Windows DHCP最佳實踐(四)

Bigyoungs發表於2021-01-19

這是Windows DHCP最佳實踐和技巧的最終指南。

如果您有任何最佳做法或技巧,請在下面的評論中釋出它們。

在本指南(四)中,我將分享以下DHCP最佳實踐和技巧

  1. 使用DHCP中繼代理
  2. 防止惡意DHCP伺服器
  3. 備用DHCP伺服器
  4. DHCP MAC地址過濾
  5. 結論

DHCP中繼代理

如果您有一個具有多個網路的集中式DHCP伺服器,則需要使用DHCP中繼代理。

廣播DHCP訊息,路由器不轉發廣播資料包。要解決此問題,您可以在路由器/交換機上啟用DHCP中繼代理功能,以允許DHCP廣播資料包到達裝置。

您將需要檢視路由器文件,以獲取啟用中繼代理的命令。

資料來源

思科配置DHCP中繼代理

HP配置DHCP中繼

防止惡意DHCP伺服器

您是否曾經有使用者或IT部門中的某人將交換機/路由器插入牆上的可用埠?然後,導致使用者無法連線到Internet或其他資源,Helpdesk電話開始爆炸?

流氓DHCP伺服器令人頭疼。此外,它們可能會帶來安全隱患,並且會被用於各種攻擊。

阻止惡意DHCP伺服器的最佳方法是在網路交換機上,可以通過稱為DHCP偵聽或基於802.1x埠的網路訪問選項來完成。

DHCP監聽

DHCP偵聽是第2層交換功能,可阻止未經授權的(惡意)DHCP伺服器向裝置分配IP地址。

DHCP通過將交換埠分類為受信任或不受信任的埠來工作。可信埠允許DHCP訊息,非可信埠阻止DHCP訊息。

您希望裝置(計算機,印表機,電話)位於不受信任的埠上,以便無法插入惡意DHCP伺服器。

基於802.1x埠的網路訪問

802.1x是用於基於埠的網路訪問控制的IEEE標準。它是一種機制,要求裝置在提供網路訪問許可權之前先進行身份驗證。

這不僅對流氓DHCP伺服器有利,而且對控制對任何裝置的網路訪問也有好處。

802.1x通常在交換機級別配置,並且需要客戶端和身份驗證伺服器。

備用DHCP伺服器

DHCP伺服器對於向客戶端提供IP設定至關重要。如果系統崩潰,則需要儘快恢復該伺服器。

您是否知道預設情況下,Windows將每60分鐘將DHCP配置備份到此資料夾%SystemRoot%System32\DHCP\backup

但是如果伺服器崩潰並且您無法訪問該資料夾,那對您沒有好處。

如果沒有任何異地備份,則需要定期將備份資料夾複製到另一個位置。

這可以通過將資料夾複製到另一個位置或使用PowerShell指定遠端位置的指令碼來完成。

Backup-DhcpServer -ComputerName “DC01” -Path “C:\DHCPBackup”

您可以在我的文章“備份和還原Windows DHCP伺服器”中瞭解更多資訊。

DHCP MAC地址過濾

DHCP MAC地址過濾功能使您可以基於MAC地址來阻止或允許IP地址分配。

如果要讓DHCP作用域為明確的裝置列表提供IP地址,這將很有用。如果VLAN上有不需要的裝置獲取IP地址,這也很有用。

例如,您有使用者將BYOD裝置放在您的安全VLAN上。您可以將這些裝置新增到拒絕過濾器中。DHCP MAC過濾是一種控制網路訪問的快速簡便的方法。如果有時間和資源,最好的選擇是使用802.1x。

結論

在管理DHCP伺服器時,我多年來一直在使用這些技巧。如果能夠正確配置,並且正確設定了DHCP伺服器,這幾乎不會出現問題。我希望這些技巧有用,請在下面的評論中釋出您擁有的任何DHCP技巧或最佳實踐。

本系列文件目錄:

DHCP最佳實踐(一)

DHCP最佳實踐(二)

DHCP最佳實踐(三)

DHCP最佳實踐(四)

本文首發於BigYoung小站

相關文章