■ 河南 刘建臣

编者按：在很多单位中，一些员工（由其是外部用户）会将自己的笔记本随意连入公司内网，因为内网中一般都部署有DHCP 服务器，所以其可以轻松获取各种IP 等网络参数，进而非法访问内网资源或者连接Internet。连接这给网络挂你带来了很多问题。对于网管员来说，需要对这种网络连接有效管控，来优化网络管理效率。

下面分四个部分详细介绍如何管理网络连接。

DHCP 策略管控原理分析

出于安全考虑，在企业内部是不允许员工私自将个人电脑接入内网，因此管理员必须做到即使客户端非法接入，也要让其无法正常访问网络资源。因为很多企业采用的都是三层网络架构，同时划分了不同的VLAN。

DHCP 服务器一般单独部署，核心交换机一般都会开启DHCP 中继服务，让每个VLAN 中主机都可以通过DHCP 服务器来获取所需的网络参数。

当然，每个VLAN都必须设置默认的网关，其默认网关一般指向核心交换机的特定端口地址。从这个角度考虑，如果VLAN中的客户端无法得到正确的网关地址，自然也就无法访问内网和外网资源了。

按照一般的处理方法，管理员会将合法主机的MAC地址和接入交换机的特定端口绑定。这样，如果是来历不明的主机，自然无法接网络。但是该方法存在一定的弊端，例如有些员工工作部门不固定，会经常调动到其他部门，管理员必须根据情况随时调整交换机配置才可以加以应对。其实，简单有效的方法是对DHCP 服务器的部署策略进行调整，来灵活的管控非法接入的情况。在一般情况下，DHCP 服务器是将默认用户类别作为管理标准，但是默认用户类别并没有进行任何设置，对应的当客户机利用DHCP 服务自动获取网络参数时，用户类别标识项也没有进行任何设置。

当DHCP 服务器和客户机进行通讯时，DHCP 服务器默认的用户类别的值和客户机分配得到的用户类别标识项是一致的。之后DHCP 服务器就可以为客户机分配合适的网络配置参数，这样客户机就可以顺利接入网络了。从该原理出发，如果DHCP 服务器采用的是默认用户类别网络参数分配机制，那么只要针对其设置错误的网关，DNS 服务器等参数，就会造成客户机获得这些网络参数后，虽然从表面上看起来一切正常，但是其实际上是无法访问任何网络资源的。针对合法的客户端主机，可以在DHCP 服务器上创建特殊的用户类别，设置正确的网络参数，让合法的客户端可以利用DHCP服务顺利访问网络资源。

自定义DHCP 用户类别

根据以上分析，需要在DHCP 服务器上配置默认用户分配策略和特定用户类别分配策略。

注意：这两个策略属于同一个DHCP 作用域。利用前者可以让非法的客户机无法接入网络，利用后者可以让合法的用户访问网络。

在本例中DHCP 已经加入到域环境中，这里使用的是Windows Server 2012 R2 系统。 在DHCP 控制台左侧选择“DHCP”→“域名” →“IPv4” →“作 用域”→“作用域选项”项，在右侧分别创建名为“003 路由器”项，其值为“172.16.1.10”，名 为“006 DNS 服务器”项，其值为“172.16.1.20”，“015 DNS域名”项，其值为“XXX.com”，这里的网络参数值均为假设，可以根据实际情况进行设定。

因为已经存在DHCP 服务器，所以在控制台上选择“DHCP”→“域名”→“IPv4”→“作用域”→“地址租用”项，在列表中选择已经分配的地址项目，在其右键菜单上点击“删除”项，清理已经存在分配的地址。在左侧选择“DHCP”→“域名”→“IPv4”项，在右键菜单上点击“定义用户类”项，在打开窗口中显示已经存在的用户类。点击“添加”按钮，在新建类窗口中输入其名称（例如“newdhcplei01”）， 在“ID”栏中输入其ID 信息，这里两者保持一致，点击“确定”按钮保存该类别。

配置DHCP 策略

在控制台左侧选择“DHCP”→“域名”→“IPv4”→“策略”项，在其右键菜单上点击“新建策略”项，在向导界面中点击“下一步”按钮，在基于策略的IP 地址和选项分配窗口中输入策略名称（例如“Dhcpcelue”），在下一步窗口中点击“添加”按钮，在添加/编辑条件窗口中的“条件”列表中选择“用户类”项，在“运算符”列表中选择“等于”项，在“值”列表中选择上述“newdhcplei01”类，点击“添加”按钮将其添加进来。点击“下一步”按钮，在为策略配置设置窗口中的“供应商类”列表中选择“DHCP Standard Options”项，在可用选项列表中选择上述“003 路由器”“006 DNS 服务器”以及“015 DNS域名”等项目。之后点击“完成”按钮，创建该策略。

对非法连接进行管控

这样，当来历不明的客户端主机接入企业内网后，在CMD 窗口中执行“ipconfig/renew”命令，来刷新DHCP服务配置参数。虽然获得所需的上网设置，但是其得到的是DHCP 服务器为默认用户类别设置的参数，当其试图加入域环境时，系统会提示无法与域控制器建立连接的警告信息。

当合法用户需要列入网络时，可以以管理员身份登录本地系统。在CMD 窗口中执行“ipconfig /setclassid* "newdhcplei01" ”“ipcon fig /renew”命令，来指定正确的DHCP 用户类名称，并据此获取正确的上网参数。

这样，就可以顺利加入到域环境，来访问所需的网络资源了。当然，为了防止客户端用户随意修改IP，应该以域用户以“User”组的身份登录。当然，也可以使用组策略来禁止用户随意修改网络参数。

方法是在域控上管理员身份登录，打开组策略管理器，在左侧选择“林”→“域”→“域名”项，在其中的“Default Domain Policy”项的右键菜单上点击“编辑”项，在编辑窗口左侧选择“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“系统服务”项，在右侧窗口双击“Network Connections”服务，在其属性窗口中选择“定义此策略设置”和“手动”项。

点击“编辑安全设置”按钮，在打开窗口中的“组或用户名”列表中删除所有的账户信息，点击“添加”按钮，将域管理员组添加进来，并赋予其完全控制权限。对应的将“Everyone”组添加进来，并赋予其读取的权限。点击“应用”和“确定”按钮保存配置。选择“用户配置”→“策略”→“管理模版”→“开始菜单和任务栏”项，在右侧窗口双击“删除网络图标”项，在其属性窗口中选择“已启用”项，点击“确定”按钮保存配置。这样，在客户端上执行“gpupdate/force”命令刷新组策略，打开网络连接窗口，在其中不会显示任何连接项目，用户就无法随意修改IP，同时在任务栏上不会显示网络连接图标，打开服务管理器，其中“Network Connections”服务处于禁用状态。