Linux: запрещение получает доступ к сети, когда у пользователя есть статически определенный IP-адрес
Можно использовать вещь, названную Статическим маршрутом для указания, какое соединение Вы хотите использоваться (если они находятся оба на той же подсети), или можно вручную изменить Файл hosts (если они находятся на другой подсети).
Для начала, это обычно - хорошая идея иметь пересечение соединений (к вашему сведению, Гигабит не требует перекрестного кабеля, это автоматически перекрестно соединит себя) на его собственной подсети. Например, если Ваша нормальная сеть 192.168.1.x, затем используют 192.168.2.x - этот путь, там не может быть никакой беспорядок для шлюза.
Если у Вас есть эти два соединения на различных подсетях, то лучший способ гарантировать гигабитное соединение, которое будет использоваться, состоит в том, чтобы добавить запись в Ваш Файл hosts.
Обзор к следующему местоположению на Вашем компьютере:
C:\Windows\System32\drivers\etc
Там существует файл, названный 'хостами'. Измените этот файл так, чтобы это не было только для чтения, и откройте ее в блокноте. Затем добавьте строку, которая похожа на следующее:
x.x.x.x SQLServer
Кроме замены x.x.x.x IP-адрес и SQLServerto быть IP/именем хоста Вашего сервера. Поскольку та подсеть существует исключительно в Вашей перекрестной сети, Windows будет достаточно умен для знания к отправленному этого по этому nic.
Если по любой причине Вы не можете разделить подсети (т.е. они оба 192.168.1.x), затем, можно использовать Статический маршрут для достижения этого (Можно сделать это также, если Вы хотите, но это довольно избыточно). Для добавления этого маршрута по умолчанию откройте командную строку (как администратор, если это - Vista с контролем учётных записей), и выполните следующее:
route add x.x.x.x mask 255.255.255.255 y.y.y.y -p
Где x = IP-адрес гигабитного соединения SQL-сервера и где y = IP-адрес гигабитного соединения Вашего компьютера
Это скажет Windows это, когда Вы запросите IP-адрес SQL-сервера, для выполнения его по гигабитной сети.
Вы не можете сделать этого на уровне IP; если пользователь настроит свой компьютер, чтобы иметь допустимый адрес/маску, то он сможет получить доступ к Вашей сети. Единственная опция здесь фильтрует доступ на уровне MAC, таким образом позволяя только платы Ethernet, принадлежащие компьютерам (или устройства), Вы доверяете. 802.1x действительно лучшее решение здесь.
Я предполагаю открытие фильтра после того, как системе присвоили, IP-адрес открывает проблемы синхронизации. Я запустил бы с использования arpwatch или чего-то как этот для сканирования для новых систем, для сравнения его с DHCP арендует таблицу или список позволенных систем и если Вы находите несанкционированную систему, блокируете ее в этой точке. Как заблокироваться, это зависит от Вашей структуры сети и аппаратных средств. Если бы Вы не используете много настольных переключателей в офисах, моя идея состояла бы в том, чтобы просто деактивировать рассматриваемый порт коммутатора.
Другой, более легкое решение могло бы состоять в том, чтобы активироваться 802.1X для большинства портов, но использовать список позволенных MAC для портов, где это не будет работать. Это должно поддерживаться Вашими моделями коммутатора, конечно.
Вы можете ограничивать некоторые порты определенными MAC-адресами. Если Вы, любой ограничивает каждый порт определенным MAC (говорят относительно принтера), или использование 802.1X для аутентификации его использования, то Вы, вероятно, так в безопасности, как можно быть и остаться нормальными.
Я думаю, что некоторые переключатели предлагают способность к вниз порту, если бы они обнаруживают несанкционированные MAC-адреса, поэтому просто присоединение концентратора вместо принтера заставило бы принтер идти офлайн, после того как они подключили свой компьютер к концентратору.
Насколько безопасный это должно быть / от чего Вы защищаете? Это что-то, что Вы могли увеличить с ручными проверками (просто засовывают Вашу голову в в каждую комнату, ища странные вещи, присоединенные к портам.)
Некоторые переключатели могут сделать то, что Вы хотите. Для некоторых переключателей Cisco Catalyst существует функция, названная "защита источника IP", которая делает то, что Вы хотите. (У некоторых других поставщиков также есть схожая функциональность; просто Google vendorname и "источник IP охраняют").
Из документов Cisco:
"Можно включить защиту источника IP, когда отслеживание DHCP включено в недоверяемом интерфейсе. После того, как защита источника IP включена в интерфейсе, блоки переключателя весь трафик IP, полученный в интерфейсе, за исключением пакетов DHCP, позволенных отслеживанием DHCP. Список управления доступом (ACL) порта применяется к интерфейсу. Порт ACL позволяет только трафик IP с исходным IP-адресом в источнике IP обязательная таблица и отклоняет весь другой трафик".
См.: http://www.cisco.com/en/US/docs/switches/lan/catalyst3750/software/release/12.2_35_se/configuration/guide/swdhcp82.html для получения дополнительной информации о защите источника IP и dhcp, шпионящем на коммутаторах Cisco.