có các giải pháp sau đây:

dot1x authentication
vlan access-list.
port security.

có thể anh phải kết hợp cả ba giải pháp.

RE: Fix cứng IP cho từng port của Switch

Bác có thể nói rõ được không? Kết hợp như thế nào vậy? Em chỉ hiểu một chút về port securit, còn cái dot1x authentication và vlan access-list thì không hiểu lắm.

RE: Fix cứng IP cho từng port của Switch

vlan access list ở đây có trình bày:

RE: Fix cứng IP cho từng port của Switch

Mình đọc rồi nhưng vẫn chưa hiểu 3 phần trên: dot1x authentication, vlan access-list, port security kết hợp với nhau như thế nào để quản lý được Ip người dùng. Họ cứ đổi tùm lum làm mạng conflig, không biết lần ra user nào đã đổi nữa. Mong các bác chỉ giáo cặn kẽ giùm em cái.

RE: Fix cứng IP cho từng port của Switch

trong tình huống của anh, anh chỉ cần tập trung nghiên cứu về vlan-accesslist. Trong VLAN ACL, anh sẽ nghiên cứu cách cấm hoặc cho phép một MAC address của người dùng.

Rất tiếc là switch 2950 lại không hỗ trợ công nghệ này.

RE: Fix cứng IP cho từng port của Switch

Có một phương pháp là dùng xác thực 802.1x (dot1x authentication) cho các PC. Theo phương pháp này:
- PC sẽ là Supplicant
- Switch là Authenticator
- Và bạn cần thêm một Authentication Server nữa (AAA Server) dùng TACACS hoặc RADIUS đều được.

Mỗi khi client log vào mạng, hệ thống sẽ hỏi username và password, sau khi đã đăng nhập, user sẽ được cấp một IP cố định và được assign vào một VLAN nhất định (IP và VLAN này được đặt sẵn trên Authentication Server). Mình cũng chưa biết chắc là sau khi nhận được IP rồi, nếu user tự ý đổi thành IP khác thì có tiếp tục được truy cập vào mạng không, cái này phải làm thử thì mới biết.

Tôi cho rằng switch 2900XL không hỗ trợ dot1x authentication.
Mạng của "nguoivietnam" có dùng DHCP ko?

RE: Fix cứng IP cho từng port của Switch

Các bác vẫn chưa ai có giải pháp nào toàn diện à?
Việc quản lý bằng địa chỉ MAC theo em là khó khả thi vì người dùng vẫn đổi được địa chỉ IP (vì mạng của em quản lý truy cập Internet qua IP mà -> có cách nào quản lý truy cập qua địa chỉ MAC không các bác nhỉ?). Nếu gắn địa chỉ IP với địa chỉ MAC may ra mới quản lý được hoặc cấm người dùng không được đổi IP (nhưng cũng khó khả thi với một mạng lớn và người dùng phân tán trên vài toà nhà cách nhau vài trăm mét)
Điều này nan giải đây
Mong các cao thủ nghiên cứu giúp.

(Mạng của em chỉ dùng IP tĩnh thôi, không dùng DHCP)
Nếu dùng DHCP có giải quyết được vấn đề trên không bác. Nhưng DHCP làm sao fix cứng địa chỉ IP cho một máy nào đó được (khoảng một thời gian nó lại đổi sang IP khác nếu bị máy khác chiếm dụng -> bó tay)

Các bác cho em hỏi nếu cấu hình cho user là Limited để user không thay đổi được địa chỉ IP thì có cách nào vẫn cho họ cài đặt các trình ứng dụng được không nhỉ? Vì nếu giới hạn bằng cách đó thì cũng cấm luôn việc cài đặt.

Thế còn cái Switch 2900XL và vài cái Switch 2950 thì có tạo được một mạng VLAN không các bác nhị Có cần phải dùng Router không?
Cảm ơn mọi người rất nhiều

RE: Fix cứng IP cho từng port của Switch

Giải pháp tôi sắp nêu ra sẽ liên quan đến sơ đồ mạng sau:
Mạng LAN ---- Switch ----- Router ----- Internet

Để giải quyết vấn đề kiểm sóat chặt chẽ người dùng không cho thay đổi IP, bạn có lẽ sẽ phải cần triển khai các yêu cầu sau:
1. Cấu hình port security trên Switch và chỉ chấp nhận 1 địa chỉ MAC đầu tiên trên mỗi switch port mà switch learn được từ người dùng thôi
2. Dựa vào bảng MAC này, trên router, cấu hình manually mapping giữa IP và MAC bằng lệnh :
arp IP_add MAC_add arap alias

Như vậy, với mapping này, người dùng sẽ không thể truy cập Internet nếu họ thay đổi địa chỉ IP

RE: Fix cứng IP cho từng port của Switch

Ý tưởng của bác hay quá. Tuy nhiên cho em hỏi một chút:
- Nếu cấu hình port security trên Switch và chỉ chấp nhận 1 địa chỉ MAC thì khi người dùng đổi Card mạng thì port đó sẽ khóa lại, đúng không ạ , vậy để mở port cho user ta phải đến tận switch đó để mở ra thế thì phiền phức quá, nhất là mạng lớn và trải trên một phạm vi rộng. Tuy nhiên điều này cũng ít khi xảy ra -> tính khả thi rất cao. Ta có thể cấu hình cho port mở từ xa khi user thay card mạng không bác
- Khi user đổi Ip thì máy khác trùng Ip có bị conflig không? Nếu vẫn bị thì cách phòng chống như thế nào?
- Với điều kiện trên thì phải có một con Router đúng không bác. Chỗ em chỉ có Cisco 2900XL thì có làm được không hả bác.
- Chỗ em quản lý Internet bằng Server chạy ISA, vậy mô hình của bác có áp dụng trong trường hợp này được không hay modem ADSL phải cắm trực tiếp vào Router
- Bác có thể nói rõ hơn việc cấu hình được không? Phần 2 em đọc vẫn chưa hiểu lắm

Cảm ơn mọi người rất nhiều

Re: RE: Fix cứng IP cho từng port của Switch

Có thể tham khảo thêm giải pháp non-Cisco đơn giản sau:
Với các HUB/SWITCH và một modem ADSL bất kỳ là có thể thực hiện được dễ dàng việc quản lý truy cập Internet dựa vào MAC address trên NIC của các PC, khi đó chỉ cần thay cái ISA bằng một cái Linux firewall dùng Netfilter/IPtables

RE: Fix cứng IP cho từng port của Switch

Vậy vấn đề user đổi Ip làm conflig với máy khác vẫn chưa giải quyết được triệt để. Các bác có thể nghiên cứu xem có giải pháp nào khả thi hơn không. Cái khó nhất vẫn là một mạng rộng trải dài vài km vuông, vấn đề quản lý Ip là cực kỳ nan giải. Nếu một user thay đổi Ip làm conflig máy khác thì làm sao tìm kiếm nổi user đó đây. Em vẫn muốn là quản lý user qua địa chỉ Ip và không cho user thay đổi IP cơ. Mong các bác có giải pháp thật toàn diện cho em cái.

Cảm ơn mọi người rất nhiều.

Re: RE: Fix cứng IP cho từng port của Switch

Nếu có tiển thì có thể áp dụng các giải pháp Cisco như đã đề cập ở trên, còn nếu không có tiền thì làm việc gì cũng khó cả!

Thông thường đối với các mạng lớn người ta thường subnet ra thành từng vùng nhỏ nối với nhau qua router để dễ quản lý, các vần để vể troubleshooting trong từng vùng khi đó sẽ dễ dàng hơn, và không ảnh hưởng đến các vùng khác, ngoài ra đối với các O/S hiện nay như MS Windows & Unix không phải user nào cũng dễ dàng thay đổi được IP address của máy đó đâu, việc quản lý mạng không chỉ đơn thuần là dùng kỹ thuật mà còn phải áp dụng kiến thức quản trị nữa

RE: Fix cứng IP cho từng port của Switch

Bạn có thể áp dụng các tính năng quản trị ở ngay mức Hệ điều hành để quản lý không cho phép đổi IP. Bạn join tất cả các PC vào domain và dùng công cụ Group Policy để thiết lập các quyền hạn dành cho user, nếu không sử dụng domain mà dùng Workgroup thì dùng công cụ Local Policy trên từng PC.