Назад | Перейти на главную страницу

Запретить назначение статических IP-адресов

В настоящее время я использую SonicWall Pro 2040 с включенным DHCP, но только со статическими IP-адресами, сопоставленными с определенными MAC-адресами. Не используется динамическая область IP. В настоящее время ни один DHCP-запрос не разрешит IP-адрес должным образом.

Однако, если сетевой интерфейс сервера или рабочей станции по-прежнему настроен с пользовательским статическим IP-адресом, он работает нормально. Я бы хотел, чтобы потенциальные пользователи, которые назначают своим машинам статические IP-адреса, не работали.

Есть ли способ запретить эти типы подключений, MAC-адрес которых не утвержден?

Невозможно настроить DHCP-сервер на запрет статических IP-адресов. Если задуматься, между хостами в сети существует прямой путь, который просто не проходит через SonicWall:

            SonicWall
            LAN Port
                ^
                |
                v
HostA <----> Switch <----> HostB

Поэтому, если вы хотите отфильтровать MAC-адрес, чтобы HostA не объявлял IP-адрес в сети, вам нужно сделать это на коммутаторе. Например, если у вас коммутатор Cisco, используйте следующую команду: switchport port-security.

Короткий ответ (на переключателе):

  1. Отключите все порты, к которым не подключено устройство, получающее зарезервированный IP-адрес
  2. Настройка безопасности порта с помощью липких Mac

Следующие команды установят интерфейс, позволяющий только подключенному в данный момент устройству использовать этот коммутатор:

switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky

источник: Документация по настройке безопасности порта Cisco

Длинный ответ:

Это проблема из двух частей. Часть первая - назначение адресов, часть - запрет доступа к компьютерам, которым не назначен «зарезервированный адрес» в DHCP, от звуковой стены. Я думаю, что вы решили первую часть вашего sonicwall. Вторую часть нужно решить на вашем коммутаторе.

Как сказал @Tom Shaw, использование команды port-security на коммутаторе cisco - хорошая идея. Однако это неполно, вам нужно указать максимальное количество MAC-адресов устройств, которые могут поступать с этого порта. switchport port-security maximum 1 (при условии, что к этому порту не свисает другой коммутатор или концентратор).

Чтобы избавиться от необходимости вводить MAC-адреса, вы можете использовать switchport port-security mac-address sticky после того, как вы включили безопасность порта. чтобы добавить MAC-адрес подключенного в данный момент устройства в утвержденный список без необходимости вводить его вручную.