0 / 0 / 0
Регистрация: 31.07.2014
Сообщений: 22
|
|
1 | |
Внедрение DHCP option 8231.07.2014, 09:16. Показов 4890. Ответов 3
Метки нет (Все метки)
Доброго времени суток.
Сложилось так, что сеть разрослась до огромных размеров. И построена она на всяком разношерстном барахле. После того, как в сеть вошли узлы, которые по-сути не контролируются администраторами основного сегмента (ну это уже временные организационные издержки), а) участились случаи конфликтов IP из-за пользователей, у которых есть права конфигурации IP (которые по какой-то причине забивают адреса вручную), б) были зафиксированы случаи появления Rogue DHCP (опять же рукоблудие пользователей и несанкционированные устройства), в) случалось, что ПЭВМ перемещались по помещениям бесконтрольно, несанкционировано подключаясь к сети (что тоже приводит к полной энтропии), г) в сети обнаруживались совершенно недопустимые устройства. Разумеется на дисциплинарные меры полагаться нельзя (да и не всегда работает), сеть должны быть устойчивой к подобным явлениям. Вижу решение в следующем: Приобрести одинаковые управляемые коммутаторы, которые поддерживают DHCP option 82 (в релее) и DHCP snooping (в идеале вообще нечто всецело запрещающее передачу с IP, не полученных с доверенного DHCP) + поднять таки приличный DHCP сервер в сети (и лучше даже не один, т.к. сеть физически очень большая, сбой канала не должен приводить к неработоспособности большого количества узлов (а используется в т.ч. и VPN, что не добавляет надежности); иными словами по серверу в каждый филиал и по отдельному диапазону в едином адресном пространстве с ограничением иных серверов). DHCP сервер в WS 2008R2 малопригоден для подобных задач, насколько я понимаю (сильно повышается трудоемкость обслуживания: если поднимать ту же opt82, то придется все документировать), посему DHCP желательно поднять на чем-то поприличней, чем на WS (мб на некоторых коммутаторах и поднять). Теперь встал вопрос о том, на чем же построить такую инфраструктуру? На Cisco и Junniper явно средства не выделят (да и с последним имею негативный опыт общения). Mikrotik как-то не серьезно (хотя с Mikrotik RB проще и удобнее всего было бы разворачивать, много замысловатых конфигураций доводилось строить на всяческих RB — гибкая, интуитивная и продуманная штука, эта RouterOS), хотя я и уверен, что оно вышло бы и дешевле и по производительности было бы достаточно. Mikrotik здесь никто серьезно не воспринимает (кроме меня, впрочем). В данный момент сеть состоит из кучи разнородных гигабитных коммутаторов (более-менее живых и умирающих, неуправляемых и управляемых, которые никем и ничем в данный момент не управляются), преимущественно D-Link. В какую сторону ещё стоит подумать?
0
|
31.07.2014, 09:16 | |
Ответы с готовыми решениями:
3
Linux DHCP + DHCP Relay Win2003(vpn) Windows Deployment Service (WDS) и DHCP option 60 Выполнение определенного действия по 'клику' на элемент '<option></option>' При выборе option'a в select, option не отображается |
860 / 433 / 128
Регистрация: 20.04.2014
Сообщений: 1,117
|
|
31.07.2014, 09:34 | 2 |
Так как в железо и инфраструктуру у вас там крупно вкладываться не будут, советовать все переделать "как надо" смысла нет
1. от статических IP внедрение DHCP сервера не спасет. Отбирайте админские права у пользователей. Заодно и побезопаснее будет. 2. Если клиентские машины с виндой и есть домен, то мелкософтовский DHCP может быть выходом (его можно в AD регистрировать) Документоривать инфраструктуру придется в любом случае. 3. имхо, port security поможет (т.е., свичи, которые это умеют) 4. то же, что и в п.3. По рекомендация конкретных железок... Тут у меня статистики маловато. Еще кто-нибудь сейчас насоветует...
0
|
0 / 0 / 0
Регистрация: 31.07.2014
Сообщений: 22
|
|
31.07.2014, 12:02 [ТС] | 3 |
Вопросы безопасности обеспечивает опять таки другое подразделение, здесь имеется нечто вроде нескольких контуров безопасности, в этой же сетке никакой критической инфы нет (во всяком случае в теории быть не должно, как оно на самом деле известно только им), она вся хранится и обрабатывается другими ПЭВМ и сети там другие (поменьше и территориально ограниченные периметром). Основное предназначение этой сетки — доступ к WAN (браузеры, обновление ПО, шары с публичной инфой и т.п). Основная нагрузка — RDP тонких клиентов (коих много, но они как раз таки совсем никогда проблем не продуцируют и в домене не состоят). port-security — однозначно нужная вещь, но есть вопрос как управлять парком таких коммутаторов. Полагаю, что есть смысл брать коммутаторы одного производителя, дабы менеджмент проще построить было. Сейчас же я не представляю возможным на таком разношерстном железе что-либо настраивать на коммутаторах (а их ещё и половина неуправляемых в самых неподходящих местах, т.к. сеть росла стихийно и очень быстро). Наверняка и на них port-security есть, однако какой-либо системы кооперации этого дела с DHCP нет (банально нет данных, на каком порту какое устройство, нужно за длительное время логи с коммутаторов собирать даже чтобы тупо вручную забить mac-и, а уж в актуальном состоянии поддерживать и вовсе невозможно). А вот сталкиваться с уже готовой конфигурацией, подобной той, которую я описываю, мне не доводилось пока. Недостаточно опыта. Такие задачи ни на одном месте работы пока не ставились (и зря, кстати, везде анархия в сетях). Добавлено через 14 минут Можно подумать над port-security static для динамического запоминания адресов, но это дело все равно нужно мониторить, чтобы в неподходящий момент не искать причину, почему данные по сети не идут.
0
|
58 / 49 / 3
Регистрация: 19.12.2013
Сообщений: 203
|
|
01.08.2014, 15:42 | 4 |
ip source guard /dhcp snooping(dhcp filter у длинка) - поможет от статитческих IP, и левых серверов DHCP большинство управляемых свитчей это умеют.
optino82 по сути нужна, чтоб создать соответствие: №порта,коммутатор+мак хоста. И соотвественно DHCP сервак должен принимать решение, на основании совпадения прежде, чем выдать IP адрес.
0
|
01.08.2014, 15:42 | |
01.08.2014, 15:42 | |
Помогаю со студенческими работами здесь
4
разворачивания option не через option Выбрать option в select при выборе другого option в другом select DIR-615 (2.5.5) по DHCP пускает в интернет. Без DHCP - не пускает. Как так? Пропала очередность загрузки (boot option #1, boot option #2) Искать еще темы с ответами Или воспользуйтесь поиском по форуму: |