企業中,為了降低管理者對于IP位址管理、配置設定的複雜繁瑣性,很多企業都會架設Windows DHCP伺服器,通過DHCP伺服器為企業中的用戶端自動配置設定IP位址。
但是面對現代如此龐大數量的用戶端PC、手機、平闆等,也導緻安全性面臨巨大挑戰。其實DHCP可以通過MAC位址過濾來實作IP位址配置設定,可以将企業中多有授權的用戶端MAC位址收集起來,在DHCP伺服器中進行設定,使其順利擷取IP,而沒有被授權的用戶端則不能擷取IP。
從Windows Server 2008 R2開始,基于MAC位址過濾已經內建在DHCP中,作為一大特性存在。但是早期的Windows Server 2003、Windows Server 2008 并沒有包含該特性,那麼仍然使用這些低于server 08 R2版本的DHCP Server的企業該怎麼解決這個問題呢?這裡給大家做詳細的介紹。
對于仍然基于 2K03、2K08平台架設的DHCP伺服器來說,隻要安裝 MacFilterCalloutInstaller(有x86和x64之分),然後進行簡單的配置即可實作。
環境介紹:
VMware Workstation 虛拟機兩台(運作在同一主控端);
一台安裝Windows Server 2003 SP2 (32位), 并安裝DHCP Server角色;
另一台 XP Pro sp3, 作為DHCP Client,進行測試。
檢視DHCP Server系統版本資訊:
<a href="http://s3.51cto.com/wyfs01/M02/4E/60/wKioOVLD9-rxEN6TAAD9mNsEkoM088.jpg" target="_blank"></a>
檢視用戶端MAC位址:
<a href="http://s3.51cto.com/wyfs01/M02/4E/60/wKioOVLD--GxcIDRAABph4l6h_k034.jpg" target="_blank"></a>
為了防止DHCP Server對生産環境PC配置設定IP,造成不能上網,是以分别對兩台虛拟機網絡擴充卡作如下設定:
<a href="http://s3.51cto.com/wyfs01/M02/4E/60/wKioOVLD9t3wmfrpAADgqq2hA7Q102.jpg" target="_blank"></a>
安裝MacFilterCalloutInstaller:
輕按兩下"MacFilterCalloutInstaller-x86.msi" 可執行檔案,啟動安裝向導;
勾選"接受許可協定":
<a href="http://s3.51cto.com/wyfs01/M02/4F/5D/wKioJlLD9cXjiNEwAADgqq2hA7Q947.jpg" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs01/M02/4E/60/wKioOVLD9b7jMrWHAACsQ81_tk0725.jpg" target="_blank"></a>
安裝完成向導,【Finish】就安裝完成了。
<a href="http://s3.51cto.com/wyfs01/M02/4F/5D/wKioJlLD-LahvEIuAABpTFTT5lg117.jpg" target="_blank"></a>
安裝完成後會在 system32 目錄下生成兩個檔案:"MacFilterCallout.dll" "SetupDHCPMacFilter.rtf"
如圖示:
<a href="http://s3.51cto.com/wyfs01/M02/4F/5D/wKioJlLD-jGwcpSGAACwKrE08SE065.jpg" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs01/M02/4E/60/wKioOVLD-iryb8NJAADfumRS9MQ872.jpg" target="_blank"></a>
同時,system32\dhcp 目下,生成檔案 "MACList.txt":
<a href="http://s3.51cto.com/wyfs01/M02/4F/5D/wKioJlLD-rvDQz-oAADDsQ3-rTw738.jpg" target="_blank"></a>
打開MACList.txt 檔案,可以看到如下圖:
<a href="http://s3.51cto.com/wyfs01/M02/4E/60/wKioOVLD-xHjFASKAAAvhvsq5Vo558.jpg" target="_blank"></a>
"MACList.txt"是主要檔案,DHCP Server處理請求時就是從這個檔案中讀取資料,然後比對。
這是預設配置,預設情況下,允許所有用戶端從DHCP Server 請求IP位址。MAC_ACTION的
可選參數值: ALLOW,DENY,分别用來設定允許清單和拒絕清單。
進行“允許清單”配置測試:
1. 向“MACList.txt”添加一個虛假MAC(内網沒有該MAC),然後重新啟動DHCP Server服務,
然後測試用戶端能否正常擷取IP:
<a href="http://s3.51cto.com/wyfs01/M02/4F/5E/wKioJlLD_X7h8lbDAAAy4CNXtds163.jpg" target="_blank"></a>
檢視DHCP Client:
<a href="http://s3.51cto.com/wyfs01/M02/4E/60/wKioOVLD_XbA6BQJAADUPQkvZ2A442.jpg" target="_blank"></a>
IP位址擷取失敗,因為client MAC位址沒有加入允許清單。
2. 将Client MAC 加入到允許清單并重新開機DHCP Server服務,然後測試用戶端:
<a href="http://s3.51cto.com/wyfs01/M02/4F/5E/wKioJlLD_mWCsnP-AAA3K-WlVms234.jpg" target="_blank"></a>
檢視檢視DHCP Client:
<a href="http://s3.51cto.com/wyfs01/M02/4E/60/wKioOVLD_oeSkY4WAADf0Y_SX5Y689.jpg" target="_blank"></a>
可見,IP位址成功擷取,配置無誤。
下面我們将DHCP伺服器修改為拒絕清單方式測試。
進行“拒絕清單”配置測試:
1. 打開"MACList.txt" 檔案,将"ALLOW"改為"DENY",重新開機DHCP Server服務:
<a href="http://s3.51cto.com/wyfs01/M02/4E/60/wKioOVLD_5zQiVjhAAAuIGUDLFA129.jpg" target="_blank"></a>
檢視用戶端IP位址擷取情況:
<a href="http://s3.51cto.com/wyfs01/M02/4F/5E/wKioJlLD_6SgUVIaAAD8s2HVQUk859.jpg" target="_blank"></a>
用戶端正常擷取IP。說明:不管是允許清單還是拒絕清單,如果清單不進行配置(為空),則預設為DHCP Server 接受所有用戶端發來的DHCP 請求。
2. 将虛假MAC位址加入檔案中:
<a href="http://s3.51cto.com/wyfs01/M02/4E/60/wKioOVLD_5yB59-sAAAuNH08JDQ931.jpg" target="_blank"></a>
重新開機DHCP Server服務,檢視用戶端IP位址擷取情況:
<a href="http://s3.51cto.com/wyfs01/M02/4F/5E/wKioJlLEALDgMisPAAEINvx2RZQ988.jpg" target="_blank"></a>
可見,用戶端不受影響,正常擷取IP位址。
3. 将用戶端MAC位址加入檔案中:
<a href="http://s3.51cto.com/wyfs01/M02/4E/61/wKioOVLEAPXAI2C3AAAxX7QAvuI430.jpg" target="_blank"></a>
<a href="http://s3.51cto.com/wyfs01/M02/4F/5E/wKioJlLEAP2jXtkeAAD1eZJj-pY998.jpg" target="_blank"></a>
用戶端不能從DHCP Server 擷取IP位址了。
由此,我們可以順利的控制内網用戶端IP位址配置設定了,同時如果内網有主機需要固定IP,在DHCP控制台的對應作用域的"保留"中建立保留就可以了。
注意: 每次修改清單都需要重新開機DHCP Server服務,然後才能生效。
本文轉自marbury 51CTO部落格,原文連結:http://blog.51cto.com/magic3/1347423,如需轉載請自行聯系原作者
![Windows指令行打開方式Windows指令行打開方式[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)