Вопрос по статическому IP

Выкладываем здесь готовые конфигурации под определенные типовые задачи
Sertik
Сообщения: 231
Зарегистрирован: 15 сен 2017, 09:03

Вопрос по статическому IP

Сообщение Sertik » 09 фев 2018, 10:40

Столкнулся со странной, на мой взгляд, штукой:
Некоторые посмеются, скажут чайник спрашивает, но не понятно, заранее простите ...

1.
Если какому-либо сетевому устройству присвоить статический IP-адрес в его настройках и НЕ ПРОПИСАТЬ этот адрес на роутере Микротик в ARP - все равно устройство получает этот адрес от роутера и спокойно работает в локальной сети
(если, конечно, это адрес из подсети Микротика и не пересекается с диапазоном сервера DHCP этого интерфейса)
Неужели оно так правильно ? То есть любой хмырь зная или подобрав сетку роутера (если она близка к более часто употребляемым 192.168 бла бла ...) может воткнуть устройство с постоянным IP в эту сетку и оно пусть работает пожалуйста !
Так же не должно быть ? Или у меня что-то неверно настроено, вероятнее всего ...

2.
С динамическими адресами тоже не понятно - что ставил в DHCP сервере "ADD ARP for Lease", что не ставил - похоже один эффект - адрес из динамического диапазона устройству всегда дается.
Тоже не верная настройка ? Как правильно сделано должно быть чтобы адрес устройству роутером давался только есть устройство и его МАК прописаны в "разрешенных" (ARP) ?

Подскажите, плиз !


Sertik
Сообщения: 231
Зарегистрирован: 15 сен 2017, 09:03

Re: Вопрос по статическому IP

Сообщение Sertik » 09 фев 2018, 11:05

Хотя, про динамические IP, я наверное зря спросил, забыл что уже нормально все настроил там если не хочешь чтобы адреса давались надо в DHCP сервере "Static only" ставить и ручками прописывать - тут все ясно.

А вот по моему первому вопросу как ?


Аватара пользователя
Dragon_Knight
Модератор
Сообщения: 1775
Зарегистрирован: 26 мар 2012, 18:21
Откуда: МО, Мытищи
Контактная информация:

Re: Вопрос по статическому IP

Сообщение Dragon_Knight » 09 фев 2018, 11:27

Всё верно работает.
Маршрутизацию в рамках одного сегмента выполняет не роутер а сами устройства.
Например есть два компа 192.168.0.100 и 192.168.0.200 и подсеть /24. Есть запрос с 100 на 200 комп. Логика компа 100: " адрес 192.168.0.200 находится в моей подсети, значит я отправлю запрос напрямую", что он и делает, не используя для этого шлюз. А вот если подсети будут разные, то комп не сможет понять куда слать пакет и отправит его на адрес шлюза и уже роутер будет маршрутизацию делать.



Помощь в ремонте и настройке оборудования MikroTik, Мытищи, Москва.
Дома: [RouterBOARD CCR1009-8G-1S-1S+] + [RouterBOARD cAP 2n] + [RouterBOARD Groove A-2Hn-32] + [D-Link ANT24-0800];
Работа 1: [RouterBOARD RB493G] + [MikroTik R52H] + [MikroTik CA493] + [D-Link ANT24-0800] + [RouterBOARD SXT G-2HnD];
Работа 2: [RouterBOARD RB2011UiAS-IN];
Резерв: [RouterBOARD RB450G];
kt72ru
Сообщения: 119
Зарегистрирован: 23 июн 2017, 07:55

Re: Вопрос по статическому IP

Сообщение kt72ru » 09 фев 2018, 11:29

Sertik писал(а):
09 фев 2018, 11:05
А вот по моему первому вопросу как ?
по первому вопросу читайте про связку DHCP Snooping и Source Guard


vqd
Модератор
Сообщения: 4015
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Re: Вопрос по статическому IP

Сообщение vqd » 09 фев 2018, 11:38

Интерфейс на котором висит DHCP сервер переводим в режим arp-reply-only
В DHCP сервер втыкаем галку Add ARP for leasses

Собственно все, статические адреса не канают (если он не прописан а ARP), канают те что выдал ваш же DHCP сервер


Есть интересная задача и бюджет? http://mikrotik.site
Sertik
Сообщения: 231
Зарегистрирован: 15 сен 2017, 09:03

Re: Вопрос по статическому IP

Сообщение Sertik » 09 фев 2018, 11:44

Спасибо, товарищ, Дракон !

