https://www.opennet.ru/openforum/vsluhforumID6/23524.html Добрый день! Мне дали задачу во всех офисах нашей организации, привязать ip адрес оборудования к его физическому адресу. Это нужно что бы без ведома системного администратора пользователи не подключали к сети своё оборудование(ноутбуки и т.д.)<br>эту задачу я решил следующим образом:<br><br>arp 192.168.1.10 001b.2183.e878 ARPA<br>arp 192.168.1.20 001a.4dfb.7464 ARPA<br>arp 192.168.1.30 6cf0.49cb.e86c ARPA<br> <br>interface FastEthernet0/0<br> description *** LocalNET ***<br> ip address 192.168.1.1 255.255.255.0<br> arp authorized<br><br>всё отлично работает и не возможно подключить к сети новое оборудование как и планировалось, НО спустя энное время все компы пропадают пока на локальном интерфейсе не отключу арп авторизацию.<br><br>DO1(config-if)#no arp authorized<br><br>подскажите пожалуйста как сделать чтоб связь с оборудованием не пропадала. <br> https://www.opennet.ru/openforum/vsluhforumID6/23524.html#9 Wed, 15 Feb 2012 08:58:00 GMT Полноценное решение - только 802.1<br><br>Если домен-контроллер в офисе есть - то поднять 1 дополнительную роль на нем - не большая проблема. А с вышедшим из троя домен-контроллером в любом случае не сможете. <br><br>Так же рекомендую почитать про:<br>ip dhcp snooping<br>ip source guard<br>ip arp inspection<br> https://www.opennet.ru/openforum/vsluhforumID6/23524.html#8 Tue, 14 Feb 2012 06:58:36 GMT &gt;&gt;Кроме всего <br>&gt;&gt; прочего развертывание такой системы требует знаний и порядка от самого тех.<br>&gt;&gt; персонала. Чего в реальных условиях как правило тоже нет.<br>&gt; спасибо всем за советы, учту.<br><br>Смотрите с сторону 802.1x<br> https://www.opennet.ru/openforum/vsluhforumID6/23524.html#7 Tue, 14 Feb 2012 05:39:25 GMT <br>&gt;Кроме всего <br>&gt; прочего развертывание такой системы требует знаний и порядка от самого тех. <br>&gt; персонала. Чего в реальных условиях как правило тоже нет.<br><br>спасибо всем за советы, учту.<br> https://www.opennet.ru/openforum/vsluhforumID6/23524.html#6 Tue, 14 Feb 2012 05:27:57 GMT &gt;&gt; всё отлично работает и не возможно подключить к сети новое оборудование как <br>&gt;&gt; и планировалось, <br>&gt; Вы в курсе что МАС адрес меняется произвольным образом? Человек приходит со <br>&gt; своим ноутбуком, выставляет на нем мак+ип рабочего компа- и он в <br>&gt; сети.<br>&gt; Судя по всему - нет. Ваша защита рухнет как только кто-то из <br>&gt; сотрудников(случайных посетителей) вобъет в поисковике фразу "обойти привязку MAC к IP" <br>&gt; и прочтет коментарии к такому способу защиты.<br>&gt; Судя по тому, что вам такую задачу поставило начальство - оно тоже <br>&gt; не интересовалось насколько ЭЛЕМЕНТАРНО рушиться такая защита...<br><br>это один из многих способов защиты. Т.к. обычные пользователи мало знакомы с IT это помогает. ну как же всё таки решить проблему с отключением?<br> https://www.opennet.ru/openforum/vsluhforumID6/23524.html#5 Tue, 14 Feb 2012 03:56:33 GMT &gt;[оверквотинг удален]<br>&gt;&gt; description *** LocalNET *** <br>&gt;&gt; ip address 192.168.1.1 255.255.255.0 <br>&gt;&gt; arp authorized <br>&gt;&gt; всё отлично работает и не возможно подключить к сети новое оборудование как <br>&gt;&gt; и планировалось, НО спустя энное время все компы пропадают пока на <br>&gt;&gt; локальном интерфейсе не отключу арп авторизацию.