我们校园里有一些访客,他们自带笔记本电脑和设备,使用我们的无线和有线网络。当我们收到版权侵权通知(通常是 BitTorrenting)时,我们必须隔离该 MAC 地址,使其不再具有互联网访问权限。无论它试图访问什么网站,它都会被发送到一个网页,向用户解释该设备已被隔离。
到目前为止,我们已经在 Linux 上的 ISC DHCP 中实现了这一点。我们有多个 VLAN,每个 VLAN 有一个或多个公共 IP 子网和一个 RFC1918 隔离子网。除非您位于已知不良 MAC 列表中,否则所有客户端都是公共 IP 子网中的租用 IP。然后,您将被发送到隔离子网,这样您的流量在 Internet 上就无法路由(您仅被子网隔离,而不是被 VLAN 隔离)。
我们希望根据 IPAM 角色迁移到 Windows DHCP,但我不知道如何在 Windows DHCP 2012 中复制这一点(在 Windows Server 2008 R2 上为特定 MAC 前缀分配 DHCP IP这表明在 2008 R2 中这是不可能的,即使使用策略也是如此。
因此,我想要的是:管理员/服务台提供并维护要隔离的 MAC 地址列表。DHCP 服务器将这些 MAC 放入相应 VLAN 上的隔离子网中,无论客户端位于哪个 VLAN 中。
我认为预留不起作用:我们目前有大约 300 个已注册的坏 MAC 和大约 12 个 VLAN。我不想进行 300 x 12 个预留,也不想为每个新 MAC 地址添加 12 个预留。更不用说所有隔离子网都是 /24s。
我们没有 NPS/NAC。您无需注册 MAC 地址即可获得网络访问权限。我们使用 Cisco 路由器/交换机。
谢谢。
答案1
Microsoft DHCP 服务器没有配置的 DHCP 范围之外的 MAC 地址列表的概念。我也不知道有什么方法可以让 Microsoft DHCP 服务器返回 DHCP 中继代理的 GIADDR 地址范围之外的 IP 地址。我认为您无法复制 Microsoft DHCP 服务器所做的事情。
另外:在考虑使用 Microsoft DHCP 服务器向公共客户端分发 IP 地址之前,您可能需要从 Microsoft 获得关于这些设备是否需要 CAL 的明确声明。Microsoft 对此发表了相互矛盾的声明。为了“安全”,我总是对公共子网使用非 Microsoft DHCP 服务器。
编辑:
你说得对DHCP 超级作用域将允许将 IP 地址分配给中继代理所经过的 GIADDR 子网之外的客户端。这不是我在生产中使用过的功能,但即便如此,我还是觉得自己有点愚蠢,因为我没有想到这一点。