我们的校园里有来宾,他们带着自己的笔记本电脑和设备,并使用我们的无线和有线networking。 当我们收到版权侵权通知(通常是BitTorrenting)时,我们需要隔离该MAC地址,以使其不再具有Internet访问权限。 无论它尝试访问哪个网站,都会发送到一个网页,向用户解释设备已被隔离。
到目前为止,我们已经在Linux上的ISC DHCP中实现了这一点。 我们有多个具有一个或多个公有IP子网和一个RFC1918隔离子网的VLAN。 所有的客户端都是公用IP子网中的租用IP,除非你在已知的坏MAC列表中。 然后,您将被发送到隔离子网,以便您的通信在Internet上不可路由(您只能通过子网隔离,而不能通过VLAN隔离)。
根据IPAMangular色,我们想迁移到Windows DHCP,但是我无法弄清楚如何在Windows DHCP 2012( 为Windows Server 2008 R2上的特定MAC前缀分配DHCP IP,表明它在2008 R2中不可能)进行复制,甚至在使用政策时
所以这就是我想要的:pipe理员/帮助台提供并维护一个要隔离的MAC地址列表。 DHCP服务器将这些MAC放置在相应VLAN上的隔离子网中,而不pipe客户端在哪个VLAN中。
我不认为保留会起作用:我们目前有大约300个已注册的坏MAC和大约12个VLAN。 我不想进行300 x 12的保留,也不必为每个新的MAC地址添加12个保留。 更不用说所有的隔离子网都是/ 24了。
我们没有NPS / NAC。 您不必注册您的MAC地址获得networking访问权限。 我们使用思科路由器/交换机。
谢谢。
Microsoft DHCP服务器没有在configuration的DHCP作用域之外的MAC地址列表的概念。 我也不知道有什么方法让Microsoft DHCP服务器返回DHCP中继代理的GIADDR地址范围之外的IP地址。 我不认为你将能够复制你的微软DHCP服务器。
顺便说一句:在考虑使用Microsoft DHCP服务器向公共客户端发送IP地址之前,您可能希望从Microsoft获得有关这些设备是否需要CAL的明确声明。 微软对此做出了矛盾的说法。 为了“安全”,我总是使用非Microsoft DHCP服务器作为公共子网。
编辑:
您绝对正确的做法是, DHCP超级用户将允许将IP地址分配给中继代理通过的GIADDR的子网之外的客户端。 这不是我在制作中使用过的function,但是即使如此,我也觉得自己没有想过这个function。