جلوگیری از Ip دادن DHCP به صورت خودکار؟

[moojy]

سلام
من این روند که dhcp به صورت خودکار ip نده مگر با تایید مدیر شبکه رو انجام دادم و مشکلی توش نیست اما مشکل وقتیه که یه نفر بیاد بدون اجازه IP static بده و بدین شکل وارد شبکه بشه که خب تا جایی که اطلاع دارم باید تو سوییچ های لایه 3 جلوی اینجور وردود غیر مجاز یا Ip دادن رو گرفت ولی من در شبکه سوییچ لایه 3 ندارم و در این قسمت به مشکل برخوردم
ایا راه حلی برای این مورد هست یا خیر؟
مرسی

---

موضوعات مشابه:

• راه اندازی dhcp server با تجهیزات سیسکو و تفاوت آن با dhcp مایکروسافت
• اختصاص IP بصورت دستی در حالی که DHCP درست کار نکند
• چگونگی تنظیم vlan و dhcp بصورت همزمان روی یک سوییچ لایه 2 ؟
• نحوه ارائه IP توسط DHCP در آنتن اینترنت به چه صورت می باشد؟
• DHCP relay on ASA and DHCP snooping on Catalyst problem

---

[YahyaZahedi]

شما توی دامین هستید یا ورک گروپ ؟
اگه در دامین باشید که پالیسی تعریف کنید که نتونه Ip رو تغییره بده یا اینکه اصلا تنظیمات کارت شبکه رو ازش بگیرید و خودتون این کار رو انجام بدید ؟
نمیدونم منظورتون دقیقا چیه ؟ میشه بیشتر توضیح بدید؟

[moojy]

دومین

اقا فرض رو بر این بگیر تو شبکمون یکی از خونه لپتاپ میاره بعد یه Node شبکه پیدا میکنه میزنه تو کارت شبکش و خب به عنوان ادمین لپتاپش میره تو رنج شبکه یه ایپی میده و ما تو شبکمون internal به Internal دسترسی فول دادیم در نتیجه ایشان فقط نیاز به پسورد دارند برای داغون کردن شبکه
میخوام تا وقتی من نخواستم به کسی ایپی از رنج شبکه داده نشه

[YahyaZahedi]

تا زمانی که جوین به دامین نشه که نمیتونه به منابع شما دسترسی داشته باشه
و دوما کاری کنید که فقط خودتون جوین به دامین کنید از طریق گروپ پالیسی
Computer configuration, windows settings, security settings, local policies, User rights assignments,Add workstations to domain

[moojy]

در صورتی که عضو دومین نباشه با آدرس های Uncpath و یه سری روش های دیگر به راحتی به منابع شبکه دسترسی خواهد داشت البته در صورتی که user name اینارو داشته باشه و من نمیخوام یه همچین ریسکی بکنم و به همین دلیل میخوام جلوی اینکار وبگیرم

[YahyaZahedi]

شما چند تا کلاینت دارید ؟

- - - Updated - - -

از روش MAC filtering میتونی انجام بدی .

[moojy]

مک فیلترینگ برا dhcp جواب میده و جلوی ایپی استاتیک رو نمیگیره

[YahyaZahedi]

یه نگاهی به این لینک بنداز اگه سوالی بود بپرس
https://msmvps.com/blogs/erikr/archi...ring-dhcp.aspx

- - - Updated - - -

DHCP روی سرور نصب است یا به صورت مودم یا روتر است

[mahyar49]

دومین

اقا فرض رو بر این بگیر تو شبکمون یکی از خونه لپتاپ میاره بعد یه Node شبکه پیدا میکنه میزنه تو کارت شبکش و خب به عنوان ادمین لپتاپش میره تو رنج شبکه یه ایپی میده و ما تو شبکمون internal به Internal دسترسی فول دادیم در نتیجه ایشان فقط نیاز به پسورد دارند برای داغون کردن شبکه
میخوام تا وقتی من نخواستم به کسی ایپی از رنج شبکه داده نشه

رو سوئیچ Port security یا dot1x

[arsalan681]

سلام
من این روند که dhcp به صورت خودکار ip نده مگر با تایید مدیر شبکه رو انجام دادم و مشکلی توش نیست
مرسی

سلام دوست عزیز این موضوع رو چجوری حل کردید میشه بیشتر توضیح بدین؟

[mohamad-23]

802.1x راهی که نشه دور زد همینه یه level پایین تر PORT SECURITY

[YahyaZahedi]

802.1x راهی که نشه دور زد همینه یه level پایین تر PORT SECURITY

میشه یه ذره بیشتر توضیح بدید تا ما هم یاد بگیریم؟

[mgholami]

port security كه معلومه
ولي براي 802.1X موسسه IEEE به عنوان استاندارد داده بيرون كه در حقيقت اهراز هويت روي درگاهاي اتصال به شبكه است كه يه authenticator داره و يه authentication server كه قبل از اهراز هويت اجازه عبور هيچ پگتي رو از اون درگاه ارتباطي نميده تصديق هويت هم ميتونه بر اساس smart card يا user name/password يا بر اساس certificate باشه بسته به استانداردي كه پياده ميكنيد

[moojy]

سلام دوست عزیز این موضوع رو چجوری حل کردید میشه بیشتر توضیح بدین؟

از قابلیت فیلتر کردن در DHCP استفاده کنید که مایکروسافت تو ونیدوز 2008 R2 این قابلیت به صورت پیش فرض گذاشته فقط باید enable کنید و برای ویندوزهای قدیمی تر با نصب dll مربوطه این قابلیت به dhcp اضافه میشه
روند کار هم به صورت تعریف mac به صورت دستی بر روی dhcp می باشد

- - - Updated - - -

رو سوئیچ Port security یا dot1x

متاسفانه پورت رو نمیتونم چون سوییچهام قابلیتشو ندارن اما در رابطه با option دوم ببینم به جایی میرسم یا خیر؟