Forum » Omrežja in internet » Mreža samo za znane računalnike...?
Mreža samo za znane računalnike...?
erik ::
Pozdravljeni!
Imam problemček...
Imam domensko okolje z cca 30 računalniki. Vse deluje na Windows Server 2003 aktivnem imeniku.
Na tem serverju je tudi DHCP.
Rad bi da se na mrežo lahko priklopijo samo računalniki v domeni. Se pravi, da ko nekdo prinese osebni
prenosnik, se vklopi v mrežo... mu DHCP enostavno ne dodeli mrežnega naslova in ga ne pusti na mrežo.
Potreboval bi neko avtorizacijo.
Kako bi najlažje to naredil?
Lp
Imam problemček...
Imam domensko okolje z cca 30 računalniki. Vse deluje na Windows Server 2003 aktivnem imeniku.
Na tem serverju je tudi DHCP.
Rad bi da se na mrežo lahko priklopijo samo računalniki v domeni. Se pravi, da ko nekdo prinese osebni
prenosnik, se vklopi v mrežo... mu DHCP enostavno ne dodeli mrežnega naslova in ga ne pusti na mrežo.
Potreboval bi neko avtorizacijo.
Kako bi najlažje to naredil?
Lp
dëych ::
Ena od varjant da nardis scope in omejiš število IPjev ki jih dodeli DHCP. Nisem še probal ampak mislm da bi moral delovat.
erik ::
Če omejim število... hmm.
Če dam na 30 naslovov, a potem drugih ne bo pustil gor tudi če bo nekaterim v domeni potekel dodeljen naslov??
Če dam na 30 naslovov, a potem drugih ne bo pustil gor tudi če bo nekaterim v domeni potekel dodeljen naslov??
erik ::
Tud jaz sem razminšljal na MAC.
Da bi pustil samo vnešene MAC naslove... kje pa do določiti.
A se v Server 2003 sploh da?
Da bi pustil samo vnešene MAC naslove... kje pa do določiti.
A se v Server 2003 sploh da?
Mr.B ::
802.1x, če ti switch to podira...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
erik ::
Nekaj sem tudi o tem bral.
A to so swith-i, ki to podpirajo. A rabiš še kak avtorizacijski server odzad, a
je dost samo witch?
A to so swith-i, ki to podpirajo. A rabiš še kak avtorizacijski server odzad, a
je dost samo witch?
erik ::
Hmmm še ena ideja...
pa če nastavim za vsak računalnik Ip rezervacijo in DHCP pool omejim na točno določeno število računalnikov.
Potem drug ne dobi IP-ja, po moje... kaj menite?
pa če nastavim za vsak računalnik Ip rezervacijo in DHCP pool omejim na točno določeno število računalnikov.
Potem drug ne dobi IP-ja, po moje... kaj menite?
kekz ::
Najboljša in najbolj profi rešitev je zagotovo 802.1x.
Seveda rabiš avtentikacijski strežnik: RADIUS
Če nisi avtenticiran, te že switch sploh ne priključi v mrežo.
Seveda rabiš avtentikacijski strežnik: RADIUS
Če nisi avtenticiran, te že switch sploh ne priključi v mrežo.
Invictus ::
Najceneje ti je DHCP rezervacija na MAC adreso. Kar ni problem, ker to narediš pod DHCP programčkom v Win2003.
Seveda to zahteva precej discipline. Vsak nov računalnik vpisat in stare ven brisat.
Potem omejiš velikost subneta na potrebno št. IPjev. Če je subnet prevelik, ti lahko kdo noter pride s statičnim IP-jev. Ali pa spoofa MAC adreso. Sam zato že rabi dostop do kakega računalnika.
Če imaš kako boljše stikalo v mreži, potem lahko na njem narediš tudi access-liste. Npr. Prepoveš dostop do vsega IPjev, ki nimajo DHCP rezervacije.
VSe ostale rešitve pa zahtevajo še kak dodaten strežnik (aplikacijo).
LP I.
Seveda to zahteva precej discipline. Vsak nov računalnik vpisat in stare ven brisat.
Potem omejiš velikost subneta na potrebno št. IPjev. Če je subnet prevelik, ti lahko kdo noter pride s statičnim IP-jev. Ali pa spoofa MAC adreso. Sam zato že rabi dostop do kakega računalnika.
Če imaš kako boljše stikalo v mreži, potem lahko na njem narediš tudi access-liste. Npr. Prepoveš dostop do vsega IPjev, ki nimajo DHCP rezervacije.
VSe ostale rešitve pa zahtevajo še kak dodaten strežnik (aplikacijo).
LP I.
Mr.B ::
Glej, če imaš Windows 2003 AD, doinštaliraš IAS(Radius) ter CA. V GPO politiki pušneš certifikat na mašino.
Nastaqviš IAS politiko. Aktiviraš 802.1x na samem Switchu, in to je to.
Vse ostalo je avtomatično, razen prvega priklopa računalnika v domeno, ker še ni dobil preko GPO politike certifikat, za to pa si rezerviraš en ali dva porta na switchu, ki nista pod 802.1x.
DHCP na MAC, je nepotrebno delo, razen če hočeš da tvoji nadrejeni vidijo, kolio imaš dela, oh in sploh...
Nastaqviš IAS politiko. Aktiviraš 802.1x na samem Switchu, in to je to.
Vse ostalo je avtomatično, razen prvega priklopa računalnika v domeno, ker še ni dobil preko GPO politike certifikat, za to pa si rezerviraš en ali dva porta na switchu, ki nista pod 802.1x.
DHCP na MAC, je nepotrebno delo, razen če hočeš da tvoji nadrejeni vidijo, kolio imaš dela, oh in sploh...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold
To accuse the Jewish state of genocide is to cross a moral threshold
erik ::
Sem nabavil 5 switch-ev LinkSys SLM224G.
Verjetno bom šel verjetno v 802.1x avtentikacijo.
Zaenkrat, pa bi vsak port na switchu dodelil samo za znan MAC naslov. Sem nekaj nastavljal, pa mi ne deluje najbolje.
Navodila so bolj skopa.
A ima kdo kj izkušenj s tem?
Mr.B - a maš kak mail?
Verjetno bom šel verjetno v 802.1x avtentikacijo.
Zaenkrat, pa bi vsak port na switchu dodelil samo za znan MAC naslov. Sem nekaj nastavljal, pa mi ne deluje najbolje.
Navodila so bolj skopa.
A ima kdo kj izkušenj s tem?
Mr.B - a maš kak mail?
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Internet v študentskih domovihOddelek: Šola | 10982 (9938) | hawkwood |
» | CISCO Catalyst 2950Oddelek: Omrežja in internet | 1517 (1119) | x.sci |
» | Napreden problem mojega omrežjaOddelek: Omrežja in internet | 3720 (3225) | SasoS |
» | z dvemi računalniki na internet, arnes v študentuOddelek: Pomoč in nasveti | 1753 (1394) | balkanec |
» | Zasebni notebooki v podjetjuOddelek: Omrežja in internet | 1623 (1085) | noraguta |