iT邦幫忙

0

自動化靜態 IP 管理

[前言]
日前有朋友問我一些網路問題
我很心虛地回答了一些答案
回頭想想還是上網請教各位專家
以免誤人青春

目的
公司為加強電腦管理,打算將所有電腦由DHCP改為靜態IP

打算做法
參考微軟文件,在現有DHCP server為公司所有MAC指定對應IP
目前只想到這個做法,如果有不花錢(或少少錢)和更好的做法,請不吝賜教

問題
1.在DHCP用MAC「指定」每部的IP,這有「強制性」或只是「參考性」?
換個方式問
若指定4C-72-A9-8D-77-BD=192.168.2.44
(1)每次4C-72-A9-8D-77-BD連上網路,就一定會取得192.168.2.44?
(2)如果4C-72-A9-8D-77-BD沒有連上網路,192.168.2.44有可能被指派給別人嗎?
2.若使用者自行手動設IP為192.168.2.44,是否仍可連上網路?4C-72-A9-8D-77-BD上網時發現192.168.2.44已被佔用,DHCP如何處理?是另發一個未使用的IP或是乾脆不發IP?
3.內部有幾部無線基地台,是否應關閉其DHCP功能,以免其IP不符合192.168.2.x的規則?除了電腦之外,還有各式手機及平板,會透過無線基地台連上網路

[補充]
1.公司電腦約幾十部,IP 均為 192.168.2.x
2.已加入一部「監控」用設備,可監控同網段(?)中所有電腦,以MAC為unique
3.若需要確認其他資訊,我再去問我朋友

很抱歉最佳解答只能選一位
謹在此先謝謝所有幫忙的邦友

14
u8526425
iT邦大師 1 級 ‧ 2014-02-17 08:47:57
最佳解答
  1. 強制, 不然就是白設的
  2. 手動設也可以上(所以要管使用者權限甚至switch綁MAC)
    DHCP派IP前會廣播IP有沒有佔用
    有的話就派IP pool裡面有沒有別的IP
    但你的case要測一下
  3. 同一broadcast domain儘量維持單一DHCP領域
    不然有時網路除錯會有麻煩
看更多先前的回應...收起先前的回應...

謝謝回答

u8526425提到:
所以要管使用者權限

也因為這點
目前有考慮將所有電腦加入網域
並以Group Policy控管
面臨的問題是
1.許多電腦都已經以本機Administrator的權限
安裝了一些應用程式及設定
若改為非原Adminitrator身分使用
預期會碰到一些設定上的問題
2.有些新購電腦為Window 7 Home edition
不確定是否能加入網域
若需升級作業系統,是否需全部重裝?

u8526425 iT邦大師 1 級 ‧ 2014-02-17 09:37:02 檢舉

1的部份
只要安裝並執行過
改user權限問題不大
但問題還是要做過測試才能確定

2的部份
Home版就是不能加網域
可能要用這個
http://windows.microsoft.com/zh-TW/windows7/upgrade-to-another-edition-of-windows-7-by-using-windows-anytime-upgrade

u8526425提到:
可能要用這個

這有點麻煩
看了一下說明
台灣和中國都不在支援地區中
汗

u8526425 iT邦大師 1 級 ‧ 2014-02-17 13:07:49 檢舉

不能走WAU就只好認命重裝

u8526425提到:
認命重裝

了解,謝謝

10
darkslayer
iT邦好手 1 級 ‧ 2014-02-17 09:11:16
  1. (1) 是的
    (2) 不會
  2. 手動設定還是可以上網的, 手動設動部分DHCP管不到.dhcp還是會發同一個ip出去, 然後你就會在pc上看到顯示ip衝突.
    3.無線基地台的dhcp要關掉, 不然無線上網時連到哪台基地台就由那台分配ip, 另基地台本身的IP可以不在相同網段內.
看更多先前的回應...收起先前的回應...

謝謝回答

darkslayer提到:
顯示ip衝突

除了從源頭電腦(改為由DHCP自動取得IP)著手之外
是否可像樓上u8526425大大所述
在switch綁MAC address以避免此種情形?

花輪 iT邦大師 1 級 ‧ 2014-02-17 10:37:20 檢舉

antijava提到:
在switch綁MAC address

這要看 SW 的型號是否有此功能。

SW 綁 MAC 指的是 IEEE 802.1x 嗎? 要綁的話,802.1x 皆可支援 LAN & WLAN 喔。

花輪 iT邦大師 1 級 ‧ 2014-02-17 10:58:42 檢舉

把 CLIENT 端 ADMIN 權限拿掉自然就不會有手動設IP的問題了!

fran633提到:
把 CLIENT 端 ADMIN 權限拿掉

目前有考慮將所有電腦加入網域
並以Group Policy控管
面臨的問題是
1.許多電腦都已經以本機Administrator的權限
安裝了一些應用程式及設定
若改為非原Adminitrator身分使用
預期會碰到一些設定上的問題
2.有些新購電腦為Window 7 Home edition
不確定是否能加入網域
若需升級作業系統,是否需全部重裝?

