Я поддерживаю небольшую локальную сеть ( 192.168.1.0/24), в которой есть несколько ненадежных машин, причем пользователи этих машин имеют права администратора или могут подключать свои собственные машины к сети.
Сервер также находится в этой сети ( 192.168.1.200), и мне нужно предотвратить сбой сетевых служб из-за конфликта IP-адресов, когда пользователь устанавливает IP-адрес своего компьютера таким же, как у сервера (возможно, злонамеренно).
Я думал о том, чтобы разбить сеть на две части (что-то вроде 192.168.1.0/25и 192.168.1.128/25).
Каков наилучший способ поддержания бесперебойности работы служб?
решение1
Переместите свои серверы в отдельную VLAN - это смягчит ситуацию, хотя ничто не мешает пользователю установить свой IP на IP шлюза. Или лучше переместите проблемного пользователя в его собственную VLAN.
Эту проблему также можно решить с помощьюдинамическая проверка ARPна достаточно хорошем управляемом коммутаторе.
Эту проблему также можно решить, рассматривая ее как дисциплинарную проблему, которую необходимо решать на данном уровне.
В противном случае,Гвоздеметможет быть последним средством.
решение2
Техническое решение этой проблемы заключается в следующем.802.1x, но в данной ситуации это, пожалуй, излишне.
Заставьте своих пользователей доверять DHCP и/или не позволяйте им изменять свои настройки IP.
решение3
Если он знает IP и имеет права на изменение IP-адреса машины, вы не так уж много можете сделать. Вы можете попробовать поиграться с IP Source guard с DHCP Snooping, чтобы заставить пользователя использовать DHCP.