對(duì)于DHCP服務(wù)器來(lái)說(shuō)，是網(wǎng)絡(luò)組建中通常會(huì)用到的。那么為了更好地理解這方面內(nèi)容，我們來(lái)對(duì)DHCP address configurations實(shí)施方法的運(yùn)行原理與流程做一下詳細(xì)介紹。

DHCP address configurations實(shí)施方法的運(yùn)行原理與流程

在Microsoft NAP平臺(tái)的"DHCP address configurations"實(shí)施方法中，是通過(guò)控制DHCP客戶端計(jì)算機(jī)IPv4中"路由表（Routing Table）"的內(nèi)容來(lái)限制其訪問(wèn)企業(yè)網(wǎng)絡(luò)的。該方法強(qiáng)制設(shè)置DHCP客戶端的路由器項(xiàng)目值為0.0.0.0。所以，不符合計(jì)算機(jī)健康策略的DHCP客戶端，其默認(rèn)網(wǎng)關(guān)的IP地址將不會(huì)被設(shè)置預(yù)先定義好的默認(rèn)網(wǎng)關(guān)IP地址。此外，"DHCP address configurations"實(shí)施方法也將DHCP客戶端計(jì)算機(jī)的IPv4的子網(wǎng)掩碼值設(shè)置為255.255.255.255。因此，不符合計(jì)算機(jī)健康策略的計(jì)算機(jī)需求的DHCP客戶端，將無(wú)法連接上任何企業(yè)所屬的IP網(wǎng)絡(luò)。如果要允許不符合計(jì)算機(jī)健康策略的計(jì)算機(jī)可以訪問(wèn)位于"被限制網(wǎng)絡(luò)"的更新服務(wù)器，則DHCP服務(wù)器可以指定包含設(shè)置主機(jī)路由至"被限制網(wǎng)絡(luò)"的"無(wú)分類(lèi)靜態(tài)路由DHCP選項(xiàng)（Classless Static Routes DHCP option）"的設(shè)置，例如DNS服務(wù)器的IP地址、更新服務(wù)器的IP地址等。所以，通過(guò)控制不符合計(jì)算機(jī)健康策略的DHCP客戶端其IP配置設(shè)置及路由表等信息，用以限制網(wǎng)絡(luò)訪問(wèn)的***結(jié)果是僅允許該DHCP客戶端連接至對(duì)應(yīng)到隸屬于被限制網(wǎng)絡(luò)中特定的IP地址。如果該DHCP客戶端計(jì)算機(jī)中的應(yīng)用程序嘗試發(fā)送數(shù)據(jù)至通過(guò)無(wú)分類(lèi)靜態(tài)路由DHCP選項(xiàng)所提供以外的其他IP地址時(shí)，則TCP/IP協(xié)議將傳回路由錯(cuò)誤的信息。

不過(guò)網(wǎng)絡(luò)管理人員要注意的是，Microsoft NAP所提供的"DHCP address configurations"實(shí)施方法僅對(duì)使用IPv4協(xié)議的DHCP客戶端有效，對(duì)于使用IPv6協(xié)議的DHCP客戶端沒(méi)有任何限制作用。如果DHCP客戶端的用戶對(duì)其所使用的計(jì)算機(jī)擁有系統(tǒng)管理員的權(quán)限，則可以通過(guò)執(zhí)行指令以手動(dòng)的方式更改IPv4地址及路由表的相關(guān)信息，以獲取企業(yè)網(wǎng)絡(luò)沒(méi)有限制的訪問(wèn)能力。

以下程序發(fā)生在當(dāng)有支持Microsoft NAP功能的DHCP客戶端計(jì)算機(jī)，連上企業(yè)網(wǎng)絡(luò)，并且嘗試獲得企業(yè)網(wǎng)絡(luò)中有支持Microsoft NAP功能的DHCP服務(wù)器所提供IPv4的IP地址與配置設(shè)置時(shí)。

Step 1 DHCP客戶端所屬NAP客戶端的DHCP NAP EC會(huì)向NAP Agent組件查詢SSoH信息。

Step 2 DHCP客戶端所屬NAP客戶端的NAP Agent組件，將傳送SSoH信息給DHCP NAP EC組件。

Step 3 DHCP客戶端封裝及傳送包含作為Microsoft vendor-specific DHCP選項(xiàng)的SSoH信息的DHCP Discover封包。

