我在 Debian Wheezy 上使用 isc-dhcp-server 运行 DHCP 服务器。因为人们在连接未经授权的机器,我的 DHCP 租约越来越少,最终,授权的机器无法连接到我们的网络。因此,我询问是否阻止某些 MAC 地址甚至通过 DHCP 获取地址,这很有帮助。
我决定在这里整理一下IP地址。我们有 5 台服务器、8 个接入点、12 台托管交换机、20 到 30 台打印机,以及所有授权客户端。我的目标是将服务器保留在它们的 IP 上(介于 .0.1 和 .0.5 之间,包括在内),然后将打印机放在下一个范围内,然后是其他网络设备,为这些静态保留留下一个子网。
然后我想根据他们的名字来区分不同部门的 IP。我有一个用于一个池的子网,作为测试,设置为转到 192.168.6.x,它仍然在原始子网 (192.168.0.0/19) 内。我将以下内容放入我的/etc/dhcp/dhcpd.conf文件中:
class "dlc" {
match if substring (option host-name,0,3) = "dlc";
}
class "DLC" {
match if substring (option host-name,0,3) = "DLC";
}
subnet 192.168.0.0 netmask 255.255.224.0 {
pool {
deny members of "blacklist";
allow members of "dlc";
allow members of "DLC";
range 192.168.6.1 192.168.6.50;
// Other options not important
}
该blacklist课程涉及上一个问题,即基于 MAC 的阻塞。该测试组中的机器均以DLC或开头dlc。我有一台机器能够获得这个范围内的地址。我还将 Lease Times 更改为比以前低得多的值:
default-lease-time 7200;
#default-lease-time 28800;
#max-lease-time 36000;
max-lease-time 14400;
我的通用池列在此池之后,它允许所有客户端,组中的客户端除外blacklist。都在 192.168.0.0/19 的同一子网范围内。最终,每个部门都会有自己的小组。
所以,我寻找到期租约的方法。我尝试了停止 DHCP 服务器,吹走租约文件,然后重新启动它的答案,但机器仍在声明相同的地址。我不介意我是否需要去机器上运行脚本,因为我可以很容易地将程序或脚本推送到客户端机器上。所有客户端都是 Windows 7 或 8.1。
我可以做些什么来强制具有有效 IP 地址的机器在我的特定范围内获取一个新的?这更适合我自己的网络组织,并且更容易识别何时连接了恶意设备。
我从未使用池成员来过滤哪些客户端使用哪些池,但我的快速建议是简单地确保您要使用特定池的客户端被阻止使用其他池,这样客户端就不应该有可能从您想要的池之外的池中获取地址。
所以拒绝“dlc”使用你的主池。