» »

Mreža samo za znane računalnike...?

Mreža samo za znane računalnike...?

erik ::

Pozdravljeni!

Imam problemček...
Imam domensko okolje z cca 30 računalniki. Vse deluje na Windows Server 2003 aktivnem imeniku.
Na tem serverju je tudi DHCP.

Rad bi da se na mrežo lahko priklopijo samo računalniki v domeni. Se pravi, da ko nekdo prinese osebni
prenosnik, se vklopi v mrežo... mu DHCP enostavno ne dodeli mrežnega naslova in ga ne pusti na mrežo.
Potreboval bi neko avtorizacijo.

Kako bi najlažje to naredil?

Lp

dëych ::

Ena od varjant da nardis scope in omejiš število IPjev ki jih dodeli DHCP. Nisem še probal ampak mislm da bi moral delovat.

trnvpeti ::

mac+ip

erik ::

Če omejim število... hmm.
Če dam na 30 naslovov, a potem drugih ne bo pustil gor tudi če bo nekaterim v domeni potekel dodeljen naslov??

erik ::

Tud jaz sem razminšljal na MAC.
Da bi pustil samo vnešene MAC naslove... kje pa do določiti.
A se v Server 2003 sploh da?

Mr.B ::

802.1x, če ti switch to podira...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

erik ::

Nekaj sem tudi o tem bral.
A to so swith-i, ki to podpirajo. A rabiš še kak avtorizacijski server odzad, a
je dost samo witch?

erik ::

Hmmm še ena ideja...

pa če nastavim za vsak računalnik Ip rezervacijo in DHCP pool omejim na točno določeno število računalnikov.
Potem drug ne dobi IP-ja, po moje... kaj menite?

kekz ::

Najboljša in najbolj profi rešitev je zagotovo 802.1x.
Seveda rabiš avtentikacijski strežnik: RADIUS

Če nisi avtenticiran, te že switch sploh ne priključi v mrežo.

Invictus ::

Najceneje ti je DHCP rezervacija na MAC adreso. Kar ni problem, ker to narediš pod DHCP programčkom v Win2003.

Seveda to zahteva precej discipline. Vsak nov računalnik vpisat in stare ven brisat.

Potem omejiš velikost subneta na potrebno št. IPjev. Če je subnet prevelik, ti lahko kdo noter pride s statičnim IP-jev. Ali pa spoofa MAC adreso. Sam zato že rabi dostop do kakega računalnika.

Če imaš kako boljše stikalo v mreži, potem lahko na njem narediš tudi access-liste. Npr. Prepoveš dostop do vsega IPjev, ki nimajo DHCP rezervacije.

VSe ostale rešitve pa zahtevajo še kak dodaten strežnik (aplikacijo).

LP I.

Mr.B ::

Glej, če imaš Windows 2003 AD, doinštaliraš IAS(Radius) ter CA. V GPO politiki pušneš certifikat na mašino.
Nastaqviš IAS politiko. Aktiviraš 802.1x na samem Switchu, in to je to.
Vse ostalo je avtomatično, razen prvega priklopa računalnika v domeno, ker še ni dobil preko GPO politike certifikat, za to pa si rezerviraš en ali dva porta na switchu, ki nista pod 802.1x.
DHCP na MAC, je nepotrebno delo, razen če hočeš da tvoji nadrejeni vidijo, kolio imaš dela, oh in sploh...
France Rejects Genocide Accusations Against Israel in Gaza,
To accuse the Jewish state of genocide is to cross a moral threshold

erik ::

Sem nabavil 5 switch-ev LinkSys SLM224G.
Verjetno bom šel verjetno v 802.1x avtentikacijo.

Zaenkrat, pa bi vsak port na switchu dodelil samo za znan MAC naslov. Sem nekaj nastavljal, pa mi ne deluje najbolje.
Navodila so bolj skopa.
A ima kdo kj izkušenj s tem?

Mr.B - a maš kak mail?


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Internet v študentskih domovih

Oddelek: Šola
3910982 (9938) hawkwood
»

CISCO Catalyst 2950

Oddelek: Omrežja in internet
301517 (1119) x.sci
»

Napreden problem mojega omrežja

Oddelek: Omrežja in internet
143720 (3225) SasoS
»

z dvemi računalniki na internet, arnes v študentu

Oddelek: Pomoč in nasveti
111753 (1394) balkanec
»

Zasebni notebooki v podjetju

Oddelek: Omrežja in internet
141623 (1085) noraguta

Več podobnih tem