В нашем кампусе есть посетители, которые приносят свои ноутбуки и устройства и используют наши беспроводные и проводные сети. Когда мы получаем уведомление о нарушении авторских прав (обычно BitTorrenting), мы должны поместить этот MAC-адрес в карантин, чтобы у него больше не было доступа в Интернет. Независимо от того, какой веб-сайт он пытается посетить, он отправляется на веб-страницу, объясняя пользователю, что устройство помещено в карантин.
До сих пор мы реализовали это в ISC DHCP в Linux. У нас есть несколько VLAN с одной или несколькими подсетями общедоступного IP и одной подсетью карантина RFC1918 каждая. Все клиенты являются арендованными IP-адресами в подсети (-ах) общедоступного IP, если вы не находитесь в списке известных плохих MAC-адресов. Затем вас отправляют в подсеть карантина, так что ваш трафик не маршрутизируется в Интернете (вы изолированы только подсетью, а не VLAN).
Мы хотели бы перейти на Windows DHCP в свете роли IPAM, но я не могу понять, как воспроизвести это в Windows DHCP 2012 (Назначение IP-адресов DHCP для определенных префиксов MAC в Windows Server 2008 R2 предполагает, что в 2008 R2 это было невозможно, даже при использовании политик.
Итак, вот что я хотел бы: администратор / служба поддержки предоставляет и поддерживает список MAC-адресов, которые должны быть помещены в карантин. DHCP-сервер помещает эти MAC-адреса в подсеть карантина в соответствующей VLAN, независимо от того, в какой VLAN находится клиент.
Я не думаю, что резервирование сработает: в настоящее время у нас около 300 зарегистрированных неверных MAC-адресов и около 12 VLAN. Я не хочу делать 300 x 12 резервирований или добавлять 12 резервирований на новый MAC-адрес. Не говоря уже о том, что все подсети карантина - это / 24s.
У нас нет NPS / NAC. Вам не нужно регистрировать свой MAC-адрес, чтобы получить доступ к сети. Мы используем маршрутизаторы / коммутаторы Cisco.
Спасибо.
Сервер Microsoft DHCP не имеет представления о списке MAC-адресов, которые находятся за пределами одной из настроенных областей DHCP. Я также не знаю, как заставить сервер Microsoft DHCP возвращать IP-адрес за пределами области, в которую попадает адрес GIADDR агента ретрансляции DHCP. Я не думаю, что вы сможете повторить то, что у вас было с сервером Microsoft DHCP.
В качестве отступления: прежде чем рассматривать возможность передачи IP-адресов общедоступным клиентам с помощью DHCP-сервера Microsoft, вы можете получить четкое заявление от Microsoft о том, нужны ли этим устройствам клиентские лицензии. Microsoft сделала по этому поводу противоречивые заявления. В целях безопасности я всегда использую DHCP-сервер стороннего производителя для общедоступных подсетей.
Редактировать:
Вы абсолютно правы, что Суперобласть DHCP позволит назначать IP-адреса клиентам за пределами подсети GIADDR, которую передает агент ретрансляции. Это не та функция, которую я когда-либо использовал в продакшене, но даже в этом случае я чувствую себя придурком, если не думаю об этом.