Windows DHCP Server基於MAC地址過濾客戶端請求實現IP地址的分配

企業中，爲了下降管理員對於IP地址管理、分配的複雜繁瑣性，不少企業都會架設Windows DHCP服務器，經過DHCP服務器爲企業中的客戶端自動分配IP地址。

可是面對現代如此龐大數量的客戶端PC、手機、平板等，也致使安全性面臨巨大挑戰。其實DHCP能夠經過MAC地址過濾來實現IP地址分配，能夠將企業中多有受權的客戶端MAC地址收集起來，在DHCP服務器中進行設置，使其順利獲取IP，而沒有被受權的客戶端則不能獲取IP。

從Windows Server 2008 R2開始，基於MAC地址過濾已經集成在DHCP中，做爲一大特性存在。可是早期的Windows Server 200三、Windows Server 2008 並無包含該特性，那麼仍然使用這些低於server 08 R2版本的DHCP Server的企業該怎麼解決這個問題呢？這裏給你們作詳細的介紹。

對於仍然基於 2K0三、2K08平臺架設的DHCP服務器來講，只要安裝 MacFilterCalloutInstaller(有x86和x64之分)，而後進行簡單的配置便可實現。

環境介紹：

VMware Workstation  虛擬機兩臺(運行在同一宿主機)；

一臺安裝Windows Server 2003 SP2 (32位)， 並安裝DHCP  Server角色;

另外一臺 XP Pro  sp3, 做爲DHCP Client，進行測試。

查看DHCP Server系統版本信息:

查看客戶端MAC地址:

爲了防止DHCP Server對生產環境PC分配IP，形成不能上網，因此分別對兩臺虛擬機網絡適配器做以下設置:

安裝MacFilterCalloutInstaller:  

雙擊"MacFilterCalloutInstaller-x86.msi" 可執行文件，啓動安裝嚮導；

勾選"接受許可協議"：

安裝完成嚮導，【Finish】就安裝完成了。

安裝完成後會在 system32 目錄下生成兩個文件："MacFilterCallout.dll" "SetupDHCPMacFilter.rtf"

如圖示：

同時，system32\dhcp 目下，生成文件 "MACList.txt":

打開MACList.txt 文件，能夠看到以下圖：

"MACList.txt"是主要文件，DHCP Server處理請求時就是從這個文件中讀取數據，而後匹配。

這是默認配置，默認狀況下，容許全部客戶端從DHCP Server 請求IP地址。MAC_ACTION的

可選參數值： ALLOW,DENY，分別用來設置容許列表和拒絕列表。

進行「容許列表」配置測試：

1. 向「MACList.txt」添加一個虛假MAC(內網沒有該MAC)，而後從新啓動DHCP Server服務,

而後測試客戶端可否正常獲取IP：

查看DHCP Client:

IP地址獲取失敗，由於client MAC地址沒有加入容許列表。

2. 將Client MAC 加入到容許列表並重啓DHCP Server服務，而後測試客戶端:

查看查看DHCP Client:

可見，IP地址成功獲取，配置無誤。

下面咱們將DHCP服務器修改成拒絕列表方式測試。

進行「拒絕列表」配置測試：

1. 打開"MACList.txt" 文件，將"ALLOW"改成"DENY"，重啓DHCP Server服務:

查看客戶端IP地址獲取狀況:

客戶端正常獲取IP。說明：無論是容許列表仍是拒絕列表，若是列表不進行配置(爲空)，則默認爲DHCP Server 接受全部客戶端發來的DHCP 請求。

2. 將虛假MAC地址加入文件中:

重啓DHCP Server服務，查看客戶端IP地址獲取狀況:

可見，客戶端不受影響，正常獲取IP地址。

3. 將客戶端MAC地址加入文件中：

重啓DHCP Server服務，查看客戶端IP地址獲取狀況:

客戶端不能從DHCP Server 獲取IP地址了。

由此，咱們能夠順利的控制內網客戶端IP地址分配了，同時若是內網有主機須要固定IP，在DHCP控制檯的對應做用域的"保留"中建立保留就能夠了。

注意: 每次修改列表都須要重啓DHCP Server服務，而後才能生效。

相關技術介紹: http://blogs.technet.com/b/teamdhcp/archive/2007/10/03/dhcp-server-callout-dll-for-mac-address-based-filtering.aspx