Я хочу иметь настройку, в которой после настройки одного MAC-адреса для сетевого разъема только этот компьютер может быть подключен к нему. Кроме того, я хочу убедиться, что никто не может зарегистрировать MAC-адрес маршрутизатора и подключить несколько компьютеров за маршрутизатором в NAT или, по крайней мере, он должен быть обнаружен.
Я знаю, что это возможно, потому что это было сделано в моем университете. Кто-нибудь знает как?
Вы захотите использовать Cisco Port Security на коммутаторе уровня доступа. Он позволяет вам установить максимальное количество MAC-адресов на определенном порту, а также дополнительно установить определенные разрешенные MAC-адреса на этом порту (хотя управление этим может выйти из-под контроля). После обнаружения новых MAC-адресов или замены другого MAC-адреса порт можно настроить на отключение.
Я не уверен, как помешать людям подключить маршрутизатор с поддержкой NAT, поскольку в этом случае коммутатору уровня доступа предоставляется только один MAC-адрес. Безопасность порта не сможет помочь (если вы не полагаетесь на тот факт, что замена рабочей станции на маршрутизатор приведет к изменению MAC-адреса, блокируя порт, но это не идеально, как если бы первое устройство, которое будет подключено к коммутатор - это маршрутизатор, он становится разрешенным MAC-адресом)
Больше информации на https://web.archive.org/web/1/http://articles.techrepublic%2ecom%2ecom/5100-10878_11-6123047.html
Это невозможно.
Я беру машину с зарегистрированным MAC-адресом и заменяю ее маршрутизатором NAT, которому я говорю использовать MAC-адрес зарегистрированных машин. Многие маршрутизаторы потребительского уровня (менее 100 долларов) могут сделать это по умолчанию.
Если не считать анализа порядковых номеров TCP, невозможно узнать, делал ли кто-то это.
Но любой управляемый коммутатор должен иметь возможность блокировать порты по MAC-адресам (хорошо, я полагаю).
Вам нужен переключатель, который достаточно умен, чтобы настроить это ограничение. Их много, но не в самом дешевом классе.
Обновить:
Есть несколько коммутаторов, доступных по ценам cisco, с опциями безопасности портов. Я нашел HP Procurve 2520 и выше, Dell Powerconnect 5300 и выше и даже дешевле, например Linksys SRW2024, D-Link DES-3252 и т. Д.
Ищите «безопасность порта», «на основе MAC».
В качестве альтернативы вы можете использовать NAC, если пользователи находятся в каком-либо LDAP. Таким образом пользователи могут переходить от порта к порту, но люди за пределами вашей организации не могут получить доступ. Я не уверен, что это та ситуация, которую вы пытаетесь предотвратить, но подмена MAC-адреса проста, поэтому ваш пример можно довольно легко подделать. Cisco Clean Access и Bradford Networks NAC приходят на ум как два лидера в NAC, но они очень дороги.
Возможно, я ошибаюсь, но я слышал о том, что интернет-провайдеры отслеживают значения TTL, чтобы определить, является ли напрямую подключенное устройство источником трафика или он исходит от устройств за ним.
Не идеально, так как TTL можно подделать, как и все остальное, но, возможно, стоит проверить.