我正在尝试开发像 Microsoft NAP 这样的 DHCP 强制扩展。我阻止动态 IP 请求机器(不符合某些策略)的技巧是剥离 IP 租约中规定的默认网关(无默认网关)并将租约子网掩码设置为 255.255.255.255。
现在我需要被阻止的机器能够到达网络上的某些特定位置(IP)。为此,我在租约中包含了一些静态路由。例如,我通过路由器 10.10.10.254 包括 10.10.10.11(需要访问 10.10.10.11 的受阻机器连接到该路由器)。
不幸的是,一旦我将默认网关设置为空,被阻止的机器就无法访问任何添加的静态路由。我还尝试了无类静态路由。
有任何想法吗 ?任何人都知道MS NAP实际上是如何做到的吗?
10.10.10.254在您的示例中,您可能需要包含到 的路线。该路由可以是“它在本地连接到此接口”(为了您的缘故,我希望是这样)。我认为问题在于将子网掩码定义为 255.255.255.255。您实际上是在告诉计算机它自己在一个网段上,然后不告诉它与谁(即网关)通信以与其他网段通信。正确的解决方案是使用没有为 LAN 配置路由的真实网关服务器设置专用网段,然后配置从专用网络到所需 LAN 地址的静态路由。或者,您需要将计算机放置在具有足够大子网掩码以到达所需地址的仅广播网段上,然后在计算机连接到的任何路由器上配置静态路由。
为了简化:无网关 = 仅广播,255.255.255.255 子集 = 无广播(所有路由到网关)
Bill Weiss:我们尝试过这个(将路由器地址添加为静态路由,其网关是特殊的 0.0.0.0,表示在同一链路上)。这允许 ping 到达路由器,但不能到达目标机器(通过该路由器的另一条静态路由)。
Greg Bray:我们找到了一个半解决方案,即在与静态路由表(待到达)不同网段的被阻塞机器可以 ping 通它们。基本上我们将默认网关设置为 0.0.0.0,子网掩码设置为 255.255.255.255,这意味着:如有任何疑问,请查阅静态路由表。我们还将静态路由的网关设置为 0.0.0.0,这意味着这个网关与被阻塞的机器在同一个链接上(我想,如果有错误请纠正我)。但是,有什么想法可以通过一个阻塞的机器来 ping 同一段上的机器吗?
还有一件事:想象两台被阻塞的机器使用上述默认网关和子网掩码设置。现在让被阻塞的机器 A ping 另一台被阻塞的机器 B,我是否还需要 B 上到 A 的静态路由才能让 B 能够响应这个 ping 请求(假设 A 已经有到 B 的静态路由)?我的意思是 ping 响应是否利用 ping 请求标头中有关请求者机器的信息来回复它?还是该响应需要显式静态路由?
感谢你们 :)
您遇到的部分问题是您阻塞了比静态路由更具体的网络。路由器根据管理距离选择要发送内容的网络,静态路由的管理距离为 1。但是,如果不同的路由是更具体的网络(也就是与主机位相比,具有更多的网络位),它们会忽略 AD。因此,如果您将掩码设置为 255.255.255.255,那么您就是网络位,并且您到网络+主机的静态路由将被忽略。
另外,由于他们可以手动设置信息并完全忽略此系统,因此执行力如何?