這是Windows DHCP最佳實踐和技巧的最終指南。
如果您有任何最佳做法或技巧,請在下面的評論中釋出它們。
在本指南(四)中,我將分享以下DHCP最佳實踐和技巧。
DHCP中繼代理
如果您有一個具有多個網路的集中式DHCP伺服器,則需要使用DHCP中繼代理。
廣播DHCP訊息,路由器不轉發廣播資料包。要解決此問題,您可以在路由器/交換機上啟用DHCP中繼代理功能,以允許DHCP廣播資料包到達裝置。
您將需要檢視路由器文件,以獲取啟用中繼代理的命令。
資料來源
防止惡意DHCP伺服器
您是否曾經有使用者或IT部門中的某人將交換機/路由器插入牆上的可用埠?然後,導致使用者無法連線到Internet或其他資源,Helpdesk電話開始爆炸?
流氓DHCP伺服器令人頭疼。此外,它們可能會帶來安全隱患,並且會被用於各種攻擊。
阻止惡意DHCP伺服器的最佳方法是在網路交換機上,可以通過稱為DHCP偵聽或基於802.1x埠的網路訪問選項來完成。
DHCP監聽
DHCP偵聽是第2層交換功能,可阻止未經授權的(惡意)DHCP伺服器向裝置分配IP地址。
DHCP通過將交換埠分類為受信任或不受信任的埠來工作。可信埠允許DHCP訊息,非可信埠阻止DHCP訊息。
您希望裝置(計算機,印表機,電話)位於不受信任的埠上,以便無法插入惡意DHCP伺服器。
基於802.1x埠的網路訪問
802.1x是用於基於埠的網路訪問控制的IEEE標準。它是一種機制,要求裝置在提供網路訪問許可權之前先進行身份驗證。
這不僅對流氓DHCP伺服器有利,而且對控制對任何裝置的網路訪問也有好處。
802.1x通常在交換機級別配置,並且需要客戶端和身份驗證伺服器。
備用DHCP伺服器
DHCP伺服器對於向客戶端提供IP設定至關重要。如果系統崩潰,則需要儘快恢復該伺服器。
您是否知道預設情況下,Windows將每60分鐘將DHCP配置備份到此資料夾%SystemRoot%System32\DHCP\backup
但是如果伺服器崩潰並且您無法訪問該資料夾,那對您沒有好處。
如果沒有任何異地備份,則需要定期將備份資料夾複製到另一個位置。
這可以通過將資料夾複製到另一個位置或使用PowerShell指定遠端位置的指令碼來完成。
Backup-DhcpServer -ComputerName “DC01” -Path “C:\DHCPBackup”
您可以在我的文章“備份和還原Windows DHCP伺服器”中瞭解更多資訊。
DHCP MAC地址過濾
DHCP MAC地址過濾功能使您可以基於MAC地址來阻止或允許IP地址分配。
如果要讓DHCP作用域為明確的裝置列表提供IP地址,這將很有用。如果VLAN上有不需要的裝置獲取IP地址,這也很有用。
例如,您有使用者將BYOD裝置放在您的安全VLAN上。您可以將這些裝置新增到拒絕過濾器中。DHCP MAC過濾是一種控制網路訪問的快速簡便的方法。如果有時間和資源,最好的選擇是使用802.1x。
結論
在管理DHCP伺服器時,我多年來一直在使用這些技巧。如果能夠正確配置,並且正確設定了DHCP伺服器,這幾乎不會出現問題。我希望這些技巧有用,請在下面的評論中釋出您擁有的任何DHCP技巧或最佳實踐。
本系列文件目錄:
本文首發於BigYoung小站