LINUX.ORG.RU
ФорумAdmin

Борьба с конфликтом IP адреса


0

1

Доброго времени суток все. И так суть, имеется сеть, ip адреса в которой все статические, получают все компьютеры сети интернет с сервера на Centos 6 и биллинга, большинство машин имеют привязку по MAC-адресу, но не все... Не так давно появились, несколько людей которые занимаются тем что вбивают себе адреса не привязанных по маку клиентов, утечка траффика решается легко и просто, в итоге будут привязаны по маку все машины, но проблема в другом, если даже не ради инета, а ради пакостничества вбивать существующие адреса, то будет конфликт в любом случаи. И так вопрос, какие есть способы борьбы с этим, как организовать проверку выданных адресов в сети и запретить их дублирование внутри сети? Может как то можно с помощью центрального коммутатора, стоит Cisco Catalist 2960?


Или, кроме фильтра, Циска может уметь какой-нибудь 802.1X. Но это у клиентов настраивать ещё надо будет.

AS ★★★★★ ()
Ответ на: комментарий от OxOyD

Ой, неправильно прочитал опять пост :( Подумал про защиту от подмены мака.

Про ip не скажу, но я бы посмотрел в сторону acl на интерфейсе:

access-list 201 permit ip 192.168.1.2
int fa0/1
ip access-group 201 in

generator ★★★ ()

И так суть, имеется сеть, ip адреса в которой все статические, получают все компьютеры сети интернет с сервера на Centos 6 и биллинга, большинство машин имеют привязку по MAC-адресу, но не все...

А что им запретит точно так же {находить,перебирать,менять} маки?

И да если что то dhcp и был придуман именно для того чтобы геморроя было на порядок меньше.

anonymous ()
Ответ на: комментарий от OxOyD

dchp не вариант, говорю же что все статические должны быть...

И в чём проблема? Делаете как то так:
host testhost {
hardware ethernet mac;
fixed-address ip;
}

Будет вам и привязка по маку, и адреса статические, в случае чего сможете поменять адреса, не отрывая попу от стула. А на юзерских машинах лучше вообще запретить менять какие либо настройки.

prot ★★ ()
Последнее исправление: prot (всего исправлений: 1)
Ответ на: комментарий от OxOyD

в общем все сложнее чем я думал...

В рамках поставленной тобой задачи и выбранных для её реализации средств «все сложнее чем ты думал».

Да вот только штука в том, что так больше никто не будет решать подобную задачу.

anonymous ()
Ответ на: комментарий от OxOyD

Ну и пропишите на DHCP серервере определённым MAC адресам выдавать определённые IP адреса.

host Station8 {
   hardware ethernet aa:bb:cc:dd:ee:ff;
   fixed-address A.B.C.D;
}

Ну и как бы зачем выдавать полные права на систему людям, которые не учитывают правила работы в сети, т.е. могут сами взять и выставить себе IP, без согласования. Пользователь ПК не должен иметь права менять системные настройки, административных прав у него должно быть минимум.

kostik87 ★★★★★ ()
Последнее исправление: kostik87 (всего исправлений: 1)
Ответ на: комментарий от kostik87

Пользователь ПК не должен иметь права менять системные настройки, административных прав у него должно быть минимум.

Вангую что разговор ТС таки завел про настройку очередную говнолокалки в которой во первых сами её «владельцы» идиоты а во вторых с пользователей за нее таки стригут бабло… т.е. таки договор скорее всего какой-то там был подписан а если нет то ваще ссзб в кубе.

А следовательно kostik87 кто именно запретит что-то пользователю полуобщественной локалки находящемуся за своим собственным компом?

Да своими действиями он может нарушать какой-то там договор заключенный с владельцами локалки… если он вообще был ими обоими подписан и в нем был некий пункт который пользователь таки нарушил. Так в этом случае опять же поступают не так а просто ставят на контроль и как только нарушитель выявлен и его вина доказана отключают нахрен.

anonymous ()
Ответ на: комментарий от kostik87

+1, static dhcp

Если пользователи злонамеренные и с админскими правами - фильтровать на порту свитца.

Если свитч(и) тупой - без вариантов.

selivan ★★★ ()

Настрой port-security. Если воткнуть в порт устройство с левым маком, то он просто не поднимется.

andrew667 ★★★★★ ()

Авторизация пользователей должна происходить либо по паре логин-пароль (привет pppoe,pptp,l2tp,openvpn,etc) или на порту абонента. Для первого варианта линейное оборудование дешевле, но геморроя с настройкой оборудования пользователя больше, плюс надо BRAS держать для коммутации туннелей (что в любом случае даёт потерю в производительности, или по вине старых роутеров/компов у пользователей или с ростом сети на самом BRAS'е). Для второго варианта нужно управляемое оборудование на уровне доступа, то есть каждый пользователь включается в управляемую железку (желательна поддержка dhcp option 82, дальше по виланам всё разбросать можно). Плюсы второго варианта - чистый IPoE, никаких настроек со-стороны пользователя, проще найти нарушителя и насовать ему ху^W^W^W настучать по рукам, а если повезёт то ещё и скорость сразу резать на порту, что очень разгружает центральный маршрутизатор.

ЗЫ. А вообще, ещё с 2000-х, а то и раньше было моветоном привязывать IP к MAC, т.к. уже тогда всем было известно, что оба параметра можно изменить стандартными средствами OC, причём любой, включая оффтопик. Времена жёстко прошитого MAC в сетевушках (с невозможностью их чипом подменять его) закончились с присвоением статуса RIP шине ISA, сетевушки которой и имели такую особенность.

nickleiten ★★★ ()

Используй vlan per user. В этом случае ни смена ими маков, ни айпи адресов ничего не даст. Если адреса надо экономить, то вместо /30 на юзера можно использовать схему с ip unnumbered.

Подробнее тут http://www.opennet.ru/base/cisco/catalyst_ip_unnumber.txt.html

zolen ()
Ответ на: комментарий от anonymous

А что им запретит точно так же {находить,перебирать,менять} маки?

если будет обнаружен mac flapping, то отключать порт.

hope13 ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.