Про это я забыл, да, да ... тут получается к маршрутиризатору то и не обращается никто ... Хреново выходит ...
Получается, что все сети со статическими IP для безопасности должны быть изолированными в помещениях, доступ куда контролируется скажем охраной, а по "улице" такие сети не должны гулять ...
А то "режь провод", подключай комп - и пожалуйста, если адресация совпадает, то ты в локалке ...


Obi Van
Сообщения: 13
Зарегистрирован: 02 фев 2018, 12:52

Re: Вопрос по статическому IP

Сообщение Obi Van » 09 фев 2018, 16:00

Sertik писал(а):
09 фев 2018, 11:44
А то "режь провод", подключай комп - и пожалуйста, если адресация совпадает, то ты в локалке ...
В какой-то степени от этого спасает использование теггированого vlan в котором "ходит" вполне определённая сеть. Между удалёнными участками сети (условно 2 коммутатора) пусть транк и туда теггированные виланы.


Sertik
Сообщения: 231
Зарегистрирован: 15 сен 2017, 09:03

Re: Вопрос по статическому IP

Сообщение Sertik » 09 фев 2018, 18:07

Obi Van, спасибо, но это не просто в настройке ... Для чайника сложновато ...


Obi Van
Сообщения: 13
Зарегистрирован: 02 фев 2018, 12:52

Re: Вопрос по статическому IP

Сообщение Obi Van » 13 фев 2018, 14:17

Sertik писал(а):
09 фев 2018, 18:07
Obi Van, спасибо, но это не просто в настройке ... Для чайника сложновато ...
Могу вас заверить, но ничего там сложного нет. В общих черта так:
1) Нужно соединить два коммутатора (или устройство поддерживающее теггированый трафик) - два порта этих устройств настраиваются как транк, т.к сетевые пакеты теггируются (маркируются). Можно передавать несколько сетей промаркированных разными тегами. Устройство-отправитель выставит нужный тег на нужном порту, устройство получатель получит этот тег.
2) Нужно прицепить к коммутатору ПК, но и дать ему доступ в нужную сеть - этот порт вводят в нужный вилан, но пакеты на выходе из коммутатора не маркируются, на входе (т.е идущие от ПК) маркируются нужным тегом. Так ПК попадает в "свою "сеть. Это так называемый access порт.
Бывают смешанный варианты, когда на одном порту идёт нетеггированный трафик и теггированный от нескольких вилан.
Таким образом ваш вариант №1. Линк между удалёнными устройствами будет содержать теггированый трафик. В общем случае, не зная какой вилан у сети, в эту сеть не попасть даже выставив нужный IP адрес.
Например между коммутаторами идёт vlan8 и сеть 192.168.8.0/24. Даже если выставить сеть на ПК в виде адреса для примера 192.168.8.1, в который воткнуть линк из коммутатора отправителя vlan8, в эту сеть вы не попадёте. Потому что вы не попадаете в этот вилан, а он является теггированым между коммутаторами. Только при условии использования на ПК программного обеспечения поддерживающего виланы на сетевом адаптере и знания какой вилан там передаётся.


Sertik
Сообщения: 231
Зарегистрирован: 15 сен 2017, 09:03

Re: Вопрос по статическому IP

Сообщение Sertik » 14 фев 2018, 11:15

Значит если я правильно понял "уличный" участок сети для создания "брони" должен быть соединен с внутренними сетями двумя специальными коммутаторами на входах/выходах, так ? Обычные свичи не пойдут - нужны такие, которые умеют "тегировать" трафик, так ? Что из недорогого но надежного железа можете посоветовать ? На выбранных портах каждой из этих железяк настраивается одинаковый VLAN, так ? Только когда одинаковая метка VLAN выставлена трафик между этими портами двух устройств начинает бегать ? И тогда в этот участок из вне не попасть ...
Я не сетевик, поэтому простите, что задаю тупые вопросы ... Сколько про VLAN не пытался читать не могу понять как это вообще работает и зачем нужно ...


Ответить