none
DHCP как запретить получение IP адресов VoIP телефонам RRS feed

  • Вопрос

  • Коллеги, добрый день. 

    Требуется сделать так, что бы IP телефоны не работали, в случае если находятся не в своем VLAN.
    Идея заключается в том, что бы запретить получение IP-адресов, всеми IP телефонами, в случае если на них настроен не родной VLAN. 

    Можно ли это как-то реализовать на уровне области, если да, то как?
    DHCP сервер - Windows 2012r2

    20 июня 2019 г. 10:55

Ответы

  • Подозреваю, что нет, ибо на уровне области можно настроить политику для гранулярной обработки клиентских запросов DORA, но там нет запретов (можно например выдавать просто неверные адреса шлюзов и т.п.), а запреты есть на верхнем уровне, но они категоричные - т.е. в принципе не обслуживать такой-то MAC в независимости от VLAN (DHCP Relay). 

    Задачу решить можно именно через политику для области. Да, запретов там нет, но в политике можно настроить выдаваемый диапазон адресов из одного адреса IP и зарезервировать этот адрес для несуществующего MAC-адреса.  Проверено на стенде - работает: клиенту с MAC-адресом, попадающим в условие такой политики, IP-адрес не выдается.

    Осталось только правильно определить условия политики, чтобы в нее попадали все IP-телефоны и только IP-телефоны. Это автору вопроса придется делать самому. Лучше всего, наверное, сделать условия по Vendor Class. На худой конец, можно забить в условия MAC-адрес каждого телефона (с объединением по OR) или их диапазоны (там можно указать только первые цифры MAC-адреса).


    Слава России!

    • Помечено в качестве ответа Proflexs 28 июня 2019 г. 12:20
    20 июня 2019 г. 14:51

Все ответы

  • Подозреваю, что нет, ибо на уровне области можно настроить политику для гранулярной обработки клиентских запросов DORA, но там нет запретов (можно например выдавать просто неверные адреса шлюзов и т.п.), а запреты есть на верхнем уровне, но они категоричные - т.е. в принципе не обслуживать такой-то MAC в независимости от VLAN (DHCP Relay). 
    20 июня 2019 г. 12:55
  • Подозреваю, что нет, ибо на уровне области можно настроить политику для гранулярной обработки клиентских запросов DORA, но там нет запретов (можно например выдавать просто неверные адреса шлюзов и т.п.), а запреты есть на верхнем уровне, но они категоричные - т.е. в принципе не обслуживать такой-то MAC в независимости от VLAN (DHCP Relay). 
    зато по идее вопрос решается через радиус

    The opinion expressed by me is not an official position of Microsoft

    20 июня 2019 г. 13:15
    Модератор
  • Согласен, в NPS можно более гибко настроить, но вопрос про настройки DHCP, поэтому дождёмся может ещё кто что предложит.
    20 июня 2019 г. 13:52
  • Подозреваю, что нет, ибо на уровне области можно настроить политику для гранулярной обработки клиентских запросов DORA, но там нет запретов (можно например выдавать просто неверные адреса шлюзов и т.п.), а запреты есть на верхнем уровне, но они категоричные - т.е. в принципе не обслуживать такой-то MAC в независимости от VLAN (DHCP Relay). 

    Задачу решить можно именно через политику для области. Да, запретов там нет, но в политике можно настроить выдаваемый диапазон адресов из одного адреса IP и зарезервировать этот адрес для несуществующего MAC-адреса.  Проверено на стенде - работает: клиенту с MAC-адресом, попадающим в условие такой политики, IP-адрес не выдается.

    Осталось только правильно определить условия политики, чтобы в нее попадали все IP-телефоны и только IP-телефоны. Это автору вопроса придется делать самому. Лучше всего, наверное, сделать условия по Vendor Class. На худой конец, можно забить в условия MAC-адрес каждого телефона (с объединением по OR) или их диапазоны (там можно указать только первые цифры MAC-адреса).


    Слава России!

