Windows server dhcp привязка по mac

Всем привет, ранее мы рассмотрели Как установить DHCP в windows server 2008R2. Теперь его необходимо до настроить. В данной статье мы конкретнее поговорим про такой функционал DHCP сервера как Разрешение или запрещение конкретных mac адресов.

Открываем нашу оснастку DHCP, она находится Пуск-Администрирование. Сразу видим название нашего домена и IPv4 и IPv6 пулы.

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-01

Переходим в IPv4-Область-Арендованные адреса и видим, что у нас получил ip адрес клиент sem1.contoso.com, видно его mac адрес.

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-02

Посмотрим командой ipconfig /all сетевые данные на клиенте и сравним его mac с тем что виден в DHCP сервере. Как вы можете обратить внимание это он.

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-03

У вас может сложиться ситуация, что какому нибудь компьютеру или устройству вы хотите запретить доступ к вам в сеть на уровни DHCP, для этого есть фильтрация. По умолчанию она выключена, давайте это исправим. Щелкаем правым кликом по пулу IPv4 и выбираем свойства.

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-04

Идем на вкладку Фильтры и видим, что есть возможность включить две галки. Включим пункт Включить список запрещенных, эта галка как раз и дает возможность запрещать.

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-05

Если включить вторую галку, Включить список разрешенных, то DHCP будет выдавать ip адреса только тем клиентам которые и входят в список разрешенных и не содержатся в списке запрещенных. Я ее пока включать не буду.

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-06

Теперь давайте запретим нашего клиента, щелкаем по нему правым кликом-Запретить

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-07

Видим, что статус в Профиле Фильтра изменился

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-08

И на вкладке Фильтры наш клиентский компьютер тоже присутствует

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-09

Теперь выполним на клиенте команды ipconfig /release и ipconfig /renew для освобождения ip адреса и попытке получить новый у DHCP службы. И как видите у нас вылезла ошибка, что не удалось связаться с DHCP сервером.

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-10

и из области арендованных адресов он тоже пропал

Как настроить фильтрацию mac адресов на DHCP в Windows Server 2008R2-11

Вот таким простым методом, можно запретить не нужные устройства, конечно злоумышленник может прописать статику, но для примера телефоны или планшеты это точно отрежет сразу на совсем. Это все лишь один из этапов защиты вашей сети. Читайте далее как изменить размер выдаваемого пула в DHCP в Windows Server 2008R2. Надеюсь что данная заметка как настроить DHCP Server в Windows Server 2008R2-1 часть / Как настроить фильтрацию mac адресов на DHCP Server в Windows Server 2008R2 будет вам полезна.

Фильтрация по МАС-адресам на сервере DHCP Windows Server 2003/2008

Как мы все знаем, DHCP сервера используются для назначения IP-адресов и другой конфигурационной информации на клиентских компьютерах под управлением практически любой операционной системы, начиная от настольных и портативных компьютеров, до тонких клиентов и мобильных устройств. Более подробный FAQ по DHCP читайте в предыдущей статье. Одной из основных головных болей при использовании DHCP-сервера является то, что в тот момент, когда компьютер подключается в вашу сеть, он запросит, и затем получит от любого из доступных DHCP серверов, свои сетевые настройки. Это происходит всегда, не зависимо от того, надежный или ненадежный компьютер попал в вашу сеть, что естественно несет потенциальную угрозу безопасности для безопасности всей сети.

А вам никогда не хотелось иметь на сервере DHCP Windows возможность фильтрации нежелательных MAC адресов? До сего момента, единственным вариантом такого решения, было использование ручных резервация для всех ваших клиентов DHCP, либо же использование фильтрующего оборудования сторонних производителей.

Однако недавно Raunak Pandya опубликовал специальную библиотеку DLL, установив которую на DHCP сервер Windows Server 2003 или Windows Server 2008, можно получить возможность фильтровать запросы DHCP в зависимости от MAC адреса клиента. Эта DLL называется «DHCP Server Callout DLL».

Примечание: MAC-адрес (Media Access Control) является уникальным идентификатором аппаратной карты сетевого интерфейса (NIC), и представляется в формате 03-40-A4-45-4E-01.

Как это работает?

Когда устройство или компьютер подключается к сети, он сначала пытается получить IP-адрес от любого доступного DHCP-сервера. При установке библиотеки DHCP Server Callout DLL, она проверяет, если MAC-адрес этого устройства в списке MAC-адресов, настроенных администратором. Если он присутствует, устройству будет разрешено получать IP адрес от DHCP сервера. В противном случае запросы от этого устройства будут игнорироваться, основываясь на действии, настроенном администратором.

