拒绝静态IP分配

Question

我目前使用的是SonicWall Pro 2040，启用了DHCP，但只使用映射到特定MAC地址的静态IP。没有使用动态IP范围。目前，没有任何DHCP请求会按需要解析IP。

但是，如果服务器或工作站网络接口仍然配置了用户定义的静态IP地址，则可以正常工作。我希望那些用静态IP分配机器的潜在用户不能工作。

有没有一种方法可以拒绝那些MAC地址未被批准的连接类型？

Answer 1

无法配置DHCP服务器来拒绝静态IP地址。如果您仔细想想，网络上的主机之间有一条直接的路径，根本不需要通过SonicWall：

            SonicWall
            LAN Port
                ^
                |
                v
HostA <----> Switch <----> HostB

因此，如果您想在MAC地址上筛选，以阻止HostA在网络上刊登IP地址广告，您需要在交换机上这样做。例如，如果您的交换机是Cisco，则要使用的命令是switchport port-security。

Answer 2

简短回答(开关)：

1. 禁用所有未连接接收保留IP的设备的端口
2. 安装端口-使用粘性macs的安全性

以下命令将设置一个接口，仅允许当前连接的设备使用该开关端口：

switchport mode access
switchport port-security
switchport port-security maximum 1
switchport port-security mac-address sticky

来源：思科端口安全配置文档

长答案：

这是两个部分的问题。第一部分分配地址，部分禁止从声波墙访问DHCP中未分配“保留地址”的计算机。我想你的第一部分已经在你的sonicwall上解决了。第二部分需要在你的开关上解决。

就像@Tom所说，在思科开关柜上使用端口安全命令是个好主意。但是，这是不完整的，您需要指定来自该端口switchport port-security maximum 1的最大设备MAC地址数量(前提是没有另一个交换机或集线器挂在该端口上)。

为了避免输入MAC地址，您可以在打开端口安全后使用switchport port-security mac-address sticky。若要将当前连接的设备的MAC地址添加到批准的列表中，无需手动键入该地址。