iT邦幫忙

0

Server 2003 DHCP -無法上網

請問一下邦友
使用Server 2003的DHCP來配發ip
是否能夠管控上網ip.
可行嗎.?

2 個回答

16
raytracy
iT邦大神 1 級 ‧ 2010-08-10 22:17:42
最佳解答

可否形容一下, 您心目中的「控管」是甚麼樣的流程與結果?

用 DHCP 發 IP 我可以這樣控管:

  1. 故意把 Gateway IP 發成 127.0.0.1 或是空白, 讓拿到 IP 的人不能上網
  2. 指定 MAC vs. IP 的對應表, 讓 MAC address 不對的人永遠拿不到 IP
  3. 把 DNS 發配成空白或是某個特別的 IP, 讓用戶無法解析 FQDN
  4. 把 Gateway 配發成某個控管上網行為的設備, 讓所有用戶都要通過該設備控管
    .... (還有很多種用法, 端看你的想像力.....)

或者是, 我可以結合 Windows 的 NPS, Radius Server, 以及 Switch 的 802.1x 功能, 讓只有通過 NPS 認證的用戶, 可以上網 (或是做其他控管: 這個可以由 NPS 的政策來決定); 甚至, 可以搭配 AD 發放的數位憑證, 只有通過密碼認證+持有數位憑證的人, 才可以通過 NPS 的認證.....

所以要先說清楚您的應用情境, 才能決定用哪一種方法來控管....

看更多先前的回應...收起先前的回應...
job3mm iT邦新手 5 級 ‧ 2010-08-11 09:07:01 檢舉

請教如果是用第一種方式..
故意把 Gateway IP 發成 127.0.0.1 或是空白, 讓拿到 IP 的人不能上網
該在DHCP哪邊設定..?
R大的幾種方式都很實用...
真的是要看想像力..~Thx

raytracy iT邦大神 1 級 ‧ 2010-08-11 23:21:19 檢舉

在您新增一個新的 Scope 的精靈過程中, 在下面這個選項裡面輸入即可:

raytracy iT邦大神 1 級 ‧ 2010-08-11 23:22:58 檢舉

或是如果在現有的 Scope 上要修改的話, 請改這個選項即可:

job3mm iT邦新手 5 級 ‧ 2010-08-12 09:25:00 檢舉

上圖修改路由的部門,可以指定讓他拿不到Default Gateway嗎.?
我找了這個選項好像沒有.
可以麻煩R大在指導一下嗎..?
感謝你..

raytracy iT邦大神 1 級 ‧ 2010-08-12 13:57:27 檢舉

那就把 Router 選項清空, 就不會發放 Default Gateway 出去了....

job3mm iT邦新手 5 級 ‧ 2010-08-12 23:47:30 檢舉

了解.這個我在來試看看.應當可行.
感謝您的用心回應..感恩!

8
plums
iT邦高手 1 級 ‧ 2010-08-10 22:16:43

基本上不行,除非另外架設ISA,或是其他可以管控上網的硬體或軟體

我要發表回答

立即登入回答