Фильтрация MAC-адресов позволяет администратору сети убедиться, что только определенный список устройств в сети сможет получить IP-адрес по DHCP. Эта библиотека поможет администраторам ввести в свою сеть дополнительную меру безопасности.

«DHCP Server Callout DLL» поможет сетевым администраторам решать одну из следующих проблем:

• Разрешить только определенным наборам известных MAC-адресов получать IP-адреса от сервера DHCP. Этот список может быть легко составлен с помощью документации от компьютеров, либо с помощью программного обеспечения мониторинга, например SMS\SCCM 2003, или же с помощью WMI скриптов.
• Запретить машинам, с определенными MAC адресами, получать IP-адрес от сервера DHCP.

К сожалению, эта библиотека DLL в настоящий момент может выполнить лишь одно действие. Либо разрешать, либо отказывать в выдаче IP-адреса конкретным MAC адресам, но е одновременно и то, и то.

Библиотека DHCP Server Callout DLL работает на DHCP-сервере и в среде Windows Server 2003 и в Windows Server 2008.

При установке, DLL (MacFilterCallout.dll) и документация к ней (SetupDHCPMacFilter.rtf), копируются в папку %SystemRoot\%system32. На 64-битных операционных систем в %SystemRoot%\SysWOW64, соответственно.

В предыдущих статьях вы можете познакомится с процедурой переноса сервера DHCP.

Резервация статических адресов на DHCP сервере в Windows Server 2016

Резервация на DHCP сервере позволяет зафиксировать определенный IP адрес за конкретным устройством, гарантируя что в дальнейшем IP адрес клиента меняться не будет. При запросе клиентом на получение IP адреса от DHCP сервера, ему будет всегда назначаться один и тот же IP.

Настройку резервация для DHCP клиентов (это не обязательно должны быть компьютером с Windows, резервацию можно сделать для любого устройства, которое умеет получать адрес с DHCP сервера, например сетевой принтер, сканер, мобильные устройства и т.д.). Вы можете зафиксировать за клиентом динамический адрес, который назначил ему DHCP сервер, либо создать отдельную резервацию с IP адресом, который будет назначен клиенту при следующем подключении к сети (либо при перезагрузке) или при обновлении срока аренды адреса на DHCP сервере.

Второй случай полезен в сценариях когда нужно обеспечить постоянные IP адреса для принтеров, сканеров и подобных устройств. Гораздо проще настроить резервации для принтеров на DHCP сервере, чем настраивать статические IP адреса на каждом принтере вручную.

Настройка DHCP для существующих клиентов DHCP

Допустим клиент DHCP сервера уже получил динамический IP адрес с вашего DHCP сервера (о том, что адрес динамический свидетельствует дата окончания резервации в поле Lease Expiration в секции Address Leases конкретной DHCP области).

Чтобы зафиксировать данный IP адрес за клиентом, щелкните по нему правой кнопкой и выберите пункт Add to Reservation.

После этого в папке Reservations появится новая запись резервации IP адреса за данным клиентом.

Чтобы удалить резервацию, просто удалите запись из папки Reservations.

Настройка DHCP резерваций для новых клиентов

Чтобы зафиксировать IP адрес для новых клиентов (которые еще не получали адрес с DHCP сервера, или получили адрес из динамического диапазона) вам нужно знать MAC адрес (аппаратный адрес) сетевой карты клиента. Например, мы хотим установить новый сетевой принтер и закрепить за ним конкретный IP адрес.

В консоли DHCP найдите и разверните DHCP зону, в которой нужно создать резервацию. Щелкните ПКМ по папке Reservations и выберите пункт New Reservation.

В появившемся окне укажите имя резервации (Reservation name), фиксируемый IP адрес, MAC адрес устройства, и (опционально) его описание и нажмите кнопку Add.

Теперь, при если принтер включить в сеть, по его MAC адресу DHCP сервер определит, что за ним уже закреплен адрес и назначит его принтеру.

Создаем DHCP резервации из командной строки PowerShell

Конечно, DHCP резервации можно заводить не из графической консоли, а из командной строки PowerShell. Для этого используется командлет Add-DhcpServerv4Reservation.

Первый пример показывает, как создать резервацию для уже устройтсва, уже получившего IP адрес.

Get-DhcpServerv4Lease -ComputerName «dhcpsrv1.vmblog.ru» -IPAddress 192.168.1.11 | Add-DhcpServerv4Reservation -ComputerName

Второй пример – добавляет произвольную DHCP резервацию (нужно указывать MAC адрес):

Add-DhcpServerv4Reservation -ScopeId 10.10.10.0 -IPAddress 192.168.1.8- ClientId «F0-11-DA-12-02-7A» -Description «HP Sender 2100»

Стоит также отметить, если вы настраиваете высокодоступный DHCP сервер, то резервации между серверами придется синхронизировать вручную.

