Ahojte.
Do jednej skoly kde dodavame konektivitu gratis sa nam stal jeden problemik. Firma co tam robi spravu siete nejakym nedopatrenim spustila na jednom pc DHCP server a este ktomu vpn koncentrator.
Cez prazdniny ako budu jarne mame v plane prerabat v tejto skole wifiny. budeme menit aj switche z toho dovodu ze tam su nemanazovatelne a bez poe.
Moja otazka znie ako by ste to vy zabezpecili ? aby sa taketo nieco neopakovalo ?
Ako zabranit napr. studentom co si donesu vlastny notebook, ked vytiahnut lan s pc a daju do svojho aby im nesiel net ?
Je nuntne pouzit nejaky MAC filter alebo ist do komplikovanejsieho riesenia napr. radius ? alebo pppoe ? ale ako docielit aby zase nemuseli sa stale prihlasovat ?
Za kazdu radu vam vopred Ďakujem
Michal
Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Siet v skole
Managenovatelné switche umí zabránit použití DHCP serveru mezi porty a definovat z kterého portu bude DHCP akceptováno. Na registraci povolených klientů je nejjednodušší rezervovat jim dle MAC adresy IP Adresu v DHCP a tu povolit na firewallu. Pokud si tam něco strčí dostanou volnou IP, ale nepůjde NET. Můžou, ale podvrhnout MAC, nebo si dát IP napevno.
0 x
Tak u ip napevno by jim to slo jen po lokale, ale na serveru se da udelat ze pouze ip v dhcp pujdou do arp tabulky, ostatni budou ignorovany
0 x
robil som na škole 8 rokov a v podstate stačilo:
1.čo učebňa to samostatná VLAN- ak sa niečo spravilo problém zostal obmedzený na 1 učebňu a nerozpadla sa ti polka siete
2. switche čo podporujú DHCP sooping a hlavne loop protect, slučka bola problém častejšie ako podvrhnuté dhcp.
3. Na routery a VLAN nastavené ARP=reply-only a statický záznam v DHCP
toto odbúralo spoľahlivo 99% problémov, ak sa sem tam za uhorský rok niekto pripojil s podvrhnutou MAC jednoducho som si to zistil pomocou host name v DHCP, spravil bububu vylúčením a už sa to neopakovalo.
1.čo učebňa to samostatná VLAN- ak sa niečo spravilo problém zostal obmedzený na 1 učebňu a nerozpadla sa ti polka siete
2. switche čo podporujú DHCP sooping a hlavne loop protect, slučka bola problém častejšie ako podvrhnuté dhcp.
3. Na routery a VLAN nastavené ARP=reply-only a statický záznam v DHCP
toto odbúralo spoľahlivo 99% problémov, ak sa sem tam za uhorský rok niekto pripojil s podvrhnutou MAC jednoducho som si to zistil pomocou host name v DHCP, spravil bububu vylúčením a už sa to neopakovalo.
1 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
Pokud switch bude podporovat dhcp snooping a ip source guard, tak ani rucni IP nepomuze. Jen rezervujes MAC+IP na DHCP serveru.
2 x
a do toho si ještě započítejte arp spoofing oblíbený mezi dětmi s android telefony.
0 x
Supermicro + Mikrotik = SuperTik
high speed routery podle požadavků
high speed routery podle požadavků
hapi píše:a do toho si ještě započítejte arp spoofing oblíbený mezi dětmi s android telefony.
Coz z velke casti prave resi IP Source Guard. Ale ma i sve nevyhody ...
0 x
-
- Moderátor
- Příspěvky: 1333
- Registrován: 15 years ago
- antispam: Ano
- Bydliště: Karlovy Vary
- Kontaktovat uživatele:
Ja to mam resene takto: na siti nachzenej server s AD. Studenti i ucitele se do site prihlasuji pres jmeno a heslo. Na zaklade toho dostanou ip z dane VLANy. Gateway pak resi opravneni kdo ma kam pristup. Zaroven gateway zerezava pristupy na weby napr s pornem, drogama, nasilim a pod. Stejne tak jsou blokovane vpn. Datova zasuvka ktera jeni obsazena tak neni v patch panelu ani zapojena. Pravdou je ze pocitacu pripojenych kabelem je minimum. Asi 3. Ostatni zarizeni na lanu jsou napr tiskarny a pod. Tedy veci ktere nemaji pristup do netu.
