巧用DHCP 策略管控網(wǎng)絡(luò)連接

■ 河南 劉建臣

編者按：在很多單位中，一些員工（由其是外部用戶）會將自己的筆記本隨意連入公司內(nèi)網(wǎng)，因?yàn)閮?nèi)網(wǎng)中一般都部署有DHCP 服務(wù)器，所以其可以輕松獲取各種IP 等網(wǎng)絡(luò)參數(shù)，進(jìn)而非法訪問內(nèi)網(wǎng)資源或者連接Internet。連接這給網(wǎng)絡(luò)掛你帶來了很多問題。對于網(wǎng)管員來說，需要對這種網(wǎng)絡(luò)連接有效管控，來優(yōu)化網(wǎng)絡(luò)管理效率。

下面分四個部分詳細(xì)介紹如何管理網(wǎng)絡(luò)連接。

DHCP 策略管控原理分析

出于安全考慮，在企業(yè)內(nèi)部是不允許員工私自將個人電腦接入內(nèi)網(wǎng)，因此管理員必須做到即使客戶端非法接入，也要讓其無法正常訪問網(wǎng)絡(luò)資源。因?yàn)楹芏嗥髽I(yè)采用的都是三層網(wǎng)絡(luò)架構(gòu)，同時劃分了不同的VLAN。

DHCP 服務(wù)器一般單獨(dú)部署，核心交換機(jī)一般都會開啟DHCP 中繼服務(wù)，讓每個VLAN 中主機(jī)都可以通過DHCP 服務(wù)器來獲取所需的網(wǎng)絡(luò)參數(shù)。

當(dāng)然，每個VLAN都必須設(shè)置默認(rèn)的網(wǎng)關(guān)，其默認(rèn)網(wǎng)關(guān)一般指向核心交換機(jī)的特定端口地址。從這個角度考慮，如果VLAN中的客戶端無法得到正確的網(wǎng)關(guān)地址，自然也就無法訪問內(nèi)網(wǎng)和外網(wǎng)資源了。

按照一般的處理方法，管理員會將合法主機(jī)的MAC地址和接入交換機(jī)的特定端口綁定。這樣，如果是來歷不明的主機(jī)，自然無法接網(wǎng)絡(luò)。但是該方法存在一定的弊端，例如有些員工工作部門不固定，會經(jīng)常調(diào)動到其他部門，管理員必須根據(jù)情況隨時調(diào)整交換機(jī)配置才可以加以應(yīng)對。其實(shí)，簡單有效的方法是對DHCP 服務(wù)器的部署策略進(jìn)行調(diào)整，來靈活的管控非法接入的情況。在一般情況下，DHCP 服務(wù)器是將默認(rèn)用戶類別作為管理標(biāo)準(zhǔn)，但是默認(rèn)用戶類別并沒有進(jìn)行任何設(shè)置，對應(yīng)的當(dāng)客戶機(jī)利用DHCP 服務(wù)自動獲取網(wǎng)絡(luò)參數(shù)時，用戶類別標(biāo)識項(xiàng)也沒有進(jìn)行任何設(shè)置。

當(dāng)DHCP 服務(wù)器和客戶機(jī)進(jìn)行通訊時，DHCP 服務(wù)器默認(rèn)的用戶類別的值和客戶機(jī)分配得到的用戶類別標(biāo)識項(xiàng)是一致的。之后DHCP 服務(wù)器就可以為客戶機(jī)分配合適的網(wǎng)絡(luò)配置參數(shù)，這樣客戶機(jī)就可以順利接入網(wǎng)絡(luò)了。從該原理出發(fā)，如果DHCP 服務(wù)器采用的是默認(rèn)用戶類別網(wǎng)絡(luò)參數(shù)分配機(jī)制，那么只要針對其設(shè)置錯誤的網(wǎng)關(guān)，DNS 服務(wù)器等參數(shù)，就會造成客戶機(jī)獲得這些網(wǎng)絡(luò)參數(shù)后，雖然從表面上看起來一切正常，但是其實(shí)際上是無法訪問任何網(wǎng)絡(luò)資源的。針對合法的客戶端主機(jī)，可以在DHCP 服務(wù)器上創(chuàng)建特殊的用戶類別，設(shè)置正確的網(wǎng)絡(luò)參數(shù)，讓合法的客戶端可以利用DHCP服務(wù)順利訪問網(wǎng)絡(luò)資源。

自定義DHCP 用戶類別

根據(jù)以上分析，需要在DHCP 服務(wù)器上配置默認(rèn)用戶分配策略和特定用戶類別分配策略。

注意：這兩個策略屬于同一個DHCP 作用域。利用前者可以讓非法的客戶機(jī)無法接入網(wǎng)絡(luò)，利用后者可以讓合法的用戶訪問網(wǎng)絡(luò)。

在本例中DHCP 已經(jīng)加入到域環(huán)境中，這里使用的是Windows Server 2012 R2 系統(tǒng)。 在DHCP 控制臺左側(cè)選擇“DHCP”→“域名” →“IPv4” →“作 用域”→“作用域選項(xiàng)”項(xiàng)，在右側(cè)分別創(chuàng)建名為“003 路由器”項(xiàng)，其值為“172.16.1.10”，名 為“006 DNS 服務(wù)器”項(xiàng)，其值為“172.16.1.20”，“015 DNS域名”項(xiàng)，其值為“XXX.com”，這里的網(wǎng)絡(luò)參數(shù)值均為假設(shè)，可以根據(jù)實(shí)際情況進(jìn)行設(shè)定。