Использование MAC-адресов в объединении сетевых карт и управление ими NIC Teaming MAC address use and management

Применяется к: Windows Server 2016 Applies to: Windows Server 2016

При настройке группы сетевых адаптеров с независимым режимом и при использовании хэша или динамического распределения нагрузки группа использует MAC-адрес основного члена группы сетевых адаптеров для исходящего трафика. When you configure a NIC Team with switch independent mode and either address hash or dynamic load distribution, the team uses the media access control (MAC) address of the primary NIC Team member on outbound traffic. Член группы основного сетевого адаптера — это сетевой адаптер, выбранный операционной системой из начального набора членов группы. The primary NIC Team member is a network adapter selected by the operating system from the initial set of team members. Это первый член группы, который необходимо привязать к команде после его создания или после перезапуска главного компьютера. It is the first team member to bind to the team after you create it or after the host computer is restarted. Поскольку основной член группы может измениться недетерминированным образом при каждой загрузке, отключении сетевого адаптера или действиях по включению или других действиях по перенастройке, основной член группы может измениться, а MAC-адрес группы может отличаться. Because the primary team member might change in a non-deterministic manner at each boot, NIC disable/enable action, or other reconfiguration activities, the primary team member might change, and the MAC address of the team might vary.

В большинстве случаев это не вызывает проблем, но в некоторых случаях могут возникнуть проблемы. In most situations this doesn’t cause problems, but there are a few cases where issues might arise.

Если член основной группы удален из команды и затем помещен в операцию, может возникнуть конфликт MAC-адреса. If the primary team member is removed from the team and then placed into operation there may be a MAC address conflict. Чтобы устранить этот конфликт, отключите, а затем включите интерфейс команды. To resolve this conflict, disable and then enable the team interface. Процесс отключения и включения интерфейса группы заставляет интерфейс выбрать новый MAC-адрес от оставшихся членов команды, тем самым устраняя конфликт MAC-адресов. The process of disabling and then enabling the team interface causes the interface to select a new MAC address from the remaining team members, thereby eliminating the MAC address conflict.

Можно задать MAC-адрес группы сетевых адаптеров, указав конкретный MAC-адрес, задав его в основном интерфейсе группы, точно так же, как это можно сделать при настройке MAC-адреса любого физического сетевого адаптера. You can set the MAC address of the NIC team to a specific MAC address by setting it in the primary team interface, just as you can do when configuring the MAC address of any physical NIC.

Использование MAC-адреса в передаваемых пакетах MAC address use on transmitted packets

При настройке группы сетевых адаптеров в независимом режиме и при использовании хэша или динамического распределения нагрузки пакеты из одного источника (например, одна виртуальная машина) одновременно распределяются между несколькими членами группы. When you configure a NIC Team in switch independent mode and either address hash or dynamic load distribution, the packets from a single source (such as a single VM) is simultaneously distributed across multiple team members. Чтобы избежать перепутать параметры и предотвратить появление оповещений неустойчивый MAC, исходный MAC-адрес заменяется на другой MAC-адрес в кадрах, передаваемых членам группы, отличным от участников основной группы. To prevent the switches from getting confused and to prevent MAC flapping alarms, the source MAC address is replaced with a different MAC address on the frames transmitted on team members other than the primary team member. В связи с этим каждый член команды использует другой MAC-адрес, и конфликты MAC-адресов предотвращаются, пока не произойдет сбой. Because of this, each team member uses a different MAC address, and MAC address conflicts are prevented unless and until failure occurs.

При обнаружении сбоя на основном сетевом адаптере программа объединения сетевых карт начинает использовать MAC-адрес участника основной группы, выбранный для использования в качестве временного участника основной группы (т. е. который теперь будет отображаться в коммутаторе как основной член команды). When a failure is detected on the primary NIC, the NIC Teaming software starts using the primary team member’s MAC address on the team member that is chosen to serve as the temporary primary team member (i.e., the one that will now appear to the switch as the primary team member). Это изменение применяется только к трафику, который будет отправлен на основной член команды, с MAC-адресом основного члена группы в качестве исходного MAC-адреса. This change only applies to traffic that was going to be sent on the primary team member with the primary team member’s MAC address as its source MAC address. Другой трафик по-другому будет отправляться с использованием любого исходного MAC адреса, который использовался до сбоя. Other traffic continues to be sent with whatever source MAC address it would have used prior to the failure.

