Назад | Перейти на главную страницу

Стратегия назначения IPv4 в локальной сети: на основе местоположения или на основе уникальности устройства

В нашем небольшом офисе я много лет использую схему назначения адресов IPv4 в зависимости от местоположения пользовательского устройства, например:

Для меня это имеет преимущество: легко вспомнить, где находится пользовательское устройство (и что это за устройство) по IP-адресу.

Но этот подход постоянно нарушается, потому что переменная часть пользовательских устройств регулярно мигрирует из одной комнаты в другую.

Есть еще одна возможность: присвоить пользовательскому устройству IP-адрес навсегда на время его пребывания в офисе (например, на основе MAC-адреса). Но при таком подходе нет способа узнать, где сейчас находится пользовательское устройство, или сгруппировать IP-адреса в более крупные блоки / префиксы для маршрутизации / межсетевого обмена.

Я по-прежнему предпочитаю не использовать DHCP и назначать адреса статически, и у нас нет управляемых коммутаторов.

Я хотел бы теперь сказать, какой подход более распространен при назначении / распределении IP-адресов?

Если коммутаторы поддерживают это, вы можете использовать компьютерную аутентификацию 802.1x для динамического назначения VLAN компьютеру, где бы он ни был подключен.

Тогда компьютер всегда будет в правильном диапазоне VLAN и IP-адресов.

Для этого требуется сервер аутентификации, обычно radius.

Компьютер под управлением Windows, на котором запущен сервер политики сети, может действовать как сервер RADIUS, использующий базу данных пользователей Active Directory. В противном случае его можно установить в Linux и использовать практически любую пользовательскую базу данных (включая активный каталог).

Я просто не вижу необходимости по-разному фильтровать пользователей в одном офисе. Поэтому я использую DHCP и по одному пулу на каждое местоположение. Когда мне нужно узнать, к какому порту подключен пользователь, я использую простую технику: arp -an | grep <IP> -> show mac address-table address <MAC> на переключателе (или show ether-switching-table | match <MAC>). Ведь это редко нужно.

Конечно, я использую VLAN, но в основном это делается для того, чтобы различать службы: голосовая VLAN, беспроводные WLAN, VLAN управления и так далее.

Использование радиуса для назначения пользователя определенной VLAN - отличный метод, но это больше относится к миру интернет-провайдеров, а не к предприятию.