DHCP服務是我們非常常用的一項協議服務，在管理網絡IP的時候有這重要的地位。所以這次我們再來了解一下相關的內容吧。主要是介紹了DHCP 地址等有關內容。

DHCP address configurations實施方法的運行原理與流程

在Microsoft NAP平臺的"DHCP address configurations"實施方法中，是通過控制DHCP客戶端計算機IPv4中"路由表（Routing Table）"的內容來限制其訪問企業網絡的。該方法強制設置DHCP客戶端的路由器項目值為0.0.0.0。所以，不符合計算機健康策略的DHCP客戶端，其默認網關的IP地址將不會被設置預先定義好的默認網關IP地址。此外，"DHCP address configurations"實施方法也將DHCP客戶端計算機的IPv4的子網掩碼值設置為255.255.255.255。因此，不符合計算機健康策略的計算機需求的DHCP客戶端，將無法連接上任何企業所屬的IP網絡。如果要允許不符合計算機健康策略的計算機可以訪問位于"被限制網絡"的更新服務器，則DHCP服務器可以指定包含設置主機路由至"被限制網絡"的"無分類靜態路由DHCP選項（Classless Static Routes DHCP option）"的設置，例如DNS服務器的IP地址、更新服務器的IP地址等。所以，通過控制不符合計算機健康策略的DHCP客戶端其IP配置設置及路由表等信息，用以限制網絡訪問的***結果是僅允許該DHCP客戶端連接至對應到隸屬于被限制網絡中特定的IP地址。如果該DHCP客戶端計算機中的應用程序嘗試發送數據至通過無分類靜態路由DHCP選項所提供以外的其他IP地址時，則TCP/IP協議將傳回路由錯誤的信息。

不過網絡管理人員要注意的是，Microsoft NAP所提供的"DHCP address configurations"實施方法僅對使用IPv4協議的DHCP客戶端有效，對于使用IPv6協議的DHCP客戶端沒有任何限制作用。如果DHCP客戶端的用戶對其所使用的計算機擁有系統管理員的權限，則可以通過執行指令以手動的方式更改IPv4地址及路由表的相關信息，以獲取企業網絡沒有限制的訪問能力。

以下程序發生在當有支持Microsoft NAP功能的DHCP客戶端計算機，連上企業網絡，并且嘗試獲得企業網絡中有支持Microsoft NAP功能的DHCP服務器所提供IPv4的IP地址與配置設置時。

Step 1 DHCP客戶端所屬NAP客戶端的DHCP NAP EC會向NAP Agent組件查詢SSoH信息。

Step 2 DHCP客戶端所屬NAP客戶端的NAP Agent組件，將傳送SSoH信息給DHCP NAP EC組件。

Step 3 DHCP客戶端封裝及傳送包含作為Microsoft vendor-specific DHCP選項的SSoH信息的DHCP Discover封包。

Step 4 企業網中有支持Microsoft NAP功能的DHCP服務器會接收到Step03的DHCP Discover封包。而該DHCP服務器所屬的DHCP NAP ES（DHCP NAP Enforcement Server）組件，會從DHCP Discover封包中取出SSoH信息，并將其包在RADIUS Access-Request封包中，然后發送至NPS（NAP health policy server）。

Step 5 NAP health policy server所屬的NPS Service會接收到Step04的RADIUS Access-Request封包，并從RADIUS Access-Request封包中取出SSoH信息，再傳給NAP health policy server所屬的NAP Administration Server組件。

Step 6 NAP Administration Server組件會將SSoH信息中的SoH，分別傳給NAP health policy server中所屬適當的SHV（System Health Validator）。

Step 7 SHV在接收到它們所屬的SoH的內容信息后，會對其執行分析，然后傳回SoHR（Statement of Health Response）給NAP Administration Server組件。

Step 8 NAP Administration Server組件會傳送Step07的SoHR給NAP health policy server所屬的NPS Service。

Step 9 NAP health policy server所屬的NPS Service會比對SoHR與預先設置好的健康需求策略，以及建立SSoHR（System Statement of Health Response）。

Step10 NAP health policy server所屬的NPS Service會建立與傳送包含SSoHR信息的RADIUS Access-Accept封包給Step04的DHCP服務器。

Step11 當DHCP服務器接收到RADIUS Access-Accept封包時，會取出包含在內的SSoHR信息。

Step12 DHCP服務器會傳送包含IPv4格式的IP地址、相關配置信息及作為DHCP vendor-specific選項的SSoHR信息的DHCP Offer封包給Step01的DHCP客戶端。

Step13 DHCP客戶端接收到Step12的DHCP Offer封包后，會響應一個含有要求提供一個IPv4格式的IP地址及相關參數要求的DHCP Request封包。

Step14 DHCP服務器在收到Step13的DHCP Request封包后，會回應一個包含要提供給DHCP客戶端的IPv4格式的IP地址與相關參數，以及SSoHR信息的DHCP Ack封包給DHCP客戶端。

Step15 DHCP客戶端在收到Step14的DHCP Ack封包后，其所屬NAP客戶端的DHCP NAP EC組件會從所收到的DHCP Ack封包中取出SSoHR信息，并將其傳送給DHCP客戶端所屬NAP客戶端的NAP Agent組件。

Step16 NAP Agent組件再分別傳送SoHR信息給DHCP客戶端所屬NAP客戶端中適當的SHA組件。

如果NAP客戶端的計算機健康狀態符合企業所制定的計算機健康策略需求，則DHCP客戶端所收到的DHCP Ack封包將會包含正確默認網關IP地址的路由器DHCP選項，與NAP客戶端被授權可以連接企業所屬子網的子網掩碼，但是不會包含"無分類靜態路由選項（Classless Static Routes option）"的設置信息。因此，該NAP客戶端將可以不受限制的在其被授權的企業網絡中訪問被授權的資源。

而如果NAP客戶端的計算機健康狀態不符合企業所制定的計算機健康策略需求，則DHCP客戶端所收到的DHCP Ack封包將會包含0.0.0.0的路由器DHCP選項、255.255.255.255的子網掩碼設置值，以及包含設置靜態主機路由至"被限制網絡"中的更新服務器的無分類靜態路由選項。