Negar atribuições de IP estático

Navegue suas respostas
3

Atualmente, estou usando um SonicWall Pro 2040 com DHCP ativado, mas apenas com IPs estáticos mapeados para endereços MAC específicos. Não há escopo de IP dinâmico sendo usado. Atualmente, nenhuma solicitação de DHCP resolverá um IP, conforme desejado.

No entanto, se uma interface de rede de servidor ou estação de trabalho ainda estiver configurada com um endereço IP estático definido pelo usuário, ela funcionará bem. Eu gostaria que os usuários em potencial que atribuíssem suas máquinas com IPs estáticos não funcionassem.

Existe uma maneira de negar esses tipos de conexões cujo endereço MAC não é aprovado?

    
por Blake Atkinson 27.05.2011 / 02:35

2 respostas

4

Não há como configurar um servidor DHCP para negar endereços IP estáticos. Se você pensar sobre isso, há um caminho direto entre os hosts na rede que simplesmente não passa pelo SonicWall: 

            SonicWall
            LAN Port
                ^
                |
                v
HostA <----> Switch <----> HostB

Portanto, se você quiser filtrar o endereço MAC para impedir que o HostA anuncie um endereço IP na rede, será necessário fazer isso no switch. Por exemplo, se o seu switch for Cisco, o comando a usar será switchport port-security .

    
por 27.05.2011 / 03:25
2

Resposta curta (no switch):

  1. Desativar todas as portas que não estão conectadas ao dispositivo que recebe um IP reservado
  2. Configurar segurança da porta usando macs pegajosos

Os comandos a seguir definirão uma interface para permitir que apenas dispositivos atualmente conectados usem essa porta de switch: 

switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky

fonte: segurança da porta Cisco documentação de configuração

Resposta longa:

Este é um problema de 2 partes. Parte um atribuindo endereços, parte para não permitir o acesso a computadores não atribuídos um "endereço reservado" no DHCP a partir da parede sonora. Eu acho que você tem uma parte resolvida em sua parede sonora. A segunda parte precisa ser resolvida no seu switch.

Como @Tom Shaw disse que usar o comando port-security no cisco switchgear é uma boa ideia. No entanto, é incompleto que você precisa especificar o número máximo de endereços MAC de dispositivos que podem vir dessa porta switchport port-security maximum 1 (desde que não haja outro comutador ou hub pendurado nessa porta).

Para evitar ter que digitar endereços MAC, você pode usar switchport port-security mac-address sticky depois de ativar a segurança da porta. para adicionar o endereço MAC do dispositivo atualmente conectado à lista aprovada sem precisar digitá-lo manualmente.

    
por 27.05.2011 / 16:12

Tags

Determina o LSN do banco de dados no modo NORECOVERY Onde definir JAVA_HOME no Ubuntu