المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : من فضلكم سؤال فى ال dhcp


maroo_1987
30-12-2009, 14:37
السلام عليكم و رحمه الله

كان عندى سؤال فى ال dhcp
ازاى اقدر اتحكم فى ال dhcp بحيث اخلى اجهزه معينه بس هيه اللى تاخد ip addresses و اى جهاز جديد مش موجود عندى او اتوصل بال network ميخدش ip address
هل ده ممكن يتعمل
لان ممكن اى حد يسرق وصله من ال network وياخد ip address ازاى بقى اقدر احكم العمليه دى
لو ينفع يا ريت تساعدونى




ولكم جزيل الشكر
عادل شبل
30-12-2009, 16:05
شغل ال IPSec Policy على ال DHCP traffic
tarek_elmohamma
30-12-2009, 18:20
ماينفعش تحكم الموضوع ده طالما خد وصله يبقى هياخد ايبى
dr_timoon
30-12-2009, 19:22
شغل ال IPSec Policy على ال DHCP traffic


حل ممتاز يا بشمهندس
اشكرك دائما متالق بارك الله فيك
ولكن لى سوال
انت تقصد استخدام
ip sec require security

ويجب تطيبق طبعا هذة البولسى على جميع الاجهزة و لكن هذا سوف يجعل هناك ترفيك كبير على النتورك عند طلب كل جهاز IP من سيرفر ال DHCP

الا يوجد حل اخر !!!!!!!!!!!

اتذكر ان ال NAP
Network acces protection
تستطيع عمل هذا لولكنى لم اعمل عليها فقط ذاكرتها من فترة مع ال TMG
و اذكر انها بتخلى الاجهزة اولا تدخل على نتورك او VLan مختلفة عن ال VLan الحقيقية اى بتدخلك على diffrent subnet

و بعدها يقوم سيرفر ال NAP بالتحقق من الجهاز اللى عاوز يدخل على الشبكة ال client
و اذا طابق جميع المواصفات المطلوبة و اللى طبعا بيحددها مدير الشبكة يقدر ياخد اى من ال dhcp و يدخل على ال subnet بتاعت الشركة او يعنى ال Vlan المطلوب الدخول عليها
عادل شبل
30-12-2009, 20:43
انت تقصد استخدام
ip sec require security

ويجب تطيبق طبعا هذة البولسى على جميع الاجهزة و لكن هذا سوف يجعل هناك ترفيك كبير على النتورك عند طلب كل جهاز IP من سيرفر ال DHCP


تمام ومفيش ترفيك كبير ولا حاجه هى الحكايه ان السرفر هيبتدى يشغل الdriver IPSec مع ال DHCP traffic وساعتها لو ال Client متظبط عليه نفس ال IPSec policy parameters ساعتها هيقدر يبنى secure channel مع السرفر اما اى client تانى مش هيقدر يفتح session مع السرفر اصلا




اتذكر ان ال NAP
Network acces protection
تستطيع عمل هذا لولكنى لم اعمل عليها فقط ذاكرتها من فترة مع ال TMG
و اذكر انها بتخلى الاجهزة اولا تدخل على نتورك او VLan مختلفة عن ال VLan الحقيقية اى بتدخلك على diffrent subnet

و بعدها يقوم سيرفر ال NAP بالتحقق من الجهاز اللى عاوز يدخل على الشبكة ال client
و اذا طابق جميع المواصفات المطلوبة و اللى طبعا بيحددها مدير الشبكة يقدر ياخد اى من ال dhcp و يدخل على ال subnet بتاعت الشركة او يعنى ال Vlan المطلوب الدخول عليها

البشمهندس اللى بيسأل تقريبا عاوز حل من ال DHCP Server نفسه
kenzo
30-12-2009, 23:37
ممكن تحدد عدد الـ IPs الي يطلعهم سيرفر الـ DHCP Scope
يعني مثلا لو في الشبكة عندك 30 جهاز يبقى في الـ DHCP Scope عندك تخليه يطلع 30 IP
زي
172.1.1.1
الى
172.1.1.30
أي حد تاني حيبقى عاوز ياخد الـIP السيرفر مش حيديله لأنه الـ IPs الي موجودة في الـ Scope خلصت

جرب وقولنا النتيجة
عادل شبل
30-12-2009, 23:50
ممكن تحدد عدد الـ IPs الي يطلعهم سيرفر الـ DHCP Scope
يعني مثلا لو في الشبكة عندك 30 جهاز يبقى في الـ DHCP Scope عندك تخليه يطلع 30 IP
زي
172.1.1.1
الى
172.1.1.30
أي حد تاني حيبقى عاوز ياخد الـIP السيرفر مش حيديله لأنه الـ IPs الي موجودة في الـ Scope خلصت

جرب وقولنا النتيجة

ده مش منطقى_ طب افرض ان جهاز من خارج الشبكه طلب IP قبل ال Scope ما تخلص؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟
أيمن النعيمي
31-12-2009, 00:36
الحل الاكثر منظقية برائي هو انك تلغي DHCP :cool:
Abu Shehab
31-12-2009, 02:59
السلام عليكم،

ابسط حل اذا كان عندك عدد محدود من الاجهزه هو (Reservation) يعني انك تروح على كل جهاز وتاخذ Mac Address وتعمله حجز (Reservation) في DHCP Server .