8
shunwen
iT邦新手 5 級 ‧ 2014-02-17 09:40:56

1.目的是打算將所有電腦由DHCP改為靜態IP,我的做法和您相同但我是利用CENTOS+WEBMIN(網頁管理介面)來建置DHCP SERVER,WEBMIN可以很方便的讓你設定要不要綁定IP。
2.問題一:(1)每次上來都會拿到你設定的IP。(2)如果你設定派發的IP區段有包含那個IP就會發生,所以你可以把區段分隔開來,要綁定IP的可以192.168.2.1-100,不綁定的就設定192.168.2.101-253。我本身架設的也是這樣規劃的。
3.問題二:(1)若使用者自行手動設IP為192.168.2.44,是否仍可連上網路?(是的他只要手動設定就可以上網)。(2)4C-72-A9-8D-77-BD上網時發現192.168.2.44已被佔用,DHCP如何處理?(A.如果你是綁定的話,他還是會派192.168.2.44給他(會發生IP衝突)。B.如果沒綁定他就會找一個空的給他,但有一種例外情形是192.168.2.44是手動設定的,那這樣也會發生IP衝突的問題)。
4.問題三:AP分享器,要看能不能指定DHCP SERVER,如果沒辦法達到管理的功能了。變成只能將192.168.2.X內部部份IP留給該AP派發DHCP使用。

謝謝回答

shunwen提到:
,不綁定的就設定192.168.2.101-253

這是個好做法
然而此案子中原公司要求全部綁定IP
所以可能單純一些

12
hon2006
iT邦大師 1 級 ‧ 2014-02-17 09:41:19

這個專案無法解決未知 mac address 的問題(mac address 沒有在你的名單中會查不出是誰的電腦)
所以要預防私自架設dhcp server
http://www.uuu.com.tw/public/content/article/110912tips.htm
和ip mac 綁定或可以查 mac table 功能的 switch.

我想會作這個終極目標是要作防止自設ip和nac (http://www.ringline.com.tw/epaper/forum940203.htm).
如果只是單純做dhcp 分析,
可以考慮正常的dhcp + splunk 的方案
http://apps.splunk.com/app/410/

如果可以查電腦要到 ip 是那個時間,就不用去設靜態的dhcp,有例外的電腦再考慮靜態的dhcp.

看更多先前的回應...收起先前的回應...

謝謝回答

hon2006提到:
這個專案無法解決未知 mac address 的問題

這問題的確沒有考慮到
臉紅
目前是已經收集完所有連網設備的MAC address

若先撇開「未知MAC設備自行指定IP就連網」的情形不說
DHCP碰到「未指定的MAC address」時
預設行為是
1.不理他
2.仍配發未被使用(或綁定MAC)的IP給他
疑惑

hon2006 iT邦大師 1 級 ‧ 2014-02-17 10:08:32 檢舉

微軟的是仍配發未被使用,有多的就會發出去
dhcp 黑白名單
http://server-monkey.com/2011/01/22/server-2003-2008-dhcp-mac-address-filtering/
http://blog.sina.com.cn/s/blog\_4bca87330101845h.html

如果能指定使用者用那一台dhcp server 來取得ip就好辦多了.
有的防毒軟體可能有這個功能
http://tw.sophos.com/sophos/docs/cht/manuals/nacman\_35\_mcht.pdf
就可以自己弄一台不能連網路的dhcp 和一台正常的dhcp

hon2006 iT邦大師 1 級 ‧ 2014-02-17 10:15:41 檢舉

hon2006提到:
dhcp 黑白名單

這資訊很有幫助
謝謝

花輪 iT邦大師 1 級 ‧ 2014-02-17 10:56:58 檢舉

還要預防一個問題:USER私接 SW OR WALN AP!

fran633提到:
USER私接 SW OR WALN AP

目前還沒考慮到此問題
如果私接 SW/WLAN AP
還是需要公司配給IP
就算以WLAN AP開放給更多設備使用
帳也都「算在同一個IP的頭上」
這樣的想法不知是否正確?

8
michaelwan
iT邦高手 1 級 ‧ 2014-02-17 14:54:34

早期小弟公司的做法是port security+DHCP MAC binding, 好處是便宜. 不對的MAC就算
自己怎麼設IP就是不會通(自己改MAC例外).
現在如果有這需求,會考慮用DHCP snooping + IP Source Gurard來做.

不過如果只有Unmanaged Switche 上述請自行跳過.

謝謝回答

我要發表回答

立即登入回答