Ниже приведены списки, описывающие поведение замены MAC-адресов для объединения сетевых карт в зависимости от настройки группы. Following are lists that describe NIC Teaming MAC address replacement behavior, based on how the team is configured:

При переключении независимого режима с распределением хэша адреса In Switch Independent mode with Address Hash distribution

Все пакеты ARP и NS отправляются участнику основной команды All ARP and NS packets are sent on the primary team member

Весь трафик, отправленный на сетевых картах, отличных от участника основной команды, отправляется с исходным MAC-адресом, измененным для соответствия сетевому интерфейсу, на который они отправлены All traffic sent on NICs other than the primary team member are sent with the source MAC address modified to match the NIC on which they are sent

Весь трафик, отправленный на основной член команды, отправляется с исходным MAC-адресом (который может быть MAC-адресом группы) All traffic sent on the primary team member is sent with the original source MAC address (which may be the team’s source MAC address)

Переключение независимого режима с распределением портов Hyper-V In Switch Independent mode with Hyper-V Port distribution

Каждый порт vmSwitch привязаны участнику команды. Every vmSwitch port is affinitized to a team member

Каждый пакет отправляется участнику команды, к которому относится порт привязаны Every packet is sent on the team member to which the port is affinitized

Замена исходного MAC-адреса не выполнена No source MAC replacement is done

Переключение независимого режима с динамическим распределением In Switch Independent mode with Dynamic distribution

Каждый порт vmSwitch привязаны участнику команды. Every vmSwitch port is affinitized to a team member

Все пакеты ARP/NS отправляются участнику команды, к которому относится порт привязаны All ARP/NS packets are sent on the team member to which the port is affinitized

Пакеты, отправленные членом команды, который является участником команды привязаны, не заменяют исходный MAC-адрес Packets sent on the team member that is the affinitized team member have no source MAC address replacement done

Пакеты, отправляемые участнику команды, отличному от члена команды привязаны, будут иметь замену исходного MAC-адреса. Packets sent on a team member other than the affinitized team member will have source MAC address replacement done

В режиме переключить зависимый режим (все распределения) In Switch Dependent mode (all distributions)

• Не выполняется замена исходного MAC-адреса No source MAC address replacement is performed

Связанные разделы Related topics

Объединение сетевыхкарт. в этой статье приводится обзор объединения сетевых адаптеров (NIC) в Windows Server 2016. NIC Teaming: In this topic, we give you an overview of Network Interface Card (NIC) Teaming in Windows Server 2016. Объединение сетевых карт позволяет объединять один и 32 физических сетевых адаптеров Ethernet в один или несколько программных виртуальных сетевых адаптеров. NIC Teaming allows you to group between one and 32 physical Ethernet network adapters into one or more software-based virtual network adapters. Эти виртуальные сетевые адаптеры обеспечивают высокую производительность и отказоустойчивость в случае сбоя сетевого адаптера. These virtual network adapters provide fast performance and fault tolerance in the event of a network adapter failure.

Параметры объединения сетевых карт. в этом разделе мы преддадим Обзор свойств группы сетевых адаптеров, таких как объединение и режим балансировки нагрузки. NIC Teaming settings: In this topic, we give you an overview of the NIC Team properties such as teaming and load balancing modes. Кроме того, мы предоставляем подробные сведения о параметре адаптера ожидания и свойстве основного интерфейса группы. We also give you details about the Standby adapter setting and the Primary team interface property. Если у вас есть по крайней мере два сетевых адаптера в группе сетевых адаптеров, не нужно назначать резервный адаптер для отказоустойчивости. If you have at least two network adapters in a NIC Team, you do not need to designate a Standby adapter for fault tolerance.

Создание группы сетевых адаптеров на главном компьютере или виртуальной машине. в этом разделе вы создадите новую группу сетевых адаптеров на главном компьютере или на виртуальной машине Hyper-V под управлением Windows Server 2016. Create a new NIC Team on a host computer or VM: In this topic, you create a new NIC Team on a host computer or in a Hyper-V virtual machine (VM) running Windows Server 2016.

Устранение неполадок объединения сетевых адаптеров. в этом разделе обсуждаются способы устранения неполадок объединения сетевых карт, таких как оборудование, безопасность физического коммутатора и отключение или включение сетевых адаптеров с помощью Windows PowerShell. Troubleshooting NIC Teaming: In this topic, we discuss ways to troubleshoot NIC Teaming, such as hardware, physical switch securities, and disabling or enabling network adapters using Windows PowerShell.