Step 4 企業(yè)網(wǎng)中有支持Microsoft NAP功能的DHCP服務(wù)器會(huì)接收到Step03的DHCP Discover封包。而該DHCP服務(wù)器所屬的DHCP NAP ES（DHCP NAP Enforcement Server）組件，會(huì)從DHCP Discover封包中取出SSoH信息，并將其包在RADIUS Access-Request封包中，然后發(fā)送至NPS（NAP health policy server）。

Step 5 NAP health policy server所屬的NPS Service會(huì)接收到Step04的RADIUS Access-Request封包，并從RADIUS Access-Request封包中取出SSoH信息，再傳給NAP health policy server所屬的NAP Administration Server組件。

Step 6 NAP Administration Server組件會(huì)將SSoH信息中的SoH，分別傳給NAP health policy server中所屬適當(dāng)?shù)腟HV（System Health Validator）。

Step 7 SHV在接收到它們所屬的SoH的內(nèi)容信息后，會(huì)對(duì)其執(zhí)行分析，然后傳回SoHR（Statement of Health Response）給NAP Administration Server組件。

Step 8 NAP Administration Server組件會(huì)傳送Step07的SoHR給NAP health policy server所屬的NPS Service。

Step 9 NAP health policy server所屬的NPS Service會(huì)比對(duì)SoHR與預(yù)先設(shè)置好的健康需求策略，以及建立SSoHR（System Statement of Health Response）。

Step10 NAP health policy server所屬的NPS Service會(huì)建立與傳送包含SSoHR信息的RADIUS Access-Accept封包給Step04的DHCP服務(wù)器。

Step11 當(dāng)DHCP服務(wù)器接收到RADIUS Access-Accept封包時(shí)，會(huì)取出包含在內(nèi)的SSoHR信息。

Step12 DHCP服務(wù)器會(huì)傳送包含IPv4格式的IP地址、相關(guān)配置信息及作為DHCP vendor-specific選項(xiàng)的SSoHR信息的DHCP Offer封包給Step01的DHCP客戶端。

Step13 DHCP客戶端接收到Step12的DHCP Offer封包后，會(huì)響應(yīng)一個(gè)含有要求提供一個(gè)IPv4格式的IP地址及相關(guān)參數(shù)要求的DHCP Request封包。

Step14 DHCP服務(wù)器在收到Step13的DHCP Request封包后，會(huì)回應(yīng)一個(gè)包含要提供給DHCP客戶端的IPv4格式的IP地址與相關(guān)參數(shù)，以及SSoHR信息的DHCP Ack封包給DHCP客戶端。

Step15 DHCP客戶端在收到Step14的DHCP Ack封包后，其所屬NAP客戶端的DHCP NAP EC組件會(huì)從所收到的DHCP Ack封包中取出SSoHR信息，并將其傳送給DHCP客戶端所屬NAP客戶端的NAP Agent組件。

Step16 NAP Agent組件再分別傳送SoHR信息給DHCP客戶端所屬NAP客戶端中適當(dāng)?shù)腟HA組件。

如果NAP客戶端的計(jì)算機(jī)健康狀態(tài)符合企業(yè)所制定的計(jì)算機(jī)健康策略需求，則DHCP客戶端所收到的DHCP Ack封包將會(huì)包含正確默認(rèn)網(wǎng)關(guān)IP地址的路由器DHCP選項(xiàng)，與NAP客戶端被授權(quán)可以連接企業(yè)所屬子網(wǎng)的子網(wǎng)掩碼，但是不會(huì)包含"無(wú)分類(lèi)靜態(tài)路由選項(xiàng)（Classless Static Routes option）"的設(shè)置信息。因此，該NAP客戶端將可以不受限制的在其被授權(quán)的企業(yè)網(wǎng)絡(luò)中訪問(wèn)被授權(quán)的資源。

而如果NAP客戶端的計(jì)算機(jī)健康狀態(tài)不符合企業(yè)所制定的計(jì)算機(jī)健康策略需求，則DHCP客戶端所收到的DHCP Ack封包將會(huì)包含0.0.0.0的路由器DHCP選項(xiàng)、255.255.255.255的子網(wǎng)掩碼設(shè)置值，以及包含設(shè)置靜態(tài)主機(jī)路由至"被限制網(wǎng)絡(luò)"中的更新服務(wù)器的無(wú)分類(lèi)靜態(tài)路由選項(xiàng)。