HI
Size: a a a
2020 June 26
Г
Здравствуйте. Прошу подсказать статьи которые можно почитать для реализации следующего механизма. Создать разрешенный список мак адресов для подключения к портам коммутатора, или как прописать конкретный мак к конкретному порту.
HI
HI
Здравствуйте. Прошу подсказать статьи которые можно почитать для реализации следующего механизма. Создать разрешенный список мак адресов для подключения к портам коммутатора, или как прописать конкретный мак к конкретному порту.
Ну как на мой взгляд, то по простому адрес листы делаешь в них маки пишешь и присваиваешь интерфейс
HI
но опять же какова кончная цель)
Г
Цель, попробовать создать сеть к которой нельзя будет подключить стороннее устройство.
HI
Цель, попробовать создать сеть к которой нельзя будет подключить стороннее устройство.
ви фи тоже есть? или только локалка?
Г
Тоесть если стороний ноут подключется по кабелю в сетевую розетку коммутатор его не пускал
Г
Вайфай тоже есть но это следущий этам. я так понимаю что там через листы можно разрешать подлюкчение
Г
Ну и окончательная цель как то централизовано этим управлять, но для этого для начала надо исключить остальные коммутароы кром емикротика
HI
Тоесть если стороний ноут подключется по кабелю в сетевую розетку коммутатор его не пускал
не пускал куда? в интернет?
Г
В сеть, в интернет и так не пройдут
HI
локалка то между 1 устройством в любом случае
Г
Тоесть если нет в списке значит совсем не куда
HI
В сеть, в интернет и так не пройдут
а тут уже сложнее
HI
Разрешать только тех, чьи mac/ip вручную указаны в lease
/ip dhcp-server set default add-arp=yes address-pool=static-only
Также запретить инет тем, кто вручную прописал айпишники на сетевухе
/interface bridge set bridge-local arp=reply-only
Заполняем white-лист
/ip dhcp-server lease
add address=1.2.3.4 mac-address=11:22:33:44:55:66 server=default
Теперь если даже вписать на компе ручками ip, в инет злодей не попадет, но внутренние ресурсы все равно будут доступны, ибо пакеты для той же подсети не ходят через роутер. Тут нужно на уровне свича делать привязку mac-ip через dhcp option 82.
/ip dhcp-server set default add-arp=yes address-pool=static-only
Также запретить инет тем, кто вручную прописал айпишники на сетевухе
/interface bridge set bridge-local arp=reply-only
Заполняем white-лист
/ip dhcp-server lease
add address=1.2.3.4 mac-address=11:22:33:44:55:66 server=default
Теперь если даже вписать на компе ручками ip, в инет злодей не попадет, но внутренние ресурсы все равно будут доступны, ибо пакеты для той же подсети не ходят через роутер. Тут нужно на уровне свича делать привязку mac-ip через dhcp option 82.
Г
DHCP на контролере домена. Я и говорю как в коммуторе микротик скажем в 326 или 328 определять мак подлюкченного в порт устроиства и сравнивать со списком нет в списке блокировать порт
Г
Так как домен и без знания пользователя и пароля доступ к сетевым ресурсам закрыт, доступ к интернету тоже закрыт ПОна сервере контролирует пользователей имеющих право по маку. Но при подлючении устроиство получается по DHCP сетевые настроки и спокойно пингует ресурсы в сети
А
Так как домен и без знания пользователя и пароля доступ к сетевым ресурсам закрыт, доступ к интернету тоже закрыт ПОна сервере контролирует пользователей имеющих право по маку. Но при подлючении устроиство получается по DHCP сетевые настроки и спокойно пингует ресурсы в сети
Погугли dot1x