Polskie Forum Użytkowników Debiana

Bastian, bo jak chłop sobie wpisze adres IP "z palca", to i tak to nic nie da. Kombinacje z DHCP/przypisywaniem adresu MAC do IP w tym przypadku nic nie dadzą, jak już pisał db, konflikt jest w innej warstwie.

Natknąłem się na coś, co może być pomocne dla Ciebie:
http://www.google.pl/url?sa=t&source=we ... lwXvDwXr4Q

markossx pisze:Natknąłem się na coś, co może być pomocne dla Ciebie:
http://www.google.pl/url?sa=t&source=we ... lwXvDwXr4Q

No ale ten opis dotyczy konfiguracji maszyny będącej routerem...Właśnie dlatego pytałem się o to wcześniej.

Przypisać stały adres do rutera to nie jest jak wiadomo problem, problemem jest natomiast jak zapobiec, aby stacje robocze nie użyły tamtego adresu. Tak to rozumuję. I idąc dalej, DHCP odpada. Moja wcześniejsza propozycja z gpo też.
To co powyżej też nie dobre. Zostaje jeszcze RADIUS.
Temat wydał się mi ciekawy ale być może nie tak coś zrozumiałem, popraw mnie więc proszę.

Być może jeszcze PPPoE mogłoby tu pomóc - choć to nieco kłopotliwe po stronie klienta.

lolleq pisze:Być może jeszcze PPPoE mogłoby tu pomóc - choć to nieco kłopotliwe po stronie klienta.

PPPoE pomaga, w momencie gdy ktoś kombinuje z parami {MAC, IP} aby uzyskać dostęp do jakiejś grupy usług. W tym przypadku występuje konflikt na poziomie 2 warstwy modelu OSI. Nie można stosować rozwiązań z wyższych warstw, aby ten konflikt wyeliminować.

Najprościej -- zróbcie VLANy (klienci nie odczują problemów związanych z błędnymi odpowiedziami na żądanie ARP do bramki ) oraz odpowiednio monitorujecie switche, które mają te VLANy -- pozwala to na szybkie wykrycie konfliktu.

W niektórych, dość rzadkich przypadkach, można blokować cały ruch na przełączniku, oprócz określonych adresów MAC.

db pisze:Najprościej -- zróbcie VLANy (klienci nie odczują problemów związanych z błędnymi odpowiedziami na żądanie ARP do bramki ) oraz odpowiednio monitorujecie switche, które mają te VLANy -- pozwala to na szybkie wykrycie konfliktu.
W niektórych, dość rzadkich przypadkach, można blokować cały ruch na przełączniku, oprócz określonych adresów MAC.

Ale takie rozwiązanie wymaga posiadania odpowiedniego sprzętu... dosyć kosztownego - gdyby liczyć nowe urządzenia. I przy zastosowaniu VLANów warto pomyśleć o jakimś routingu między nimi - bo czasem klienci w różnych VLANach potrzebują skomunikować się między sobą.

lolleq pisze:Ale takie rozwiązanie wymaga posiadania odpowiedniego sprzętu... dosyć kosztownego - gdyby liczyć nowe urządzenia. I przy zastosowaniu VLANów warto pomyśleć o jakimś routingu między nimi - bo czasem klienci w różnych VLANach potrzebują skomunikować się między sobą.

Znowu mylisz warstwy. Nie ma takiego pojęcia jak routing między VLANami -- byłoby to nielogiczne. Komunikacją między klientami jest jak najbardziej możliwa -- przez główną bramkę.

Tak, takie rozwiązanie wymaga odpowiedniego sprzętu. Albo takowy kupujemy, albo mamy problemy. Tanie przełączniki z obsługą Multi-to-one VLAN kosztują <300 złoty.

Oczywiście, że routing byłby niezbędny gdyby realizować vlany w klasyczny sposób (przełączniki, rutery).
@lolleq dobrze gada
Urządzenia, o których mówisz @db są na rynku stosunkowo od niedawna i mówi się o nich czasem przełączniki z obsługą L3.
VLAN-y też rozwiązują ten problem chociaż najlepiej moim zdaniem zabrać admina na tym kliencie, vlany to ciężka armata.

markossx pisze:Oczywiście, że routing byłby niezbędny gdyby realizować vlany w klasyczny sposób (przełączniki, rutery).
VLAN-y też rozwiązują ten problem chociaż najlepiej moim zdaniem zabrać admina na tym kliencie, vlany to ciężka armata.

Routing jest niezbędny do wysłania pakietu. VLAN to po prostu wydzielenie sieci w sieci. Nie jest to ,,ciężka armata'' -- powszechnie stosowane rozwiązanie (nawet u małych ISP).
Nie wiem, jak chcesz zabrać dostęp do konta administratora u jakiegoś klienta -- na jakiego prywatnym komputerze.

PS.
Przełączniki L3, o których wspominasz, to zupełnie inna para kaloszy. Ja mówię o zwykłych, zarządzalnych przełącznikach, których pełno.

Jak realizuje się VLAN-y w sposób nieklasyczny?