这是 Windows DHCP 最佳实际和技巧的最终指南。
如果您有任何最佳做法或技巧,请在上面的评论中公布它们。
在本指南(二)中,我将分享以下 DHCP 最佳实际和技巧 。
- 从 DHCP 作用域中排除 IP
- 理解 PowerShell DHCP 命令
- 子网划分和网络分段的益处
- DHCP 租约期限提醒
从 DHCP 作用域中排除 IP
创立 DHCP 作用域时,倡议不要为动态 IP 调配排除一小部分范畴。是的,我在上一个技巧中晓得我说过不应用动态调配,然而基础设施设施将须要它。
您的网络将具备一个默认路由,该默认路由将是路由器,因而您相对心愿将其排除在 DHCP 池之外。您可能还会遇到其余须要动态 IP 的设施,因而最好将这些设施的排除的 IP 在 DHCP 池中设置一个较小范畴较。例如,我看到了各种须要动态 IP 的警报和安全设备,因而我只提供排除范畴内的 IP。
这是用于工作站和笔记本电脑的数据 VLAN 的屏幕截图,其中排除了 10.2.10.1 至 10.2.10.10。
理解 PowerShell DHCP 命令
应用 DHCP 控制台(dhcpmgmt.ms)并没有错,然而 PowerShell 很棒,并且简化了许多工作。如果您的大型网络具备数百个 DHCP 作用域,那么应用 PowerShell 将节俭大量工夫。
这里有一些命令能够帮忙您入门。
装置 DHCP 角色
Install-WindowsFeature -IncludeManagementTools DHCP
备用 DHCP 服务器
Backup-DhcpServer -ComputerName "dhcp1.ad.activedirectorypro.com" -Path "C:\Windows\system32\dhcp\backup"
查看 DHCP 租约
Get-DhcpServerv4Scope | Get-DhcpServerv4Lease
从 MAC 地址查找 DHCP 租约
Get-DhcpServerv4Scope |Get-DhcpServerv4Lease |where {$_.ClientId -like“b4-b6-86-b4-**-**”}
增加 DHCP 作用域
Add-DHCPServerv4Scope -EndRange 10.2.1.254 -Name Vlan110 -StartRange 10.2.1.1 -SubnetMask 255.255.255.0 -State Active
获取所有流动的 ipv4 范畴
Get-DHCPServerv4Scope
获取范畴的所有 DHCP 保留
Get-DHCPServerv4Lease -ScopeId 10.2.1.0
创立 DHCP 预留
Get-DhcpServerv4Lease -ComputerName dhcpserver1 -IPAddress 10.2.1.8 | Add-DhcpServerv4Reservation -ComputerName server1
这只是用 PowerShell 治理 DHCP 服务器。上面的一些链接,是应用 Powershell 治理其余的一些服务。
材料起源
https://docs.microsoft.com/zh-cn/powershell/module/dhcpserver/?view=win10-ps
https://4sysops.com/archives/configure-dhcp-with-powershell-in-windows-server-2012-r2-and-above/
Active Directory 的 PowerShell 命令的大量列表
子网划分和网络分段的益处
我不会深入探讨子网划分,因为有很多服务能够做到这一点。
然而,在配置 DHCP 作用域时,它有助于对网络有一些根本的理解。
您不想为所有设施只有一个大的 DHCP 池,而是应将设施分段到独自的网络中。这也取决于网络的大小,如果网络较小,则网络分段不是那么重要。
网络分段的益处
平安
通过将设施放弃在独自的网络上,您能够更好地管制网络。您的打印机须要拜访互联网吗?可能不会。财务部门的计算机是否须要间接与 HR 中的计算机对话,相对不是。通过将设施分成本人的网络,您能够更好地管制它们的拜访。
限度网络中的横向挪动的确能够减慢攻击者和病毒的速度。在网络级别启用防火墙或访问控制列表以限度网络中的横向挪动十分重要。
网络性能
将所有内容都放在一个大型网络上将创立一个微小的播送域。这可能会导致各种问题,例如生成树循环,播送和多播风暴。对网络进行分段将分隔播送域并缩小可能的性能问题。
管制访客 / 访客拜访
您不心愿您的访客网络拜访您的平安网络。将此流量拆散到其本人的网络,能够过滤流量并阻止对外部网络的拜访。我还将访客网络用于仅须要 Internet 连贯的 IOT 类型的设施。
以下是如何细分网络流量的示例。
- 计算机 = 10.2.10.0/24 VLAN 110
- 打印机 = 10.2.8.0/24 VLAN 108
- 语音 = 10.2.6.0/24 VLAN 106
- 视频监控 = 10.2.4.0/24 VLAN 104
- 服务器 = 10.2.2.0/24 VLAN 102
- 访客 = 10.16.0.0/23 VLAN 116
除了进行网络分段之外,请尝试使 IP 计划放弃简略,这的确简化了 DHCP 作用域的治理。
DHCP 租约期限提醒
DHCP 租约是 DHCP 服务器为客户端调配 IP 地址的时间段。DHCP 作用域的默认 DHCP 租用工夫为 8 天。
提醒#1 减少固定设备的租赁工夫
对于小型网络,您能够将租约工夫保留为默认设置 8 小时。
对于大型网络,请思考将固定设备(工作站)的 DHCP 作用域更改为 16 天。这样能够缩小与 DHCP 相干的网络流量。工作站不常常挪动,因而无需为了取得 IP 地址而常常跟 DHCP 进行交互。
提醒#2 缩小访客 / 挪动设施的租赁工夫
如果提供来宾 wifi,则这些 DHCP 作用域会很快耗尽可用 IP。这些设施很可能只须要长期拜访(例如几个小时)。对于这些范畴,请思考将 DHCP 租用工夫调整为 1 小时。如果设施依然处于活动状态,它将续订,然而如果设施断开连接,它将开释 IP 地址,这将有助于您的来宾有足够的可用 IP。
挪动设施也可能是这种状况,只管越来越多的用户应用笔记本电脑,但这种设施可能会很辣手。默认的 8 天可能就足够了,然而如果您晓得挪动设施常常到处挪动,则能够思考缩小租赁工夫。
总结:
如果您领有仅用于特定设施(例如工作站)的 DHCP 作用域,请思考调整 DHCP 租用工夫。
本系列文档目录:
DHCP 最佳实际(一)
DHCP 最佳实际(二)
DHCP 最佳实际(三)
DHCP 最佳实际(四)
本文首发于 BigYoung 小站