера. Если адрес не выдавался - не пускать. Опять-же соответствие ip-mac контролировать можно.

Я уже устал вычислять и грозить отключением

Штрафуй. :-))

[kazakru]

а можно по первому и второму поподробнее, я токо начал вьезжать в dhcp .

по первому - это где ее можно посмотреть.

по второму - как это организовать чтобы если этот адрес не выдавался комп не пускался бы в сеть?

прошу прощения за возможно глупые вопросы, но я еще только учусь, будьте плизз снисходительны и если возможно поподробнее или киньте в меня ссылочкой, а то вроде прочитал хеоп к dhcp на 2003 , но нефига полезного не узрел :(

[vIv]

Простите... А КТО или ЧТО будет делать вот это "не пускать в сеть", если по ТЗ свитчи неуправляемые? Или речь только про граничный рутер с интернетом?

 

На неуправляемых коммутаторах контроль сети невозможен просто по определению.

[Vlad Karagezov, D-Link]

Есть сетка на 50 компов, стоит dhcp который жестко привязывает IP к МАС.

как обезопасить пользователей от "случайного" прописывания вручную чужого IP.

тоесть есть например пользователь с IP 192.168.1.25 выданным ему dhcp, все ок все работает , тут он выключает комп, а ктото другой прописывает себе по непонятной причине вручную этот же IP и сидит радосный что у него все работает, а нормальный пользователь тот у кого этот IP был, включая комп и либо пишет что IP занят либо получает адрес из пула свободных адресов и соответсвенно не может ни зайти на локальный вебсайт (авторизация по IP) и выйти в интернет ( автоизация по IP и MAC ).

Вычислить того кто вручную проставил адрес сложно очень, так как сеть на неуправляемых свитчах.

Что делать? поставить управляемые свитчи и в них жестко привязать порт = MAC можно , но очень дорого.

Есть ли другое решение может какое либо программное, типа прога определит что IP прописан вручную и не пустит его в сеть вообще.

или что либо в этом роде.

Я уже устал вычислять и грозить отключением, один фиг раз в месяц возникает такой конфликт, и самое главное они оправдываются что случайно прописали себе IP :)

а не проще поставить коммутатор с настройкой ACL? И привязать по ip и МАС пользователей жестко к портам.

[vIv]

VK за каким лесом там ACL? Там 802.1X выше крыши....

 

DES-30xx кста на-днях буду гонять под флудом. Ещё одно "ха-ха" нашёл, похоже, - врождённое ;-) Интересно, он тоже умеет виснуть просто так, в процессе работы? Заодно проверю, он становится управляемым после включения питания или только после старта супервизора? ;-)

 

Вы знаете ответы на эти вопросы?

[Vlad Karagezov, D-Link]

VK за каким лесом там ACL? Там 802.1X выше крыши....

 

DES-30xx кста на-днях буду гонять под флудом. Ещё одно "ха-ха" нашёл врождённое ;-)

Но вам же это неинтересно, не так ли? ;-)

во-первых, посоветовал бы тон сменить, просто из уважения к собеседнику. Если не ошибаюсь, я лично Вам ничего плохого в жизни не сделал. Впрочем, это уже вопрос личный, воспитания, отношения к жизни и т.д.

Во-вторых, 802.1x вещь неплохая, но также требует как минимум управляемого коммутатора с его поддержкой + настройку на строне пользователей, не у всех, к слову сказать, еще установлен Win XP. По своему опыту могу сказать, что чем меньше настроек на клиентской стороне - тем лучше.

В-третьих, если у Вас есть вопросы или пожелания к продукции D-Link - почему бы не обратиться в представительство? С тем, чтобы в нормальном режиме все вопросы решить? Нет, дело ваше - можете сколько угодно язвить о проблемах без деталей на подобного рода форумах, только смысл? Вот правда, не вижу смысла. Потешить своя "я" и показать чьи в лесу шишки? Тоже, конечно вариант, правда с никакой отдачей.

Маленькое отступление: когда я работал у ISP, то при возникновении проблем был заинтересован в их скорейшем решении, а не обсасывании деталей и насмешками в сторону вендора. И, поверьте, такой подход давал хорошую отдачу, и производители чаще всего откликались и решали проблему. Это я назваю конструктивным подходом.

Надеюсь на понимание.

[kazakru]

вот из всего сказанного я делаю вывод что моя проблема будет решена заменой всех моих свитчей на управляемые с возможностью привязки порта к МАСу.

я правильно понял?

[vIv]

Кхмм...

1) на каком НЕУПРАВЛЯЕМОМ коммутаторе есть ACL?

2) Зачем именно XP? Саппликанты есть начиная с Win98

3) Настраивать 802.1X как-раз куда проще - можно просто компашку дать с setup.exe, который сразу будет и сертификат или логин-пароль подсовывать.

 

Ничего личного, просто не люблю маркетинговых игр.

 

А интереса в вылизывании ВАШЕЙ продукции у меня ноль, - она недостаточно функциональна и в добавок весьма overpriced.

