■ 河南 劉建臣

編者按：在很多單位中，一些員工（由其是外部用戶）會將自己的筆記本隨意連入公司內(nèi)網(wǎng)，因為內(nèi)網(wǎng)中一般都部署有DHCP 服務(wù)器，所以其可以輕松獲取各種IP 等網(wǎng)絡(luò)參數(shù)，進而非法訪問內(nèi)網(wǎng)資源或者連接Internet。連接這給網(wǎng)絡(luò)掛你帶來了很多問題。對于網(wǎng)管員來說，需要對這種網(wǎng)絡(luò)連接有效管控，來優(yōu)化網(wǎng)絡(luò)管理效率。

下面分四個部分詳細介紹如何管理網(wǎng)絡(luò)連接。

DHCP 策略管控原理分析

出于安全考慮，在企業(yè)內(nèi)部是不允許員工私自將個人電腦接入內(nèi)網(wǎng)，因此管理員必須做到即使客戶端非法接入，也要讓其無法正常訪問網(wǎng)絡(luò)資源。因為很多企業(yè)采用的都是三層網(wǎng)絡(luò)架構(gòu)，同時劃分了不同的VLAN。

DHCP 服務(wù)器一般單獨部署，核心交換機一般都會開啟DHCP 中繼服務(wù)，讓每個VLAN 中主機都可以通過DHCP 服務(wù)器來獲取所需的網(wǎng)絡(luò)參數(shù)。

當然，每個VLAN都必須設(shè)置默認的網(wǎng)關(guān)，其默認網(wǎng)關(guān)一般指向核心交換機的特定端口地址。從這個角度考慮，如果VLAN中的客戶端無法得到正確的網(wǎng)關(guān)地址，自然也就無法訪問內(nèi)網(wǎng)和外網(wǎng)資源了。

按照一般的處理方法，管理員會將合法主機的MAC地址和接入交換機的特定端口綁定。這樣，如果是來歷不明的主機，自然無法接網(wǎng)絡(luò)。但是該方法存在一定的弊端，例如有些員工工作部門不固定，會經(jīng)常調(diào)動到其他部門，管理員必須根據(jù)情況隨時調(diào)整交換機配置才可以加以應(yīng)對。其實，簡單有效的方法是對DHCP 服務(wù)器的部署策略進行調(diào)整，來靈活的管控非法接入的情況。在一般情況下，DHCP 服務(wù)器是將默認用戶類別作為管理標準，但是默認用戶類別并沒有進行任何設(shè)置，對應(yīng)的當客戶機利用DHCP 服務(wù)自動獲取網(wǎng)絡(luò)參數(shù)時，用戶類別標識項也沒有進行任何設(shè)置。

當DHCP 服務(wù)器和客戶機進行通訊時，DHCP 服務(wù)器默認的用戶類別的值和客戶機分配得到的用戶類別標識項是一致的。之后DHCP 服務(wù)器就可以為客戶機分配合適的網(wǎng)絡(luò)配置參數(shù)，這樣客戶機就可以順利接入網(wǎng)絡(luò)了。從該原理出發(fā)，如果DHCP 服務(wù)器采用的是默認用戶類別網(wǎng)絡(luò)參數(shù)分配機制，那么只要針對其設(shè)置錯誤的網(wǎng)關(guān)，DNS 服務(wù)器等參數(shù)，就會造成客戶機獲得這些網(wǎng)絡(luò)參數(shù)后，雖然從表面上看起來一切正常，但是其實際上是無法訪問任何網(wǎng)絡(luò)資源的。針對合法的客戶端主機，可以在DHCP 服務(wù)器上創(chuàng)建特殊的用戶類別，設(shè)置正確的網(wǎng)絡(luò)參數(shù)，讓合法的客戶端可以利用DHCP服務(wù)順利訪問網(wǎng)絡(luò)資源。

自定義DHCP 用戶類別

根據(jù)以上分析，需要在DHCP 服務(wù)器上配置默認用戶分配策略和特定用戶類別分配策略。

注意：這兩個策略屬于同一個DHCP 作用域。利用前者可以讓非法的客戶機無法接入網(wǎng)絡(luò)，利用后者可以讓合法的用戶訪問網(wǎng)絡(luò)。

在本例中DHCP 已經(jīng)加入到域環(huán)境中，這里使用的是Windows Server 2012 R2 系統(tǒng)。 在DHCP 控制臺左側(cè)選擇“DHCP”→“域名” →“IPv4” →“作 用域”→“作用域選項”項，在右側(cè)分別創(chuàng)建名為“003 路由器”項，其值為“172.16.1.10”，名 為“006 DNS 服務(wù)器”項，其值為“172.16.1.20”，“015 DNS域名”項，其值為“XXX.com”，這里的網(wǎng)絡(luò)參數(shù)值均為假設(shè)，可以根據(jù)實際情況進行設(shè)定。

