可以限制DHCP發放IP嗎？

可以限制DHCP發放IP嗎？
到iT邦幫忙

keven0129（iT邦初學者10級）發問：
在DHCP是否能做到只針對已知的MAC發放IP，換句話說，如果不在DHCP保留區設定的MAC，就不配發IP？

yyliu（iT邦初學者7級）：
DHCP的好處就是不需管理TCP/IP的繁雜設定，如果不認識的MAC就不發IP，使用者最後還是得找系統管理員，反而增加自己的負擔。

ray2095（iT邦初學者10級）：
你想要做的應該是「MAC 位址白名單」的功能吧？試試這個免費的解決方案－MacFilterCallout，結合Windows Server 2003的DHCP Server可以作到黑名單或白名單，我們公司目前使用上述工具控管8個工廠的IP位址發放，我覺得在使用上還不錯。但有個小缺點，每次更新名單之後，都需要重啟DHCP服務。

power1（iT邦初學者9級）：
我們公司政策也是考慮資安的問題，怕員工自己帶筆電來公司使用，因此我們把DHCP Server設定分成動態取得IP，以及靜態取得IP這二個部分。靜態取得IP只要設定好MAC和所對應的IP即可；動態取得IP是把設定值中的Gateway拿掉，讓拿到動態IP電腦沒有配到Gateway，因此也無法連出去外面，但是此網段的資源還是可以取得。

fireflybug（iT邦初學者5級）：
我們公司防火牆可以做到綁MAC，如果使用者自行帶筆電，可以做到讓使用者無法連出Internet。

若只是不讓外來電腦透過公司連出去，本身又沒有防火牆或其他硬體預算，可以考慮架免費的BrazilFW——只需要一臺退休但執行穩定的電腦，加上兩張網卡即可。不想變動現有網路架構，可設定成通透模式，防火牆可依IP、MAC位置管理，應該可能達到你的需求。

我很喜歡BrazilFW，還曾拿它當Router，也當過PPTP VPN Server，也試過點對點的SSL VPN，並可即時觀看網路流量，用IpTraf還可以看到即時的IP連線狀況，媲美一臺上百萬元的設備。

myfunly（IT邦初學者10級）：
DHCP的本意是讓使用者自由領用，並派送一些設定，不過也可以換個方式，如你的網域是192.169.1.0，可以在排除發放IP的地方設成全部排除，再從保留區一個個設定，這樣就可以了。但這樣做會出現警告錯誤的訊息，因為沒有可發放的IP。

另外DHCP備份要做好，以免哪天發生錯誤。這是沒錢的做法，但從安全的角度來說，這只是消極的做法，還是要用Switch Access Security來做管控，不然使用者自行設定固定IP照樣會通。