作者 主題: 如何鎖定 switch port 下只能有一部 PC  (閱讀 7306 次)

0 會員 與 1 訪客 正在閱讀本文。

蜜蜂

  • 活潑的大學生
  • ***
  • 文章數: 276
  • 性別: 男
    • 檢視個人資料
有辦法確定每個 switch port 下, 限制只允許接一部電腦嗎 ?

Switch 可以在每個 port 上鎖 MAC address.
可是如果 switch 下接 IP 分享器用 clone MAC 方式加 NAT, 還是可以掛一大串電腦.
各位大大有何提議 ?

anderson1127

  • 訪客
回覆: 如何鎖定 switch port 下只能有一部 PC
« 回覆 #1 於: 2008-08-11 16:35 »
這種情況的確是很難以防堵了....

不過話說回來,NAT兩次對client PC來說問題應該也會比較多...

如果真的要防堵這種情形,就要用特別的網路設備了,聽說價格也特別的高
我想如果只是一般的client省錢上網,就讓他們上網吧,反正把QoS給設好
應該也討不到什麼便宜吧!!

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
回覆: 如何鎖定 switch port 下只能有一部 PC
« 回覆 #2 於: 2008-08-11 16:43 »
個人看法是: 這是 Solution 嘛 ? 是省成本 ? 還是亂搞 ?

Switch Port 貴嘛 ? 不這麼認為? 既然如此,為何要在 NAT 一次 ?!

除非是企業整併,兩家公司初期應該 Network 的問題,需要使用 NAT,來解決一些既有的網路問題,

過了一段時間還是會整併完成,一統天下..

因此就不知道這是怎樣的一個案子..... 唉...

Networking & Communication Security SE

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
回覆: 如何鎖定 switch port 下只能有一部 PC
« 回覆 #3 於: 2008-08-11 17:14 »
唔,樓主的意思應該是要避免使用nat還能上網
看不出來跟jackyang78講的有什麼衝突...

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
回覆: 如何鎖定 switch port 下只能有一部 PC
« 回覆 #4 於: 2008-08-11 17:26 »
唔,樓主的意思應該是要避免使用nat還能上網
看不出來跟jackyang78講的有什麼衝突...

是沒有衝途?! 只不過一張紙一個命命就可以規定的東西...沒有必要搞得如此 ?!

就算要此 Solution ... 也應該是你 IT Dept. 同意的... 不然走 NAT 又有何意義?! 多買幾個 Switch 給 User 使用不就搞定 !!
Networking & Communication Security SE

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
回覆: 如何鎖定 switch port 下只能有一部 PC
« 回覆 #5 於: 2008-08-11 17:30 »
... 現在的重點不是switch 夠不夠吧? ^^;

JackYang78

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 2672
    • 檢視個人資料
回覆: 如何鎖定 switch port 下只能有一部 PC
« 回覆 #6 於: 2008-08-11 17:36 »
個人看法,這種問題... 除非用在解決一些專案上(如上面所提)...

不然,沒有一個 IT , 允許如此做的....

個人觀念...無法解決的 IT 問題,通常一張紙就可以解決一些技術無法克服的問題...上面就是一個好例子..

不然就是 IT, 默許亂搞... 例如老闆要求省成本..就亂搞..才在這邊傷腦筋 ?!
Networking & Communication Security SE

梁楓

  • 俺是博士!
  • *****
  • 文章數: 6220
    • 檢視個人資料
回覆: 如何鎖定 switch port 下只能有一部 PC
« 回覆 #7 於: 2008-08-11 17:38 »
....
好怪

只要買一台有支援管理的switch,然後設定好那個port對那個MAC不就結束了...

當然發一張紙也行...

重點是,原本的主管不見得有這個觀念,IT部門也不見得有這種觀念...

