[前言]
日前有朋友問我一些網路問題
我很心虛地回答了一些答案
回頭想想還是上網請教各位專家
以免誤人青春
目的
公司為加強電腦管理,打算將所有電腦由DHCP改為靜態IP
打算做法
參考微軟文件,在現有DHCP server為公司所有MAC指定對應IP
目前只想到這個做法,如果有不花錢(或少少錢)和更好的做法,請不吝賜教
問題
1.在DHCP用MAC「指定」每部的IP,這有「強制性」或只是「參考性」?
換個方式問
若指定4C-72-A9-8D-77-BD=192.168.2.44
(1)每次4C-72-A9-8D-77-BD連上網路,就一定會取得192.168.2.44?
(2)如果4C-72-A9-8D-77-BD沒有連上網路,192.168.2.44有可能被指派給別人嗎?
2.若使用者自行手動設IP為192.168.2.44,是否仍可連上網路?4C-72-A9-8D-77-BD上網時發現192.168.2.44已被佔用,DHCP如何處理?是另發一個未使用的IP或是乾脆不發IP?
3.內部有幾部無線基地台,是否應關閉其DHCP功能,以免其IP不符合192.168.2.x的規則?除了電腦之外,還有各式手機及平板,會透過無線基地台連上網路
[補充]
1.公司電腦約幾十部,IP 均為 192.168.2.x
2.已加入一部「監控」用設備,可監控同網段(?)中所有電腦,以MAC為unique
3.若需要確認其他資訊,我再去問我朋友
很抱歉最佳解答只能選一位
謹在此先謝謝所有幫忙的邦友
謝謝回答
u8526425提到:
所以要管使用者權限
也因為這點
目前有考慮將所有電腦加入網域
並以Group Policy控管
面臨的問題是
1.許多電腦都已經以本機Administrator的權限
安裝了一些應用程式及設定
若改為非原Adminitrator身分使用
預期會碰到一些設定上的問題
2.有些新購電腦為Window 7 Home edition
不確定是否能加入網域
若需升級作業系統,是否需全部重裝?
1的部份
只要安裝並執行過
改user權限問題不大
但問題還是要做過測試才能確定
2的部份
Home版就是不能加網域
可能要用這個
http://windows.microsoft.com/zh-TW/windows7/upgrade-to-another-edition-of-windows-7-by-using-windows-anytime-upgrade
antijava提到:
在switch綁MAC address
這要看 SW 的型號是否有此功能。
SW 綁 MAC 指的是 IEEE 802.1x 嗎? 要綁的話,802.1x 皆可支援 LAN & WLAN 喔。
把 CLIENT 端 ADMIN 權限拿掉自然就不會有手動設IP的問題了!
fran633提到:
把 CLIENT 端 ADMIN 權限拿掉
目前有考慮將所有電腦加入網域
並以Group Policy控管
面臨的問題是
1.許多電腦都已經以本機Administrator的權限
安裝了一些應用程式及設定
若改為非原Adminitrator身分使用
預期會碰到一些設定上的問題
2.有些新購電腦為Window 7 Home edition
不確定是否能加入網域
若需升級作業系統,是否需全部重裝?
1.目的是打算將所有電腦由DHCP改為靜態IP,我的做法和您相同但我是利用CENTOS+WEBMIN(網頁管理介面)來建置DHCP SERVER,WEBMIN可以很方便的讓你設定要不要綁定IP。
2.問題一:(1)每次上來都會拿到你設定的IP。(2)如果你設定派發的IP區段有包含那個IP就會發生,所以你可以把區段分隔開來,要綁定IP的可以192.168.2.1-100,不綁定的就設定192.168.2.101-253。我本身架設的也是這樣規劃的。
3.問題二:(1)若使用者自行手動設IP為192.168.2.44,是否仍可連上網路?(是的他只要手動設定就可以上網)。(2)4C-72-A9-8D-77-BD上網時發現192.168.2.44已被佔用,DHCP如何處理?(A.如果你是綁定的話,他還是會派192.168.2.44給他(會發生IP衝突)。B.如果沒綁定他就會找一個空的給他,但有一種例外情形是192.168.2.44是手動設定的,那這樣也會發生IP衝突的問題)。
4.問題三:AP分享器,要看能不能指定DHCP SERVER,如果沒辦法達到管理的功能了。變成只能將192.168.2.X內部部份IP留給該AP派發DHCP使用。
這個專案無法解決未知 mac address 的問題(mac address 沒有在你的名單中會查不出是誰的電腦)
所以要預防私自架設dhcp server
http://www.uuu.com.tw/public/content/article/110912tips.htm
和ip mac 綁定或可以查 mac table 功能的 switch.
我想會作這個終極目標是要作防止自設ip和nac (http://www.ringline.com.tw/epaper/forum940203.htm).
如果只是單純做dhcp 分析,
可以考慮正常的dhcp + splunk 的方案
http://apps.splunk.com/app/410/
如果可以查電腦要到 ip 是那個時間,就不用去設靜態的dhcp,有例外的電腦再考慮靜態的dhcp.
謝謝回答
hon2006提到:
這個專案無法解決未知 mac address 的問題
這問題的確沒有考慮到
目前是已經收集完所有連網設備的MAC address
若先撇開「未知MAC設備自行指定IP就連網」的情形不說
DHCP碰到「未指定的MAC address」時
預設行為是
1.不理他
2.仍配發未被使用(或綁定MAC)的IP給他
微軟的是仍配發未被使用,有多的就會發出去
dhcp 黑白名單
http://server-monkey.com/2011/01/22/server-2003-2008-dhcp-mac-address-filtering/
http://blog.sina.com.cn/s/blog_4bca87330101845h.html
如果能指定使用者用那一台dhcp server 來取得ip就好辦多了.
有的防毒軟體可能有這個功能
http://tw.sophos.com/sophos/docs/cht/manuals/nacman_35_mcht.pdf
就可以自己弄一台不能連網路的dhcp 和一台正常的dhcp
早期小弟公司的做法是port security+DHCP MAC binding, 好處是便宜. 不對的MAC就算
自己怎麼設IP就是不會通(自己改MAC例外).
現在如果有這需求,會考慮用DHCP snooping + IP Source Gurard來做.
不過如果只有Unmanaged Switche 上述請自行跳過.