巧用DHCP 策略管控網絡連接

■ 河南 劉建臣

編者按：在很多單位中，一些員工（由其是外部用戶）會將自己的筆記本隨意連入公司內網，因為內網中一般都部署有DHCP 服務器，所以其可以輕松獲取各種IP 等網絡參數，進而非法訪問內網資源或者連接Internet。連接這給網絡掛你帶來了很多問題。對于網管員來說，需要對這種網絡連接有效管控，來優化網絡管理效率。

下面分四個部分詳細介紹如何管理網絡連接。

DHCP 策略管控原理分析

出于安全考慮，在企業內部是不允許員工私自將個人電腦接入內網，因此管理員必須做到即使客戶端非法接入，也要讓其無法正常訪問網絡資源。因為很多企業采用的都是三層網絡架構，同時劃分了不同的VLAN。

DHCP 服務器一般單獨部署，核心交換機一般都會開啟DHCP 中繼服務，讓每個VLAN 中主機都可以通過DHCP 服務器來獲取所需的網絡參數。

當然，每個VLAN都必須設置默認的網關，其默認網關一般指向核心交換機的特定端口地址。從這個角度考慮，如果VLAN中的客戶端無法得到正確的網關地址，自然也就無法訪問內網和外網資源了。

按照一般的處理方法，管理員會將合法主機的MAC地址和接入交換機的特定端口綁定。這樣，如果是來歷不明的主機，自然無法接網絡。但是該方法存在一定的弊端，例如有些員工工作部門不固定，會經常調動到其他部門，管理員必須根據情況隨時調整交換機配置才可以加以應對。其實，簡單有效的方法是對DHCP 服務器的部署策略進行調整，來靈活的管控非法接入的情況。在一般情況下，DHCP 服務器是將默認用戶類別作為管理標準，但是默認用戶類別并沒有進行任何設置，對應的當客戶機利用DHCP 服務自動獲取網絡參數時，用戶類別標識項也沒有進行任何設置。

當DHCP 服務器和客戶機進行通訊時，DHCP 服務器默認的用戶類別的值和客戶機分配得到的用戶類別標識項是一致的。之后DHCP 服務器就可以為客戶機分配合適的網絡配置參數，這樣客戶機就可以順利接入網絡了。從該原理出發，如果DHCP 服務器采用的是默認用戶類別網絡參數分配機制，那么只要針對其設置錯誤的網關，DNS 服務器等參數，就會造成客戶機獲得這些網絡參數后，雖然從表面上看起來一切正常，但是其實際上是無法訪問任何網絡資源的。針對合法的客戶端主機，可以在DHCP 服務器上創建特殊的用戶類別，設置正確的網絡參數，讓合法的客戶端可以利用DHCP服務順利訪問網絡資源。

自定義DHCP 用戶類別

根據以上分析，需要在DHCP 服務器上配置默認用戶分配策略和特定用戶類別分配策略。

注意：這兩個策略屬于同一個DHCP 作用域。利用前者可以讓非法的客戶機無法接入網絡，利用后者可以讓合法的用戶訪問網絡。

在本例中DHCP 已經加入到域環境中，這里使用的是Windows Server 2012 R2 系統。 在DHCP 控制臺左側選擇“DHCP”→“域名” →“IPv4” →“作 用域”→“作用域選項”項，在右側分別創建名為“003 路由器”項，其值為“172.16.1.10”，名 為“006 DNS 服務器”項，其值為“172.16.1.20”，“015 DNS域名”項，其值為“XXX.com”，這里的網絡參數值均為假設，可以根據實際情況進行設定。

因為已經存在DHCP 服務器，所以在控制臺上選擇“DHCP”→“域名”→“IPv4”→“作用域”→“地址租用”項，在列表中選擇已經分配的地址項目，在其右鍵菜單上點擊“刪除”項，清理已經存在分配的地址。在左側選擇“DHCP”→“域名”→“IPv4”項，在右鍵菜單上點擊“定義用戶類”項，在打開窗口中顯示已經存在的用戶類。點擊“添加”按鈕，在新建類窗口中輸入其名稱（例如“newdhcplei01”）， 在“ID”欄中輸入其ID 信息，這里兩者保持一致，點擊“確定”按鈕保存該類別。

配置DHCP 策略

在控制臺左側選擇“DHCP”→“域名”→“IPv4”→“策略”項，在其右鍵菜單上點擊“新建策略”項，在向導界面中點擊“下一步”按鈕，在基于策略的IP 地址和選項分配窗口中輸入策略名稱（例如“Dhcpcelue”），在下一步窗口中點擊“添加”按鈕，在添加/編輯條件窗口中的“條件”列表中選擇“用戶類”項，在“運算符”列表中選擇“等于”項，在“值”列表中選擇上述“newdhcplei01”類，點擊“添加”按鈕將其添加進來。點擊“下一步”按鈕，在為策略配置設置窗口中的“供應商類”列表中選擇“DHCP Standard Options”項，在可用選項列表中選擇上述“003 路由器”“006 DNS 服務器”以及“015 DNS域名”等項目。之后點擊“完成”按鈕，創建該策略。

對非法連接進行管控

這樣，當來歷不明的客戶端主機接入企業內網后，在CMD 窗口中執行“ipconfig/renew”命令，來刷新DHCP服務配置參數。雖然獲得所需的上網設置，但是其得到的是DHCP 服務器為默認用戶類別設置的參數，當其試圖加入域環境時，系統會提示無法與域控制器建立連接的警告信息。

當合法用戶需要列入網絡時，可以以管理員身份登錄本地系統。在CMD 窗口中執行“ipconfig /setclassid* "newdhcplei01" ”“ipcon fig /renew”命令，來指定正確的DHCP 用戶類名稱，并據此獲取正確的上網參數。

這樣，就可以順利加入到域環境，來訪問所需的網絡資源了。當然，為了防止客戶端用戶隨意修改IP，應該以域用戶以“User”組的身份登錄。當然，也可以使用組策略來禁止用戶隨意修改網絡參數。

方法是在域控上管理員身份登錄，打開組策略管理器，在左側選擇“林”→“域”→“域名”項，在其中的“Default Domain Policy”項的右鍵菜單上點擊“編輯”項，在編輯窗口左側選擇“計算機配置”→“策略”→“Windows 設置”→“安全設置”→“系統服務”項，在右側窗口雙擊“Network Connections”服務，在其屬性窗口中選擇“定義此策略設置”和“手動”項。

點擊“編輯安全設置”按鈕，在打開窗口中的“組或用戶名”列表中刪除所有的賬戶信息，點擊“添加”按鈕，將域管理員組添加進來，并賦予其完全控制權限。對應的將“Everyone”組添加進來，并賦予其讀取的權限。點擊“應用”和“確定”按鈕保存配置。選擇“用戶配置”→“策略”→“管理模版”→“開始菜單和任務欄”項，在右側窗口雙擊“刪除網絡圖標”項，在其屬性窗口中選擇“已啟用”項，點擊“確定”按鈕保存配置。這樣，在客戶端上執行“gpupdate/force”命令刷新組策略，打開網絡連接窗口，在其中不會顯示任何連接項目，用戶就無法隨意修改IP，同時在任務欄上不會顯示網絡連接圖標，打開服務管理器，其中“Network Connections”服務處于禁用狀態。