蜜蜂

  • 活潑的大學生
  • ***
  • 文章數: 276
  • 性別: 男
    • 檢視個人資料
回覆: 如何鎖定 switch port 下只能有一部 PC
« 回覆 #8 於: 2008-08-11 17:53 »
Sorry, 忘了提目地.
主要是資訊安全的考量. 在沒有實體隔離的區域內不希望有私接的設備.
雖然用政策加上用人力固定巡查稽核的方式解決.

是想是否有機會用資訊技術達成.


廉價勞工

  • 活潑的大學生
  • ***
  • 文章數: 213
    • 檢視個人資料
回覆: 如何鎖定 switch port 下只能有一部 PC
« 回覆 #9 於: 2008-08-11 17:54 »
我想意思應該是,本來已經是port鎖mac了
但是user自己用一台IP分享器做clone mac
之後再用該分享器來接多台PC

此情形,我想到的辦法是寫個script來判斷哪些client端的netstat有異常
然後再實地看user端線路使用情形,不過如果接的不多,應該也是很難判斷
錢少、事多、離家遠…
位低、權輕、責任重…

ZMAN

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 6247
  • 性別: 男
    • 檢視個人資料
    • 魔力門部落格
回覆: 如何鎖定 switch port 下只能有一部 PC
« 回覆 #10 於: 2008-08-12 09:33 »
何苦想那麼複雜
關鍵就在於這台IP分享器啊

MIS的基本功能就要讓USER帶來的任何設備
插不上 萬一被插上了也不會通 萬一真被搞通了也要馬上知道
這些都做不到怎麼當2008年的MIS

以美國現在的E911系統來看
在MIS未介入時
PATCH CORD是無法被拔除的
一般空埠也無法插入的
佈線深似海!
網路高如天!

gwstudy

  • 活潑的大學生
  • ***
  • 文章數: 205
    • 檢視個人資料
回覆: 如何鎖定 switch port 下只能有一部 PC
« 回覆 #11 於: 2008-08-12 10:56 »
主要是資訊安全的考量. 在沒有實體隔離的區域內不希望有私接的設備.
雖然用政策加上用人力固定巡查稽核的方式解決.
是想是否有機會用資訊技術達成.

我想可能沒辦法吧,如果那個員工的 pc 再接一網卡,然後第二台設備用 NAT 透過第一台 pc 上網,那不就查不出來了嗎?

harrier

  • 榮譽博士
  • 俺是博士!
  • *****
  • 文章數: 1856
  • 性別: 男
    • 檢視個人資料
    • 國屬武裝兵
回覆: 如何鎖定 switch port 下只能有一部 PC
« 回覆 #12 於: 2008-08-12 13:30 »
主要是資訊安全的考量. 在沒有實體隔離的區域內不希望有私接的設備.
雖然用政策加上用人力固定巡查稽核的方式解決.
是想是否有機會用資訊技術達成.
我想可能沒辦法吧,如果那個員工的 pc 再接一網卡,然後第二台設備用 NAT 透過第一台 pc 上網,那不就查不出來了嗎?

上鉛封...
無法開啟設備也無法私接設備...

當然要有管理辦法啦..不然什麼東西不能拆..拆了不罰等於沒效果。
...90Net(90:1200/1203),GameNET(99:700/707),ALLNet(92:9200/3111),InfoNet(30:100/103)..MaximusCBCS(浮懷),AirNet,TenderNet,StormNet,FidoNet...
<<- www.nas.vg ->>

threeseconds

  • 俺是博士!
  • *****
  • 文章數: 1368
    • 檢視個人資料
    • http://www.3sec.tw
回覆: 如何鎖定 switch port 下只能有一部 PC
« 回覆 #13 於: 2008-08-17 10:33 »
如果那個員工的 pc 再接一網卡
都要限制到這種程度了,怎麼還會讓他有「再接一網卡」的事情發生?
當然是上封條鎖BIOS,誰動了就人令伺候呀。
本文作者為天線寶寶,長期關注兒童智力發展狀態。