Здраствуйте, подскажите как или что сделать для доступа пользователей в локальную сеть определенным ip? без маршрутизаторов, роутеров и мостов.Пример: Юзер хочет попасть в локальную сеть поставив не свой ip. Цель: недать ему это сделать, он не должен никого видить или вообще недавать установить такой ip на его ПК.
Сеть: Одноранговая с сервером OC Windows 2003, сервер OC Debian.
Решение под windows 2003 или debian.
только нормальный свитч, Catalist L3 скажем.
Ставь DHCP сервер и назначай IP адреса по MAC'y
Ставь dhcp сервер. И не забудь права урезать на клиентских машинах, чтобы ip не меняли.
>Здраствуйте, подскажите как или что сделать для доступа пользователей в локальную сеть
>определенным ip? без маршрутизаторов, роутеров и мостов.
>
>Пример: Юзер хочет попасть в локальную сеть поставив не свой ip. Цель:
>недать ему это сделать, он не должен никого видить или вообще
>недавать установить такой ip на его ПК.
>
>Сеть: Одноранговая с сервером OC Windows 2003, сервер OC Debian.
>Решение под windows 2003 или debian.всё зависит от условия и задачь решаемых в ЛВС ...
как вариант: свичи с изоляцией портов и на ближайшем маршрутизаторе привязка MAC+IP. в этом случае даже если клиент поменяет IP - он не сможет работать в сети. а подмена MAC+IP скорее всего оставит следы на маршрутизаторе (отлов хулигана будет не сложен).
В идеале свичи с возможностью привязки MAC+порт и вместе с привязкой MAC+IP на маршрутизаторе исключит и подмены MAC на клиенте.
P.S. не считаю необходимым делать DHCP в сетке ... имхо удобнее статикой прописывать адреса на клиентах ... а для "гостевого входа" к примеру с ноутбука можно и DHCP сделать .. но это отдельная история ...
>[оверквотинг удален]
>как вариант: свичи с изоляцией портов и на ближайшем маршрутизаторе привязка MAC+IP.
>в этом случае даже если клиент поменяет IP - он не
>сможет работать в сети. а подмена MAC+IP скорее всего оставит следы
>на маршрутизаторе (отлов хулигана будет не сложен).
>В идеале свичи с возможностью привязки MAC+порт и вместе с привязкой MAC+IP
>на маршрутизаторе исключит и подмены MAC на клиенте.
>P.S. не считаю необходимым делать DHCP в сетке ... имхо удобнее статикой
>прописывать адреса на клиентах ... а для "гостевого входа" к примеру
>с ноутбука можно и DHCP сделать .. но это отдельная история
>...Подскажите варианты такого оборудование желательно не дорогой ... или отпишись 430933642
>Здраствуйте, подскажите как или что сделать для доступа пользователей в локальную сеть
>определенным ip? без маршрутизаторов, роутеров и мостов.может тогда вообще и без самой сети? :)
>Пример: Юзер хочет попасть в локальную сеть поставив не свой ip. Цель:
>недать ему это сделать, он не должен никого видить или вообще
>недавать установить такой ip на его ПК.
>
>Сеть: Одноранговая с сервером OC Windows 2003, сервер OC Debian.
>Решение под windows 2003 или debian.можно только с помощью умных свитчей, смотри в сторону 802.1x
>Здраствуйте, подскажите как или что сделать для доступа пользователей в локальную сеть
>определенным ip? без маршрутизаторов, роутеров и мостов.
>
>Пример: Юзер хочет попасть в локальную сеть поставив не свой ip. Цель:
>недать ему это сделать, он не должен никого видить или вообще
>недавать установить такой ip на его ПК.
>
>Сеть: Одноранговая с сервером OC Windows 2003, сервер OC Debian.
>Решение под windows 2003 или debian.Читаем вдумчиво (медленно-медленно, можно по слогам) man arp.
>[оверквотинг удален]
>>определенным ip? без маршрутизаторов, роутеров и мостов.
>>
>>Пример: Юзер хочет попасть в локальную сеть поставив не свой ip. Цель:
>>недать ему это сделать, он не должен никого видить или вообще
>>недавать установить такой ip на его ПК.
>>
>>Сеть: Одноранговая с сервером OC Windows 2003, сервер OC Debian.
>>Решение под windows 2003 или debian.
>
>Читаем вдумчиво (медленно-медленно, можно по слогам) man arp.Согласен arp это хороший вариант, я вкурсе но не все так просто нада более серьезное что нить, наверное свитч управляемый типа des 3026.
[оверквотинг удален]
>>>Сеть: Одноранговая с сервером OC Windows 2003, сервер OC Debian.
