作者 主題: 預防ip設到Gateway方式?  (閱讀 9687 次)

0 會員 與 1 訪客 正在閱讀本文。

sidney

  • 憂鬱的高中生
  • ***
  • 文章數: 122
    • 檢視個人資料
預防ip設到Gateway方式?
« 於: 2011-08-11 21:10 »
環境:6509 Core Switch

狀況:公司內部的電腦是由使用者自行管理,通常我們管理者會給ip/mask/gateway,
就有不懂的使用者,把ip欄位設成Gateway的ip,造成整個網段的網路斷線…

是否有辦法邦定ip/網卡位址的方式預防呢?(Gateway IP, 6509網卡位址)

這個有沒有什麼方法預防呢?

一、電腦不是我們管理,無法幫他們設定
二、宣導方式也宣導過,但就是有××使用者不知道怎麼設,就亂設定。


slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
Re: 預防ip設到Gateway方式?
« 回覆 #1 於: 2011-08-11 22:07 »
不考慮用 DHCP 綁 Mac 的方式嗎?
冷笑話: 我的 IP 是 127.0.0.1

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17466
    • 檢視個人資料
    • http://www.study-area.org
Re: 預防ip設到Gateway方式?
« 回覆 #2 於: 2011-08-12 00:28 »
switch 上面可以 filter 掉嗎?

sidney

  • 憂鬱的高中生
  • ***
  • 文章數: 122
    • 檢視個人資料
Re: 預防ip設到Gateway方式?
« 回覆 #3 於: 2011-08-13 23:55 »
一、因為在我們環境中無法使用dhcp,所以一定要使用固定ip。
二、Switch上應該是無法Filter掉這種狀況。
可以設定此IP(GatewayIP)&MAC(CoreSwitch MAC)不可通過,非此ip的mac才可以通過嗎??

u8526425

  • 俺是博士!
  • *****
  • 文章數: 1135
  • 性別: 男
    • 檢視個人資料
Re: 預防ip設到Gateway方式?
« 回覆 #4 於: 2011-08-14 03:01 »
每次有人IP設錯造成公司網路問題
肇事者本人罰500
主管連帶罰1000

如果可以這樣下行政命令的話該有多好...
多見者博,多聞者智,拒諫者塞,專己者孤

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
Re: 預防ip設到Gateway方式?
« 回覆 #5 於: 2011-08-14 15:03 »
很好奇
是怎樣的環境需求不能使用 DHCP 呢 ?
討論看看 , 說不定有不同解法



ACL 應該沒有方向性
且不可能所有 PC 都接到 6509 上吧
IP 一設錯影響的應該是同一 VLAN
不知底下分幾層 ... 多少 vlan ?



題外話
若討論能偏觀念會比較有幫助
產品不同 , 但觀念不變


wlh

  • 可愛的小學生
  • *
  • 文章數: 1
    • 檢視個人資料
Re: 預防ip設到Gateway方式?
« 回覆 #6 於: 2011-08-15 11:34 »
要阻止別人ip欄位設成Gateway的ip比較不可能,
試試 arp -s ,把Gateway ip跟卡號設成靜態.

CCKai

  • SA 苦力組
  • 憂鬱的高中生
  • ***
  • 文章數: 119
  • 性別: 男
    • 檢視個人資料
    • My Blog
Re: 預防ip設到Gateway方式?
« 回覆 #7 於: 2011-08-17 09:51 »
請使用者準備一個u盤,寫一個bat檔案存入使用者的u盤,使用者按按後,OK。

##Windows 2000 / XP / 2003 bat檔設定網路位置##
    netsh interface ip set address "<介面名稱>" static [IP] [子網路遮罩] [預設閘道] [閘道公制]
    netsh interface ip set dns     "<介面名稱>" static [名稱伺服器位址] primary

