بسمه تعالی
با سلام خدمت استاید فن
بنده یک سوییچ 2960 سری x داریم . دنبال دستوری می گردم که بشه از طریق اون تو سوییچ جلوی دسترسی کاربرانی که آی پی دستگاه خودشون را از حالت اتوماتیک به استاتیک تغییر می دهند ، بگیرم .
ممنو میشم اگه راهنمایی بفرمایید .
Printable View
بسمه تعالی
با سلام خدمت استاید فن
بنده یک سوییچ 2960 سری x داریم . دنبال دستوری می گردم که بشه از طریق اون تو سوییچ جلوی دسترسی کاربرانی که آی پی دستگاه خودشون را از حالت اتوماتیک به استاتیک تغییر می دهند ، بگیرم .
ممنو میشم اگه راهنمایی بفرمایید .
سوئیچ تشخیص نمیده که آیا کلاینت از DHCP آدرس گرفته یا به صورت دستی تنظیم شده. کاری که سمت سوئیچ میشه انجام بدید اینه که در DHCP رنج IP که میخواین اختصاص داده بشه رو تعریف کنید و روی سوییچ با ACL دسترسی بقیه آدرس ها رو ببندید، وگرنه باید مشکل رو ریشه ای جای دیگه حل کرد.
اصل مشکل چیه؟ جلوگیری از تغییر تنظیمات NIC ؟
ممنونم عزیز
ولی مشکل اینه که یه کاربر فضول دارم که همون آی پی دستگاه خودش رو که سرور به اون اختصاص داده ، بصورت دستی اومده را کارت شبکه خودش ست کرده و متاسفانه امکان گرفتن دسترسی ادمین از کلاینت رو هم ندارم (فقط واسه همین یک کاربر تو کل شبکه)...
البته طرف به خیال خودش اومده این کار رو کرده که مثلا مارو بپیچونه...واسه همین دنبال دستوری میگیردم که بشه جلوی ست کردن دستی آی پی رو گرفت .
شما سمت سوییچ نمی تونید کاری کنید که کاربر روی سیستمش نتونه دستی IP بده ...
این کار باید از روی سیستم انجام بشه با محدود کردن دسترسی کاربر که میگید نمیشه.
رو کارت شبکه خودش یعنی چی؟ یعنی یه سیستم دیگه داره غیر از کلاینتی ک شما بش دادی؟
اگه طرف دسترسی فیزیکی نداره به سوییچ و یه نود هم بیشتر نداره برا استفاده، و داره از همون یه کابل استفاده میکنه، میتونی با پورت سکیوریتی رو اون اینترفیسی که کابل این کاربر خورده بهش جلوی مک ناشناس رو بگیری ..!
البته اگرم این حالت نیست و به 24 تا نود متعلق به اون سوییچ دسترسی فیزیکی داره، بازم مشکلی نی. شما که مک های مجاز رو میشناسی، اد کن تو سوییچ و مک های غ مجاز رو با پورت سکیوریتی دراپ کن.
فقط کارت یه کم سخت میشه. ولی برا اینکه قدرت آی تی رو نشون بدی به نظرم میرزه ...!
[QUOTE=greatcyrus;454360]رو کارت شبکه خودش یعنی چی؟ یعنی یه سیستم دیگه داره غیر از کلاینتی ک شما بش دادی؟
اگه طرف دسترسی فیزیکی نداره به سوییچ و یه نود هم بیشتر نداره برا استفاده، و داره از همون یه کابل استفاده میکنه، میتونی با پورت سکیوریتی رو اون اینترفیسی که کابل این کاربر خورده بهش جلوی مک ناشناس رو بگیری ..!
البته اگرم این حالت نیست و به 24 تا نود متعلق به اون سوییچ دسترسی فیزیکی داره، بازم مشکلی نی. شما که مک های مجاز رو میشناسی، اد کن تو سوییچ و مک های غ مجاز رو با پورت سکیوریتی دراپ کن.
