Configuring DHCP Filtering
- Details
- Category: KB
- Published on 17/09/2012
- Hits: 21017
ปัญหาที่น่าปวดหัวของ Network ภายในบริษัทคือ มักจะมีผู้นำเอา Device ต่าง ๆ มาเชื่อมต่อกับเครือข่าย แล้วก็ไปจอง IP Address เอาไว้ ทำให้เมื่อมีเครื่อง Client ที่ต้องการใช้งานจริงที่ Request DHCP Server เพื่อขอ IP Address ก็กลับไม่ได้ IP Address เพราะอาจจะเต็ม Scope โดย Device อื่น ๆ
DHCP บน Windows Server 2008 R2 มีสิ่งหนึ่งที่เรียกว่า DHCP Filters ที่สามารถกลั่นกรอง MAC Address ของ Client หรือ Device ที่มาทำการ Request IP Address บนเครื่อง DHCP Server ได้ โดยการ Filter นั้นเราสามารถกำหนดให้อนุญาตหรือปฏิเสธที่จะ Assign IP Address ได้
จะเห็นว่า ในหน้าของ DHCP Console นั้น มี Node Filters อยู่ และแบ่งเป็น Allow กับ Deny โดยที่ค่าเริ่มต้นทั้งสองอย่างนั้นได้ถูก Disable ไว้ สังเกตจาก Icon รูปลูกศรสีแดง
เหตุการณ์สมมติว่า ถ้าหากมีเครื่องลูกค้าที่มักนำ Computer มาเชื่อมต่อกับเครือข่ายในบริษัทบ่อยโดยไม่จำเป็น ให้เราเปิด Address Leases เพื่อค้นหา Computer เครื่องนั้นก่อน, เมื่อเจอแล้วให้คลิกขวาที่เครื่องนั้น แล้วเลือก Add to Filter แล้วคลิก Deny
จากนั้นมาที่ Filters > Deny ให้คลิกขวาที่ Deny แล้วคลิก Enable
จากนั้นเราจะตามไปลบ Computer ใน Address Leases ก็ได้ หรือปล่อยไว้จน Expire ไปเองก็แล้วแต่ครับ แต่ว่าหลังจากนี้ หาก IP Address มีการ Expire ไป แล้วเกิดการ Request IP Address มาใหม่ล่ะก็ เครื่องที่เรา Deny ไว้ ก็จะไม่สามารถรับ IP Address ในเครือข่ายของเราได้แล้วครับ (ตราบใดที่ MAC Address ยังไม่เปลี่ยนแปลง)
และถึงแม้จะมีการกำหนด Reservations ไว้ก็ตาม หาก MAC Address นี้ถูกกำหนดให้อยู่ใน Deny Filters แล้วล่ะก็ จะไม่สามารถรับ IP Address ได้เช่นเดียวกัน
คำถามที่เกิดขึ้นคือ Allow จะมีไว้ทำไม ในเมื่อปกติแล้ว ถ้าไม่ได้ Allow ไว้ มันก็สามารถแจก IP Address ให้ได้อยู่แล้ว เราน่าจะมีเพียง Deny ก็พอแล้วไม่ใช่หรือ ?
การใช้ DHCP Allow Filter นั้น เป็นการสร้างเงื่อนไขคือ เครื่อง Client จะต้องมี MAC Address ตามที่กำหนดไว้เท่านั้น หากไม่มี MAC Address ในรายการ Allow Filter มาทำการ Request IP Address ก็จะไม่สามารถรับ IP Address ได้
ซึ่งตรงนี้แหล่ะครับ เหมาะสำหรับที่เราจะอนุญาตให้เฉพาะเพียงเครื่อง Client ในบริษัทเราเท่านั้นที่สามารถรับ IP Address ไปใช้งานได้ โดยเราอาจจะใช้ควบคู่กับ Address Pool คือ กำหนดช่วงการจ่าย IP Address ไว้ให้เท่ากับเครื่อง Client ทั้งหมดในบริษัท และทำ Allow Filter เอาไว้พร้อมกันด้วย ก็จะทำให้ DHCP Server เราแจกเฉพาะ IP Address ให้กับ Client ตามจำนวนที่กำหนดไว้เท่านั้น
