ibash.org.ru - Новый цитатник Рунета | Цитаты: По дате По рейтингу Случайно Добавить Поиск RSS |
Форум: Одмин хелп реквест 1 > [RSS] | Форум: Вход Регистрация Участники Поиск RSS |
Temcha 14.10.2008 - 00:27 | Вопрос в стиле "чобляделать". Вопчем, в той локалке, к которой я подключен (частная сеть на полторы сотни компов), шняга какая-то. Пинги к шлюзу идут с 30-60% потерь. Сеть у меня периодически совсем пропадает. Сначала все было нормально. Проблемы начались дня три назад. В снифере подсмотрел, что некоторые ипшники рассылают пачки АРП-пакетов. Похоже на АРП-флуд вроде. ИПшники разные. Каждый день новые, МАКи разные, и соответствие вроде не нарушается.... Короче, что делать? На что это похоже? Как прижучить гадов? Я так понимаю, от АРП флуда и статическая АРП таблица не спасет? Очень прошу отписаться тех, кто шарит в вопросе. Если нужны уточнения - говорите, где глянуть. |
Iwan #9 - 15.10.2008 - 22:00 | А может кстати сетевуха на самом шлюзе глючит. Или где то в сети в любом из свичей кольцо есть... |
Temcha #10 - 15.10.2008 - 22:38 | Спасибо. Оказалось, дело действительно в замкнувшем свиче. Но есть еще один чувак.... Любит менять мак адреса. Иван, есть прога, которая автоматически собирает статистику он/оф компов, чтобы отследить, какой комп выключается перед тем, как появится новый с чужим маком? |
Iwan #11 - 16.10.2008 - 00:26 | >>Оказалось, дело действительно в замкнувшем свиче. Но есть еще один чувак.... Любит менять мак адреса. Короче... Как обычно организовываю сети я. Поднимается DHCP с DDNS. Поднимается PDC. Не знаю как на винде, но на линуксе связать это в единое целое достаточно просто. Т.е. DHCP раздает ip-адрес, заносит его в БД с привязкой по маку. После этого компутер заносится в домен, и ему выделяется имя. После этого начинает работать связка: ip + mac + domain_name... Только после этого DHCP выделяет правильный шлюз и ДНС, а на фаерволе открывается выход по маку+айпи. Для паранойиков есть вариант дать возможность логинится на эту машину только пользователю этой машины. Тут что главное... тут главное вэб морду написать такую, которую не ломануть. А то писец всей этой красивой схеме. Правда если вы сам одмин этого решения, а не сдаете его под ключ, лучше вообще не выносить средства управления в район протоколов http\https. При данном раскладе траблы выявляются куда быстрее и эффективней. А кадры, которые пытаются маки менять, сидят без интернета, и без доступа к сети. Короче ходят из угла в угол и ждут когда их выебут. За эксперименты с рабочими компами. >>Иван, есть прога, которая автоматически собирает статистику он/оф компов, чтобы отследить, какой комп выключается перед тем, как появится новый с чужим маком? Есть. На контроллер домена вешаешь при логоне пользователя скрипт, который запускает какую нить полезную прогу. У меня очень часто этой прогой является АИДА. Она же выгружает данные в 1С, что позволяет вовремя отследить изенения в составе оборудования... Ибо никто не имеет права пиздить комплектуху с компов! Кроме непосредственно одмина... А так же дает представления о том когда включался комп, когда какой пользователь на него заходил, когда выходил. |
Temcha #12 - 16.10.2008 - 17:36 | Спасибо огромное. Кое-что впринципе нереализуемо, т.к. сеть частная, и компы к ней подлючаются собственные. (Это не организация, а местная локалка) А в основном... Славненький рецепт. Один нюанс... С сети без вланов, если кто-то берет себе мак шлюза, траблы с инетом у всех... (Это если нат) С DHCP по-другому? Про Аиду погуглю, может еще вопросы появятся... |
Iwan #13 - 16.10.2008 - 20:10 | >>если кто-то берет себе мак шлюза, траблы с инетом у всех Ну... по идее траблы будут реально у всех. Только толку то ему так делать? Он же тоже: 1) Останется без сети и интернета. 2) Ему сломают руки и ноги. |
Temcha #14 - 16.10.2008 - 23:38 | У меня два предположения: 1. Малолетка, вообразивший себя кульным хацкером. 2. Личная неприязнь к владельцу сети. |
Iwan #15 - 17.10.2008 - 17:50 | Ну... Все конечно может быть. Честно говоря такие проблемы решают LinkSys'ы... Умные свичи на базе Cisco. Они такого одаренного товарисча отсекут на раз. Ну или что то типа такого, просто я к Линксисам уже привык... :))) P\S: *Где мой откат за рекламу?* А вообще... Я не совсем понимаю смысл давать права пользователям на смену мака. Да и свичи надо прятать от пользователей подальше... Камень не в твой огород Тем на сколько я понял топологию, а в огород тех, кто за частной сетью подключенной к вам организации следит... |
Temcha #16 - 17.10.2008 - 23:14 | Иван!! Речь сейчас не об организации!!! В моей конторе все пучком - там циски и вланы. И с чужим маком ты дальше маршрутизатора не пролезешь. Речь о частной сети. (мой домашний ком к ней подключен) И комп ПРИНАДЛЕЖИТ чуваку, и никто не может указать, что ему можно менять, а что нет. )))) И циски для такой сети - роскошь. |
DdVar #17 - 19.10.2008 - 11:36 | > И циски для такой сети - роскошь. Не, это не роскошь... это просто невыполнимая мечта ^_^ |
Iwan #18 - 19.10.2008 - 13:28 | LinkSys тем и хорош что вроде как Циска... но стоит без накруток за бренд |
Kaa #19 - 19.10.2008 - 13:31 | а мне говорили что это не вроде как а вообще одно и то же внутри.. по крайней мере некоторые |
К списку вопросов | Страницы: 1 > |
«ibash.org.ru — Новый цитатник Рунета» | Почта вебмастера: imail@ibash.org.ru |