因?yàn)橐呀?jīng)存在DHCP 服務(wù)器，所以在控制臺上選擇“DHCP”→“域名”→“IPv4”→“作用域”→“地址租用”項(xiàng)，在列表中選擇已經(jīng)分配的地址項(xiàng)目，在其右鍵菜單上點(diǎn)擊“刪除”項(xiàng)，清理已經(jīng)存在分配的地址。在左側(cè)選擇“DHCP”→“域名”→“IPv4”項(xiàng)，在右鍵菜單上點(diǎn)擊“定義用戶類”項(xiàng)，在打開窗口中顯示已經(jīng)存在的用戶類。點(diǎn)擊“添加”按鈕，在新建類窗口中輸入其名稱（例如“newdhcplei01”）， 在“ID”欄中輸入其ID 信息，這里兩者保持一致，點(diǎn)擊“確定”按鈕保存該類別。

配置DHCP 策略

在控制臺左側(cè)選擇“DHCP”→“域名”→“IPv4”→“策略”項(xiàng)，在其右鍵菜單上點(diǎn)擊“新建策略”項(xiàng)，在向?qū)Ы缑嬷悬c(diǎn)擊“下一步”按鈕，在基于策略的IP 地址和選項(xiàng)分配窗口中輸入策略名稱（例如“Dhcpcelue”），在下一步窗口中點(diǎn)擊“添加”按鈕，在添加/編輯條件窗口中的“條件”列表中選擇“用戶類”項(xiàng)，在“運(yùn)算符”列表中選擇“等于”項(xiàng)，在“值”列表中選擇上述“newdhcplei01”類，點(diǎn)擊“添加”按鈕將其添加進(jìn)來。點(diǎn)擊“下一步”按鈕，在為策略配置設(shè)置窗口中的“供應(yīng)商類”列表中選擇“DHCP Standard Options”項(xiàng)，在可用選項(xiàng)列表中選擇上述“003 路由器”“006 DNS 服務(wù)器”以及“015 DNS域名”等項(xiàng)目。之后點(diǎn)擊“完成”按鈕，創(chuàng)建該策略。

對非法連接進(jìn)行管控

這樣，當(dāng)來歷不明的客戶端主機(jī)接入企業(yè)內(nèi)網(wǎng)后，在CMD 窗口中執(zhí)行“ipconfig/renew”命令，來刷新DHCP服務(wù)配置參數(shù)。雖然獲得所需的上網(wǎng)設(shè)置，但是其得到的是DHCP 服務(wù)器為默認(rèn)用戶類別設(shè)置的參數(shù)，當(dāng)其試圖加入域環(huán)境時，系統(tǒng)會提示無法與域控制器建立連接的警告信息。

當(dāng)合法用戶需要列入網(wǎng)絡(luò)時，可以以管理員身份登錄本地系統(tǒng)。在CMD 窗口中執(zhí)行“ipconfig /setclassid* "newdhcplei01" ”“ipcon fig /renew”命令，來指定正確的DHCP 用戶類名稱，并據(jù)此獲取正確的上網(wǎng)參數(shù)。

這樣，就可以順利加入到域環(huán)境，來訪問所需的網(wǎng)絡(luò)資源了。當(dāng)然，為了防止客戶端用戶隨意修改IP，應(yīng)該以域用戶以“User”組的身份登錄。當(dāng)然，也可以使用組策略來禁止用戶隨意修改網(wǎng)絡(luò)參數(shù)。

方法是在域控上管理員身份登錄，打開組策略管理器，在左側(cè)選擇“林”→“域”→“域名”項(xiàng)，在其中的“Default Domain Policy”項(xiàng)的右鍵菜單上點(diǎn)擊“編輯”項(xiàng)，在編輯窗口左側(cè)選擇“計算機(jī)配置”→“策略”→“Windows 設(shè)置”→“安全設(shè)置”→“系統(tǒng)服務(wù)”項(xiàng)，在右側(cè)窗口雙擊“Network Connections”服務(wù)，在其屬性窗口中選擇“定義此策略設(shè)置”和“手動”項(xiàng)。

點(diǎn)擊“編輯安全設(shè)置”按鈕，在打開窗口中的“組或用戶名”列表中刪除所有的賬戶信息，點(diǎn)擊“添加”按鈕，將域管理員組添加進(jìn)來，并賦予其完全控制權(quán)限。對應(yīng)的將“Everyone”組添加進(jìn)來，并賦予其讀取的權(quán)限。點(diǎn)擊“應(yīng)用”和“確定”按鈕保存配置。選擇“用戶配置”→“策略”→“管理模版”→“開始菜單和任務(wù)欄”項(xiàng)，在右側(cè)窗口雙擊“刪除網(wǎng)絡(luò)圖標(biāo)”項(xiàng)，在其屬性窗口中選擇“已啟用”項(xiàng)，點(diǎn)擊“確定”按鈕保存配置。這樣，在客戶端上執(zhí)行“gpupdate/force”命令刷新組策略，打開網(wǎng)絡(luò)連接窗口，在其中不會顯示任何連接項(xiàng)目，用戶就無法隨意修改IP，同時在任務(wù)欄上不會顯示網(wǎng)絡(luò)連接圖標(biāo)，打開服務(wù)管理器，其中“Network Connections”服務(wù)處于禁用狀態(tài)。