DHCP и MAC
 

Подскажите как заставить DHCP раздовать определенные ip определенным MAC_ам?
Зарание спасибо!

Гмм.., руками? ;) А если серьёзно - где DHCP находится? :idontnow: Кроме этого всегда можно прописать статические айпи на требуемых интерфейсах.

Настроить резервирование ip-адресов (если Windows 200x). Тогда сетевому интерфейсу с определенным MAC-адресом всегда будет назначаться один и тот же ip.

Hasper
Если хочешь конкретный ответ, то для начала стоит указать на какой платформе реализован DHCP-сервер. А то местные телепаты в отпуске и вернутся не скоро. :mad:

В принципе.. разницы нет.. но все же хотелось бы все это замутить на WIN2003 сервер.. Если можно ткните куда нить где почитать.. или пример какой нить зарание спасибо!

Разница в том, про какой сервер тебе объяснять.
А в WIN2003 идешь в административные инструменты, ищешь там DHCP (если не находишь, то идешь в установку/удаление программ, там в компоненты Windows и ставишь DHCP) и запускаешь.
А дальше, по приложенной картинке ясно.

Ок пойдем дальше.. а как ето дело автоматизировать.. т.е есть база юзверей список ip и mac как его загонять туда автоматом и желательно синхронизировать.. изредко..или постоянно!

Слушай, ты лучше скажи для чего тебе это надо, чего ради, что ты пытаешься соорудить.
Сколько юзверей?
Что с чем синхронизировать?
IP-адрес делегируется МАС-адресу на определённый промежуток времени и если тебе надо - то ты можешь его выставить хоть до бесконечности, соответственно раз делегированный IPшник - останется ужо навсегда (енто касается Вин2к3). Соответственно отпадает необходимость пропсывать что то ручками.

Hasper
Или ты не понимаешь о чем ты говоришь, или мы не понимаем что ты хочешь сделать.

МАС-адрес есть уникальный идентификатор сетевого адаптера и к пользователям не имеет никакого отношения (в общем случыае). Задается этот самый МАС-адрес на заводе (впоследствии можно изменить) и он статический.

IP-адрес есть уникальный идентификатор сетевого адаптера (хоста/компьютера) в определенной сети и к пользователям не имеет никакого отношения (в общем случае). Задается IP-адрес при помощи DHCP-сервера или вручную и может быть как статическим, так и динамическим.

Далее, позволю себе процитировать: При чем здесь пользователи? :confused:

Пациент вероятно имеет ввиду, что у него домашняя сеть где пользователь=комнп=IP.
Соответственно он хочет иметь типа таблички из 3х столбиков: Пользователь=IP=МАС. Через DHCP можно раздавать множество разных параметров, включая и сетевое имя компа, пусть им и удовлетворится....

Все верно.. у меня домашняя сеть компов етак на 500.
Есть база.. юзверей.. на sql хотелось бы.. управлять раздачей ip по маку.. а если вдруг юзверя нету в списке или он забанен вообще не давать ему ip. Ну и зааодно пользоватся всеми прелестями dhcp и не бегать по району настраивая. сетевое подключение.

Hasper
К пользователям ты MAC не привяжешь, потому что, при наличии небольших знаний MAC элементарно меняется. Поэтому, ИМХО, наиболеее эффективным для тебя будет настройка DHCP совершенно обычным способом (ну если очень хочется, то можно раздавать адреса вместе с сетевым именем компа и привязать это к MAC (хотя прямой целесообразности я не вижу)), а безопасностью рулить при помощи политик.

а чем под виндой можно сделать так: Мне наоборот нужно запрещать раздачу ip тем кто не зарегистрирован на сервере.
Ато у нас в офисе носят все каму не лень технику.

KakA
Никак. DHCP такого не умеет напрямую, кажется. Единственный вариант: выделить адресов ровно по количеству юзеров и сделать для них всех резервирование. Но обходится легко такая схема, как сказано by FantomIL.
Вы объясните зачем Вам это - тогда может найдем какое-нибудь решение. Например, для разграничения доступа по IP адресам можно поднять какой-нибудь RAS-VPN. Хоть на Windows хоть на *nix. Для другой задачи найдутся другие решения. 99% всего уже придумано и до Вас и до Нас =)

Ну не у все у нас в сети умные..
Для меня прямейшая целесобразность..
Так вот все же..повторяю вопрос.. возможно ли завязать это дело с базой ?