<br>&gt;&gt; DO1(config-if)#no arp authorized <br>&gt;&gt; подскажите пожалуйста как сделать чтоб связь с оборудованием не пропадала.<br>&gt; Два за решение задачи, такую защиту не делают уже лет так эдак <br>&gt; 10. Используйте 802.1x или на худой конец VPN.<br><br>А в этом случае пользователь не сможет подключить другой девайс? И ,кстати, нормальноя поддержка дот1х в семействе виндовсов появилась только в Вин7<br> https://www.opennet.ru/openforum/vsluhforumID6/23524.html#4 Tue, 14 Feb 2012 03:17:06 GMT &gt; Это нужно что бы без <br>&gt; ведома системного администратора пользователи <br>&gt; не подключали к сети своё оборудование(ноутбуки <br>&gt; и т.д.) <br><br>Чтобы пользователи не подключали свое оборудование к сети не используемые порты коммутаторов должны быть выключены и на всех аксесовых портах пользователей включить port-security.<br><br>Чтобы пользователи не менял ip адреса на машинах нужно использовать групповые политики и резервирование ip адресов.<br><br>Ну и наконец третье. Если сотрудники массово прут на работу железо из дома нужно задуматься почему это происходит, может не ту проблему пытаетесь лечить?<br><br>Как уже писали коллеги выше 802.1х является решением задачи авторизации. Вот только как правило реальная эксплуатация сводиться к тому, что пароли либо вбиты железно, либо записаны на бумажке которая лежит на столе. Опять же это решения не для меленькой конторы потому что если лежит радиус = сети нет :) Ну и потом неизвестно какой зоопарк железа у вас стоит и есть ли там поддержка 802.1х. Кроме всего прочего развертывание https://www.opennet.ru/openforum/vsluhforumID6/23524.html#3 Mon, 13 Feb 2012 17:27:45 GMT &gt; подскажите пожалуйста как сделать чтоб связь с оборудованием не пропадала.<br><br>может быть static-dhcp + am, binding arp?<br> https://www.opennet.ru/openforum/vsluhforumID6/23524.html#2 Mon, 13 Feb 2012 13:04:24 GMT &gt;[оверквотинг удален]<br>&gt; arp 192.168.1.30 6cf0.49cb.e86c ARPA <br>&gt; interface FastEthernet0/0 <br>&gt; description *** LocalNET *** <br>&gt; ip address 192.168.1.1 255.255.255.0 <br>&gt; arp authorized <br>&gt; всё отлично работает и не возможно подключить к сети новое оборудование как <br>&gt; и планировалось, НО спустя энное время все компы пропадают пока на <br>&gt; локальном интерфейсе не отключу арп авторизацию.<br>&gt; DO1(config-if)#no arp authorized <br>&gt; подскажите пожалуйста как сделать чтоб связь с оборудованием не пропадала.<br><br>Два за решение задачи, такую защиту не делают уже лет так эдак 10. Используйте 802.1x или на худой конец VPN.<br> https://www.opennet.ru/openforum/vsluhforumID6/23524.html#1 Mon, 13 Feb 2012 11:49:46 GMT &gt; всё отлично работает и не возможно подключить к сети новое оборудование как <br>&gt; и планировалось,<br><br>Вы в курсе что МАС адрес меняется произвольным образом? Человек приходит со своим ноутбуком, выставляет на нем мак+ип рабочего компа- и он в сети.<br><br>Судя по всему - нет. Ваша защита рухнет как только кто-то из сотрудников(случайных посетителей) вобъет в поисковике фразу "обойти привязку MAC к IP" и прочтет коментарии к такому способу защиты.<br><br>Судя по тому, что вам такую задачу поставило начальство - оно тоже не интересовалось насколько ЭЛЕМЕНТАРНО рушиться такая защита...<br>