這是靜態DHCP,請google一下嘿。
不一樣的看法:
DHCP的好處就是不需管理 TCP/IP 的繁雜設定,如果不認識的 MAC 就不發 IP ,那使用者最後還是得找系統管理員,反而增加自己的負擔.
與其如此乾脆把 DHCP Server 廢了,每臺電腦都用固定 IP 去慢慢設.
DHCP 你可以建兩個Zone, 如一個是亂配IP且連不出去,如169.x.x.x,另一個是綁MAC配可以出得去的IP.
把DHCP配發的IP網段設成DHCP SERVER 的IP
例如 192.168.0.1~192.168.0.1
原因:DHCP沒有可自由配發的IP,但仍會參照已設定的MAC相對IP
(在2003上試過可行)
有個方法,你用靜態DHCP的方法,如有10台要,你可以設定這10個IP分別對應的MAC,而在DHCP發放IP的區間就只設定要發放這10個IP,如此一來不是這些MAC的電腦就拿不到IP了…不過這樣子管理的工作會很累人的^^
DHCP的本意是認使用者做自由的領用並派送一些領域中的設定,但你可以這樣去做呀!!就是例如:你的領域是192.169.1.0,可以在排除發放IP,把它設成全部排除,在一個一個在保留區設定,這樣就可以了,但會有個藍色的驚告錯誤,原因沒有可發放的IP,另外就DHCP備份就要做好,以避免它那天不小有個錯,可以還原,這是沒錢的簡單做法,但是推到安全來說這只是消極的想法,還是要用SWITCH ACCESS SECURITY 來做管控啦!!不然使用自行設定固定IP照樣是通的呀!!且便宜的L2含網管的功能便宜的16K就可以買到還不錯的呀!!好好考慮你最初是想要做什麼的.
+1
從事主的角度來看,應該是為了「方便管理」+「安全」才想能否用DHCP作網卡限制,
光靠DHCP是治標不治本,只要用戶具有該電腦管理權限,參考一下他人的設定,
手動設定IP與GW就可以繞過DHCP的限制。
而防火牆上也行,但...也只能管制到能否出入防火牆所在的點...
內部就繼續給他為非作歹吧...
而且讓防火牆去過濾每一台電腦的MAC來判定...這對防火牆來說負擔可不小。
所以透過SWITCH ACCESS SECURITY 來做管控是最基本的解決之道,
或是在整個環境中建立一台具有阻斷IP/MAC的設備,用來強制阻斷白名單以外的網卡,
(這種設備其實就是種大型的網路剪刀手)
這才是根本之道。
便利與安全各自立於天秤的兩端,端看單位如何抉擇,這是網管天天會碰到的課題之一。
您想要做的應該是"MAC address白名單"功能吧.
試試下面這個solution - MacFilterCallout:
http://www.markmmanning.com/blog/2008/02/dhcp-mac-filtering-on-windows.html
結合Windows 2003的DHCP server可以作到黑名單或白名單, 我公司目前正在使用上述工具控管8個工廠的IP位址發放. 個人覺得還不錯用.
但有個小缺點: 每次更新名單之後都要重啟DHCP service.
總之不用錢的, 試試無妨.
分享一下我的經驗,公司政策也是考慮資安的問題,怕user自己帶NB來公司使用,因此我們把DHCP_Server設定分成動態取得IP及靜態取得IP這二個部份而靜態取得IP部份只要設定好MAC及所對應的IP就可以使用也就是公司合法的電腦,而動態取得IP部份把設定值中的gateway拿掉讓拿到動態IP電腦沒有配到gateway因此也無法連出去外面,但是此網段的資源還是可以取得,這是目前公司DHCP_Server的設定。
PS.DHCP_Server是使用linux架設,但是windows的DHCP_Server應該都大同小異
公司防火牆可以做到綁MAC,如果使用者自行帶NB,可以做到讓使用者無法連出Internet。
若只是不讓外來電腦可以透過公司連出去,又沒有防火牆或其它硬體預算,可以考慮架個免費的 BW
http://b2d.phc.edu.tw/modules/tadbook2/open_book.php?book_sn=5
只需要一台退休但是執行穩定的PC+兩張網卡即可。
不想變動網路架構可設定成通透模式,防火牆可依IP、MAC位置管理,應該可能達到您的需求.....
我很喜歡這套,我拿它當過Router,也當過 PPTP VPN SERVER,也試過點對點的SSLVPN,可即時觀看網路流量,用iptraf還可看到即時的IP連線狀況!媲美一台上百萬的設備。
介紹你一樣產品 mosdan ip-mac lock switch..產品..提供dhcp server功能.有提供ip-mac控管...你的問題便可解決.而且產品提供web中文介面操作.學習起來又很容易管理
http://www.mosdan.comn.tw
以下是我的做法你參考一下: