Разрешить присваивать только определенные IP!

в фаерволе отфильтруй по ип и интерфейсу.

10.10.10.17/28
/28

нафига отдельные vlan, если машины внутри одной подсети?

Бинд по мак адресу к ip ? Портсекюрети на портах терминации (подключения) ПК, чтобы с левым ip/mac посылал нафик, реализуется с помощью radius или средствами самого коммутатора. Забить статику на ПК и отобрать права админа у пользователей, последнее кстати рекомендуется для повышения безопасности, а не только разграничения =)

Нельзя отбирать права админов у ПК ;( нужно просто запретить конкретному VLAN присваивать IP адреса, допустим как описал - vlan100 = 10.10.10.18 а у vlan101 = 10.10.10.19 + 10.10.10.20 и кроме этих IP они в сетку не попадут.

Можно маломальский пример правила, затестить?

Такое обычно решается на коммутаторах. IP Source guard, DHCP Snooping. В упоротых случаях и static arp или правила файрволла сойдут. Тебе скорее всего придётся пойти как раз по упоротым вариантам, особенно учитывая то, что присвоив неправильный IP в данном случае они упорят всё не только себе, но и соседям находящимся с ними в одном широковещательном домене и имеющим такой же IP, но уже потому что им «положено».

Спасибо за ответ, почитаю про это. Отходя от темы, как бы Вы посоветовали настроить сеть (с vlan, без vlan) чтобы давать определенным ПК внешний IP при этом не позволять им пользоваться (прописать свободный внешний), но при этом иметь возможность выдавать не только один IP а несколько при необходимости ?

Еще раз спасибо за ответ.

Отходя от темы, как бы Вы посоветовали настроить сеть (с vlan, без vlan) чтобы давать определенным ПК внешний IP при этом не позволять им пользоваться (прописать свободный внешний), но при этом иметь возможность выдавать не только один IP а несколько при необходимости ?

Идеальный вариант: роутер с VLAN-ами и по /32 на VLAN и все линки настроенные с обоих сторон как p2p(то есть блоками по /32, возможно несколькими, если надо).

Потребуется больше настроек как с роутера, так и с клиентов, но получишь максимальную управляемость и минимальную возможность для клиента что-то упороть другому клиенту

Пожалуй не соглашусь с вами, идеальный вариант это радиус сервер с 802.1x и центром сертификации. На радиусе проверяется от кого пришел запрос, с каким ip, имени машины, порта коммутатора,мак-адреса (выбрать по необходимости нужное, хотя можно и все вместе) И принудительно выдать VLAN, ip, шлюз, маску и по желанию другую инфу клиенту. Если клиент проходит аутентификацию, будет ему счастье, если пользователь решил построить из себя хакера, то получит бан или гостевую сетку, по желанию админа. Все это реализуется довольно не сложно, свободным ПО. Если пользователей не много, то и выделенного сервера не нужно.

А почему у пользователя нельзя отбирать админскую учетку? Ведь это не безопасно, даже админы сознательные работают под пользовательской учеткой. Такой же путь изначально и предлагает Linux, рут отдельно юзер отдельно =)

А почему у пользователя нельзя отбирать админскую учетку?

Я такого не говорил, если что :-)

Пожалуй не соглашусь с вами, идеальный вариант это радиус сервер с 802.1x и центром сертификации

Никогда в более-менее крупных сетях его вживую не видел. В мелких - бывало, но всё равно это решение считается экзотикой. Хз почему, на самом деле - строже чем 802.1x сложно что-то придумать. Хотя вариант vlan per user забитый вручную в крупной сетке я видел, без 802.1x этим рулить - тот еще геморрой.

Я тоже если честно особо не встречал. Но в настоящий момент как раз занимаюсь внедрением в довольно крупную сеть > 1000 пользователей. При хозяйстве коммутаторов приближающихся к 200, немного проблемотично управлять всеми ими по отдельности. Еще посматриваю в сторону NOC, но пока нет свободного времени.

Еще посматриваю в сторону NOC, но пока нет свободного времени.

NOC - штука забавная, насколько я могу судить, но там скорее всего придется создавать SNMP-профили для девайсов самому. Конечно при условии что тебе дико не повезет и нужные тебе девайсы будут уже поддерживаться.