舉個例:
    netsh interface ip set address "區域連線" static 10.10.1.168 255.255.255.0 10.10.1.254 1
    netsh interface ip set dns     "區域連線" static 10.10.1.1 primary
我的部落格:結構化佈線、家庭佈線、有線電視、影音配電、等小記

redjack

  • 活潑的大學生
  • ***
  • 文章數: 426
    • 檢視個人資料
Re: 預防ip設到Gateway方式?
« 回覆 #8 於: 2011-08-17 10:50 »
寫個小東西來show目前可用ip 如何?
如果為了rd 需求的話,可以去建議用獨立的網路(卡),以前我是這樣做的,否則RD 常常亂串。
Knowledge is Power

sidney

  • 憂鬱的高中生
  • ***
  • 文章數: 122
    • 檢視個人資料
Re: 預防ip設到Gateway方式?
« 回覆 #9 於: 2011-08-27 14:22 »
是怎樣的環境需求不能使用 DHCP 呢 ?
一、因為電腦不是我們管的,但防毒確是我們管的(因為是fab生產的機台電腦)
      透過固定ip,我們可以查到中毒的電腦是那一台(原則上每一台電腦上線都是需要詢問我們ip)
二、他們每一個人都有administrator的權限,想要做什麼就可以做什麼
所以只有透過IP的方式來做管理

ACL 應該沒有方向性
且不可能所有 PC 都接到 6509 上吧
IP 一設錯影響的應該是同一 VLAN
不知底下分幾層 ... 多少 vlan ?
→ip設錯當然只有影響同一vlan而以,我們底下分成三層,目前只有切三個vlan。

寫個小東西來show目前可用ip 如何?
→若有開firewall的電腦,就無法得知是否有用了。
且我有ip管理表了

請使用者準備一個u盤,寫一個bat檔案存入使用者的u盤,使用者按按後,OK。
→網路若還沒有通,怎麼把檔案存入使用者的u盤咧?

arp -s ,把Gateway ip跟卡號設成靜態.
→非我管的電腦就無法去管它了,他是fab生產用的機台

dark

  • 俺是博士!
  • *****
  • 文章數: 1581
    • 檢視個人資料
Re: 預防ip設到Gateway方式?
« 回覆 #10 於: 2011-08-29 16:53 »
看來你背黑鍋的問題在於無法證明有人搗亂還是中毒
若有管理IP的權責
總不能給台坦克要求打下戰機吧 ... 又不是每集都是電影版

被動方式 IP 大網段一直切小下去
花錢解法買一台很多 port 的 firewall 做 transparent mode


phantom

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 2185
    • 檢視個人資料
Re: 預防ip設到Gateway方式?
« 回覆 #11 於: 2011-08-29 17:02 »
就樓主所描述的狀況,好像只有防毒軟體的關係?

您是用啥防毒軟體?單機版?還是企業版?

大部分企業用的版本都有主控台。
以卡巴斯基的來說,一般的PC並不需要有固定IP,透過它的主控台所有的狀況都可以管控到。
Linux 非萬能, 沒 Linux 萬萬不能.
root = God
apt-get install ultimate-horsepower

sidney

  • 憂鬱的高中生
  • ***
  • 文章數: 122
    • 檢視個人資料
Re: 預防ip設到Gateway方式?
« 回覆 #12 於: 2011-09-01 22:17 »
我們公司使用Norton的SEP防毒軟體,目前這一個狀況,是無法再花錢買軟體的。

slime

  • 俺是博士!
  • *****
  • 文章數: 1692
    • 檢視個人資料
Re: 預防ip設到Gateway方式?
« 回覆 #13 於: 2011-09-02 06:52 »
個人不太理解這單位的管理模式, 不過建議幾個方式:

1. 建議把 Administrators 不給一般使用者. 強列建議一定要停止給使用者這權限, 有這權限就很難管了, 哪天裝個 netcut 是整個網路都掛掉, 而且在公司內這是降低生產力的動作.

2. 建議直接使用 DHCP , 或將"給 IP "動作改成"給一組 netsh 命令", 直接在電腦上執行.
3. 再不行才考慮裝硬體過濾, 甚至每台電腦改用 pppoe 取得 IP .
冷笑話: 我的 IP 是 127.0.0.1

michaelwan

  • 憂鬱的高中生
  • ***
  • 文章數: 159
    • 檢視個人資料
Re: 預防ip設到Gateway方式?
« 回覆 #14 於: 2011-09-03 00:04 »
→非我管的電腦就無法去管它了,他是fab生產用的機台

FAB生產機台給予獨立自己一個VLAN, 透過ACL來切割與其他VLAN.
設定錯誤也只是影響全部FAB的網路不通(反正不是貴單位管的).

話說小弟公司FAB也常發生使用者自行串接HUB, 然後產生LOOP搞掛整個FAB網路.
多痛幾次, 看看有沒有人敢擔責任.