Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| | | | | | | |
Один из вариантов 25.10.03 01:30 Число просмотров: 929
Автор: void <Grebnev Valery> Статус: Elderman
|
> У нас в сетке стоят привязанные к MAC-у IP-шники. Причем
> получить чужой IP тоже не получится: на кабельном модеме
> тоже стоит привязка к MAC-у.
>
Как у Вас это сделано (если не секрет)? Думаю, что не средствами W2k.
> Но я все еще не понимаю, почему нельзя использовать
> статические адреса в DHCP-сети.
Конечно, можно. На сервере DHCP резервируется пул адресов, который не перекрывает диапазон для статической адресации.
|
|
<sysadmin>
|
Что уважаемая общественность имеет Против DHCP? 23.10.03 14:35 [Cyril, amirul, whiletrue, HandleX, !mm, fly4life]
Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
|
|
есть ли какие либо причины НЕ использовать DHCP в локалке на 100 компов?
|
|
Пора закрывать 03.11.03 11:12
Автор: amirul <Serge> Статус: The Elderman
|
|
Потому что каждое мнение уже высказано минимум 3 раза
|
|
подводя итоги 28.10.03 19:56
Автор: RazDolBai Статус: Member
Отредактировано 28.10.03 19:58 Количество правок: 1
|
перечитав ветку можно резюмировать следующее: каждый работает так, как привык. DHCP при необходимости может здорово облегчить жизнь, но может и напакостить-это опять же зависит от обстоятельств и наличия правильно приставленных рук/головы ))
лично мое мнение - DHCP однозначно облегчает жизнь, даже в небольших сетях.
> есть ли какие либо причины НЕ использовать DHCP в локалке
> на 100 компов?
|
| |
Лучше так: 29.10.03 03:59
Автор: Zef <Alloo Zef> Статус: Elderman
|
|
Если необходимо динамическое выделение адресов (для диалапа, или если адресов "на всех не хватит"), то без него - никак, если нет, то лучше без него.
|
| | |
Когда PPP переходит в network phase 29.10.03 11:21
Автор: amirul <Serge> Статус: The Elderman
|
> Если необходимо динамическое выделение адресов (для
> диалапа, или если адресов "на всех не хватит"), то без него
> - никак, если нет, то лучше без него.
То бишь уже может обмениваться IP пакетами (необходимый минимум для работы DHCP), IP адреса уже присвоены обоим концам и присваиваются они при помощи конечного автомата IP Control Protocol-а, как части PPP-протокола.
|
| | |
А лучше так: 29.10.03 09:57
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 29.10.03 09:58 Количество правок: 1
|
> Если необходимо динамическое выделение адресов (для
> диалапа, или если адресов "на всех не хватит"), то без него
> - никак, если нет, то лучше без него.
Для диалапа, как раз, достаточно по фиксированному адресу на модем, а, вот, получать из динамически надо, с чем серверная часть справится и без DHCP.
Если прописывания никак не избежать или тяжело организовать (не хочется сервер выделять - одноранговая сеть), то прописать. Если есть сервак, то сконфигурить на нем DHCP, поскольку единственным значимым преимуществом централизованной раздачи адресов является отсутствие гемороя обегать и перенастраивать множество писюков.
|
| | | |
Полностью поддерживаю 29.10.03 11:22
Автор: amirul <Serge> Статус: The Elderman
|
> поскольку единственным значимым преимуществом
> централизованной раздачи адресов является отсутствие
> гемороя обегать и перенастраивать множество писюков.
DHCP не имеет альтернатив, только в случае, когда такое оббегание невозможно (в случае домашних сетей, к примеру). В остальных случаях - каждый волен выбирать
|
| | | | |
Полностью НЕ поддерживаю 30.10.03 01:07
Автор: void <Grebnev Valery> Статус: Elderman
|
1) К моему мнению можно не прислушиваться, поскольку специалист я хм,
гм-гм, весьма посредственный,
НО
2) Самое главное, на мой взгляд, что существуютразличные задачи в сетевой обработке данных, в том числе, и вопросы обеспечения информационной безопасности.
Без этого контекста (как бы он не стоял "хорошо" или "плохо") не существует сетевой обработки вообще. И дело здесь, конечно, не в той или иной реализации DHCP. И дело здесь не в том - удобно - не удобно бегать по компам. Если особенности обработки таковы, что надо бегать, значит надо бегать.
Тем, более если говорить об окошках - там вообще все службы перемешаны и интегрированы "для пользы дела". Здесь постили,
про то, что воозможно в так называемых "резервэйшенах" привязать ип к маку и таким образом повысить безопасноть - смешно.