فقط کارت یه کم سخت میشه. ولی برا اینکه قدرت آی تی رو نشون بدی به نظرم میرزه ...![/QUOTE]
دوستمون سوالشون چیز دیگری است .
ایشون مشکلشون با تغییر IP است نه MAC .
[QUOTE=hamghafas;454352]ممنونم عزیز
ولی مشکل اینه که یه کاربر فضول دارم که همون آی پی دستگاه خودش رو که سرور به اون اختصاص داده ، بصورت دستی اومده را کارت شبکه خودش ست کرده و متاسفانه امکان گرفتن دسترسی ادمین از کلاینت رو هم ندارم (فقط واسه همین یک کاربر تو کل شبکه)...
البته طرف به خیال خودش اومده این کار رو کرده که مثلا مارو بپیچونه...واسه همین دنبال دستوری میگیردم که بشه جلوی ست کردن دستی آی پی رو گرفت .[/QUOTE]
شما میدونید کدوم کاربر و از کدوم دستگاه هست؟ اگه میدونید که باید بدونید! یه کپی از GP اصلی تو DC بگیرید و تو قسمت network در GP دسترسی کاربر به تغییر تنظیمات شبکه رو ازش بگیرید و بعد اون رو تو قسمت deligation تو advance اختصاص بدید به اون کاربر و آپدیت کنید GP رو تا اعمال بشه.
سلام....
port security تعریف کنید که دیگه با آی پی کار نداره و MAC میباشد که مک هم تغییر نمیکنه:Dالبته ناگفته نموند ایرانی بخاهد همه کار میشود...:happy:تغییرش با بک ترک یا کالی کار 1-2 خط کامنده منتها عددی تغییر میکنه
و 2 اینکه یه استاندارد ACL هم ج میده
بعدم عزیز کسی که سویچ سیسکو در جایی داره منظورم اینکه بالاخره لایه 2 و هزینش بالاست یه دی لینک معمولی 100.000 تومنی نیست !!!! حتما دیگه یه Domain هم داره دیگه...شما همرو member کن خیالت راحت بشه دیگه
[QUOTE=hamghafas;454352]ممنونم عزیز
ولی مشکل اینه که یه کاربر فضول دارم که همون آی پی دستگاه خودش رو که سرور به اون اختصاص داده ، بصورت دستی اومده را کارت شبکه خودش ست کرده و متاسفانه امکان گرفتن دسترسی ادمین از کلاینت رو هم ندارم (فقط واسه همین یک کاربر تو کل شبکه)...
البته طرف به خیال خودش اومده این کار رو کرده که مثلا مارو بپیچونه...واسه همین دنبال دستوری میگیردم که بشه جلوی ست کردن دستی آی پی رو گرفت .[/QUOTE]
مشکل چیه که برای شما فرق میکنه کاربر آدرسش رو اتوماتیک دریافت کنه یا اتوماتیک !؟
[QUOTE=hamghafas;454298]بسمه تعالی
با سلام خدمت استاید فن
بنده یک سوییچ 2960 سری x داریم . دنبال دستوری می گردم که بشه از طریق اون تو سوییچ جلوی دسترسی کاربرانی که آی پی دستگاه خودشون را از حالت اتوماتیک به استاتیک تغییر می دهند ، بگیرم .
ممنو میشم اگه راهنمایی بفرمایید .[/QUOTE]
به صورت کلی شما باید مشکل رو به صورت ریشه ای حل کنید و دسترسی های اضافی کاربران رو ازشون بگیرید .
اما از نظر تکنیکی شما میتونید با استفاده از قابلیت DHCP Snooping و IP Source Guard روی سوئیچ های سیسکو به مقصود فعلی خودتون برسید .
بنظرم با پالسی تغییر دادن تنظیمات کارت شبکتون رو ببندید روی طرف .