Přestaňte nastavovat statické IP na klientech – co dělat místo toho

Mnoho uživatelů i správců sítí se mylně domnívá, že nejjednodušší cestou, jak mít jistotu, že zařízení na síti vždy dostane stejnou adresu, je ručně nakonfigurovat statickou IP přímo v klientovi. Ve skutečnosti je to často horší než spolehnout se na DHCP a rezervace v routeru.

Proč je statická IP na klientovi problém

1. Konflikty adres
   Když si uživatel nastaví ve Windows (nebo v Linuxu či macOS) statickou IP, může náhodou zvolit adresu, kterou již používá jiný stroj nebo kterou DHCP přiřadí serveru (např. bráně). Výsledkem jsou IP konflikty, výpadky připojení a ztráta kontroly nad sítí.
2. Správa a škálovatelnost
   Při desítkách či stovkách zařízení je prakticky nemožné ručně sledovat, kdo jakou adresu má. Jakákoli změna podsítě či rozsahu DHCP pak vyžaduje manuální zásah na každém klientovi.
3. Bezpečnostní rizika
   Uživatel s dostatečnými právy může snadno přenastavit svou IP na libovolnou, inklinovat k útokům typu ARP spoofing či man-in-the‑middle. Statické nastavení na klientovi tomuto nebrání, spíše naopak.

Lepší postup: DHCP + rezervace (Static DHCP)

Místo statických IP na kli­en­tech použí­jte funkci rezervace (někdy označovanou jako Static DHCP nebo DHCP reservation) ve vašem routeru či DHCP serveru:

• Založeno na MAC adrese: Každému zařízení (identifikovanému MAC adresou) přiřadíte v nastavení routeru vždy stejnou IP.
• Žádné konflikty: Klient si stále bere adresu „dynamicky“ přes DHCP, ale server mu nabídne vždy tu samou, rezervovanou.
• Centrální správa: Veškeré změny děláte na jednom místě (router/DHCP server), bez zásahu do nastavení každého PC či telefonu.

Jak na to (obecný postup)

1. Přihlaste se do webového rozhraní routeru.
2. Najděte sekci LAN → DHCP → Address Reservation (či podobně).
3. Přidejte novou rezervaci:
   • Zadejte MAC adresu zařízení.
   • Zvolte požadovanou IP v rámci vaší podsítě (mimo dynamický pool, nebo v něm, podle doporučení výrobce).
4. Uložte a restartujte DHCP (nebo celý router).
5. Na klientovi nechejte nastaveno automatické (DHCP) získávání IP.

Co dělat, když klienti pořád nastavují statické IP

• Vypněte administrátorská práva běžným uživatelům, případně omezte jejich schopnost měnit nastavení sítě (Group Policy v Active Directory).
• Na managed switchích povolte DHCP snooping a IP Source Guard – přepínač pak zahodí provoz s IP, která nebyla vydána DHCP serverem.
• Segregujte síť do VLAN: kritická zařízení (servery, tiskárny) v jedné VLAN, uživatelé v jiné. Statické adresy na serverech neovlivní klienty z jiné VLAN.