У меня небольшая локальная сеть (192.168.1.0/24), на которых у нас есть несколько ненадежных машин, на которых пользователи этих машин имеют права администратора или могут подключать свои собственные машины к сети.
Сервер также находится в этой сети (192.168.1.200), и мне нужно предотвратить отключение сетевых служб из-за конфликта IP-адресов, когда пользователь устанавливает IP-адрес своей машины таким же, как и сервер (возможно, злонамеренно).
Я думал о том, чтобы разбить netowrk на два (что-то вроде 192.168.1.0/25 и 192.168.1.128/25).
Как лучше всего поддерживать работу служб?
Переместите ваши серверы в отдельную VLAN - это уменьшит опасность, хотя ничто не мешает пользователю установить свой IP-адрес на IP-адрес шлюза. Или лучше переместите проблемного пользователя в его собственную VLAN.
Это также можно решить, используя динамическая проверка arp на достаточно хорошем управляемом свитче.
Эту проблему также можно решить, если рассматривать ее как дисциплинарную проблему, которую необходимо решать на этом уровне.
В противном случае Гвоздь может быть последним средством.
Техническое решение проблемы такого рода: 802.1x, но для данной ситуации это, вероятно, перебор.
Сделайте так, чтобы ваши пользователи доверяли DHCP и / или не позволяли им изменять свои настройки IP.
Если он знает IP-адрес и имеет право изменять IP-адрес машины, вы мало что сможете сделать. Вы можете попробовать поиграть с IP Source Guard с DHCP Snooping, чтобы заставить пользователя использовать DHCP.
