ibash.org.ru - Новый цитатник Рунета

Форум: Одмин хелп реквест 1 > [RSS]

Форум: Вход Регистрация Участники Поиск RSS

Temcha
14.10.2008 - 00:27

Вопрос в стиле "чобляделать".
Вопчем, в той локалке, к которой я подключен (частная сеть на полторы сотни компов), шняга какая-то.
Пинги к шлюзу идут с 30-60% потерь. Сеть у меня периодически совсем пропадает.
Сначала все было нормально. Проблемы начались дня три назад.
В снифере подсмотрел, что некоторые ипшники рассылают пачки АРП-пакетов. Похоже на АРП-флуд вроде.
ИПшники разные. Каждый день новые, МАКи разные, и соответствие вроде не нарушается....
Короче, что делать? На что это похоже? Как прижучить гадов? Я так понимаю, от АРП флуда и статическая АРП таблица не спасет?
Очень прошу отписаться тех, кто шарит в вопросе. Если нужны уточнения - говорите, где глянуть.

Iwan
#9 - 15.10.2008 - 22:00

А может кстати сетевуха на самом шлюзе глючит. Или где то в сети в любом из свичей кольцо есть...

Temcha
#10 - 15.10.2008 - 22:38

Спасибо.
Оказалось, дело действительно в замкнувшем свиче. Но есть еще один чувак.... Любит менять мак адреса.
Иван, есть прога, которая автоматически собирает статистику он/оф компов, чтобы отследить, какой комп выключается перед тем, как появится новый с чужим маком?

Iwan
#11 - 16.10.2008 - 00:26

>>Оказалось, дело действительно в замкнувшем свиче. Но есть еще один чувак.... Любит менять мак адреса.

Короче... Как обычно организовываю сети я. Поднимается DHCP с DDNS. Поднимается PDC. Не знаю как на винде, но на линуксе связать это в единое целое достаточно просто. Т.е. DHCP раздает ip-адрес, заносит его в БД с привязкой по маку. После этого компутер заносится в домен, и ему выделяется имя. После этого начинает работать связка: ip + mac + domain_name... Только после этого DHCP выделяет правильный шлюз и ДНС, а на фаерволе открывается выход по маку+айпи. Для паранойиков есть вариант дать возможность логинится на эту машину только пользователю этой машины.

Тут что главное... тут главное вэб морду написать такую, которую не ломануть. А то писец всей этой красивой схеме. Правда если вы сам одмин этого решения, а не сдаете его под ключ, лучше вообще не выносить средства управления в район протоколов http\https.

При данном раскладе траблы выявляются куда быстрее и эффективней. А кадры, которые пытаются маки менять, сидят без интернета, и без доступа к сети. Короче ходят из угла в угол и ждут когда их выебут. За эксперименты с рабочими компами.

>>Иван, есть прога, которая автоматически собирает статистику он/оф компов, чтобы отследить, какой комп выключается перед тем, как появится новый с чужим маком?

Есть. На контроллер домена вешаешь при логоне пользователя скрипт, который запускает какую нить полезную прогу. У меня очень часто этой прогой является АИДА. Она же выгружает данные в 1С, что позволяет вовремя отследить изенения в составе оборудования... Ибо никто не имеет права пиздить комплектуху с компов! Кроме непосредственно одмина... А так же дает представления о том когда включался комп, когда какой пользователь на него заходил, когда выходил.

Temcha
#12 - 16.10.2008 - 17:36

Спасибо огромное.
Кое-что впринципе нереализуемо, т.к. сеть частная, и компы к ней подлючаются собственные. (Это не организация, а местная локалка)
А в основном... Славненький рецепт.
Один нюанс... С сети без вланов, если кто-то берет себе мак шлюза, траблы с инетом у всех... (Это если нат)
С DHCP по-другому?
Про Аиду погуглю, может еще вопросы появятся...

Iwan
#13 - 16.10.2008 - 20:10

>>если кто-то берет себе мак шлюза, траблы с инетом у всех

Ну... по идее траблы будут реально у всех. Только толку то ему так делать? Он же тоже:

1) Останется без сети и интернета.
2) Ему сломают руки и ноги.

Temcha
#14 - 16.10.2008 - 23:38

У меня два предположения:
1. Малолетка, вообразивший себя кульным хацкером.
2. Личная неприязнь к владельцу сети.

Iwan
#15 - 17.10.2008 - 17:50

Ну... Все конечно может быть.

Честно говоря такие проблемы решают LinkSys'ы... Умные свичи на базе Cisco. Они такого одаренного товарисча отсекут на раз. Ну или что то типа такого, просто я к Линксисам уже привык... :)))
P\S: *Где мой откат за рекламу?*

А вообще... Я не совсем понимаю смысл давать права пользователям на смену мака. Да и свичи надо прятать от пользователей подальше... Камень не в твой огород Тем на сколько я понял топологию, а в огород тех, кто за частной сетью подключенной к вам организации следит...

Temcha
#16 - 17.10.2008 - 23:14

Иван!! Речь сейчас не об организации!!! В моей конторе все пучком - там циски и вланы. И с чужим маком ты дальше маршрутизатора не пролезешь.
Речь о частной сети. (мой домашний ком к ней подключен) И комп ПРИНАДЛЕЖИТ чуваку, и никто не может указать, что ему можно менять, а что нет. )))) И циски для такой сети - роскошь.

DdVar
#17 - 19.10.2008 - 11:36

> И циски для такой сети - роскошь.
Не, это не роскошь... это просто невыполнимая мечта ^_^

Iwan
#18 - 19.10.2008 - 13:28

LinkSys тем и хорош что вроде как Циска... но стоит без накруток за бренд

Kaa
#19 - 19.10.2008 - 13:31

а мне говорили что это не вроде как а вообще одно и то же внутри.. по крайней мере некоторые
К списку вопросовСтраницы: 1 >

Быстрый ответ
Имя:      Пароль:    
Текст сообщения:

«ibash.org.ru — Новый цитатник Рунета» Почта вебмастера: imail@ibash.org.ru