用DHCP管理局域网(1)

DHCP可以通过租约和预置IP相联系，提供为本地TCP/IP网络上自动并安全地分配和租用IP地址信息，从而实现IP的集中式管理，基本上不需要管理员的人为干预。但事情总会有其两面性，虽然DHCP服务可以自动地为客户端分配IP信息，可是当某一客户通过DHCP联入本地局域网，就可以访问本地共享资源或一些敏感资料。即使对方没有恶意，但客户机上可能有一些病毒或木马会危害本地网络的安全。所以，不仅是服务器端需要安全配置，对客户端也应该有些针对性的管理。
其实我们可以为客户端的机器创建一个DHCP类，在DHCP服务器上为该类指定一个网关、DNS信息，如果没有此DHCP类的机器将无法得到此网关或DNS信息，当然也就无法取得相关配置或权限，如因特网的访问权。这里我们来探讨如何设置DHCP类，来防止未经授权的机器得到公司网络中机器的DHCP地址信息（以下操作皆在同一网段内实现）。
创建DHCP用户类或供应商类
1.创建一个新用户或者提供商选项类
（1） 启动DHCP管理器，在控制台树结构中，点击“可使用的DHCP服务器”。这里我们右击“winsrv服务器”，然后点击“定义用户类”来创建一个新的用户类，或者点击“定义提供商类”来创建一个新的提供商类。点击“添加”。
（2）在“新建类别”对话框中，在“显示名字”编辑框中为新的选项输入一个描述性的标识名字，在这里我们输入“long”，在“说明”框中您也可以随意添加附加信息，这里为了方便我们省略了。在ID或者ASCII下输入由DHCP客户端提供的数据，DHCP服务器服务中要用这些数据来匹配类ID。点击“文本输入框”的左侧，以十六进制字节数值输入数据。点击文本输入框的右侧，以ASCII文本字符值输入数据。这里我们还是输入“long”，点击“确定”，然后点击“关闭”。
至此我们已经定义好了一个 ID为Long的DHCP用户类，下面需要对此用户类进行配置。
2. 配置用户类
右击“作用域选项”，选择“高级”，在下面的“用户类别”中选择刚才创建的用户类别“Long”，然后在下面的可用选项中选择需要配置的选项，一般我们选择“003路由器”和“006 DNS服务器”，以及“051 租约”等选项。DNS的设置选择“006 DNS服务器”，在下面的IP地址输入本地DNS服务器地址，按“添加”就可以了（如图1）。

 
图1 配置用户类