>>>Решение под windows 2003 или debian.
>>
>>Читаем вдумчиво (медленно-медленно, можно по слогам) man arp.
>
>Согласен arp это хороший вариант, я вкурсе но не все так просто
>нада более серьезное что нить, наверное свитч управляемый типа des 3026.В Вашем случае это - самый простой и удобный вариант.
1. Layer3 switching
2. ARP timeout +/- 4 ч
3. MAC timeout +/- 1 чи наступит мир
>Здраствуйте, подскажите как или что сделать для доступа пользователей в локальную сеть
>определенным ip? без маршрутизаторов, роутеров и мостов.
>
>Пример: Юзер хочет попасть в локальную сеть поставив не свой ip. Цель:
>недать ему это сделать, он не должен никого видить или вообще
>недавать установить такой ip на его ПК.
>
>Сеть: Одноранговая с сервером OC Windows 2003, сервер OC Debian.
>Решение под windows 2003 или debian.DHCP snooping + IP Source Guard, и Option 82 по желанию если выдавать IP основываясь
на том из какого порта/Vlan'a коммутатора стучится абонентская машина.
>[оверквотинг удален]
>>Пример: Юзер хочет попасть в локальную сеть поставив не свой ip. Цель:
>>недать ему это сделать, он не должен никого видить или вообще
>>недавать установить такой ip на его ПК.
>>
>>Сеть: Одноранговая с сервером OC Windows 2003, сервер OC Debian.
>>Решение под windows 2003 или debian.
>
>DHCP snooping + IP Source Guard, и Option 82 по желанию если
>выдавать IP основываясь
>на том из какого порта/Vlan'a коммутатора стучится абонентская машина.нафига пакупать дорогие железки если сетка локальная и городить огород из связок DHCP и т.д. тут уже ведь написали делаете привязку через арп и все. работы на 5 минут.
>нафига пакупать дорогие железки если сетка локальная и городить огород из связок
>DHCP и т.д. тут уже ведь написали делаете привязку через арп
>и все. работы на 5 минут.Ну и ГДЕ вы будете делать привязку если сеть одноранговая и "не умный" свитч?
>>нафига пакупать дорогие железки если сетка локальная и городить огород из связок
>>DHCP и т.д. тут уже ведь написали делаете привязку через арп
>>и все. работы на 5 минут.
>
>Ну и ГДЕ вы будете делать привязку если сеть одноранговая и "не
>умный" свитч?на шлюзе и на каждом компе. статические арп-записи не запрещены международным и федеральным правом)))
>>>нафига пакупать дорогие железки если сетка локальная и городить огород из связок
>>>DHCP и т.д. тут уже ведь написали делаете привязку через арп
>>>и все. работы на 5 минут.
>>
>>Ну и ГДЕ вы будете делать привязку если сеть одноранговая и "не
>>умный" свитч?
>
>на шлюзе и на каждом компе. статические арп-записи не запрещены международным и
>федеральным правом)))А :))) ну тогда какие проблемы то :) раз уж на каждом компе
>>>нафига пакупать дорогие железки если сетка локальная и городить огород из связок
>>>DHCP и т.д. тут уже ведь написали делаете привязку через арп
>>>и все. работы на 5 минут.
>>
>>Ну и ГДЕ вы будете делать привязку если сеть одноранговая и "не
>>умный" свитч?
>
>на шлюзе и на каждом компе. статические арп-записи не запрещены международным и
>федеральным правом)))Так вроде надо было защитить от подмены, а это значит что на компе нет и не будет никаких записей.
тот же DES-3028 стоит всего 250$. Не так уж и дорого.
>[оверквотинг удален]
>>>Сеть: Одноранговая с сервером OC Windows 2003, сервер OC Debian.
>>>Решение под windows 2003 или debian.
>>
>>DHCP snooping + IP Source Guard, и Option 82 по желанию если
>>выдавать IP основываясь
>>на том из какого порта/Vlan'a коммутатора стучится абонентская машина.
>
>нафига пакупать дорогие железки если сетка локальная и городить огород из связок
>DHCP и т.д. тут уже ведь написали делаете привязку через арп
>и все. работы на 5 минут.Каким образом привязка arp спасет от подмены пары mac+ip ?
>>[оверквотинг удален]
>>нафига пакупать дорогие железки если сетка локальная и городить огород из связок
>>DHCP и т.д. тут уже ведь написали делаете привязку через арп
>>и все. работы на 5 минут.
>>Каким образом привязка arp спасет от подмены пары mac+ip ?В таком случае можно дотянуть пучок проводов до линукса, а на машинку воткнуть сетевых карт, благо их сейчас по 5$ за штуку... И привязывай маки на каждом интерфейсе - чем не управляемый коммутатор?
