关于dhcp和firewall的脚本问题，求教

edgesky

首先，看图

这一部分mac为000000的ip应该是设置了固定ip了吧。
那么，我的需求是，强制使用dhcp服务，如果不是dhcp获得的ip的话，就过不去nat

然后我就设置了一个firewall的地址列表，如图

notnat列表里面的地址是不做nat的，也就是上不去外网的。

那么问题来了，如何获得dhcp->leases里面的mac地址是000000的ip地址，然后把这个ip写到firewall的address list里面去，同时，删除dhcp的lease里面的这个ip的记录。我打算做成每几分钟执行一遍。


第二个问题：
由于我这边的网是无线覆盖的。每一层楼一个ssid，所有楼层的密码都一样，每层楼一个网段。
那么如果我拿手机，从1楼走到10楼，那么很可能获得10个不同网段的ip。因为很多人所有的ssid都连过。比如去别的楼层开会什么的。
好吧，问题来了。如何在dhcp里面只保留最新获得的ip？

比如：我在1楼的时候得到的是10.0.10.0/24的，那么我到7楼就是10.0.17.0/24网段的。
那么，我的手机或者笔记本，也就是同一个mac地址，会获得好几个不同的ip地址，分布在不同的网段，按时间先后顺序会存在不通的active时间。
因为楼层人数众多，没人最少一个笔记本一个手机。很可能同一个楼层聚集多了就会出现ip不够用的情况。
而且这很多人是流动的，上楼下楼，或者下楼吃饭什么的。
注：所有wifi划到一个网段不现实，广播域太大了在办公网络里面不可能实现。这个先否掉以后，才有的现在的24位掩码。

需求：如何删除我之前在1楼的记录？只保留最新的10.0.17.0/24的最新获得的ip，同样是几分钟执行一遍对比。

万分感谢。

jike106397

一楼表示不知道

xuxi3201

我来回答，
mac全是0，不正常。办法：网卡 ARP 改成 ：reply-only.
dhcp里，添加arp，打勾 。
第二个问题 ：答案是 我要改网络规划，  就是我的回答。

edgesky

xuxi3201 发表于 2016-5-11 18:19
我来回答，
mac全是0，不正常。办法：网卡 ARP 改成 ：reply-only.
dhcp里，添加arp，打勾 。

reply-only+ add arp for lease 可以使非dhcp的ip上不了网？不行吧。仅仅是dhcp上看不到000000了吧。
改规划有点不现实了。。哎。。。。

xuxi3201

第二个问题，
是我 就会考虑上一套 ac+ap

edgesky

xuxi3201 发表于 2016-5-11 22:40
第二个问题，
是我 就会考虑上一套 ac+ap

我这边是瘦客户端啊，ac+ap。你说的意思是做到同一个子网内撒，但是我这实际情况是人太多了。一个子网不现实的。不是百十个人，那就无所谓了。10个网段在用人数是600人，dhcp会分到1800个ip左右，按没人一个pc一个手机来算，大约有500多个是重复mac的在不同的网段获得的ip，所以才有了我的第二问。
而且，下一步会在8月搬家，规模是2000人的接入。。。在ap上开广播，想想都觉得是个灾难。

edgesky

xuxi3201 发表于 2016-5-11 18:19
我来回答，
mac全是0，不正常。办法：网卡 ARP 改成 ：reply-only.
dhcp里，添加arp，打勾 。

还是有

xuxi3201

我的ac是华三的，施工方配了两个网段。

你担心人太多。
可否在ac里开启arp隔离