因為已經(jīng)存在DHCP 服務(wù)器，所以在控制臺上選擇“DHCP”→“域名”→“IPv4”→“作用域”→“地址租用”項，在列表中選擇已經(jīng)分配的地址項目，在其右鍵菜單上點擊“刪除”項，清理已經(jīng)存在分配的地址。在左側(cè)選擇“DHCP”→“域名”→“IPv4”項，在右鍵菜單上點擊“定義用戶類”項，在打開窗口中顯示已經(jīng)存在的用戶類。點擊“添加”按鈕，在新建類窗口中輸入其名稱（例如“newdhcplei01”）， 在“ID”欄中輸入其ID 信息，這里兩者保持一致，點擊“確定”按鈕保存該類別。

配置DHCP 策略

在控制臺左側(cè)選擇“DHCP”→“域名”→“IPv4”→“策略”項，在其右鍵菜單上點擊“新建策略”項，在向?qū)Ы缑嬷悬c擊“下一步”按鈕，在基于策略的IP 地址和選項分配窗口中輸入策略名稱（例如“Dhcpcelue”），在下一步窗口中點擊“添加”按鈕，在添加/編輯條件窗口中的“條件”列表中選擇“用戶類”項，在“運算符”列表中選擇“等于”項，在“值”列表中選擇上述“newdhcplei01”類，點擊“添加”按鈕將其添加進來。點擊“下一步”按鈕，在為策略配置設(shè)置窗口中的“供應(yīng)商類”列表中選擇“DHCP Standard Options”項，在可用選項列表中選擇上述“003 路由器”“006 DNS 服務(wù)器”以及“015 DNS域名”等項目。之后點擊“完成”按鈕，創(chuàng)建該策略。

對非法連接進行管控

這樣，當來歷不明的客戶端主機接入企業(yè)內(nèi)網(wǎng)后，在CMD 窗口中執(zhí)行“ipconfig/renew”命令，來刷新DHCP服務(wù)配置參數(shù)。雖然獲得所需的上網(wǎng)設(shè)置，但是其得到的是DHCP 服務(wù)器為默認用戶類別設(shè)置的參數(shù)，當其試圖加入域環(huán)境時，系統(tǒng)會提示無法與域控制器建立連接的警告信息。

當合法用戶需要列入網(wǎng)絡(luò)時，可以以管理員身份登錄本地系統(tǒng)。在CMD 窗口中執(zhí)行“ipconfig /setclassid* "newdhcplei01" ”“ipcon fig /renew”命令，來指定正確的DHCP 用戶類名稱，并據(jù)此獲取正確的上網(wǎng)參數(shù)。

這樣，就可以順利加入到域環(huán)境，來訪問所需的網(wǎng)絡(luò)資源了。當然，為了防止客戶端用戶隨意修改IP，應(yīng)該以域用戶以“User”組的身份登錄。當然，也可以使用組策略來禁止用戶隨意修改網(wǎng)絡(luò)參數(shù)。

方法是在域控上管理員身份登錄，打開組策略管理器，在左側(cè)選擇“林”→“域”→“域名”項，在其中的“Default Domain Policy”項的右鍵菜單上點擊“編輯”項，在編輯窗口左側(cè)選擇“計算機配置”→“策略”→“Windows 設(shè)置”→“安全設(shè)置”→“系統(tǒng)服務(wù)”項，在右側(cè)窗口雙擊“Network Connections”服務(wù)，在其屬性窗口中選擇“定義此策略設(shè)置”和“手動”項。

點擊“編輯安全設(shè)置”按鈕，在打開窗口中的“組或用戶名”列表中刪除所有的賬戶信息，點擊“添加”按鈕，將域管理員組添加進來，并賦予其完全控制權(quán)限。對應(yīng)的將“Everyone”組添加進來，并賦予其讀取的權(quán)限。點擊“應(yīng)用”和“確定”按鈕保存配置。選擇“用戶配置”→“策略”→“管理模版”→“開始菜單和任務(wù)欄”項，在右側(cè)窗口雙擊“刪除網(wǎng)絡(luò)圖標”項，在其屬性窗口中選擇“已啟用”項，點擊“確定”按鈕保存配置。這樣，在客戶端上執(zhí)行“gpupdate/force”命令刷新組策略，打開網(wǎng)絡(luò)連接窗口，在其中不會顯示任何連接項目，用戶就無法隨意修改IP，同時在任務(wù)欄上不會顯示網(wǎng)絡(luò)連接圖標，打開服務(wù)管理器，其中“Network Connections”服務(wù)處于禁用狀態(tài)。