0 x
Bývalý ISP...
-
- Příspěvky: 211
- Registrován: 12 years ago
Prave AD sa chcem vyhnut, nakolko licencie na toto nie su v rozpocte.
Preto zvazujem inu alternativu.napr radius, alebo nieco pod..
Na blokovanie stranok je druhom projekte. To schvaluje obec balik penazi pre danu skolu, na najblizsom zastupitelstve.
S týmto tak nejak povediac ratam, dane switche to maju co sme nakupili.
Preto zvazujem inu alternativu.napr radius, alebo nieco pod..
Na blokovanie stranok je druhom projekte. To schvaluje obec balik penazi pre danu skolu, na najblizsom zastupitelstve.
iTomB píše:Pokud switch bude podporovat dhcp snooping a ip source guard, tak ani rucni IP nepomuze. Jen rezervujes MAC+IP na DHCP serveru.
S týmto tak nejak povediac ratam, dane switche to maju co sme nakupili.
Naposledy upravil(a) zvukarmiso dne 16 Feb 2019 19:35, celkem upraveno 1 x.
0 x
-
- Moderátor
- Příspěvky: 1333
- Registrován: 15 years ago
- antispam: Ano
- Bydliště: Karlovy Vary
- Kontaktovat uživatele:
Bez AD si školu neviem predstaviť, veď tie počítače budú po pár týždňoch nefunkčné.... A co užívateľské účty pre každého študenta?
Win server sa dá kúpiť so zľavou pre školstvo a CAL licencie (aj win upgrade pre PC) poskytuje/val ministerstvo zdarma cez generálnu zmluvu s Microsoftom
Win server sa dá kúpiť so zľavou pre školstvo a CAL licencie (aj win upgrade pre PC) poskytuje/val ministerstvo zdarma cez generálnu zmluvu s Microsoftom
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
-
- Příspěvky: 211
- Registrován: 12 years ago
Noxus28 píše:Bez AD si školu neviem predstaviť, veď tie počítače budú po pár týždňoch nefunkčné.... A co užívateľské účty pre každého študenta?
Win server sa dá kúpiť so zľavou pre školstvo a CAL licencie (aj win upgrade pre PC) poskytuje/val ministerstvo zdarma cez generálnu zmluvu s Microsoftom
Na tento rok este nie je platna co mam posledne info.
POlka pc je v edicii HOME a to do domeny nedostanem. To je tak ked sa kupuju pc podla ceny
0 x
Zmluva umožňuje upgrade na Enterprise/Pro a ľubovolný Win, stačí že má počítač akúkoľvek nálepku OEM, COA atď
Podľa portálu je prístup k licenciám stále aktívny...
Podľa portálu je prístup k licenciám stále aktívny...
0 x
MTCNA, MTCRE, MTCTCE a furt toho viem málo
-
- Příspěvky: 139
- Registrován: 11 years ago
Noxus28 píše:Zmluva umožňuje upgrade na Enterprise/Pro a ľubovolný Win, stačí že má počítač akúkoľvek nálepku OEM, COA atď
Podľa portálu je prístup k licenciám stále aktívny...
Predpokladam, ze toto plati na SK a ne v CR, je to tak?
Řešil jsem na podzim podobnou situaci - pulka PC ve skole s Home a nacenit pripojeni k AD. Doporucili mi jako nejlevnejsi reseni koupit tento produkt na kazdy PC s Win Home (cca 2000,- Kc) - https://eshop.100mega.cz/ms-windows-10- ... 42745.html
0 x
- midnight_man
- Příspěvky: 3680
- Registrován: 13 years ago
ak som to správne pochopil, je to ZŠ. Takže zas to netreba preháňať s tými opatreniami a robiť si život zložitejší.
Wireless si rozdel na viac častí podľa oprávnení...tak aby sa z tej študentskej nedal robiť bordel. hotovo...MK a lepšie swište to poriešia.
Wireless si rozdel na viac častí podľa oprávnení...tak aby sa z tej študentskej nedal robiť bordel. hotovo...MK a lepšie swište to poriešia.
0 x