Добрый день. Хотелось бы узнать можно ли решить следующую задачу.
Есть DFL-800 с настроенным DHCP сервером на lan порту. Раздача адресов идет через настройку по статическим хостам. Пул используется 192.168.0.20-192.168.0.200. Часть адресов из пула вплоть до 192.168.0.150 назначаются статически (по маку), остальные 50 адресов оставлены как динамические для клиентов wi-fi. Назначить статическую привязку для раздачи по маку клиентам нельзя в силу особенностей организации труда.
Как запретить клиентам из группы статической раздачи менять себе адреса на любые из свободных для wi-fi. Или как сделать так что бы если клиент поменял себе адрес сам то у него не было доступа в интернет. Тоесть для части пула 192.168.0.20-192.168.0.150 сделать жесткую привязку мака к IP

Имхо, это функция управляемого коммутатора. Называется ip-mac-port binding

_________________
Ответы на все вопросы здесь: http://www.dlink.ru/ru/contacts/

Через Static ARP реализуется жесткая привязка.

Только мне кажется, если вы полно опишите что хотите реализовать по разграничению доступа, может найтись более надежное и красивое решение.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Static ARP + опция ARP Match Ethernet Sender = DropLog (ставится по умочанию, но часто выключается).

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Я хочу, что бы если клиент меняет свой IP на любой другой не привязанный к его железному адресу, то у него отсутствовал доступ в интернет. То есть, если клиенту назначен IP 192.168.0.120 и MAC 01-02-03-04-05-06, то он не мог бы себе прописать IP 192.168.0.160 у которого нет привязки к маку и пользоваться доступом в интернет с этого IP.

Static ARP вас устроит. Если юзеры и MAC не будут у себя подменять.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

К сожалению что-то у меня не получается с привязкой ARP.
Если оба IP адреса привязаны к конкретным железкам тогда все работает как положено. При смене IP не принадлежащего этой железке, а принадлежащего другой - доступ блокируется.
А вот если менять на IP который не привязан ни к одной железке - тогда доступ не блокируется. А привязать все IP к железкам проблемно и муторно. Там wifi, люди сидят с ноутами, планшетами, телефонами и прочей техникой. Привязывать могу только стационарные компы.

Вы так и не описали вашу задачу в целом, чтобы рассматривать все варианты решения, а не только заявленное вами.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Юр, а это болезнь такая на форуме в последнее время появилась, - ПАРТИЗАНЩИНА называется.

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...

Задача выдать по DHCP пользователю №1 IP адрес привязанный к его железу, а пользователю №2 выдать IP адрес не привязанный ни к одной железке. И сделать так что бы пользователь №1 не смог использовать IP адрес пользователя №2 пока того нет в сети. То есть если пользователь №1 слишком умный и решил обойти шейпер скорости и URL-фильтр через смену IP, то в итоге он получит фигу а не интернет. Я уж не знаю как более понятно писать задачу.

Тo, что вы описываете, решается с помощью статик ARP и статик DHCP.

Я же вам предлагал описать задачу более общей: на уровне групп пользователей с разными требованиями и уровнями доступа, чтобы рассматривать варианты физической изоляции сегментов друг от друга, с регламентируемым доступом мкжду ними при необходимости. Благо, на DFL-800 это нетрудно сделать.

В силу вашего нежелания это делать, возможно вы получите более неудобный и ненадежный вариант.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.