Перейти к содержимому
Калькуляторы

wi-fi и конфликт IP

Такая ситуация :

 

есть беспроводная сеть , точки D-Link 3200, 2360

через эту сеть клиенты ходят в Интернет

обслуживает это все биллинг , который стоит на шлюзе

точки настроены максимально просто - заданы IP адрес , маска , шлюз (в качестве шлюза компьютер с биллингом)

 

одна из функций биллинга - DHCP сервер

причем клиенты обязательно должны получить IP именно от биллинга , иначе дальше клиент просто не допускается до аутентификации (в виде ввода PIN кода доступа на страничке в браузере)

 

все работает до тех пор , пока какой либо особо "продвинутый" клиент решает залезть в настройки беспроводного подключения у себя в ноутбуке и в свойствах TCP IP вбивает статический IP адрес

некоторые вбивают IP адрес совпадающий с адресом шлюза

потом подключаются в беспроводную сеть

дальше получаем конфликт IP адресов : в одной сети находятся два компьютера с одинаковыми IP адресами

 

а дальше уже начинаются проблемы с подключением у новых клиентов и все работает крайне нестабильно , пока этот особо "умный" не выключит комп

 

опыта у меня не много , подскажите , может есть способ борьбы с таким явлением ?

каким образом блокировать таких умников , чтобы не допускать конфликтов IP адресов и чтобы они не влияли на функционирование всей сети ?

 

спасибо

Изменено пользователем 451

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну сами точки никакого функционала не выполняют , все службы на уровне точки отключены

на точках сконфигурирована только имя беспроводной сети, открытой, без шифрования, выставлен канал , а так же в сетевых настройках назначен IP адрес и адрес шлюза. Все.

 

всем остальным рулит шлюз , начиная от выдачи IP адресов и далее маршрутизация , авторизация и т.д

 

получается точки работают как L2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
а дальше уже начинаются проблемы с подключением у новых клиентов и все работает крайне нестабильно , пока этот особо "умный" не выключит комп

802.1x посмотреть, по идее можно будет через него не пускать с не понравившемся адресом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно попробовать изоляцию абонентов на точках, а все точки воткнуть в L2 коммутатор с DHCP-Snooping

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно попробовать изоляцию абонентов на точках, а все точки воткнуть в L2 коммутатор с DHCP-Snooping

т.е. если у меня коммутатор поддерживает DHCP-Snooping, то насколько я понимаю я должен все порты , куда втыкаются точки сделать Ненадёжными (Untrusted). И тогда коммутатор будет отсеивать DHCP ответы с этих портов. Я правильно понял ?

Но опять же конфликт IP это не уберет.

 

А нет ли программного решения , которое бы следило за сетью и если появляется комп с таким же IP - как то банить его на шлюзе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Теорию подтяните.

Если у него IP шлюза - он и так со шлюзом общаться не сможет, зато все остальные клиенты могут принять его за шлюз.

Нужно такое резать именно на доступе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

451

Если к dhcp-snooping добавить dynamic arp inspection+ip source guard(иногда это в одном флаконе), то получится то, что вам нужно(защита от статических ip). Какой у вас коммутатор?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Какой у вас коммутатор?

 

Тот , куда в конце концов все сходится и в который подключен шлюз - D-Link DES 1226G

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

куда в конце концов все сходится и в который подключен шлюз - D-Link DES 1226G

Замените его на DES-3200-XX (или DES-3528 или DES-3526), там ваша проблема решается легко и непринуждённо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Замените его на DES-3200-XX (или DES-3528 или DES-3526)

 

спасибо

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

в точках доступа D-Link 2360 в настройках есть функция arp spoofing prevention

 

скажите , с помощью этого можно победить вышеописанную проблему

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

этим можно предотвратить arp спуфинг определённых IP адресов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас