Microsoft Windows DHCP: Direcionando clientes IPv4 para escopos específicos baseados em MAC

2

Temos visitantes em nosso campus que trazem seus próprios laptops e dispositivos e usam nossas redes sem fio e com fio. Quando recebemos um aviso de violação de direitos autorais (normalmente, BitTorrenting), somos obrigados a colocar esse endereço MAC em quarentena para que ele não tenha mais acesso à Internet. Independentemente do site que tente visitar, ele é enviado para uma página da Web explicando ao usuário que o dispositivo foi colocado em quarentena.

Até agora implementamos isso no ISC DHCP no Linux. Temos várias VLANs com uma ou mais sub-redes IP públicas e uma sub-rede de quarentena RFC1918 cada. Todos os clientes são IPs alugados nas sub-redes de IP público, a menos que você esteja em uma lista de MACs inválidos conhecidos. Em seguida, você é enviado para a sub-rede de quarentena para que seu tráfego fique irrecuperável na Internet (você está isolado apenas por sub-rede, não por VLAN).

Gostaríamos de migrar para o DHCP do Windows à luz da função do IPAM, mas não conseguimos descobrir como replicar isso no Windows DHCP 2012 ( Atribuir IPs DHCP para prefixos MAC específicos no Windows Server 2008 R2 sugere que não foi possível em 2008 R2), mesmo enquanto estiver usando políticas.

Então, eis o que eu gostaria: O administrador / help desk fornece e mantém uma lista de endereços MAC que devem ser colocados em quarentena. O servidor DHCP coloca esses MACs na sub-rede de quarentena na respectiva VLAN, não importa em qual VLAN o cliente esteja.

Eu não acho que as reservas funcionariam: Atualmente, temos cerca de 300 MACs ruins registrados e cerca de 12 VLANs. Não quero fazer reservas de 300 x 12 nem adicionar 12 reservas por novo endereço MAC. Sem mencionar que todas as sub-redes de quarentena são / 24s.

Não temos NPS / NAC. Você não precisa registrar seu endereço MAC para obter acesso à rede. Nós usamos roteadores / switches Cisco.

Obrigado.

    
por Easter Sunshine 28.06.2013 / 21:57

1 resposta

2

O servidor DHCP da Microsoft não tem o conceito de uma lista de endereços MAC que estejam fora de um dos escopos DHCP configurados. Eu também não estou ciente de qualquer maneira de obter o servidor Microsoft DHCP para retornar um endereço IP fora do escopo no qual cai o endereço GIADDR do agente de retransmissão DHCP. Eu não acho que você será capaz de replicar o que você tinha com o servidor DHCP da Microsoft.

Como um aparte: Antes de considerar a distribuição de endereços IP para clientes públicos usando um servidor Microsoft DHCP, convém obter uma declaração clara da Microsoft sobre se esses dispositivos precisam ou não de CALs. A Microsoft fez declarações contraditórias sobre isso. Para ser "seguro", eu sempre uso um servidor DHCP não-Microsoft para sub-redes públicas.

Editar:

Você está absolutamente certo em relação a um superescopo DHCP permitirá que endereços IP sejam atribuídos a clientes fora da sub-rede do GIADDR que o agente de retransmissão passa. Não é um recurso que eu já usei na produção, mas mesmo assim, eu me sinto um pouco burro por não pensar nisso.

    
por 28.06.2013 / 22:31