iT邦幫忙

0

可以限制 DHCP 發放 IP 嗎 ?

各位好,
請問,在 Windows DHCP 能否做到只針對已知的MAC來發放IP,如果沒有DHCP 保留區設定
的MAC 就不配發IP 嗎 ..

謝謝 !!

使用DHCP篩選器設定白名單即可,會過濾掉不認識的MAC,可參考如下設定測試
https://blog.pmail.idv.tw/?p=16475
12
zk47
iT邦新手 5 級 ‧ 2010-03-05 10:02:01

可以綁定mac地址來解決 應該在安全選項里

keven0129 iT邦新手 5 級 ‧ 2010-03-05 14:24:25 檢舉

安全選項 ?? DHCP Server 裡面嗎 ?

16
charon12
iT邦新手 4 級 ‧ 2010-03-05 12:16:26

這是靜態DHCP,請google一下嘿。

keven0129 iT邦新手 5 級 ‧ 2010-03-05 14:26:31 檢舉

是的,已經有設定靜態DHCP,重點是對不認識的 MAC Address 就不發 IP ,
這要如何做呢 ?

rickhsu iT邦高手 6 級 ‧ 2010-06-04 08:52:27 檢舉

把DHCP的SCOPE大小,設的跟您的靜態MAC裡的台數一樣多...
那麼不在靜態MAC裡的就拿不到IP了...
因為沒有多的IP可拿!!

10
yyliu
iT邦研究生 2 級 ‧ 2010-03-05 14:52:30

不一樣的看法:
DHCP的好處就是不需管理 TCP/IP 的繁雜設定,如果不認識的 MAC 就不發 IP ,那使用者最後還是得找系統管理員,反而增加自己的負擔.
與其如此乾脆把 DHCP Server 廢了,每臺電腦都用固定 IP 去慢慢設.

keven0129 iT邦新手 5 級 ‧ 2010-03-05 14:59:56 檢舉

其實是因為資安的問題,所以才要如此做,避免有人自己帶NB接上網路,
造成資安問題發生,所以才要如此做 ..

+1

如果是要控管IP對應User或PC,這樣是沒有用的。USER會去參考別人的IP設定,自己搞一個IP。

用DHCP是減輕沒有做上述控管的IT負擔,但是要管的話,就要做到完全控管,例如,除了系統或網管給你的IP,你自己設定的都出不去。這樣才有用,市面上有很多Network Access Controller都可以做得到。

ray2095 iT邦新手 4 級 ‧ 2010-03-08 08:34:11 檢舉

NAC的確是終極解決之道.
不過卻貴得要命!
規模不大, 網管人力不多, 又不愁沒有經費的公司建議採用..

14
marshuang
iT邦新手 1 級 ‧ 2010-03-05 15:50:11

DHCP 你可以建兩個Zone, 如一個是亂配IP且連不出去,如169.x.x.x,另一個是綁MAC配可以出得去的IP.

8
ihaochang
iT邦新手 4 級 ‧ 2010-03-06 08:00:45

把DHCP配發的IP網段設成DHCP SERVER 的IP
例如 192.168.0.1~192.168.0.1
原因:DHCP沒有可自由配發的IP,但仍會參照已設定的MAC相對IP
(在2003上試過可行)

6
stmdanny
iT邦新手 3 級 ‧ 2010-03-06 16:29:53

有個方法,你用靜態DHCP的方法,如有10台要,你可以設定這10個IP分別對應的MAC,而在DHCP發放IP的區間就只設定要發放這10個IP,如此一來不是這些MAC的電腦就拿不到IP了…不過這樣子管理的工作會很累人的^^

10
myfunly
iT邦新手 5 級 ‧ 2010-03-06 21:52:08

DHCP的本意是認使用者做自由的領用並派送一些領域中的設定,但你可以這樣去做呀!!就是例如:你的領域是192.169.1.0,可以在排除發放IP,把它設成全部排除,在一個一個在保留區設定,這樣就可以了,但會有個藍色的驚告錯誤,原因沒有可發放的IP,另外就DHCP備份就要做好,以避免它那天不小有個錯,可以還原,這是沒錢的簡單做法,但是推到安全來說這只是消極的想法,還是要用SWITCH ACCESS SECURITY 來做管控啦!!不然使用自行設定固定IP照樣是通的呀!!且便宜的L2含網管的功能便宜的16K就可以買到還不錯的呀!!好好考慮你最初是想要做什麼的.

takaki iT邦新手 4 級 ‧ 2010-03-09 17:26:15 檢舉

+1
從事主的角度來看,應該是為了「方便管理」+「安全」才想能否用DHCP作網卡限制,
光靠DHCP是治標不治本,只要用戶具有該電腦管理權限,參考一下他人的設定,
手動設定IP與GW就可以繞過DHCP的限制。

