Хочу сделать так, чтобы IP-адреса, выдаваемые DHCP-сервером "навечно" (т.е., Static Leases), не перемешивались с общим пулом динамически выдаваемых адресов.
Ну, т.е., например, чтобы диапазон от x.x.x.2 до x.x.x.50 использовался только для Static Leases, а динамические адреса выдавались бы, начиная с x.x.x.51 и выше.
На других моделях роутеров такое дело всегда получалось, а здесь не получается - если Static Lease не попадает в диапазон динамических адресов, то выдается ошибка.

В результате получается, что итоговый список розданных IP-адресов представляет собой жуткую смесь "статики" и "динамики".

так и в чем проблема то?
Разве для StaticLeases не используется DHCP? - Используется. Просто идет анализ МАСа. И если он привязан к определенному IP, то выдается именно тот IP из диаппзона 2-50. А если не привязан - выше 51.
Абсолютно верная логика работы устройства. Не этого ли Вы сами хотите?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Ох, как я "люблю" ответы типа "вопросом на вопрос". Особенно, когда спрашиваешь "как?", а тебе отвечают "зачем?"
Итак, есть сеть: маршрутизатор с адресом 192.168.0.1 и далее клиенты (для краткости буду указывать только последний октет адресов).
Для удобства администрирования и контроля клиенты разбиты на две большие категории - постоянные (с DHCP-статическими адресами от 2 до 60) и временные (с DHCP-динамическими адресами от 100 до 200).
Постоянные клиенты, в свою очередь, разбиты на подкатегории с выделением DHCP-статических адресов:
1. Маршрутизаторы, концентраторы, точки доступа - от 2 до 10
2. Принт-серверы, телефонные шлюзы - от 11 до 20
3. Серверы - от 21 до 30
4. Мультимедийные устройства - от 31 до 40
5. Рабочие станции - от 41 до 50
6. Мобильные устройства (смартфоны, планшеты) - от 51 до 60
Имеющегося количества устройств в каждой подкатегории недостаточно для заполнения всего адресного пула, поэтому в нем есть пропуски. Например, по факту имеется три сервера, занимающих адреса 21, 22, 23. Адреса с 24 по 30 находятся в резерве. Такая же ситуация и с другими подкатегориями.

И когда я смотрю, скажем, какую-то статистику (например, текущие соединения) и вижу там, к примеру, что имеется некая подозрительная активность на адресе 192.168.0.47, то я не могу сразу понять - то ли это рабочая станция из числа "постоянников", то ли это какой-то временный клиент, получивший динамический адрес. Для уточнения мне приходится идти в другие разделы настроек DFL-260E и там смотреть, какого типа этот адрес, поскольку таблицу адресации просто невозможно запомнить наизусть и постоянно держать в голове.

Я за долгие годы работал с маршрутизаторами многих типов и моделей. И практически всегда в настройках DHCP была возможность разделить диапазоны адресов, чтобы четко знать - вот этот адрес постоянный, а вот этот динамический.

Надеюсь, объяснил внятно.

Ну лично я вижу единственный путь. Забить весь диапазон Static Leases полностью - эффективными и фиктивными адресами. При необходимости фиктивные переделывать в эффективные.

Хорошо, что любите. Это весьма полезный вопрос. Значит, отвечающий сможет предоставить Вам более эффективное решение, т.к. лучше понимает ситуацию.

Не очень понимаю зачем Вы это упомянули, поскольку тут вам этот вопрос не задали.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

по хорошему . это бы на Vlan нарезать
и будет счастье
А вообще , половине того что у вас в списке - я бы вообще руками приколотил бы адреса ....

а так действительно - выход только с фиктивными и фактическими маками . тк DHCP-Pool, включает в себя все .... те нельзя задать статику НЕ ИЗ DHCP-Pool.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку

Сложно это - на каждого клиента персонально лазить и там настраивать. Особенно это касается смартфонов - завтра товарищ потрет запомненную и настроенную точку доступа, и начинай все настройки сначала. А так (со статическими лизингами) удобно - первоначально клиент получает адрес из динамического диапазона, потом его мак отлавливается на роутере, ему выделяется статический лизинг, и на следующий день он уже вполне вписывается в сеть.
Это вообще кошмар какой-то - сидеть и заполнять базу адресов (точнее, три базы - маки, ип и DHCP-соответствие) фейковыми записями.
Вообще, очень странно, что такая продвинутая железяка, как DFL-260E, не умеет делать то, что умеют квартирные роутеры ценой в тыщу рублей.
И опять же - нет блокировки доступа в сеть по мак-адресам. Блокировка есть только по ип - поэтому и приходится "базироваться" на статическом лизинге.
Здрассьте, приехали. Если бы все было так, как вы описали, я был бы счастлив. Но дело в том, что "непривязанному" маку тоже выдается адрес из "статического" диапазона (в вашем примере - из диапазона "2-50"), поскольку в этом самом "статическом" диапазоне есть пропуски. Без пропусков-то никак. Допустим, у меня ровно 49 "статических" клиентов, и я назначил им адреса с 2 по 50 (ровно 49 адресов без пропусков). А завтра какой-то из этих клиентов (допустим, у него был адрес 25) навсегда "ушел". Если я освобожу этот адрес, то он сразу же будет выдан "динамическому" клиенту. А если оставлю в качестве "мемориала в память об ушедшем", то через какое-то время база адресов будет частично состоять из фейков, а это уже извращение. Потом придет новый клиент, которому понадобится "статика" - и сиди потом, ройся в базе и вспоминай, какие тут адреса рабочие, а какие фейковые.

Как говорит один мой коллега, к сожалению, мы живем в несовершенном мире. Я бы тоже хотел много чего из окружающего меня мира переделать...

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Да, вот кстати о блокировке доступа, как ее правильно организовать?
Ну вот например, у меня стоит задача блокировать доступ для некоего МАС-адреса - назовем его "вражеский МАС-адрес". Что я делаю?
Во-первых, работает правило, согласно которому доступ к сети имеют только IP-адреса из некоего списка - назовем его "белый список".
Во-вторых, я регистрирую этот "вражеский" МАС-адрес, назначаю ему IP-адрес, не входящий в белый список, и прописываю это соответствие в статическим лизинге DHCP-сервера.
В итоге клиент с "вражеским" МАС-адресом доступа к сети не имеет.
Но... Если клиент более-менее сообразительный, то он пропишет себе статический IP-адрес из белого списка (например, вычислит физически отсутствующего сегодня клиента из числа "легальных" и пропишет себе его IP). И что в итоге? Он получит доступ в сеть.

Верно. И, на мой взгляд, тут единственный выход - использовать авторизицию. Воспользуйтесь руководством.

Меня не спрашивайте. Я ее не настраивал.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Как вы на практическом уровне представляете себе авторизацию со смартфона? Или еще лучше - с медиаприставки к телевизору или Chromecast-донгла?

Доступ wifi-устройств легко рубится mac-фильтром на точке доступа. А уж несанкционированное подключение медиаприставки вааще трудно представить)) Также с трудом предстваляется, что кто-то чужой будет лазить со своим ноутом по офису, пытаясь подключиться шнурком к розетке)
Как вариант, отделите гостевую сеть с помощью какого-нибудь роутера с wifi. Ну или vlan-ы.

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/

Вот тут красивый мануал http://kompfirma.narod.ru/DFL.pdf
Что-то из него может Вам пригодиться в части настройки гостевой сети и вланов.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Я это знаю. Однако хотелось бы иметь единый "узел управления" сетью, а не разбрасывать функционал (тем более - функционал защиты) по разным объектам. В частности, в сети работают три точки доступа. Прикажете на каждую персонально лазить и прописывать там блокируемые МАС-адреса? А потом на бумажку записывать, где чего настроено?
Ну и к тому же как- то несолидно "в помощь" такому мощному сетевому экрану, как DFL-260E привлекать какие-то мелкие и дешевые точки доступа, поскольку сам этот "монстр" не в состоянии обеспечить себя нормальным (а главное - вполне естестенно востребованным) функционалом.Вот именно! Тем не менее, кто-то мне тут выше советовал организовать доступ в сеть с авторизациейПри чём тут "чужие"? Есть "свои", отлученные от Интернета санкцией руководства за какие-то там провинности. Вот такой "отлученный вполне может отключить ту же медиаприставку и выставить на своем компе ее законный IP-адрес (для подмены MAC'а, слава богу, знаний у него не хватает, а вот поменять IP на статику он вполне способен). Ну а я же не могу каждые 10 минут заходить в веб-морду DFL, чтобы сверять там по длинному списку соответствие IP-MAC.

И как в этом случае вам поможет отдельный диапазон адресов dhcp-сервера?

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/

Вааще-то, это - не функция dfl. Это всё-таки - маршрутизатор/фаерволл. То, что вам нужно, ближе к функционалу коммутатора. К примеру, функция IMPB.

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/