我在 Debian Wheezy 上运行 DHCP 服务器,使用的是 isc-dhcp-server。由于有人连接未经授权的机器,我的 DHCP 租约快用完了,最终授权的机器无法连接到我们的网络。因此,我询问了阻止某些 MAC 地址通过 DHCP 获取地址,这很有帮助。
我决定在这里整理 IP 地址。我们有 5 台服务器、8 个接入点、12 台托管交换机、20 到 30 台打印机,以及所有授权客户端。我的目标是让服务器保留其 IP(介于 .0.1 和 .0.5 之间,含),然后将打印机放在下一个范围内,然后是其他网络设备,留下一个子网仅用于这些静态预留。
然后,我想根据名称将不同部门的 IP 分开。我有一个池的子网,仅作为测试,设置为 192.168.6.x,它仍然在原始子网 (192.168.0.0/19) 内。我将以下内容放入我的/etc/dhcp/dhcpd.conf文件中:
class "dlc" {
match if substring (option host-name,0,3) = "dlc";
}
class "DLC" {
match if substring (option host-name,0,3) = "DLC";
}
subnet 192.168.0.0 netmask 255.255.224.0 {
pool {
deny members of "blacklist";
allow members of "dlc";
allow members of "DLC";
range 192.168.6.1 192.168.6.50;
// Other options not important
}
该类blacklist与上一个问题有关,即基于 MAC 的阻止。此测试组中的机器都以 或 开头DLC。dlc我有一台机器能够获取此范围内的地址。我还将租约时间更改为比以前低得多的值:
default-lease-time 7200;
#default-lease-time 28800;
#max-lease-time 36000;
max-lease-time 14400;
我的通用池已列出后此池允许除blacklist组中的客户端之外的所有客户端。所有客户端均位于同一子网范围 192.168.0.0/19 内。最终,每个部门都会有自己的组。
因此,我寻找了终止租约的方法。我尝试了这个答案停止 DHCP 服务器,删除租约文件,然后重新启动它,但机器仍然声明相同的地址。我不介意我需要去机器上运行脚本,因为我可以很容易地将程序或脚本推送到客户端机器。所有客户端都是 Windows 7 或 8.1。
我该怎么做才能强制原本具有有效 IP 地址的机器在我的特定范围内获取新的 IP 地址?这更多是为了我自己的网络组织,并且更容易识别恶意设备的连接时间。
答案1
我从未使用池成员来过滤哪些客户端使用哪些池,但我的快速建议是简单地确保您想要使用特定池的客户端无法使用其他池,这样客户端就不可能从您想要的池之外的池中获取地址。
因此拒绝“dlc”使用您的主池。