巧用DHCP 策略管控網(wǎng)絡(luò)連接

■ 河南 劉建臣

編者按：在很多單位中，一些員工（由其是外部用戶）會(huì)將自己的筆記本隨意連入公司內(nèi)網(wǎng)，因?yàn)閮?nèi)網(wǎng)中一般都部署有DHCP 服務(wù)器，所以其可以輕松獲取各種IP 等網(wǎng)絡(luò)參數(shù)，進(jìn)而非法訪問(wèn)內(nèi)網(wǎng)資源或者連接Internet。連接這給網(wǎng)絡(luò)掛你帶來(lái)了很多問(wèn)題。對(duì)于網(wǎng)管員來(lái)說(shuō)，需要對(duì)這種網(wǎng)絡(luò)連接有效管控，來(lái)優(yōu)化網(wǎng)絡(luò)管理效率。

下面分四個(gè)部分詳細(xì)介紹如何管理網(wǎng)絡(luò)連接。

DHCP 策略管控原理分析

出于安全考慮，在企業(yè)內(nèi)部是不允許員工私自將個(gè)人電腦接入內(nèi)網(wǎng)，因此管理員必須做到即使客戶端非法接入，也要讓其無(wú)法正常訪問(wèn)網(wǎng)絡(luò)資源。因?yàn)楹芏嗥髽I(yè)采用的都是三層網(wǎng)絡(luò)架構(gòu)，同時(shí)劃分了不同的VLAN。

DHCP 服務(wù)器一般單獨(dú)部署，核心交換機(jī)一般都會(huì)開啟DHCP 中繼服務(wù)，讓每個(gè)VLAN 中主機(jī)都可以通過(guò)DHCP 服務(wù)器來(lái)獲取所需的網(wǎng)絡(luò)參數(shù)。

當(dāng)然，每個(gè)VLAN都必須設(shè)置默認(rèn)的網(wǎng)關(guān)，其默認(rèn)網(wǎng)關(guān)一般指向核心交換機(jī)的特定端口地址。從這個(gè)角度考慮，如果VLAN中的客戶端無(wú)法得到正確的網(wǎng)關(guān)地址，自然也就無(wú)法訪問(wèn)內(nèi)網(wǎng)和外網(wǎng)資源了。

按照一般的處理方法，管理員會(huì)將合法主機(jī)的MAC地址和接入交換機(jī)的特定端口綁定。這樣，如果是來(lái)歷不明的主機(jī)，自然無(wú)法接網(wǎng)絡(luò)。但是該方法存在一定的弊端，例如有些員工工作部門不固定，會(huì)經(jīng)常調(diào)動(dòng)到其他部門，管理員必須根據(jù)情況隨時(shí)調(diào)整交換機(jī)配置才可以加以應(yīng)對(duì)。其實(shí)，簡(jiǎn)單有效的方法是對(duì)DHCP 服務(wù)器的部署策略進(jìn)行調(diào)整，來(lái)靈活的管控非法接入的情況。……