LINUX.ORG.RU
ФорумAdmin

Кофликт адресов


0

0

Добрый день,

Есть у нас локалка одна (не офис, а что-то типа общаги) где повадились разные дауны вбивать себе ип адреса в ручную в своих компах, соответственно из-за этого возникает конфликт адресов. В локалке стоит шлюз с линуксом, кторый выпускает эту братию в инет. На нем я поднял pptp сервер для авторизации и вообщем то все меня устраивает. Но пользовательские компы я контролировать не могу, соответсвенно ни о каких виндовых доменах и политиках речи быть не может, сеть восновном виндовозная.

Можно ли как-нибудь решить проблему не покупая дорогой свитч с порт-секьюрити ? (подозреваю что нет, но а вдруг ? :) )

Спасибо.

anonymous
Ответ на: комментарий от Komintern

Да понятное дело.. Я же говорю, для инета у меня вообще pptp-авторизация на роутере :)

Просто если 2 дауна выставляют себе одинаковые адреса на своих компах то ес-но ни до какого роутера они не достучатся и тут начинается вопль что ничего не работает :(

Интересует именно порядок в локальной сети

Административные меры не помогают :(

anonymous
()
Ответ на: комментарий от Komintern

это не исправит на компах "конфликт ip-адреса"

v12aml ★★
()
Ответ на: комментарий от anonymous

любой дешевенький свитч (d-link des-2108, это не платик, достаточно стабильный, не виснет, опыт работы с ними два года) с засовыванием портов в 802.1Q vlan

огромный костыль, но некоторые из крупных московских ISP (например NetByNet) такое тестировали (до сих пор в части районов работает по этой схеме)

иначе нормальные свичи за сильно большие деньги

v12aml ★★
()

Если дауны, то dhcp.

anonymous
()
Ответ на: комментарий от Komintern

>Если дауны, то dhcp.

DHCP есть, но особо одаренным даунам это не помогает. Все равно наровят влезть в настройки своими руками

anonymous
()
Ответ на: комментарий от Komintern

Komintern,

Спасибо, может еще какие модели порекомендуете ?

anonymous
()

любую железку с Option 82 или 802.1x

hizel ★★★★★
()
Ответ на: комментарий от anonymous

iptables и там настраиваешь проверяешь, если мас и ip не совпадаешь, то дропаешь пакет, да всегда можно увести мак адрес соседа, главное, чтобы никто не пытался мак адрес шлюза схерачить

придётся как-то отловить мак адреса и будет большой список правил а ип таблесе

dimon555 ★★★★★
()
Ответ на: комментарий от dimon555

Дык если dhcpd поднят, просто меняешь подсеть в настройках, и, у тех, у кого настройки правильные (динамические ipшники)все работает, остальные - лесом.

anonymous
()
Ответ на: комментарий от MikeDM

Спасибо за советы.

Только не очень понимаю чем в этой ситуации поможет железка с 802. ?

Сеть примерно 100-150 компов, это мне 150 vlan'ов нужно будет сделать ? (просто пока не очень поннимаю)

anonymous
()
Ответ на: комментарий от anonymous

да dotq. пихай всех в разные вланы и пускай они у себя хоть какой адрес ставят.
вопрос в том, сможешь ли ты терминировать эти вланы на роутере, если он не поддерживает unnumbered ip.

а дорогое решение, как уже было сказано, это dotx

chocholl ★★
()
Ответ на: комментарий от chocholl

грым, и всё таки dhcp+option 82 представляется более простой и менее гиморойной
запросы dhcp перехватываются коммутатором и посылаются dhcp серверу
ответ сервера транслируется клиенту и через порт пускается только эта связка ip+mac до следующей сессии dhcp

hizel ★★★★★
()
Ответ на: комментарий от hizel

безусловно
но коммутаторы поддерживающие dhcp snooping и ip source guard как я понял отсутствуют на сети афтара. да и дороже они.

chocholl ★★
()
Ответ на: комментарий от chocholl

>но коммутаторы поддерживающие dhcp snooping и ip source guard как я понял отсутствуют на сети афтара. да и дороже они.

ой не доглядел :)

hizel ★★★★★
()
Ответ на: комментарий от anonymous

тогда твоя-то какая проблема? отпечатал один раз инструкцию в одну строку: КРИВЫМИ ЛАПАМИ НЕ ЛЕЗТЬ!

И спи спокойно.

delilen ★☆
()
Ответ на: комментарий от delilen

>тогда твоя-то какая проблема? отпечатал один раз инструкцию в одну строку: КРИВЫМИ ЛАПАМИ НЕ ЛЕЗТЬ!

сеть на обычных свичах скорее всего, один убл^W нехороший человек меняет ip+mac и мешает другому, как его гада искать по общаге?

hizel ★★★★★
()

можно очень усложнить жизнь товарищам руками прописывающим адреса... 1. используем dhcp с маленьким временем аренды ip-адреса. 2. время от времени меняем подсеть из которой выдаются адреса. сразу надо сказать, что есть у этого метода минус. в момент сметы подсети у всей локалки перестаёт работать сеть.

если заранее предупредить народ о том, что применяемые меры временны, но будут продолжаться до тех пор все не перейдут на dhcp

disney
()
Ответ на: комментарий от keir

элементарно делается поддельный pppoe сервер ;)

hizel ★★★★★
()

Сегментация сети "тазиками" на мелкие подсети, либо - сегментация несколькими свичами с вланами. Внутри подсети идиотов/кулхацкеров легче вычислить. Да и никто не будет срать там, где живет - если допустим 1 подсеть на этаж выделена... Ведь в противном случае - может и на "воспитательную работу" со стороны соседей нарваться. Ну и ессно - что-то вроде ipguard юзать.

NiTr0 ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.