iT邦幫忙

0

限制非DHCP所發的IP上網

請問一下,我如何能夠限制,只要不是DHCP SERVER所配的IP,而是自己手動的IP,不能夠上網呢?或是說,沒有經過我所規定的Getway,不能夠上網呢?

eric6784 iT邦研究生 4 級 ‧ 2010-10-07 09:26:59 檢舉
我這邊倒是有一個想法,如果用戶採Static,但是DHCP範圍內的IP,這又該如何處裡?
(Ex:DHCP 10.0.0.1~100,用戶手動設定10.0.0.50)
10
csyu
iT邦高手 1 級 ‧ 2010-10-07 08:26:54

你只需在Gateway內設定,僅DHCP所配發之IP範圍內的電腦,才准予連通外網即可。

raytracy iT邦大神 1 級 ‧ 2010-10-08 14:36:55 檢舉

這樣? 用戶只要隨便設定一個: 在 DHCP 範圍內, 但尚未被配發出去的 IP, 一樣可以上網...

10
patrickf127
iT邦新手 2 級 ‧ 2010-10-07 13:17:50

Cisco Switch有此功能哦.

bbcash iT邦新手 1 級 ‧ 2010-10-07 20:47:05 檢舉

可否請大大 詳細介紹一下 如何實現呢?

cmwang iT邦大師 2 級 ‧ 2010-10-08 22:35:22 檢舉

FYI:DHCP snooping+802.1x....

raytracy iT邦大神 1 級 ‧ 2010-10-15 17:52:07 檢舉

cmwang提到:
DHCP snooping+802.1x....

恩....大工程耶, 不過好像這樣是最好解的.....真的是花錢比較省力....

10
gulin0928
iT邦新手 2 級 ‧ 2010-10-08 16:01:37

小弟的構想:

IP 綁 MAC address的功能(要看防火牆是否有) 再加上 DHCP 指定host配發IP(要先查出所有client端的MAC 進行設定)

10
twnem
iT邦好手 1 級 ‧ 2010-10-09 00:14:16

簡單的方式: 設定綁 IP 就可以解決您的問題!
複雜的方式: 高階設備都有這一項的功能,但...要看是哪一類型的設備。

6
sula3065408
iT邦研究生 1 級 ‧ 2010-10-11 09:13:47

1.花錢買設備
2.自己動手DIY (DHCP server 給出連線名單,再修改防火牆解開限制)
3.用行政手段,改方法直接綁定IP或是檢查MAC Address

6
kivava
iT邦新手 4 級 ‧ 2010-11-28 02:03:17

使用DHCP SnoopingPort Security802.1X Port-Based Authentication自然是最佳解,但要求的設備等級較高,需要的相關知識也較多,最好是在有配合的SI廠商的情況下實作。

如果公司只有最簡單的IP分享器,解決的方法之一就是設定DHCP的IP-MAC Mapping,並且將DHCP Pool的範圍限定在有設定IP-MAC Mapping的區塊中,並在IP分享器的對內Firewall的部分,限制只有在DHCP Pool中的Source IP能通過。但這還是無法阻止手動設定IP到DHCP Pool中的使用者存取網路。

如果Firewall能設定MAC Filtering或者是Switch能設定Static ARP Mapping,那手動設定IP的問題就能解決。但還有偽造MAC的問題需要解決。

要解決MAC偽造的問題,就比較麻煩,要先透過設定Private VLAN防止使用者竊取MAC Address,這部份不一定適合每個環境。如果無法防止竊聽,那就只能設定Port-ACL or Port Security去防止非法的IP, MAC通過Switch Interface。透過802.1X進行使用者認證也是一個解決方法。

但做這麼多,我想最有效的方法還是一紙行政命令,只要手動設定IP或偽造MAC者被抓到,就會遭到懲處並公告,我想發生這問題的機會就會少很多... 畢竟管理的對象是人而不是機器,直接對症下藥才是最有效的處理方式。

我要發表回答

立即登入回答