» привязка к мак адресу

имеем доменную сеть на n-е колличество станций. ип адреса по dhcp раздаются.
можно ли как-то привязать к мак адресам вход в сеть или что-то подобное сделать, а то например человек может спокойно притащить скажем ноут и подкл к сети, на сервер не войдет но к остальным на расшаренные ресурсы влесть может. вобщем как запретить несанкциониованное подключение?

Ну во-первых, если сеть с доменом, то ноут, даже получив по dhcp адрес не сможет авторизоваться в домене без учётной записи. Соответственно он не сможет попасть на контроллер домена, другие сервера и рабочии станции не имея учётных записей (доменных или локальных от этих компов).

А во-вторых, для решения вашей задачи, можно приобрести управляемые коммутаторы (например D-Link 3526) и как вариант, настроить IP-MAC-Port Binding. Что это такое, можете почитать тут http://www.dlink.ru/technical/pdf/hub_switch/FAQ_IP_MAC_Port_Binding.pdf

Цитата:

можно ли как-то привязать к мак адресам вход в сеть или что-то подобное сделать, а то например человек может спокойно притащить скажем ноут и подкл к сети, на сервер не войдет но к остальным на расшаренные ресурсы влесть может. вобщем как запретить несанкциониованное подключение?

Если пользователей немного и ты знаешь конкретное их количество, то можно указать в DHCP диапазоне это кол-во, а остальной диапазон IP адресов просто не выдавать.
Например есть в сети 30 пользователей. Выдал в диапазоне скажем от 1 до 30, а остальные 31 - 254 не выдавать.

Если пользователей много, то, как мне кажется, вариант один, это ковырять свич и ручками явно вбивать список разрешенных МАС адресов.

doc58_81oB0t

Цитата:

а то например человек может спокойно притащить скажем ноут и подкл к сети, на сервер не войдет но к остальным на расшаренные ресурсы влесть может. вобщем как запретить несанкциониованное подключение?

Если сеть на свитчах cisco, то есть команда switchport port-security macaddress sticky
Т.е. берешь свитч, заходишь в конфигурацию нужного (нужных) интерфейсов, затем:
! делаешь интерфейс access интерфейсом
switchport mode access
!включаешь port-security
switchport port-security
!включаешь привязку порта к текущему mac адресу
switchport port-security mac-address sticky

Т.е. свитч запомнит текущее значение макадреса и больше не разрешит никому подключиться к этому порту с другим адресом. Можно также задать mac-address вручную.. или несколько адресов
Таким образом, после этой процедуры никакой злодей не сможет подключить левый ноутбук к сети.. по крайней мере ему придется возиться со сменой макадреса своей сетевой карты или искать незащищенный порт в свитче

Цитата:

Если пользователей немного и ты знаешь конкретное их количество, то можно указать в DHCP диапазоне это кол-во, а остальной диапазон IP адресов просто не выдавать.
Например есть в сети 30 пользователей. Выдал в диапазоне скажем от 1 до 30, а остальные 31 - 254 не выдавать.

Если отсоединить кабель, то данный пример не решение.
Так что скорей единственное решение это свитчю

Если сеть построена на свитчах, поддерживаеющих 802.1x и Connecting multiple supplicants, то на домене поднять RADIUS + сертификацию. Поднять на свитчах аутентификацию 802.1x через RADIUS. Раздать каждому компу именной сертификат и включить проверку подлинности IEEE802.1x, тип EAP Смарт-карта или сертификат. Для принтеров и прочим сетевым устройствам придётся выделять определённые порты без 802.1x, зато с MAC привязкой.

В итоге получим: компы не привязаны к порту (можно использовать бук в любой точке сети )

Если есть свитч 3-го уровня, то можно ещё заморочить схему.
Создать 2 VLAN (101 и 102). VLAN101 сделать гостевым, а VLAN102 для людей, прошедших аутентификацию. Пока пользователь не аутентифицируется, он находится в VLAN101, как только пройдёт аутентификацию, попадает в VLAN102, где его ожидают все прелести жизни. В VLAN101 запихиваем все принтера и прочие устройства. Закрываем ACL доступ из VLAN102<->VLAN101, разрешая только доступ по определённым портам. Ставим HoneyPot в VLAN101 для нелегалов и тем самым отлавливаем нарушителей режима.