Ngăn người dùng quản trị gán IP tĩnh trùng lặp cho máy trạm của họ


13

Làm cách nào tôi có thể ngăn người dùng là quản trị viên trên máy cục bộ của họ gán IP thủ công cho bộ điều hợp mạng đang sử dụng trên máy chủ? Một số người dùng đã thực hiện điều này và nó đã gây ra các sự cố IP trùng lặp khiến các nút trong cụm bị mất trong tổ chức của tôi.


1
Bạn đang sử dụng gì cho DHCP? Các cửa sổ? Linux? Thứ gì khác? Bạn sẽ muốn tạo một nhóm cho DHCP và loại trừ các IP bạn đang sử dụng cho các máy chủ của mình.
colealtdelete

Câu hỏi của bạn hơi không rõ ràng, có lẽ vì tiếng Anh không phải là ngôn ngữ đầu tiên của bạn? Tôi đã chỉnh sửa nó để dễ hiểu hơn một chút.
MDMarra

4
@mdcp Không có cách nào. Không nếu người dùng là quản trị viên địa phương. Và không phải nếu các máy thậm chí không ở trong miền - nếu tôi đến văn phòng của bạn bằng máy tính xách tay của riêng tôi và cắm IP đã sử dụng và bạn không làm gì ở Lớp 2 để tránh thiệt hại (như 802.1x, NAC, v.v.), sau đó tôi vừa loại bỏ một thứ khác ra khỏi mạng.
mfinni

2
Tôi thực sự muốn biết - tại sao mọi người thậm chí làm điều này?
Richard Terrett

1
Nếu người dùng của bạn đang đặt địa chỉ IP cố định trên máy của họ, bạn cần suy nghĩ rất kỹ về lý do tại sao họ làm việc đó. Trong gần như tất cả các trường hợp sẽ có một số vấn đề tiềm ẩn mà bạn nên khắc phục. Khi mạng của bạn (bao gồm cả những thứ như DNS) hoạt động chính xác, họ sẽ không có lý do gì để làm điều đó. Nói cách khác, những gì bạn cần sửa chữa để loại bỏ lý do của họ và do đó làm cho điều này không thành vấn đề?
John Gardeniers

Câu trả lời:


25
  1. Có một mạng con riêng (và tốt nhất là Vlan riêng) cho các máy chủ của bạn. Điều này khá nhiều loại bỏ vấn đề chồng chéo "tình cờ".

  2. Sử dụng một số loại xác thực NAC hoặc cấp độ cổng và có địa chỉ được gán DHCP là điều kiện tiên quyết của kiểm tra sức khỏe.

  3. Đừng để người dùng của bạn là quản trị viên trên các máy cục bộ của họ :)


1
+1 Tất cả những điều trên =]
Chris S

9
Không có cách nào để ngăn người nào đó có quản trị viên cục bộ trên máy gán địa chỉ IP đã sử dụng, thời gian. Bởi vì họ sở hữu máy, họ có thể khiến nó nói bất cứ điều gì họ muốn. Tất cả những gì bạn có thể làm là hạn chế thiệt hại - mà, nếu bạn đang sử dụng NAC hoặc tương tự, nó có khả năng giới hạn thiệt hại xuống còn 0.
mfinni


2

Hãy thử bật DHCP snooping. Mọi thiết bị được kết nối với switch sẽ phải đưa ra yêu cầu DHCP và nhận được phản hồi hợp lệ từ máy chủ DHCP đáng tin cậy của bạn trước khi có thể sử dụng mạng.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.