而防火牆上也行,但...也只能管制到能否出入防火牆所在的點...
內部就繼續給他為非作歹吧...
而且讓防火牆去過濾每一台電腦的MAC來判定...這對防火牆來說負擔可不小。

所以透過SWITCH ACCESS SECURITY 來做管控是最基本的解決之道,
或是在整個環境中建立一台具有阻斷IP/MAC的設備,用來強制阻斷白名單以外的網卡,
(這種設備其實就是種大型的網路剪刀手)
這才是根本之道。

便利與安全各自立於天秤的兩端,端看單位如何抉擇,這是網管天天會碰到的課題之一。

6
ray2095
iT邦新手 4 級 ‧ 2010-03-07 00:46:48

您想要做的應該是"MAC address白名單"功能吧.
試試下面這個solution - MacFilterCallout:
http://www.markmmanning.com/blog/2008/02/dhcp-mac-filtering-on-windows.html
結合Windows 2003的DHCP server可以作到黑名單或白名單, 我公司目前正在使用上述工具控管8個工廠的IP位址發放. 個人覺得還不錯用.
但有個小缺點: 每次更新名單之後都要重啟DHCP service.
總之不用錢的, 試試無妨.

4
power1
iT邦新手 2 級 ‧ 2010-03-08 00:27:24

分享一下我的經驗,公司政策也是考慮資安的問題,怕user自己帶NB來公司使用,因此我們把DHCP_Server設定分成動態取得IP及靜態取得IP這二個部份而靜態取得IP部份只要設定好MAC及所對應的IP就可以使用也就是公司合法的電腦,而動態取得IP部份把設定值中的gateway拿掉讓拿到動態IP電腦沒有配到gateway因此也無法連出去外面,但是此網段的資源還是可以取得,這是目前公司DHCP_Server的設定。

PS.DHCP_Server是使用linux架設,但是windows的DHCP_Server應該都大同小異

marshuang iT邦新手 1 級 ‧ 2010-03-08 09:43:12 檢舉

基本上,使用者自己設定補上ip及gateway還是可以連外的

ray2095 iT邦新手 4 級 ‧ 2010-03-08 12:16:05 檢舉

沒錯!
很多User喜歡挑戰公司網管的功力.
就算不連網, 來路不明的筆電在公司網路上偷看資料、散播病毒就夠網管頭痛了.
要是公司內有FAT AP更慘..

8
fireflybug
iT邦研究生 5 級 ‧ 2010-03-08 10:28:51

公司防火牆可以做到綁MAC,如果使用者自行帶NB,可以做到讓使用者無法連出Internet。

若只是不讓外來電腦可以透過公司連出去,又沒有防火牆或其它硬體預算,可以考慮架個免費的 BW
http://b2d.phc.edu.tw/modules/tadbook2/open\_book.php?book\_sn=5
只需要一台退休但是執行穩定的PC+兩張網卡即可。
不想變動網路架構可設定成通透模式,防火牆可依IP、MAC位置管理,應該可能達到您的需求.....

我很喜歡這套,我拿它當過Router,也當過 PPTP VPN SERVER,也試過點對點的SSLVPN,可即時觀看網路流量,用iptraf還可看到即時的IP連線狀況!媲美一台上百萬的設備。

ray2095 iT邦新手 4 級 ‧ 2010-03-08 12:07:18 檢舉

這個厲害! 我喜歡免費的Solutions. 用力推一下..
不過...
如果是要防止"外來的電腦設備存取企業內部的資料"的話, 就不適用了說.
好像如果不考慮砸錢架設NAC的話, 就只有手工設定Switch的ACL來擋了.
但Windows中輕鬆改一下MAC位址就能操翻網管, 就算抓到兇手也不能咬他一下.
這年頭幹網管還真辛苦..

4
tombo
iT邦高手 1 級 ‧ 2010-03-10 03:17:48

如果是怕自帶電腦上網,一個是在 Firewall 擋掉,一個是在 Switch 做手腳

6
hawkyun
iT邦新手 4 級 ‧ 2010-03-14 10:13:35

介紹你一樣產品 mosdan ip-mac lock switch..產品..提供dhcp server功能.有提供ip-mac控管...你的問題便可解決.而且產品提供web中文介面操作.學習起來又很容易管理
http://www.mosdan.comn.tw

ctipde iT邦高手 1 級 ‧ 2010-08-24 12:28:26 檢舉

HTTP://WWW.MOSDAN.COM.TW

0
tsaoshunyu
iT邦新手 4 級 ‧ 2011-12-22 09:03:37

以下是我的做法你參考一下:

  1. DHCP範圍不要設太大.等於你的使用者數.再設定保留
  2. 一張網卡可以設定很多個IP,你可以把其他沒再使用的ip設定到一台不關機的Server上.
    如此使用者DHCP抓不到,手動指定也沒用,如此的做法前提是你要有時間去管理..

我要發表回答

立即登入回答