在我的网络中,我运行dhcpd3设置只为特定的MAC地址分配IP地址.它工作得很好,我甚至将它与bind9集成在一起,自动创建带有自定义TLD的直接和反向DNS主机名.
但有一件事我还没想到:如果用户在他的机器上设置静态IP,他将可以访问网络.使用iptables过滤不在dhcpd3指定范围内的IP地址也没有多大帮助,因为如果IP地址为192.168.0.20的用户不在办公室,则该IP地址仍然在允许列表中.当他插上电脑时,我们会遇到重复地址等问题.
dhcpd3(或其他一些DHCP服务器)运行调用iptables解锁地址的外部脚本的解决方案非常好,但我找不到那样做的DHCP服务器.
我考虑过使用带有RADIUS的802.1X,但是网络上有一些不支持它的打印机和IP电话,所以我需要告诉交换机某些端口不会使用802.1X.这打开了一个洞,他们可以在网络上添加小型8端口交换机并将其机器插入其中.此外,IP电话具有嵌入式2端口交换机.
我知道有一种称为RADA的东西,你允许特定的MAC地址来启动RADIUS身份验证,但是我的交换机不能不幸地支持它.
我真的没有关于这个的想法.也许这是一个非常简单和优雅的解决方案,但我真的找不到自己.