[vIv]

вот из всего сказанного я делаю вывод что моя проблема будет решена заменой всех моих свитчей на управляемые с возможностью привязки порта к МАСу.

я правильно понял?

 

Если не лень самостоятельно "привязывать МАСи" (которые, кстати, меняются точно так же в два движения мышкой) - можно это поручить специализированному протоколу - 802.1X, он сам и пользователя проверит, и МАС "привяжет".

[Vlad Karagezov, D-Link]

Кхмм...

1) на каком НЕУПРАВЛЯЕМОМ коммутаторе есть ACL?

2) Зачем именно XP? Саппликанты есть начиная с Win98

3) Настраивать 802.1X как-раз куда проще - можно просто компашку дать с setup.exe, который сразу будет и сертификать или логин-пароль подсовывать.

 

Ничего личного, просто не люблю маркетинговых игр.

 

А интереса в вылизывании ВАШЕЙ продукции у меня ноль, - она недостаточно функциональна и в добавок весьма overpriced.

1. Я и не говорил про неуправляемый свич

2 и 3 - уж сказал по поводу лишней настройки на стороне клиента

Никаких маркетинговых игр здесь нет - можно играть в "пионеров", а можно все делать на оборудовании, предназначенном для этого.

 

Ну и по поводу нашей продукции и вашего интереса - комментировать не буду, хозяин-барин.

Не любите D-Link в силу каких-то причин? Да ради бога! Я не миссионерством здесь занимаюсь.

Только вот тогда в ваших постах в адрес продукции D-Link я не вижу смысла...

Есть вопросы по настройке и работе - всегда поможем.

[Nag]

Интересно, он тоже умеет виснуть просто так, в процессе работы? Заодно проверю, он становится управляемым после включения питания или только после старта супервизора? ;-)

 

Хм... А можно с этого места помедленнее?

Чем это грозит например? На сколько часто виснет?

[Vlad Karagezov, D-Link]

Интересно, он тоже умеет виснуть просто так, в процессе работы? Заодно проверю, он становится управляемым после включения питания или только после старта супервизора? ;-)

 

Хм... А можно с этого места помедленнее?

Чем это грозит например? На сколько часто виснет?

так же хотелось бы узнать детали. особенно про какой-то режим супервизора.

[vIv]

Где-то ко вторнику, наверное, будут результаты тестов DES-30xx на предмет подвиса супервизора при переполнении счётчиков ошибок.

 

Проведите эти тесты самостоятельно и независимо от меня? И выложите на сайте результаты?

 

Вот официпальное описание с ВАШЕГО сайта

 

Читаем:

# Функции второго уровня

# IGMP Snooping

# 802.1D Spanning Tree

# 802.1w Rapid Spanning Tree

# 802.3ad Link Aggregation:

8 портов в каждой группе

3 группы на одном устройстве

# Зеркалирование портов

# [b]Управление широковещательным штормом[/b]



VLAN

# 802.1Q

# [b]Макс. количество VLAN - 255[/b]

# Тип VLAN - только статические

 

Я вот выделил. Что за "управление широковещательным штормом"? Ответьте развёрнуто. А то я знаю, но от текста с сайта складывается ощущение, что рекламируется немного не то, что есть на самом деле ;-)

И что у нас с 255-ю ВАМИ ЗАЯВЛЕНЫМИ VLANs?

 

Ведь я буквально недавно тут же и спрашивал: они просто вообще есть или это кто-нибудь всё-таки когда-нибудь проверял? Ответа не получил, придётся выяснять самостоятельно. Для сравнительных обьяснений, естественно.

[vIv]

Где-то ко вторнику, наверное, будут результаты тестов DES-30xx на предмет подвиса супервизора при переполнении счётчиков ошибок.

 

Коммутатор передаёт данные, но не отзывается ни на консоль, ни на телнет, ни на веб. И не пингуется. Лечится обесточиванием. Вызывается например пинг-флудом. Проверки продолжаются на дженерике, но сейчас приедет Д-Линк - его тоже так же оттестируем.

[Vlad Karagezov, D-Link]

Где-то ко вторнику, наверное, будут результаты тестов DES-30xx на предмет подвиса супервизора при переполнении счётчиков ошибок.

 

Проведите эти тесты самостоятельно и независимо от меня? И выложите на сайте результаты?

 

Вот официпальное описание с ВАШЕГО сайта

 

Читаем:

# Функции второго уровня

# IGMP Snooping

# 802.1D Spanning Tree

# 802.1w Rapid Spanning Tree

# 802.3ad Link Aggregation:

8 портов в каждой группе

3 группы на одном устройстве

# Зеркалирование портов

# [b]Управление широковещательным штормом[/b]



VLAN

# 802.1Q

# [b]Макс. количество VLAN - 255[/b]

# Тип VLAN - только статические

 

Я вот выделил. Что за "управление широковещательным штормом"? Ответьте развёрнуто.

И что у нас с 255-ю ВАМИ ЗАЯВЛЕНЫМИ VLANs?

