故事背景:
作為一個網絡管理者,站在公司立場其實并不應該開放 DHCP 給任何一台計算機自由連上公司網絡, 但因為環境需要又不得不架設 DHCP 給一些臨時的測試機來使用, 是以隻好設定在每台計算機名稱至少要包含自己的名字足以提供網管辨認這樣的制度。
但就是有人很不受教, 計算機名稱老是取一些讓我無法辨認的字元串, 或者在上班時間直接用手機連接配接公司網絡,每當看到這種情況我就要大費周章的去找出這些計算機或不明裝置是哪些同僚的, 一而再 再而三讓我覺得很火, 這麼低級的事情卻占掉我不少時間來處理, 棍!! 這真的是很氣人! 我腦海裡就在想既然大家都不照遊戲規則來走那我就隻好做絕了:直接在DHCP Server 上擋掉這些機器, 不發 IP 給你們看你們怎麼連網!!
然後經過多翻周折,上網查閱多方面資料,發現隻要安裝一個小插件就可以輕松解決此問題,特此将此好方法分享給兄弟姐們妹,讓我們在管理網絡的時候顯得格外輕松。
解決方法:
1,下載下傳 MacFilterCallout.zip解壓并找到對應版本安裝,分别有32位和64位版本,安裝完在 C:\Windows\System32 目錄下會有一個 MacFilterCallout.dll 的檔案。
2,然後找到 C:\Windows\System32\dhcp\MACList.txt 檔案,打開并編輯内容,這個檔案的第一行一定得是 MAC_ACTION = {ALLOW} 或是 AC_ACTION = {DENY}, 第二行開始就是 MAC Address, 每行一個, 英文字請用小寫字母;切記,一定要是連續的哦,把中間的分隔符去掉,不然不會成功的。
說明:
如果你的第一行是 MAC_ACTION = {ALLOW} 那就代表你采 用正面清單, 如:
MAC_ACTION = {ALLOW}
109add613f10
000dea19bbca
......
那就代表隻有 109add613f10 和 000dea19bbca 這兩台計算機可以自 DHCP Server 取得 IP 連網, 其他的任何計算機都無法自 DHCP Server 取得 IP.
如果你的第一行是 MAC_ACTION = {DENY} 那就代表你采用負面清單,
如:
MAC_ACTION = {DENY}
那就代表 109add613f10 和 000dea19bbca 這兩台計算機無法自 DHCP Server 取得 IP 連網, 其他任何不在清單上的計算機都可以取得 IP.
3,内容設定無誤之後,如果都沒有問題的話在事件檢視器的系統日志中可看見一個來源于DhcpServer 事件ID=1033 的訊息
4,設定完成後,進入到 計算機管理--服務和應用程式--服務,找到DHCP Client 和DHCP Server 服務重新啟動,之後每當 DHCP Server 接到來自 client 端的 request 之後都會先去檢查MAC Address 清單, 并依照條件決定是否發放 IP 給 client 端。
5,我這裡使用的是正面清單,現在我們來測試一下DHCP限制是否成功,先用有限權擷取IP的計算機來向DHCP伺服器擷取位址,
OK,可以正常擷取IP位址了。在伺服器上也可以看到用戶端了
6,現在我們再來測試一下使用沒有經過授權的計算機來擷取IP位址,
未經過授權的計算機不能向DHCP伺服器獲得IP位址。
小結:
經過以上兩台計算機的實驗測試證明,隻有經過MAC允許的計算機才能夠從服務上擷取到IP位址,相反,如果你是設定了負面清單,側指定的清單是無法通過DHCP伺服器獲得IP位址的,此文章主要用來限制于手機使用者使用無錢連接配接公司網絡上網之用。
<a href="http://down.51cto.com/data/2361621" target="_blank">附件:http://down.51cto.com/data/2361621</a>
本文轉自lihong 51CTO部落格,原文連結:http://blog.51cto.com/lihong/1031895,如需轉載請自行聯系原作者
![Windows系統下通過CMD指令行或運作視窗打開常用附件和功能[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)