>>>[оверквотинг удален]
>>>нафига пакупать дорогие железки если сетка локальная и городить огород из связок
>>>DHCP и т.д. тут уже ведь написали делаете привязку через арп
>>>и все. работы на 5 минут.
>>>Каким образом привязка arp спасет от подмены пары mac+ip ?
>
>В таком случае можно дотянуть пучок проводов до линукса, а на машинку
>воткнуть сетевых карт, благо их сейчас по 5$ за штуку... И
>привязывай маки на каждом интерфейсе - чем не управляемый коммутатор?Продакшн решение...
А если машин штук 50 или поболе? Куча "машинок с линуксом"?
>>>[оверквотинг удален]
>>>нафига пакупать дорогие железки если сетка локальная и городить огород из связок
>>>DHCP и т.д. тут уже ведь написали делаете привязку через арп
>>>и все. работы на 5 минут.
>>>Каким образом привязка arp спасет от подмены пары mac+ip ?
>
>В таком случае можно дотянуть пучок проводов до линукса, а на машинку
>воткнуть сетевых карт, благо их сейчас по 5$ за штуку... И
>привязывай маки на каждом интерфейсе - чем не управляемый коммутатор?бу-га-га, у меня в сети 200 компов. И что я буду ставить n количество линухов и набивать их сетевыми картами? Ну и бред
>>>>[оверквотинг удален]
>>>>нафига пакупать дорогие железки если сетка локальная и городить огород из связок
>>>>DHCP и т.д. тут уже ведь написали делаете привязку через арп
>>>>и все. работы на 5 минут.
>>>>Каким образом привязка arp спасет от подмены пары mac+ip ?
>>В таком случае можно дотянуть пучок проводов до линукса, а на машинку
>>воткнуть сетевых карт, благо их сейчас по 5$ за штуку... И
>>привязывай маки на каждом интерфейсе - чем не управляемый коммутатор?
>бу-га-га, у меня в сети 200 компов. И что я буду ставить
>n количество линухов и набивать их сетевыми картами? Ну и бредИ Вы утверждаете, что у Вас везде стоят управляемые свичи? Или таки случается, что на каком-то порту такого свича висят от 3 до 7 клиентов? Так и в случае с линухом...
ЗЫ: Любую задачу можно довести до абсурда, если не думать, как в данном случае...
ЗЫ2: Не знаю, как это сделать в линуксе - во фре есть параметр staticarp: карточка не отвечает на запросы от неизвестных мак-ов. Вполне поможет для _малой_ сети от воровства мак-ов.
>[оверквотинг удален]
>>>>>Каким образом привязка arp спасет от подмены пары mac+ip ?
>>>В таком случае можно дотянуть пучок проводов до линукса, а на машинку
>>>воткнуть сетевых карт, благо их сейчас по 5$ за штуку... И
>>>привязывай маки на каждом интерфейсе - чем не управляемый коммутатор?
>>бу-га-га, у меня в сети 200 компов. И что я буду ставить
>>n количество линухов и набивать их сетевыми картами? Ну и бред
>
>И Вы утверждаете, что у Вас везде стоят управляемые свичи? Или таки
>случается, что на каком-то порту такого свича висят от 3 до
>7 клиентов? Так и в случае с линухом...да везде управляемые, а что тут удивительного? Они сейчас стоят не так уж и дорого :) Плюс привязка mac к порту, так что подмена мака ничего не даст
>ЗЫ: Любую задачу можно довести до абсурда, если не думать, как в
>данном случае...
>ЗЫ2: Не знаю, как это сделать в линуксе - во фре есть
>параметр staticarp: карточка не отвечает на запросы от неизвестных мак-ов. Вполне
>поможет для _малой_ сети от воровства мак-ов.ну штаны и через голову можно одевать :)
вариант option 82 считаю наилучшим решением
расскажите подробнее по поводу доступа по ip+mac с помощью des-3026 когда в сети 300 чел каждый ip вводить гиморно.
>расскажите подробнее по поводу доступа по ip+mac с помощью des-3026смотри в сторону 802.1x
> когда в сети 300 чел каждый ip вводить гиморно.
если вам нужен контроль и безопасность, то забудь про слово геморно ;)
>вариант option 82 считаю наилучшим решениемВсем привет! Подскажите пожалуста, а как делается эта привязка по ARP?
>Всем привет! Подскажите пожалуста, а как делается эта привязка по ARP?Создать файл :
айпи мак
айпи мак
айпи маки так далее
и закинуть в скрипт строку:
arp -f /директория/файл