>>Есть свитчи которым можно на конкретном порту разрешать ходить только определенному MAC.
>>То есть карточка привязана к порту. Это могут Cisco Catalyst. Про
>>остальных вендоров не в курсе.
>>
>
>Проблема на самом деле несколько сложнее - сеть разнесена на довольно большое
>пространство, поэтому свичи находяться не централизовано, а разбросаны. В принципе можно
>допустить, что на каком-либо свиче в то время, пока реальный хозяин
>отсутствует, может быть произведёно нелегальное подключение в тот же порт.Общие мысли:
Если клиент имеет возможность изменять физическую структуру сети (т.е. грубо говоря отключиться от одного порта такого "умного" свича и подсоединиться к другому с подменой mac адреса сетевой карты), то единственный на мой взгяд выход, который обеспечивает достаточную надежность - это аутентификация клиента при подключении.
После аутентификации выдать ему определенный IP, и на его основе биллинговать клиента в течении сесии. Другие варианты в исходных условиях задачи по моему не применимы (хотя может быть я их просто не вижу).
Общий ход мысли прост - если клиент может менять все исходные условия задачи (mac, ip, место подключения в физической структуре сети), то нет возможности опираться на эти изначально ненадежные параметры, и единственная возможность достоверно определить клиента - старый дедовский способ - логин+пароль.
В результате вырисовывается хорошо известный механизм AAA - Authentication (опознавание клиента - в простейшем случае опять же логин+пароль), Authorizatition (назначение клиенту ресурсов/параметров соединения, которые он может использовать - в частности IP), Accounting (подсчет ресурсов, использованных клиентом, на основании выданных ему параметров соединения - в частности на основании выданного IP)
Как
>я сказал выше, возможность смены мак-адреса и IP позволяет тогда человеку
>идентифицироваться под другим именем.
>Поэтому интересует возможность "програмной" проверки достоверности подключаемого на уровне сервера.
>Насколько мне известно, мак-адрес на карточке прошивается на заводе производителем, а подстановка
>иного мака уже идёт програмно. Вот и призадумался, можно ли получить
>"реальный" адрес сетевой в обход программному?