451 Опубликовано 16 апреля, 2012 (изменено) · Жалоба Такая ситуация : есть беспроводная сеть , точки D-Link 3200, 2360 через эту сеть клиенты ходят в Интернет обслуживает это все биллинг , который стоит на шлюзе точки настроены максимально просто - заданы IP адрес , маска , шлюз (в качестве шлюза компьютер с биллингом) одна из функций биллинга - DHCP сервер причем клиенты обязательно должны получить IP именно от биллинга , иначе дальше клиент просто не допускается до аутентификации (в виде ввода PIN кода доступа на страничке в браузере) все работает до тех пор , пока какой либо особо "продвинутый" клиент решает залезть в настройки беспроводного подключения у себя в ноутбуке и в свойствах TCP IP вбивает статический IP адрес некоторые вбивают IP адрес совпадающий с адресом шлюза потом подключаются в беспроводную сеть дальше получаем конфликт IP адресов : в одной сети находятся два компьютера с одинаковыми IP адресами а дальше уже начинаются проблемы с подключением у новых клиентов и все работает крайне нестабильно , пока этот особо "умный" не выключит комп опыта у меня не много , подскажите , может есть способ борьбы с таким явлением ? каким образом блокировать таких умников , чтобы не допускать конфликтов IP адресов и чтобы они не влияли на функционирование всей сети ? спасибо Изменено 16 апреля, 2012 пользователем 451 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 16 апреля, 2012 · Жалоба Так у вас точки работают как L3 или L2? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
451 Опубликовано 17 апреля, 2012 · Жалоба ну сами точки никакого функционала не выполняют , все службы на уровне точки отключены на точках сконфигурирована только имя беспроводной сети, открытой, без шифрования, выставлен канал , а так же в сетевых настройках назначен IP адрес и адрес шлюза. Все. всем остальным рулит шлюз , начиная от выдачи IP адресов и далее маршрутизация , авторизация и т.д получается точки работают как L2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 апреля, 2012 · Жалоба а дальше уже начинаются проблемы с подключением у новых клиентов и все работает крайне нестабильно , пока этот особо "умный" не выключит комп 802.1x посмотреть, по идее можно будет через него не пускать с не понравившемся адресом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Heggi Опубликовано 17 апреля, 2012 · Жалоба Можно попробовать изоляцию абонентов на точках, а все точки воткнуть в L2 коммутатор с DHCP-Snooping Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
451 Опубликовано 17 апреля, 2012 · Жалоба Можно попробовать изоляцию абонентов на точках, а все точки воткнуть в L2 коммутатор с DHCP-Snooping т.е. если у меня коммутатор поддерживает DHCP-Snooping, то насколько я понимаю я должен все порты , куда втыкаются точки сделать Ненадёжными (Untrusted). И тогда коммутатор будет отсеивать DHCP ответы с этих портов. Я правильно понял ? Но опять же конфликт IP это не уберет. А нет ли программного решения , которое бы следило за сетью и если появляется комп с таким же IP - как то банить его на шлюзе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 17 апреля, 2012 · Жалоба Теорию подтяните. Если у него IP шлюза - он и так со шлюзом общаться не сможет, зато все остальные клиенты могут принять его за шлюз. Нужно такое резать именно на доступе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 17 апреля, 2012 · Жалоба 451 Если к dhcp-snooping добавить dynamic arp inspection+ip source guard(иногда это в одном флаконе), то получится то, что вам нужно(защита от статических ip). Какой у вас коммутатор? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
451 Опубликовано 18 апреля, 2012 · Жалоба Какой у вас коммутатор? Тот , куда в конце концов все сходится и в который подключен шлюз - D-Link DES 1226G Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 18 апреля, 2012 · Жалоба куда в конце концов все сходится и в который подключен шлюз - D-Link DES 1226G Замените его на DES-3200-XX (или DES-3528 или DES-3526), там ваша проблема решается легко и непринуждённо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
451 Опубликовано 19 апреля, 2012 · Жалоба Замените его на DES-3200-XX (или DES-3528 или DES-3526) спасибо Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
451 Опубликовано 28 апреля, 2012 · Жалоба в точках доступа D-Link 2360 в настройках есть функция arp spoofing prevention скажите , с помощью этого можно победить вышеописанную проблему Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
terrible Опубликовано 28 апреля, 2012 · Жалоба этим можно предотвратить arp спуфинг определённых IP адресов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...