Хватит одного, который расскажет другим "по-секрету"
По-нормальному - вряд ли. Можно поискать какой-нибудь сторонний софт, но встроенных таких возможностей я ни в одном DHCP сервере не видел.

У меня на роуте Dl-808hv (обычная бытовая железка), есть возможность фильтровать по IP, MAC и пр.. Вбивать туда только придётся чуть не в ручную...
Какова твоя задача?
Тебе нужно не позволять пользователям шарить по внутренней сети? (это практически невозможно)
или не позволять пользователям выходить в сеть или получать доступ к ресрсам сервера? (это просто и многообсуждено)

Предположу (смело?), что топикстартер не хочет пускать в инет тех, кто не уплатил бабки.

думаю ему нужно чтобы юзер непопадал в сеть даже если он изменит МАС адрес, тоесть запретить не-ДХЦП соединения и определённому МАС адресу присваивать свой пул из ДХЦП адресов.

Мне було нужно тожесамое, на рутере в модуле Router INPUT ставиш дефолт экшн = DROP(тоесть если политика доступа не введена то соединение запрещаетса ещё до ДХЦП) и дальше уже настраиваеш политики доступа по МАС адресам.Делаеш 2 группы А и Б. А - разрешено, Б - запрещено. Делаеш список МАС адресов , присваиваеш им группу А и группе разрешаеш доступ на рутер(INPUT) Дальше просто нужный МАС переносиш из группы в группу по мере надобности. Если я всё правильно просёк конечно =)))

Сори, но рассусоливать не вижу смысла, по этому - по существу:
Поработать придется по любому, можно посмотреть в сторону командной строки, очень много можно автоматизировать даже обычными bat-никами.

Нафига, что значит запрещать - ну и пусть получают какую-нить "левую" подсеть %) А тем кому надо - резервированием назначать "нормальные" IP и в фаерволе разрешить что либо - что надо.

По существу это не так. По существу, это заставить, наконец-таки автора рассказать нам что и зачем он хочет сделать. А то гадаем тут на кофейной гуще. А то мнится мне, что автор в очередной раз изобрел велосипед. Причем такой, который едет задом наперед и при этом строго влево =)
Что касается всяких там батников - все правильно, но смотри пункт первый - чего советовать писать батник или скрипт, если не известно чего вообще человек хочет.
Что касается распределения адресов "строго по МАКам": уже сказано, что это защита до первого читателя "супер-пупер-сверх-над-журнала" ксакеп.
Больше ничего не скажу, пока не объявится автор =)

А че заставлять то.. шас раскажу..
Да уж.. велосипед.. скорее самокат..
Кароче есть сеть около 500 компов.. несколько сегментов.. в каждом свой админ..В этой свзяи есть база на mySQL с веб интерфейсом. в которой ведется учет абонетской платы и всякой служебной информации
На эту базу завязан mail и FTP сервер плюс к этому есть такая штука как ipsentinel которая не пускает в сеть людей не здавших абонентку..(проверяет MAC и IP) файлик для ее конфигурации генерится из той же базы. Попасть в сеть становится практически не реально.. если только поменять mac и Ip на существующие в базе и хозяин этой учетной записи будет оф лайн.
Так вот к этому всему хотелось бы прикрутить DHCP что бы. забыть о индивидуальной настройки каждого пользователя.. т.е. раздача этих самых ip будет так же согласно записям в базе.. плюс шлюзы..на интернет да и всякая хрень..
Уф. ну вроде все...

Ну так в чем проблема то?
Если у тебя уже есть и софт, который , то открываешь оснастку управления DHCP сервером идешь в "Резервирование" и резервируешь там IP-адреса для определенных МАС-ов.
И все это работает очень хорошо до тех пор, пока какой-нибудь малолетка не начнет менять каждый день МАС-на своем адаптере... :rolleyes:

Ммм.... Как я и подозревал просто оказалась изначально убогая схема. Повторюсь - схема, а не автор (я сам таким был, да и сейчас порой выдумываю что-нибудь эдакое) =)
Такая схема обречена на fraud. Сделайте как-нибудь по-другому. Например у меня в свое время был поднят VPN сервер, раздающий адреса по учеткам. А потом я уже обсчитывал именно эти адреса. Есть и другие варианты. А вариант с маками и IP... Дохлый номер, даже если к нему добавлять arpwatch или как он там называется.

