iT邦幫忙

0

封掉MAC的方法或工具

請問各位高手
1.我們公司的電腦目前都是用手動設定IP,但最近時常會出現IP衝突,導致原本的ip使用者無法作業。
2.我有用過剪刀手查到MAC並切掉,但一關掉剪刀手又出現衝突。
3.ping -a 去檢查,也查不到主機名稱。
4.switch(juniper ex2200)及防火牆(juniper SRX240)上也查不到此MAC記錄
公司大概的架構,user至switch,switch又跟多個switch串接最後防火牆
5.請問有什麼方法徹底將此MAC封掉。
若有需補充的地方在請告知,小弟在此感謝各位大大。

ex2200
應該有SNMP
可以透過 snmp 讀到他在那一個Switch Port
然後下Disable Port no.
建議使用 DHCP 來解決會比較好吧!
6
raziel
iT邦新手 3 級 ‧ 2013-03-25 11:56:39
最佳解答

不需要捨近求遠,以簡馭繁即可.既然你的邊際交換器是Juniper EX2200,開啟DHCP snooping功能,強制所有client都必須是DHCP client, 並且鎖定trusted DHCP server限定只有你設定的DHCP server可以派發IP.再disable ARP learnning與source IP lockdown,讓source MAC資訊只能從HDCP snooping獲得,而不接受手動設定IP而來的MAC.爾後client端手動設IP都無法開通網路,即使他設的資料都正確.因為強制DHCP作為IP設立的唯一手段,要IP MAC互鎖,也只要在DHCP server上面配置即可.設定不難而且一毛錢都不用花,又絕對有效.怕client私下拿甚麼剪刀手亂搞,就再開ARP protection,整個就差不多了.

14
allen31
iT邦新手 4 級 ‧ 2013-03-21 22:50:07

與其找工具來解決. 本質上只能是針對問題 "治標" 非 "治本"
依小弟淺見. 何不如辛苦一次. 徹底檢查公司裡每一部含有網卡裝置的資訊產品.
將其 Mac Address 記錄下來. 一方面可以 "完全掌握" 屬於公司資產的資訊設備.
一方面也可以很清楚的了解. 一但屬於 "非" 公司的設備清單當中的資訊產品上了線之後,
你也能在第一時間將這來路不房的裝至給檔下來. 不僅如此...
也能將這 "不速之客" 的 Mac Address 給列入黑名單.

按照我過去的經驗. 是在 Firewall. 或是 Router 其中一部設備, 加入 Policy.
而這個自己設定的 Policy 主要是用來列入當初自己記錄過的可上網資訊設備.
也就是說 Policy 記錄以外的 Mac Address 就會在第一時間檔下.

不僅可以有效解決你現在面臨的問題. 也能有效掌握全公司網路使用的品質.
一舉兩得的事... 何樂而不為呢~!?

看更多先前的回應...收起先前的回應...
u8526425 iT邦大師 1 級 ‧ 2013-03-22 00:27:27 檢舉

我們以前遇到的狀況
有找到兇手
不是別人
就是總經理自己帶的NB
而且每次都愛指定到我們Exchange server的IP
造成Exchange整個失效
按陰陽的每次講都講不聽

allen31 iT邦新手 4 級 ‧ 2013-03-22 01:25:15 檢舉

TO : u8526425 (恕刪)
若是主管違規的情況下, 就要看公司內部的環境與氛圍了.
如果是屬於 "深明大義" 型的主管, 禮貌性的口頭告知即可.
如果是屬於 "履勸不聽" 型的主管, 即以公司相關規定論處.
如果都不是屬於上述兩種情況的, 而曉以大義之後仍有 "可能飯碗不保" 的情況...
那麼就要自己來判斷後續處理的方式了...
但是不論是什麼情況, 企業內部都要先有一套既定的 "遊戲規則" ,
要不然吃虧倒霉的永遠都是自己.

u8526425 iT邦大師 1 級 ‧ 2013-03-22 08:17:22 檢舉

手上的是雞毛令箭
不是尚方寶劍
遇到天子犯法
就算規則再嚴
只有三聲無奈

raziel iT邦新手 3 級 ‧ 2013-03-25 12:02:27 檢舉

MAC是layer2資訊,只要過了layer3設備就被更換,所以要在閘道端以firewall作MAC的policy管理是有限制的,除非你的client端到firewall之間是layer2.我相信這樣的企業用戶端環境很少,個人或是SOHO比較有機會.

8
CalvinKuo
iT邦大師 7 級 ‧ 2013-03-22 10:51:51

我覺得可以用另外角度思考:
可能貴公司使用的網段應該是常用的192.168.0.X 或 192.168.1.X還有10.0.0.X,這同時也是一般無線AP與IP分享器的最愛。因為這些設備DHCP預設租約時間都是超長,3天到7天都有,使用者常用待機所以基本上會先用原先設定IP。

避免作法:

  1. 避開容易發生衝突的IP網段,若困難的話先避開IP (2-10,101-105)。若公司改困難就去要求USER的AP自己改。去發生IP衝突的電腦事件檢視器,有發生衝突的MAC,若他有更新IP在DHCP裡面一定看的到。
  2. 把NB與手機跟區域網路做切開,看貴公司設備要用VLAN還是實體分開。再給防火牆做routing...
6
sunnycheck
iT邦新手 1 級 ‧ 2013-03-23 15:14:07

為什麼你們家的 User 那麼強,還會自己手動設定 IP ,我們家的問他 IP ,他還回你什麼是 IP 要去哪查!基本上 IP 這東西終端是不需要知道也不可允許手動變更的,為了維護你們家的網路品質最好規定一下吧,讓上頭知道嚴重性,我想沒有一家公司的老闆不會不顧自家的網路死掉而導致公司的作業嚴重損失吧?!
找台不太差的(幾萬塊)網路設備將 IP與MAC 指定好並使用 DHCP 派送固定 IP 給予設備。
至於哪家,就自己上網找找做做功課,請廠商寄給你測試測試~

hcsvieken iT邦研究生 4 級 ‧ 2013-03-25 08:20:51 檢舉

公司愈大就愈有可能有高手在內,雖只是少數,也常會造成問題(以前我就是這樣)。目前使用者的電腦大部份都只給power user的權限,所以不太會造成問題。有些因為使用的套裝軟體,只能在管理者權限下才不會出錯,所以不能鎖權限。

8
sunrandy
iT邦新手 1 級 ‧ 2013-03-25 08:58:52

小弟目前的公司,針對IP的管理是有使用ARPScanner(付費產品),持續對網段內的IP做監控,只要未列在系統內的MAC或IP一旦接上後,系統會偵測到,並阻擋,Client端會出現IP衝突的錯誤,再配合DHCP透過保留區的設定及USER無權限修改OS IP,即有不錯的管理效果

我要發表回答

立即登入回答