В нашей локальной сети настроен DHCPD, который предоставляет системам фиксированные IP-адреса. Однако мы сталкиваемся с конфликтами IP-адресов, если кто-то подключает портативный компьютер и назначает IP-адрес, принадлежащий другой системе.
Есть ли способ предотвратить это? Или способы обнаружения компьютеров, вызывающих это?
Если пользователи назначают IP-адреса своим системам, они будут выбирать все, что им нравится, и никакие просьбы, крики и угрозы не изменят этого. Поэтому самым безопасным способом было бы разделить подсети серверов и пользователей. В этой настройке пользователь может конфликтовать только с другим пользователем и в худшем случае нарушить работу одного человека. Более того, если они назначают себе адрес из сети серверов, их сеть вообще не будет работать, и это механизм, который значительно ускоряет обучение пользователей.
Это единственный способ запретить людям с правами администратора назначать зарезервированные IP-адреса своим станциям - сделать так, чтобы это не работало.
Что касается обнаружения, вы ждете отчета. Либо пользователь, у которого была рабочая конфигурация, внезапно теряет доступ к сети (то есть есть новичок со станцией Windows, которая не соблюдает стандарт TCP / IP, не вызывающий интерфейс при обнаружении конфликта IP-адресов), или пользователь сообщает, что он настроил IP-адрес, и он не работает.
В первом случае вы знаете, что злоумышленник получил IP-адрес. Вы можете подключиться к той же сети и использовать arp чтобы определить его MAC-адрес. Если у вас есть база данных активов с MAC-адресами компьютеров пользователей, у вас есть преступник. Если вы этого не сделаете, то пора посмотреть, какой порт какого коммутатора видит этот MAC-адрес на своем интерфейсе, перейдите к соответствующей розетке и посмотрите, чей кабель подключен. Принесите 2x4 LART.
В последнем случае новичок - это тот, кто пробует хитрые трюки с настройкой своей сети, но у новичка установлена хорошо работающая ОС. Объясните пользователю преимущества использования службы DHCP, созданной его трудолюбивыми администраторами. Если он не оценит, воспользуйтесь упомянутым выше LART;).
Вы можете легко обнаружить и наблюдать за системой, вызывающей конфликт IP-адресов:
arping -b -I ethX <ip> (или строчная -i в случае Debianс arping).
И это все для Ethernet. Чтобы навсегда избавиться от этой проблемы, вам понадобятся коммутаторы с любым типом ACL (привязка IP-адреса к порту MAC-адреса, отслеживание DHCP или 802.1x).
Способ предотвратить это - разместить ваши серверные ресурсы в другой сети, чем ваши рабочие станции. Вы по-прежнему можете использовать DHCP для обслуживания различных областей, соответствующих каждой сети.
Ваш DHCP-сервер позволит вам указать доступный диапазон. Вам просто нужно указать ему только назначить адреса выше .100 и убедиться, что любые статические IP-адреса, которые вы назначаете вручную, ниже этого диапазона (например).