2Hasper. Если у тебя не стоит профессиональное сетевое оборудование, то игры с отслеживанием МАС, для тебя дохлое дело.
Ты не сможешь отследить злоумышленника, который постоянно меняет свой МАС адрес на валидный (принадлежащий юзверю находящемуся в офлайн). Как результат "хацкер" будет периодически менять МАСи, а тебе будут стучаться клиенты, которые не могут зайти в сеть... И ничего ты не сможешь поделать. Тебе оно надо???
Делай как предлогает KomatoZo, используй VPN для выхода в инет и для доступа к ресурсам сервера.
Сделай локальный сайт с поисковиком по ФТП, транстяцией ТВ, в общем сделай так, что бы народу было за что платить денежку в зоне которую ты контролиш.
Важно помнить, что изначально сеть и её протоколы проектировались для обеспечения функцианирования при выходе из строя максимального кол-ва узлов. Соответственно основная её функция обеспечивать связь, а все блокировки на уровне MAC и IP это от нечистого. Используй другие меры воздействия.
Пустя юзвери колбасятся в сети. Тебе что жалко? Елистричество ведь они сами оплачивают. Деньги надо брать только за предоставление инета и дополнительных услуг ИМХО

Всем спасибо за мнения..
Бум уточнят ..

1)Как заставить DHCP раздовать разные парметры разным группам.. например шлюз.. на интернет в каждом сегменте сети свой ?

2)Вопрос по VPN т.е. получается для входа в сеть нужно будет конектится к серверу и весь трафик от юзверя к юзверю буит шпарить через сервер?

3)А что даст поднимание домена в такой сети?

1) подумай, действительно ли тебе нужно несколько шлюзов? Если будет несколько шлюзов, то имеет смысл сделать несколько DHCP серверов...
2) Нет сетевой траф (локальные IP) будет будет гонятся по сетевому подключению, а всё остальное - через ВПН. (Так всё организовано например в Корбине, да и у других провов)
3) Ничего. Или кучу проблем. Смотря как организуешь ... :p

Енто лишь моё частное мнение....

Имхо, надо покопать в сторону netsh и батникова/скриптов.

Между прочим привязкой к MAC адресу пытаются защититься многие крупные операторы. Помогает это дело от основной массы непродвинутых юзеров (коих имхо более 99%). А продвинутые покупают роутер и раздают доступ по нескольким компам в своей и соседних квартирах. Маргиналы же (знаю одного такого деятеля) покупают жирный тарифный план, поднимают сервер и продают доступ чуть не всему дому :)

Я еще раз повторюсь, что авторизация при помощи привязки IP к MAC-у является самым старым и одним из самых ненадежных способов авторизации.
Все это будет работать до тех пор, пока пользователь не прочтет хелп к командной строке и не научится печатать
ping IP-address
arp -a
или сразу
arping (если юзеры попродвинутее)

уж не знаю как это в мастдае (не офтопить!), но на ISC DHCP все решается или через sahred network или class-ы... у меня реализовано так:
- юзеру чей МАС я не знаю выдается совершенно левый адрес который никуда попасть не может... это никак не привязано к доступу в инет, а сделано для того чтобы можно было в любой момент времени знать конкретный IP конкретного же юзера в основном из за соображений tech support (расскажите пару-тройку раз юзеру где адрес можно найти и увидеть - поймете зачем я так сделал ;) )... МАС-и хранятся в мускуле, выдирает их оттуда, рисует маски и адреса на указаные диапазоны обычный php скрипт, который создает конфиг и ребутит демона...
- в инет юзеры попадют через РРТР соединение (почему не РРРоЕ - отдельная грустная тема...) так что учет именно инета ведется поюзерно в обычном (почти) радиус сервере...ткните меня носом в RADIUS (Вы же там будете VPN пользователей авторизовывать или где? хотя щас всех LDAP прет, но это отдельная тема) который может разделять траффик по зонам (угу... обычно для этого netflow юзают, софтварные решения a-la MPD, exppp не предлагать!) и при этом считать оный траффик по адресам из пула - я сниму перед вами шляпу :молись: зачем? чтоб усложнить себе работу по администрированию?