    • Помечено в качестве ответа Proflexs 28 июня 2019 г. 12:20
    20 июня 2019 г. 14:51
  • На мой взгляд разумнее зайти не со стороны DHCP-сервера, а со стороны коммутатора. Для этих целей существует "голосовой" VLAN. Нужно только на коммутаторе порты настроить, тогда телефон и компьютер в разных VLAN'ах окажутся, соответственно и в разных IP-подсетях. А запросы из разных подсетей различить на DHCP-сервере не проблема.
    20 июня 2019 г. 15:22
  • Приветствую.

    1.) На телефоне можно VLan указать руками (при настройки).

    2.) Реализовать настройку опций для телефона по DHCP


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.

    20 июня 2019 г. 15:38
    Модератор
  • На мой взгляд разумнее зайти не со стороны DHCP-сервера, а со стороны коммутатора. Для этих целей существует "голосовой" VLAN. Нужно только на коммутаторе порты настроить, тогда телефон и компьютер в разных VLAN'ах окажутся, соответственно и в разных IP-подсетях. А запросы из разных подсетей различить на DHCP-сервере не проблема.

    Оно, конечно, разумнее, но по жизни не всегда получается. Несколько раз наблюдал со стороны страдания сетевиков по поводу того, что телефон где-то включали в порт с основным VLANом локалки. И телефон при этом даже как-то работал. Но - не совсем: например, не переключался вместе с остальными телефонами (где-нибудь в филиале) на нужный CUCM по назначенному на голосовой VLAN атрибуту DHCP. И выяснялось это, к радости сетевиков, аккурат в процессе работ по перенастройке телефонии, в ограниченном и заранее запланированном окне обслуживания.

    Так что забота автора вопроса мне понятна - ему хочется исключить подобные случаи.

         

    Слава России!

    20 июня 2019 г. 15:39
  • Это и так понятно, оно так и сделано, вопрос в том, что телефон не должен работать вне своего VLAN, никак, совсем. Желательно вообще не должен получать IP-адрес, что бы были исключены проблемы когда он работает, но не не очень.
    • Изменено Proflexs 24 июня 2019 г. 8:15
    24 июня 2019 г. 8:10
  • Если ни один из вариантов вам не подходит,  а MS NPS решает вопросы "рулёжки", вы можете сделать ещё проще.

    Допустим, сеть для телефонии у вас 10.99.10.0/24, в iptables вашего pbx/asterisk сделайте разрешение подключения на порт 5060 только из этой сети.

    Если же по VPN кто-то подключается для использования телефонии, так же добавьте эти сети.

    Решение может не самое изящное, зато решит Ваш вопрос без дополнительных приседаний.

    24 июня 2019 г. 9:07
  • Дмитрий, к сожалению не могу. 

    У нас внешний поставщик телефонии + есть компы где установлены софтверные решения для телефонии, которые ездят по этим же портам.
    • Изменено Proflexs 28 июня 2019 г. 11:11
    28 июня 2019 г. 11:05
  • Спасибо, по маске мак адреса заблокировали.
    28 июня 2019 г. 12:20
  • Спасибо, по маске мак адреса заблокировали.
    Пожалуйста, поподробнее - заблокировали где именно? Что значит "маска мак адреса"? 
    21 июля 2019 г. 20:08
  • Спасибо, по маске мак адреса заблокировали.

    Пожалуйста, поподробнее - заблокировали где именно? Что значит "маска мак адреса"? 

    Приветствую.

    Пожалуйста ознакомьтесь со статьёй Фильтрация DHCP в Windows Server 2008 R2


    Я не волшебник, я только учусь. MCTS, CCNA. Если Вам помог чей-либо ответ, пожалуйста, не забывайте нажать на кнопку "Отметить как ответ" или проголосовать за "полезное сообщение". Disclaimer: Мнения, высказанные здесь, являются отражением моих личных взглядов, а не позиции работодателя. Вся информация предоставляется как есть, без каких-либо на то гарантий. Блог IT Инженера, Яндекс Дзен, YouTube, GitHub.

    21 июля 2019 г. 20:20
    Модератор