wi-fi и конфликт IP

[451]

Такая ситуация :

 

есть беспроводная сеть , точки D-Link 3200, 2360

через эту сеть клиенты ходят в Интернет

обслуживает это все биллинг , который стоит на шлюзе

точки настроены максимально просто - заданы IP адрес , маска , шлюз (в качестве шлюза компьютер с биллингом)

 

одна из функций биллинга - DHCP сервер

причем клиенты обязательно должны получить IP именно от биллинга , иначе дальше клиент просто не допускается до аутентификации (в виде ввода PIN кода доступа на страничке в браузере)

 

все работает до тех пор , пока какой либо особо "продвинутый" клиент решает залезть в настройки беспроводного подключения у себя в ноутбуке и в свойствах TCP IP вбивает статический IP адрес

некоторые вбивают IP адрес совпадающий с адресом шлюза

потом подключаются в беспроводную сеть

дальше получаем конфликт IP адресов : в одной сети находятся два компьютера с одинаковыми IP адресами

 

а дальше уже начинаются проблемы с подключением у новых клиентов и все работает крайне нестабильно , пока этот особо "умный" не выключит комп

 

опыта у меня не много , подскажите , может есть способ борьбы с таким явлением ?

каким образом блокировать таких умников , чтобы не допускать конфликтов IP адресов и чтобы они не влияли на функционирование всей сети ?

 

спасибо

Edited April 16, 2012 by 451

[s.lobanov]

Так у вас точки работают как L3 или L2?

[451]

ну сами точки никакого функционала не выполняют , все службы на уровне точки отключены

на точках сконфигурирована только имя беспроводной сети, открытой, без шифрования, выставлен канал , а так же в сетевых настройках назначен IP адрес и адрес шлюза. Все.

 

всем остальным рулит шлюз , начиная от выдачи IP адресов и далее маршрутизация , авторизация и т.д

 

получается точки работают как L2

[Ivan_83]

а дальше уже начинаются проблемы с подключением у новых клиентов и все работает крайне нестабильно , пока этот особо "умный" не выключит комп

802.1x посмотреть, по идее можно будет через него не пускать с не понравившемся адресом.

[Heggi]

Можно попробовать изоляцию абонентов на точках, а все точки воткнуть в L2 коммутатор с DHCP-Snooping

[451]

Можно попробовать изоляцию абонентов на точках, а все точки воткнуть в L2 коммутатор с DHCP-Snooping

т.е. если у меня коммутатор поддерживает DHCP-Snooping, то насколько я понимаю я должен все порты , куда втыкаются точки сделать Ненадёжными (Untrusted). И тогда коммутатор будет отсеивать DHCP ответы с этих портов. Я правильно понял ?

Но опять же конфликт IP это не уберет.

 

А нет ли программного решения , которое бы следило за сетью и если появляется комп с таким же IP - как то банить его на шлюзе?

[Ivan_83]

Теорию подтяните.

Если у него IP шлюза - он и так со шлюзом общаться не сможет, зато все остальные клиенты могут принять его за шлюз.

Нужно такое резать именно на доступе.

[s.lobanov]

451

Если к dhcp-snooping добавить dynamic arp inspection+ip source guard(иногда это в одном флаконе), то получится то, что вам нужно(защита от статических ip). Какой у вас коммутатор?

[451]

Какой у вас коммутатор?

 

Тот , куда в конце концов все сходится и в который подключен шлюз - D-Link DES 1226G

[terrible]

куда в конце концов все сходится и в который подключен шлюз - D-Link DES 1226G

Замените его на DES-3200-XX (или DES-3528 или DES-3526), там ваша проблема решается легко и непринуждённо

[451]

Замените его на DES-3200-XX (или DES-3528 или DES-3526)

 

спасибо

[451]

в точках доступа D-Link 2360 в настройках есть функция arp spoofing prevention

 

скажите , с помощью этого можно победить вышеописанную проблему

[terrible]

этим можно предотвратить arp спуфинг определённых IP адресов