Вообще, если уж действительно от M$ никуда не уйти - купите себе Traffic Inspector там кажись было разграничение на локальные и не локальные ресурсы...

snark
я так понимаю, что в данной схеме главная цель учета МАС-ов это поддержка, а вовсе не авторизация?
Собственно, в этом мы и пытаемся убедить топик-стартера.

Ух.. куда Вас понесло..
Все это делается не для того что бы.. считать интернет траф.. (благо провайдер считает). У нас у каждого сегмента свои ADSL модемы.. а делается это для того что бы попроще жилось суппорту..

Что ты имеешь в виду под этими словами?
Раньше ты писал Исходя из этой цитаты - ты хочешь построить систему авторизации, основанную на привязке IP к МАС. Мы лишь объясняем тебе, что это ненадежно и неправильно.

А если тебя это просто интересует из каких-то своих тех.целей, то я тебе ответил в посте №6.
Если нужно что-либо более продвинутое чем стагдартный майкрософтовский сервер, то в посте №31 упоминается ISC DHCP сервер.

Блин, а вот с самого начала было сказать это не судьба?
Получвется, что не можешь контролировать инетовский трафик. Соответственно присеч несанкционированное пользование неплатильщиками инета, ты можешь только не дав им IP.
Чем осуществляется роутинг от ADSL модемов?
Ежели это железки типа Д-линковских, то тебя ни что не спасёт от того, что пользователь просто пропишет у себя всё статикой (DHCP с проверкой МАК отдыхает) и будет иметь себе преспокойненько инет. Как ты планируешь "объяснять" своим шлюзом, что этого пущай, а этого - нини.
Соответственно ничего ОГРАНИЧИТЬ при такой схеме - ты не можешь. И все коллективно оплачивают траф неплательщика. (иначе - VPN по договорённости с провом соответственно.)

Остаётся не злить народ и не правацировать его хацкерские наклонности и тогда МОЖЕТ БЫТЬ, все будут пользоваться DHCP, а у тебя будет устойчивая связка пользователь-IP для твоих сапортерских целей.

Вот телепатская мысля мелькнцла спросить:
А ФИЗИЧЕСКИ ваша сеть объединена? Т.е. связаны ли все пользователи Ethernet'ом? Ведь сейчас окажется, что обмен трафом между отдельными районами идёт через ADSL модемы....

1) Для того чтобы в каждом сегменте был свой шлюз достаточно просто для каждого scope прописать свою опцию default router или как-то так
2) Для выхода туда, куда ты хочешь запрещать доступ неизбранным нужно будет коннектиться к серверу. Траффик к этим сетям будет шпарить через сервер, остальной - как настроишь.
3) Мммм... Честно говоря, учитывая что у Вас куча админов мелких сеток и все это, как я понимаю, не предприятие - почти ничего не даст. Если я неправильно понял ситуацию, то поправьте. Если желаете, чтобы я более подробно изучил этот вопрос - в ПМ.
Неверно. Один DHCP может обслуживать до чертиков сетей, в том числе даже те, которые не присоединены к нему непосредственно.
Возможно. Я ISC не трогал уже несколько лет. Может добавили что-то.
Hasper
Для финиша. Все уже сказано.
1) DHCP выдает адреса бесплатно =)
2) VPN сервер, выдающий адреса по авторизации
3) после него машина, считающая трафик
4) после нее - Ваш ADSL
Кажется, должно работать. Чем именно авторизуется VPN по большому счету все равно, но лучше использовать какой-нибудь радиус. Какой - зависит от того будет домен или нет. Если домен будет, то это MS IAS. Если нет, то проще поднять на *nix.
По поводу домена: если сможете заставить всех юзверей в него войти и терпеть неудобства, связанные с этим, то ставьте, иначе игра не стоит свеч в данном случае, ИМХО.

автору топика читать доку до просветления :contract:

Всем спасибо за терпение и советы выяснил для себя многое..
Буду все же двигатся в нарпавлении DHCP с резервированием по MAC с раздачей шлюзов и плюс контролем связки IP-MAC. Задачу по автоматизации частично решил. По поводу VPN он мне видать не нужен.. т.к. провайдер сам организовывает да и фильтра стоят на модемах..