酷!學園

技術討論區 => Network 討論版 => 主題作者是: 蜜蜂 於 2008-08-11 16:04

主題: 如何鎖定 switch port 下只能有一部 PC
作者: 蜜蜂2008-08-11 16:04
有辦法確定每個 switch port 下, 限制只允許接一部電腦嗎 ?

Switch 可以在每個 port 上鎖 MAC address.
可是如果 switch 下接 IP 分享器用 clone MAC 方式加 NAT, 還是可以掛一大串電腦.
各位大大有何提議 ?
主題: 回覆: 如何鎖定 switch port 下只能有一部 PC
作者: anderson11272008-08-11 16:35
這種情況的確是很難以防堵了....

不過話說回來,NAT兩次對client PC來說問題應該也會比較多...

如果真的要防堵這種情形,就要用特別的網路設備了,聽說價格也特別的高
我想如果只是一般的client省錢上網,就讓他們上網吧,反正把QoS給設好
應該也討不到什麼便宜吧!!
主題: 回覆: 如何鎖定 switch port 下只能有一部 PC
作者: JackYang782008-08-11 16:43
個人看法是: 這是 Solution 嘛 ? 是省成本 ? 還是亂搞 ?

Switch Port 貴嘛 ? 不這麼認為? 既然如此,為何要在 NAT 一次 ?!

除非是企業整併,兩家公司初期應該 Network 的問題,需要使用 NAT,來解決一些既有的網路問題,

過了一段時間還是會整併完成,一統天下..

因此就不知道這是怎樣的一個案子..... 唉...

主題: 回覆: 如何鎖定 switch port 下只能有一部 PC
作者: 梁楓2008-08-11 17:14
唔,樓主的意思應該是要避免使用nat還能上網
看不出來跟jackyang78講的有什麼衝突...
主題: 回覆: 如何鎖定 switch port 下只能有一部 PC
作者: JackYang782008-08-11 17:26
唔,樓主的意思應該是要避免使用nat還能上網
看不出來跟jackyang78講的有什麼衝突...

是沒有衝途?! 只不過一張紙一個命命就可以規定的東西...沒有必要搞得如此 ?!

就算要此 Solution ... 也應該是你 IT Dept. 同意的... 不然走 NAT 又有何意義?! 多買幾個 Switch 給 User 使用不就搞定 !!
主題: 回覆: 如何鎖定 switch port 下只能有一部 PC
作者: 梁楓2008-08-11 17:30
... 現在的重點不是switch 夠不夠吧? ^^;
主題: 回覆: 如何鎖定 switch port 下只能有一部 PC
作者: JackYang782008-08-11 17:36
個人看法,這種問題... 除非用在解決一些專案上(如上面所提)...

不然,沒有一個 IT , 允許如此做的....

個人觀念...無法解決的 IT 問題,通常一張紙就可以解決一些技術無法克服的問題...上面就是一個好例子..

不然就是 IT, 默許亂搞... 例如老闆要求省成本..就亂搞..才在這邊傷腦筋 ?!
主題: 回覆: 如何鎖定 switch port 下只能有一部 PC
作者: 梁楓2008-08-11 17:38
....
好怪

只要買一台有支援管理的switch,然後設定好那個port對那個MAC不就結束了...

當然發一張紙也行...

重點是,原本的主管不見得有這個觀念,IT部門也不見得有這種觀念...
主題: 回覆: 如何鎖定 switch port 下只能有一部 PC
作者: 蜜蜂2008-08-11 17:53
Sorry, 忘了提目地.
主要是資訊安全的考量. 在沒有實體隔離的區域內不希望有私接的設備.
雖然用政策加上用人力固定巡查稽核的方式解決.

是想是否有機會用資訊技術達成.

主題: 回覆: 如何鎖定 switch port 下只能有一部 PC
作者: 廉價勞工2008-08-11 17:54
我想意思應該是,本來已經是port鎖mac了
但是user自己用一台IP分享器做clone mac
之後再用該分享器來接多台PC

此情形,我想到的辦法是寫個script來判斷哪些client端的netstat有異常
然後再實地看user端線路使用情形,不過如果接的不多,應該也是很難判斷
主題: 回覆: 如何鎖定 switch port 下只能有一部 PC
作者: ZMAN2008-08-12 09:33
何苦想那麼複雜
關鍵就在於這台IP分享器啊

MIS的基本功能就要讓USER帶來的任何設備
插不上 萬一被插上了也不會通 萬一真被搞通了也要馬上知道
這些都做不到怎麼當2008年的MIS

以美國現在的E911系統來看
在MIS未介入時
PATCH CORD是無法被拔除的
一般空埠也無法插入的
主題: 回覆: 如何鎖定 switch port 下只能有一部 PC
作者: gwstudy2008-08-12 10:56
主要是資訊安全的考量. 在沒有實體隔離的區域內不希望有私接的設備.
雖然用政策加上用人力固定巡查稽核的方式解決.
是想是否有機會用資訊技術達成.

我想可能沒辦法吧,如果那個員工的 pc 再接一網卡,然後第二台設備用 NAT 透過第一台 pc 上網,那不就查不出來了嗎?
主題: 回覆: 如何鎖定 switch port 下只能有一部 PC
作者: harrier2008-08-12 13:30
主要是資訊安全的考量. 在沒有實體隔離的區域內不希望有私接的設備.
雖然用政策加上用人力固定巡查稽核的方式解決.
是想是否有機會用資訊技術達成.
我想可能沒辦法吧,如果那個員工的 pc 再接一網卡,然後第二台設備用 NAT 透過第一台 pc 上網,那不就查不出來了嗎?

上鉛封...
無法開啟設備也無法私接設備...

當然要有管理辦法啦..不然什麼東西不能拆..拆了不罰等於沒效果。
主題: 回覆: 如何鎖定 switch port 下只能有一部 PC
作者: threeseconds2008-08-17 10:33
如果那個員工的 pc 再接一網卡
都要限制到這種程度了,怎麼還會讓他有「再接一網卡」的事情發生?
當然是上封條鎖BIOS,誰動了就人令伺候呀。