DHCP最佳實踐(二)

Bigyoungs發表於2021-01-17

這是Windows DHCP最佳實踐和技巧的最終指南。

如果您有任何最佳做法或技巧,請在下面的評論中釋出它們。

在本指南(二)中,我將分享以下DHCP最佳實踐和技巧

  1. 從DHCP作用域中排除IP
  2. 瞭解PowerShell DHCP命令
  3. 子網劃分和網路分段的好處
  4. DHCP租約期限提示

從DHCP作用域中排除IP

建立DHCP作用域時,建議不要為靜態IP分配排除一小部分範圍。是的,我在上一個技巧中知道我說過不使用靜態分配,但是基礎設施裝置將需要它。

您的網路將具有一個預設路由,該預設路由將是路由器,因此您絕對希望將其排除在DHCP池之外。您可能還會遇到其他需要靜態IP的裝置,因此最好將這些裝置的排除的IP在DHCP池中設定一個較小範圍較。例如,我看到了各種需要靜態IP的警報和安全裝置,因此我只提供排除範圍內的IP。

這是用於工作站和膝上型電腦的資料VLAN的螢幕截圖,其中排除了10.2.10.1至10.2.10.10。

瞭解PowerShell DHCP命令

使用DHCP控制檯(dhcpmgmt.ms)並沒有錯,但是PowerShell很棒,並且簡化了許多工。如果您的大型網路具有數百個DHCP作用域,那麼使用PowerShell將節省大量時間。

這裡有一些命令可以幫助您入門。

安裝DHCP角色

Install-WindowsFeature -IncludeManagementTools DHCP

備用DHCP伺服器

 Backup-DhcpServer -ComputerName "dhcp1.ad.activedirectorypro.com" -Path "C:\Windows\system32\dhcp\backup"

檢視DHCP租約

Get-DhcpServerv4Scope | Get-DhcpServerv4Lease

從MAC地址查詢DHCP租約

Get-DhcpServerv4Scope |Get-DhcpServerv4Lease |where {$_.ClientId -like “b4-b6-86-b4-**-**” }

新增DHCP作用域

Add-DHCPServerv4Scope -EndRange 10.2.1.254 -Name Vlan110 -StartRange 10.2.1.1 -SubnetMask 255.255.255.0 -State Active

獲取所有活動的ipv4範圍

Get-DHCPServerv4Scope

獲取範圍的所有DHCP保留

Get-DHCPServerv4Lease -ScopeId 10.2.1.0

建立DHCP預留

Get-DhcpServerv4Lease -ComputerName dhcpserver1 -IPAddress 10.2.1.8 | Add-DhcpServerv4Reservation -ComputerName server1

這只是用PowerShell管理DHCP伺服器。下面的一些連結,是使用Powershell管理其他的一些服務。

資料來源

https://docs.microsoft.com/zh-cn/powershell/module/dhcpserver/?view=win10-ps

https://4sysops.com/archives/configure-dhcp-with-powershell-in-windows-server-2012-r2-and-above/

Active Directory的PowerShell命令的大量列表

子網劃分和網路分段的好處

我不會深入探討子網劃分,因為有很多服務可以做到這一點。

但是,在配置DHCP作用域時,它有助於對網路有一些基本的瞭解。

您不想為所有裝置只有一個大的DHCP池,而是應將裝置分段到單獨的網路中。這也取決於網路的大小,如果網路較小,則網路分段不是那麼重要。

網路分段的好處

安全

通過將裝置保持在單獨的網路上,您可以更好地控制網路。您的印表機需要訪問網際網路嗎?可能不會。財務部門的計算機是否需要直接與HR中的計算機對話,絕對不是。通過將裝置分成自己的網路,您可以更好地控制它們的訪問。

限制網路中的橫向移動確實可以減慢攻擊者和病毒的速度。在網路級別啟用防火牆或訪問控制列表以限制網路中的橫向移動非常重要。

網路效能

將所有內容都放在一個大型網路上將建立一個巨大的廣播域。這可能會導致各種問題,例如生成樹迴圈,廣播和多播風暴。對網路進行分段將分隔廣播域並減少可能的效能問題。

控制訪客/訪客訪問

您不希望您的訪客網路訪問您的安全網路。將此流量分離到其自己的網路,可以過濾流量並阻止對內部網路的訪問。我還將訪客網路用於僅需要Internet連線的IOT型別的裝置。

以下是如何細分網路流量的示例。

  • 計算機= 10.2.10.0/24 VLAN 110
  • 印表機= 10.2.8.0/24 VLAN 108
  • 語音= 10.2.6.0/24 VLAN 106
  • 視訊監控= 10.2.4.0/24 VLAN 104
  • 伺服器= 10.2.2.0/24 VLAN 102
  • 訪客= 10.16.0.0/23 VLAN 116

除了進行網路分段之外,請嘗試使IP方案保持簡單,這確實簡化了DHCP作用域的管理。

DHCP租約期限提示

DHCP租約是DHCP伺服器為客戶端分配IP地址的時間段。DHCP作用域的預設DHCP租用時間為8天。

提示#1增加固定裝置的租賃時間

對於小型網路,您可以將租約時間保留為預設設定8小時。

對於大型網路,請考慮將固定裝置(工作站)的DHCP作用域更改為16天。這樣可以減少與DHCP相關的網路流量。工作站不經常移動,因此無需為了獲得IP地址而經常跟DHCP進行互動。

提示#2減少訪客/移動裝置的租賃時間

如果提供來賓wifi,則這些DHCP作用域會很快耗盡可用IP。這些裝置很可能只需要臨時訪問(例如幾個小時)。對於這些範圍,請考慮將DHCP租用時間調整為1小時。如果裝置仍然處於活動狀態,它將續訂,但是如果裝置斷開連線,它將釋放IP地址,這將有助於您的來賓有足夠的可用IP。

移動裝置也可能是這種情況,儘管越來越多的使用者使用膝上型電腦,但這種裝置可能會很棘手。預設的8天可能就足夠了,但是如果您知道移動裝置經常到處移動,則可以考慮減少租賃時間。

總結:
如果您擁有僅用於特定裝置(例如工作站)的DHCP作用域,請考慮調整DHCP租用時間。

本系列文件目錄:

DHCP最佳實踐(一)
DHCP最佳實踐(二)
DHCP最佳實踐(三)
DHCP最佳實踐(四)

本文首發於BigYoung小站

相關文章