 

Ведь я буквально недавно тут же и спрашивал: они просто вообще есть или это кто-нибудь всё-таки когда-нибудь проверял? Ответа не получил, придётся выяснять самостоятельно. Для сравнительных обьяснений, естественно.

1. так и не понял, что имеется ввиду под супервизором

2. по поводу широковещательных штормов и их контроля - стандартная функция L2 свичей - развернуто в мануале

3. А в чем проблема с 255-ю VLAN? Если аргументированно?

[vIv]

Интересно, он тоже умеет виснуть просто так, в процессе работы? Заодно проверю, он становится управляемым после включения питания или только после старта супервизора? ;-)

 

Хм... А можно с этого места помедленнее?

Чем это грозит например? На сколько часто виснет?

 

Судя по тому, что есть у меня на руках, виснет просто по переполнению счётчиков. И до power-off. То-есть рядом стоящий флудящий подгоревший неуправляемый коммутатор подвесит всех, до кого его пакеты дойдут.

 

Проблема в том, что перезагрузить невозможно - свитч становится НЕУПРАВЛЯЕМЫМ.

 

Там ещё пара противных "шуток от Броадкома"... Допишу отчёт, наверное смогу выслать в почту.

[vIv]

3. А в чем проблема с 255-ю VLAN? Если аргументированно?

 

 

я же писал... и эта задача тут же и всплыла с упоминанием транзитного линка.

 

После 150-ти настроеных виланов "управляющая часть коммутатора" (супервизор) просто дохнет на-глазах. И даже имея возможность его обесточивать - нетривиально ему успеть обнулить конфиг ДО того, как он заткнётся, читая свою же конфигурацию :-))

[Vlad Karagezov, D-Link]

3. А в чем проблема с 255-ю VLAN? Если аргументированно?

 

 

я же писал... и эта задача тут же и всплыла с упоминанием транзитного линка.

 

После 150-ти настроеных виланов "управляющая часть коммутатора" (супервизор) просто дохнет на-глазах. И даже имея возможность его обесточивать - нетривиально ему успеть обнулить конфиг ДО того, как он заткнётся, читая свою же конфигурацию :-))

конкретно - какой свич? и боле подробно о тесте, пожалуйста - только добавление VLAN или что еще?

[Harmer]

вот из всего сказанного я делаю вывод что моя проблема будет решена заменой всех моих свитчей на управляемые с возможностью привязки порта к МАСу.  

я правильно понял?

Если нужно не пускать на сервер - можно программно. Если совсем в сеть - надо менять свитчи.

[Harmer]

(которые, кстати, меняются точно так же в два движения мышкой)  

Тут уже не проканает отмазка про "случайно". Поймать таких кулхацкеров сложно, но можно. И со спокойной совестью поотрывать выступающие части тела.

[kazakru]

Если не лень самостоятельно "привязывать МАСи" (которые, кстати, меняются точно так же в два движения мышкой) - можно это поручить специализированному протоколу - 802.1X, он сам и пользователя проверит, и МАС "привяжет".

 

я так понимаю что если я жестко привяжу к каждому компу определенный MAC то его подмена на другом компе ничего не даст и этот комп не сможет вытйи в сеть пока не поставит настройки на автомат и не получит IP от dhcp или вручную их не пропишет., тоесть этим решиться куча проблем в сети с подменой адресов и маков.

а скажите можно ли на таких комутаторах одному порту назначить кучку МАСов?

дело то в том что сеть построена гирляндой и получается надо на порт первого комутатора куда подключен следующий комутатор навесить кучу МАСов ( все что есть в остальной части сети). Это возможно?

если да то подскажите какую либо марку подешевле.

заранее спасибо.

[Nag]

vIv, очень интересно описание экспериментов... ;-)

 

У меня вот еще вопрос - если в разных виланах на коммутатор попадут два одинаковых МАС-адреса, куда будет направлен пакет?

Вопрос, кстати, не совсем простой - многие типы коммутаторов с задачей корректно не справляются.

 

Т.е. 255 виланов эмулируются процессором - с помощью фильтров. Матрица же коммутирует по САМ-таблице без оглядки на виланы.

Что-то вроде того, как будто реально АСИК работает только с 6-7-ю битами тега вилана...

Либо то, что для коммутации по тегам "отобрали" разрядность части МАС-адреса.

Но - это пока идеи - нормальной, полной информации для развернутого обзора найти не могу (да и банально нет сил на это). Поэтому не откажусь от помощи...

[Harmer]

так понимаю что если я жестко привяжу к каждому компу определенный MAC  

Запутал. Ты можешь привязать мак к порту управляемого свитча. Опционально. Если не привяжешь - он будет работать как обычно. Такая привязка не даст юзверям менять маки. Плюс управляемые свитчи дают возможность централизованно отключать юзверей.

[kazakru]

дада амсори я вместо порта накатал комп

 

а насчет кучи маков? на один порт

тобишь к порту подключить порт друго комутатора