我知道这个标题并不是最好的标题。
目前,我网络上的每台服务器都可以使用任何静态 IP,只需在操作系统级别进行配置即可。我试图实现的是允许特定 IP 地址仅与特定 MAC 地址一起使用。
例如,我应该能够设置192.168.1.1和192.168.1.2能仅有的由 MAC 地址使用00:FE:94:82:05:32。
如果另一个网卡具有不同的 MAC 地址,假设00:FE:94:82:05:31,希望使用 192.168.1.1 或 192.168.1.2,某物应该拒绝其请求。那会怎样?某物是吗?我猜应该是路由器或 3 级交换机。如果是这样,我应该在要购买的路由器规格中搜索什么功能?
答案1
您需要一个智能交换机才能在网络上执行此操作。我不知道是否有虚拟机管理工具可以阻止用户在其客户机上添加另一个或更改 IP。
在 Cisco 领域,您需要端口安全来阻止其他端口上的某人欺骗 mac,以及 IP 源保护 (IPSG) 来检查 mac/IP 组合和/或动态 arp 检查 (DAI) 来防止 ARP 欺骗。IPSG 和 DAI 依赖于 DHCP 侦听或用户配置的表,因此它会给您的操作增加相当大的开销。
其他供应商(Juniper/Extreme/Force10/等...)可以实现相同的安全功能,但名称可能与我提到的不同。所有供应商都有自己的硬件/软件/许可要求,您需要与供应商/VAR 协商。
此外,配置这种类型的安全性非常复杂,错误配置可能很难排除故障,并且根据您的网络,可能无法提供这种级别的安全性。
答案2
您的 192.168.1.X 网络上有任何东西分发 IP 吗?
如果您使用的是 DHCP 服务器,则可以创建 DHCP 保留,将 MAC 地址锁定到特定 IP。服务器将设置为使用 DHCP,当联系 DHCP 服务器时,将提取该主机的保留地址。
您可以为路由器上的每个 IP - MAC 创建静态 ARP 条目。但是,这只会阻止尝试使用与其 MAC 不匹配的地址的主机进行第 3 层通信。要阻止所有通信,您需要在主机可能需要与之通信的第 2 层域中的每个主机中创建静态 ARP 条目,并阻止人们更改这些条目(对我来说,这听起来像是一场管理噩梦)。
答案3
兄弟,如果你真的有这种环境,那么解决你问题的唯一答案就是制定一个明确的政策,规定什么可以做,什么不可以做。
没有任何技术能够满足您的需求。端口保护、匹配 MAC/IP 对的防火墙或任何其他解决方案都无法阻止虚拟机所有者简单地更改其 IP 地址。
但真正的政策,有明确的规则,并对违反政策的人进行惩罚,将会产生更大的效果。
答案4
他们怎么能使用“任何静态 IP”?如果你设置了静态 IP,那么它就会使用这个 IP。设置静态 IP 后,你应该保留它并为每个服务器记录它。
“互联网协议地址要么在启动时重新分配给主机,要么通过其硬件或软件的固定配置永久分配给主机。持久配置也称为使用静态 IP 地址”
那么,您使用的是静态 IP 还是 DHCP?还是您只是在实验室环境中不断更改 IP?
我想我的建议是为想要保留静态 IP 地址的服务器设置一个特定的 VLAN,然后将正在变化的 IP 地址放在另一个 VLAN 上。