強制客戶端從 DHCP 伺服器獲取新的 IP 地址
我在 Debian Wheezy 上使用 isc-dhcp-server 執行 DHCP 伺服器。因為人們在連接未經授權的機器,我的 DHCP 租約越來越少,最終,授權的機器無法連接到我們的網路。因此,我詢問是否阻止某些 MAC 地址甚至通過 DHCP 獲取地址,這很有幫助。
我決定在這裡整理一下IP地址。我們有 5 台伺服器、8 個接入點、12 台託管交換機、20 到 30 台列印機,以及所有授權客戶端。我的目標是將伺服器保留在它們的 IP 上(介於 .0.1 和 .0.5 之間,包括在內),然後將列印機放在下一個範圍內,然後是其他網路設備,為這些靜態保留留下一個子網。
然後我想根據他們的名字來區分不同部門的 IP。我有一個用於一個池的子網,作為測試,設置到 192.168.6.x,它仍然在原始子網 (192.168.0.0/19) 內。我將以下內容放入我的
/etc/dhcp/dhcpd.conf
文件中:class "dlc" { match if substring (option host-name,0,3) = "dlc"; } class "DLC" { match if substring (option host-name,0,3) = "DLC"; } subnet 192.168.0.0 netmask 255.255.224.0 { pool { deny members of "blacklist"; allow members of "dlc"; allow members of "DLC"; range 192.168.6.1 192.168.6.50; // Other options not important }
該
blacklist
課程涉及上一個問題,即基於 MAC 的阻塞。該測試組中的機器均以DLC
或開頭dlc
。我有一台機器能夠獲得這個範圍內的地址。我還將 Lease Times 更改為比以前低得多的值:default-lease-time 7200; #default-lease-time 28800; #max-lease-time 36000; max-lease-time 14400;
我的通用池列在此池之後,它允許所有客戶端,組中的客戶端除外
blacklist
。都在 192.168.0.0/19 的同一子網範圍內。最終,每個部門都會有自己的小組。所以,我尋找到期租約的方法。我嘗試了停止 DHCP 伺服器,吹走租約文件,然後重新啟動它的答案,但機器仍在聲明相同的地址。我不介意我是否需要去機器上執行腳本,因為我可以很容易地將程序或腳本推送到客戶端機器上。所有客戶端都是 Windows 7 或 8.1。
**我可以做些什麼來強制具有有效 IP 地址的機器在我的特定範圍內獲取一個新的?**這更適合我自己的網路組織,並且更容易辨識何時連接了惡意設備。
我從未使用池成員來過濾哪些客戶端使用哪些池,但我的快速建議是簡單地確保您想要使用特定池的客戶端被阻止使用其他池,這樣客戶端就不應該有可能從您想要的池之外的池中獲取地址。
所以拒絕“dlc”使用你的主池。