ПС. Модераторам - можете вообще удалить мой злобный пост, чтобы досадить моему комиссарскому телу. Я не обижусь.
|
| | | | | |
Имеете право. 30.10.03 11:11
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
|
> 1) К моему мнению можно не прислушиваться, поскольку
> специалист я хм,
> гм-гм, весьма посредственный,
Здесь не отсеивают неспециалистов. И многие здесь специалистами себа не считают. Однако мнение каждого дорого. Истина, она как раз где-то посередине столкновения различных мнений.
> НО
> 2) Самое главное, на мой взгляд, что существуютразличные
> задачи в сетевой обработке данных, в том числе, и вопросы
> обеспечения информационной безопасности.
> Без этого контекста (как бы он не стоял "хорошо" или
> "плохо") не существует сетевой обработки вообще. И дело
> здесь, конечно, не в той или иной реализации DHCP. И дело
> здесь не в том - удобно - не удобно бегать по компам. Если
> особенности обработки таковы, что надо бегать, значит надо
> бегать.
Это же уже резюмировали - там где надо, значит надо.
> Тем, более если говорить об окошках - там вообще все службы
> перемешаны и интегрированы "для пользы дела". Здесь
> постили,
> про то, что воозможно в так называемых "резервэйшенах"
> привязать ип к маку и таким образом повысить безопасноть -
> смешно.
DHCP - не средство обеспечения безопасности, а средство облегчения жизни.
> ПС. Модераторам - можете вообще удалить мой злобный пост,
> чтобы досадить моему комиссарскому телу. Я не обижусь.
Не надо ничего удалять.
|
| | | | | | |
Дополнение 30.10.03 12:16
Автор: amirul <Serge> Статус: The Elderman
|
> > Тем, более если говорить об окошках - там вообще все
> службы
> > перемешаны и интегрированы "для пользы дела". Здесь
> > постили,
> > про то, что воозможно в так называемых "резервэйшенах"
> > привязать ип к маку и таким образом повысить
> безопасноть -
> > смешно.
> DHCP - не средство обеспечения безопасности, а средство
> облегчения жизни.
Единственной проблемой с безопасностью DHCP вижу наличие одной лишней службы. Если дыру найдут именно в ней - можно получить доступ. Все остальные сценарии, что в случае с DHCP, что со статическим прописыванием действуют одинаково. Если пользователь может сгенерить RAW пакет, чтобы получить чужой IP, то как минимум он может генерить не только чужие МАК-и, но и чужие IP-шники и статика тут тоже отдыхает. Более глобальным последствием такого предположения является то, что такой пакет может генерировать только админ (по дефолту), если юзер смог - его уже ничего не остановит. В тех же условиях не спасет и прописанный статический IP.
Обеспечение безопасности - всегда комплексная работа и сам по себе DHCP на нее практически не влияет. Вернее влияет, потому как из-за меньшего геморроя снижается вероятность ошибки вследствие человеческого фактора.
|
| | | | | | | |
Полностью согласен 31.10.03 02:41
Автор: void <Grebnev Valery> Статус: Elderman
|
А вот здесь особенно
> Обеспечение безопасности - всегда комплексная работа и сам
> по себе DHCP на нее практически не влияет. Вернее влияет,
> потому как из-за меньшего геморроя снижается вероятность
> ошибки вследствие человеческого фактора.
|
|
Самое главное понимать разницу между динамическим распределением и динамическими адресами. 23.10.03 22:54
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 23.10.03 22:56 Количество правок: 1
|
> есть ли какие либо причины НЕ использовать DHCP в локалке
> на 100 компов?
Когда два-три писюка, то адреса можно и "вручную прописать".
Стационарным компьютерам по МАКу привязываются фиксированные АйПи.
Часть пула отдать "гостям" типа ноутбуки и "новички" (чтоб втыкнул в сеть и что-нибудь увидел).
Использование централизованного назначения адресов избавит от необходимости бегать по сотне писюков, когда потребуется перенастроить сеть.
Недостаток - если стоит сервер, то вновь включившиеся писюки не получат адреса и, стало быть, не увидят сети.
Можно завести два сервера.
Может я что-то не знаю, но меня поразило отсутствие в Микрософтовском сервере возможности скинуть настройки динамического распределения адресов в файл, а на другом серваке их подтянуть.
|
| |
Самое главное понимать разницу между динамическим распределением и динамическими адресами. 24.10.03 23:21
Автор: StR <Стас> Статус: Elderman
|
> Может я что-то не знаю, но меня поразило отсутствие в
> Микрософтовском сервере возможности скинуть настройки
> динамического распределения адресов в файл, а на другом
> серваке их подтянуть.
