web-dev-qa-db-ja.com

静的IP割り当てを拒否する

現在、DHCPが有効になっているSonicWall Pro 2040を使用していますが、静的IPが特定のMACアドレスにマップされている場合のみです。使用されている動的IPスコープはありません。現在、DHCP要求は必要に応じてIPを解決しません。

ただし、サーバーまたはワークステーションのネットワークインターフェイスがユーザー定義の静的IPアドレスで構成されている場合は、正常に機能します。静的IPを使用してマシンを割り当てている潜在的なユーザーが機能しないようにしたいと思います。

MACアドレスが承認されていないこれらのタイプの接続を拒否する方法はありますか?

3
Blake Atkinson

静的IPアドレスを拒否するようにDHCPサーバーを構成する方法はありません。考えてみると、ネットワーク上のホスト間には、SonicWallを経由しない直接パスがあります。

            SonicWall
            LAN Port
                ^
                |
                v
HostA <----> Switch <----> HostB

したがって、MACアドレスでフィルタリングしてHostAがネットワーク上でIPアドレスをアドバタイズしないようにする場合は、スイッチで行う必要があります。たとえば、スイッチがCiscoの場合、使用するコマンドはswitchport port-securityです。

4
Tom Shaw

短い答え(スイッチ上):

  1. 予約済みIPを受信するデバイスに接続されていないすべてのポートを無効にします
  2. スティッキーマックを使用してポートセキュリティを設定する

次のコマンドは、現在接続されているデバイスのみがそのスイッチポートを使用できるようにインターフェイスを設定します。

switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky

ソース: Ciscoポートセキュリティ設定ドキュメント

長い答え:

これは2つの部分からなる問題です。パート1はアドレスを割り当て、パートはDHCPでソニックウォールから「予約済みアドレス」が割り当てられていないコンピューターへのアクセスを禁止することです。パート1はソニックウォールで解決されたと思います。 2番目の部分は、スイッチで解決する必要があります。

@Tom Shawが言ったように、Ciscoスイッチギアでport-securityコマンドを使用することは良い考えです。ただし、そのポートswitchport port-security maximum 1から取得できるデバイスのMACアドレスの最大数を指定する必要があるのは不完全です(そのポートにぶら下がっている別のスイッチまたはハブがない場合)。

MACアドレスを入力する手間を省くために、ポートセキュリティをオンにした後でswitchport port-security mac-address stickyを使用できます。手で入力しなくても、現在接続されているデバイスのMACアドレスを承認済みリストに追加します。

2
JamesBarnett