اما اذا كان عندك عدد كبير من الاجهزة الله يعينك ، وعندك حل انك تشوف (Address Leases) وتعمل كوبي Mac Address وبعدها تعمل Reservation لكل الكلاينت!!

اتمنى اكون عطيتك فكرة مفيدة.

تحياتي،
بو شهاب
one-zero
31-12-2009, 03:44
هو طريقة عادل فيها لفه بس فيها الشفه كما يقولون :ah7:

ولكن يمكن جعل ال DHCP لا يعطي IP ADDRESS الا ل MAC ADDRESS (طبعا ستكون ماكات اجهزتك فقط) معينه بس نسيت الطريقه بصراحه كانت في موضوع التلاعب بال BINDING TABLES لو افتكرتها او حد عارفها ياريت يفكرنا بيها
egy_semooo
31-12-2009, 16:01
أنا أرى ان أسهل حل فعلاً هو عمل reservation بالـ mac بتاع كل جهاز اعمل اسكوب على قد الأجهزة المطلوب إعطاء ip ليها ولو احتجت تزود بعد كدة عدل في الاسكوب ده
maroo_1987
12-01-2010, 23:23
انا متشكر جدا على جميع ردودكم يا رب دايما كده فى العون دايما المشكله ان عندى فى الشبكه ما يقارب 2000 جهاز و فى ثلاث مناطق جغرافيه مختلفه فكنت عايز اعمل dhcp عشان ال static ip مش مجدى مع الكميه الكبيره دى
kenzo
13-01-2010, 11:47
ده مش منطقى_ طب افرض ان جهاز من خارج الشبكه طلب IP قبل ال Scope ما تخلص؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟

أخي أنا اعتقدت أنه عدد الأجهزة التي لديه في الشبكة صغير أو نظام وصلات الأنترنت المعروفة
لا أعرف انه العدد كبير 2000 جهاز
rOcK Dash
13-01-2010, 12:15
ممكن تعمل حاجة اسمها ال NAP على السيرفر 2008 سهلة جدا وفعالة وتحدد اجهزة معينة هي فقط تاخذ اي بي من ال DHCP
hisooka_dos
13-01-2010, 12:28
لان ممكن اى حد يسرق وصله من ال network وياخد ip address ازاى بقى اقدر احكم العمليه دى



أنت لو عندك سويتشات سيسكو ممكن تفعيل لبورت سكيوريتي على بورتات سويتشات ...علشان أي حد ما يسرق وصله من ال network كما قلت ..
majdi_ham
13-01-2010, 13:42
اذا كانت الشبكة بهذا الحجم انصحك باستخدام تقنية بورت سيكيورتى الموجودة على السويتشات او باستخدام سيرفير خاص بسيسكو واسمه nac (network accses control ) وهذا فعلا مميز ويتعامل مع vlan ويقسم vlan على حسب الدومين
والله اعلم
kotaa
13-01-2010, 21:14
الموضوع جميل
بس هو ممكن عن طريق ISA بس هتكون User name بس يجب ان تكون بالدومين والي مش موجود في الدومين لن يتمكن من الدخول

او عن طريق حاجه اسمها mac filter dhcp https://www.minasi.com/newsletters/nws0911.htm
هل من الممكن شرح لطريقة IPsec
وشكرا للجميع
ssssss
14-01-2010, 13:29
سبحان الله وبحمده سبحان الله العظيم
kenzo
15-01-2010, 00:00
الحل هو NAP

DHCP Enforcement Configuration
gamal_mcse
20-02-2010, 19:11
بص اخى ممكن الحل ببساطه جدا
اول حاجه تحدد مثلا عدد الاجهزة بحيث يكون على قد الاى بى
هتقولى طيب ممكن جهاز ياخد اى بى قبل الاسكوب
هقول الغى الليز فى الحالة دى الاجهزة لما تلغيه هتكون متعرفه على السيرفر
وكل جهاز هيروح ياخد الاى بى الخاص بيه
والسيرفر فى الحالة دى هيعتبر انه محجوز
وبعدين بتقولى اى واحد يوصل وصله وياخد رينج اى بى
دا لو حصل كدا انت متشتغلش مهندس
لان دا عيب كبير فى حقك
او كل شوية راجع عدد الاجهزة الموجودة
مع الشكر