а репликация не устраивает?
|
| |
небольшой оффтопик 24.10.03 15:39
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
Отредактировано 24.10.03 15:39 Количество правок: 1
|
> Может я что-то не знаю, но меня поразило отсутствие в
> Микрософтовском сервере возможности скинуть настройки
> динамического распределения адресов в файл, а на другом
> серваке их подтянуть.
Искать на предмет: "Restoring the DHCP Database"
|
|
DHCP rulezz forever!!! IMHO 23.10.03 22:03
Автор: Den <Denis> Статус: The Elderman
|
|
|
|
Что уважаемая общественность имеет Против DHCP? 23.10.03 15:11
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
а смысл? он предназначен для компов которые перемещаются из одной сетки в другую (мобильные пользователи с нотерами)
а если комп стационарный, то использовать DHCP для них не имеет смысла - проще выдать статические ИП адреса
|
| |
Что уважаемая общественность имеет Против DHCP? 30.10.03 06:31
Автор: dikiy Статус: Незарегистрированный пользователь
|
> а смысл? он предназначен для компов которые перемещаются из
> одной сетки в другую (мобильные пользователи с нотерами)
> а если комп стационарный, то использовать DHCP для них не
> имеет смысла - проще выдать статические ИП адреса
Под "выдать статические ИП адреса" вы подразумеваете "прописать ручками на каждой машине"? Позвольте не согласиться.
При изменении конфигурации сети (дефолт сменился там или маска) придется оббегать ножками все 100 машин и на каждой менять-менять, причем мышкой-мышкой (я так понимаю, винда?).
Что до статических адресов - можно заставить DHCP-сервер выдавать по конкретному MAC-адресу конкрентый IP.
|
| | |
слегка не в тему 30.10.03 18:31
Автор: jammer <alex naumov> Статус: Elderman
|
> Под "выдать статические ИП адреса" вы подразумеваете
> "прописать ручками на каждой машине"? Позвольте не
> согласиться.
>
> При изменении конфигурации сети (дефолт сменился там или
> маска) придется оббегать ножками все 100 машин и на каждой
> менять-менять, причем мышкой-мышкой (я так понимаю,
> винда?).
на моей памяти, MAC-адреса меняются намного чаще маски, а адрес шлюза (ты это имел в виду под "дефолт"?), я имею в виду внутренний адрес шлюза, находится в ведении админа сети (подсети). соответственно тоже не меняется. слава богу забайндить второй адрес к сетевухе можно и на нормальных виндах, и на юниксе - то есть нет смысла менять внутренний адрес шлюза, даже если ты переносишь шлюз на другое железо и операционную систему.
> Что до статических адресов - можно заставить DHCP-сервер
> выдавать по конкретному MAC-адресу конкрентый IP.
ты имеешь в виду резервирование? если нет то объясни подробнее что именно ты имеешь в виду.
|
| | | |
слегка не в тему 03.11.03 05:58
Автор: dikiy Статус: Незарегистрированный пользователь
|
> на моей памяти, MAC-адреса меняются намного чаще маски, а
> адрес шлюза (ты это имел в виду под "дефолт"?), я имею в
> виду внутренний адрес шлюза, находится в ведении админа
> сети (подсети). соответственно тоже не меняется. слава богу
> забайндить второй адрес к сетевухе можно и на нормальных
> виндах, и на юниксе - то есть нет смысла менять внутренний
> адрес шлюза, даже если ты переносишь шлюз на другое железо
> и операционную систему.
Конечно, из любой ситуации существуют по крайней мере 2 выхода. Всегда можно найти путь, как выйти из нее с наименьшей кровью. Проще заложить возможность масштабирования изначально и иметь возможность легко изменить настройки всей сети.
> > Что до статических адресов - можно заставить
> DHCP-сервер
> > выдавать по конкретному MAC-адресу конкрентый IP.
>
> ты имеешь в виду резервирование? если нет то объясни
> подробнее что именно ты имеешь в виду.
В предыдущих сообщениях как противопоказание к применению DHCP указывалась необходимость иметь на конкретном компьютере конкретный фиксированный IP-адрес.
|
| | | | |
слегка не в тему 03.11.03 11:11
Автор: amirul <Serge> Статус: The Elderman
|
> Конечно, из любой ситуации существуют по крайней мере 2
> выхода. Всегда можно найти путь, как выйти из нее с
> наименьшей кровью. Проще заложить возможность
> масштабирования изначально и иметь возможность легко
> изменить настройки всей сети.
На этом и сошлись
> > ты имеешь в виду резервирование? если нет то объясни
> > подробнее что именно ты имеешь в виду.
>
> В предыдущих сообщениях как противопоказание к применению
> DHCP указывалась необходимость иметь на конкретном
> компьютере конкретный фиксированный IP-адрес.
А он и будет конкретный. Но только после получения аренды DHCP.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
