Jump to content

Recommended Posts

Имеется большая (несколько сот компьютеров) корпоративная сеть из компьютеров, на некоторых клиент есть, на некоторых - нет. Ввиду размеров сети естественно адреса раздаются по DHCP. Компьютеры, на которых установлен клиент, через координаторы и тоннели между ними соединяются с другими региональными сетями. Насколько в подобной конфигурации имеет значение то, статический адрес у компьютера с клиентом, или динамический? Насколько критична смена ip-адреса компьютера?

Share this post


Link to post
Share on other sites

Все зависит от того как настроены координаторы, но большинстве случаев смена IP на клиенте не критична.

Share this post


Link to post
Share on other sites

Интересует, в каких специфических ситуациях динамическая адресация может мешать. Просто очень злободневно, потому что наш отдел защиты информации настаивает, чтобы все (ВСЕ!) компьютеры в сети были переведены на статику, а учет выданных адресов вести в журнале (sic!). Аргументируют именно проблемами в работе випнет-клиентов. Я, как админ сети, честно говоря в ужасе от такой перспективы.

Share this post


Link to post
Share on other sites

В том случае если випнет клиенты из одного широковещательного домена имеют связи друг с другом и ходят друг к другу на компы по ip. В том случае если за координатором есть туннелируемый сервис с фильтрацией по ip и включены реальные адреса выхода из полутуннеля на координаторе.

Если в МЭ который находится между локалкой и координатором нужно прописывать каждый раз правила для выхода зашифрованного трафика.

В общем очень редкие ситуации которые прям из пальца повысасывать нужно. DHCP рулит и против этого не попрешь.  

Share this post


Link to post
Share on other sites

Мешать может в случае, когда машина с клиентом получает IP который прописан как туннелируемый ресурс. Если туннелей нет, то и проблем с динамикой быть не должно.

Share this post


Link to post
Share on other sites

Ну и какие проблемы прописать исключения в DHCP?
Ну или зарезервировать туннелируемые IP-адреса за несуществующими MAC-ами?

Share this post


Link to post
Share on other sites

В том и дело что никаких, и в особых случаях так и делаю, но меня хотят заставить вообще оставить DHCP с диапазоном в десяток адресов для первоначального подключения новых компов, а все рабочие - только в статику и учет руками... Вот и собираю аргументы.

В любом случае всем спасибо!

Share this post


Link to post
Share on other sites

Озвучьте ценник на "хорошо управляемую сеть".
Кроме стоимости железа и сетевого управляющего софта неплохо было бы включить ценник на курсы обучения и сертификацию.
Не забудьте посчитать увеличение ФОТ за расширение "зоны обслуживание".

P.S. "Сто лет в обед" существует EAP/EAP-TLS, позволяющий авторизовать сначала компьютер, а потом - пользователя на этом компьютере. По результатам авторизации сеть может автоматически принять решение о назначении VLAN-а, что обеспечивает нормальную изоляцию на уровне ядра сети.
Пусть ваши безопасники или из пещеры вылезут или сами ведут реестры.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.