http://www.linux.or.jp/JM/html/net-tools/man8/arp.8.html
Manpage of ARP
ものすごく面倒だけど、タダで出来る方法(^^;
arp で IP アドレスと MAC アドレスの関係を固定で登録します。
但し、再起動すると忘れちゃうので、起動時に再設定する
ような仕組みをこしらえる必要があります。
URL は Linux のものですが、Windows でも同様のことができます。
http://www.linux.or.jp/JM/html/dhcp2/man8/dhcpd.8.html
Manpage of dhcpd
さらに、DHCP サーバも、「この MAC アドレスに対して
この IP アドレスをリースする」という設定を書き、
それ以外の IP アドレスはリースしないようにします。
こうすれば、MAC アドレスと IP アドレスの対応は関係
は固定されますので、後は IP アドレスで制限をかければ、
ほぼ、お望みの制限がかけられると思います。
最初のURLに関して:
全ての端末にARPを設定して回るんですか?
2つめのURLに関して:
IPアドレス決め打ちで設定された場合には対応できますか?
>IP アドレスで制限をかければ
に関係するのでしょうけど、そっちの詳細も教えていただけるとうれしいです。
ダミーです。
サブネットが正しく設定されているのであれば同じLAN内に設置されていても、他のサブネット下のIPアドレスとは直接通信はしませんよ。
ただし、MACアドレスでの判定となるとサブネットとは違う階層での話になりますからサブネット(論理的分離)ではなくルータ(物理的分離)になりますね。
質問文の書き方が悪かったようで申し訳ありません。
やりたいことはたとえば192.168.0.0/24において、未登録なPCは接続してほしくないのでそれを排除する方法を教えてください、ということです。
申し訳ありませんが、上記の意図の下での再回答をお願いします。
手軽な手段としては、
・DHCPサーバにあらかじめMACアドレスとIPアドレスを登録しておく。
・スコープの空き部分はリリースしないようにしておく。
とすれば、とりあえずDHCPクライアントはネットワークに接続できなくなります(固定IPなネットワーク機器は接続できる)。
あとは、
・MACアドレスによるフィルター機能のあるL2スイッチを導入する
とか、
http://www.hitachi-system.co.jp/ong/
不正接続防止ソリューション -日立システム- オープンネット・ガード
・この手のクライアント管理ツールを導入する
という手があると思います。
あー、なるほど、L2スイッチにフィルタ機能が付いてるものがあるんですね。
それ以外だとどうしてもIPアドレス決め打ちで接続されたときに通知はできても拒否はできないって感じなんですね。。。
なんとかソフトウェアとか追加のハードウェア(サブネットに1台程度のもの)でなんとかならないかと思ったんですが、ちょっと無理そうな気がしてきました。
ネットワークの規模や予算なんかによってしまいますが、
そこそこの大きな規模の場合だと、こういったソリューションを使うのが一般的でしょうかね。
http://www.atmarkit.co.jp/fnetwork/tanpatsu/17gbcase/01.html
@IT:導入事例:佐賀大学医学部が10ギガ・イーサを導入した理由
ちょっと関連しそうな導入事例とか。
認証スイッチとかそういったものが必要になってくるので、
どうしてもお値段がかかってしまうものですけどね…。
こういったゲートウェイのソリューションの場合は確かに通信は出て行かないですけど、ゲートウェイを通らない通信は遮断できないですよね。
L2スイッチでの対応にしても、ハブを置かれたらハブの中で終わる通信に関してはアウトだし。。。
なかなかいい解決はないもんですね。
これってただのファイアウォールではないですかね?
ファイアウォールが必要なわけではないのですが。。。