关于SegmentFault:Windows-DHCP最佳实践四

46次阅读

共计 1455 个字符,预计需要花费 4 分钟才能阅读完成。

这是 Windows DHCP 最佳实际和技巧的最终指南。

如果您有任何最佳做法或技巧,请在上面的评论中公布它们。

在本指南(四)中,我将分享以下 DHCP 最佳实际和技巧

  1. 应用 DHCP 中继代理
  2. 避免歹意 DHCP 服务器
  3. 备用 DHCP 服务器
  4. DHCP MAC 地址过滤
  5. 论断

DHCP 中继代理

如果您有一个具备多个网络的集中式 DHCP 服务器,则须要应用 DHCP 中继代理。

播送 DHCP 音讯,路由器不转发播送数据包。要解决此问题,您能够在路由器 / 交换机上启用 DHCP 中继代理性能,以容许 DHCP 播送数据包达到设施。

您将须要查看路由器文档,以获取启用中继代理的命令。

材料起源

思科配置 DHCP 中继代理

HP 配置 DHCP 中继

避免歹意 DHCP 服务器

您是否已经有用户或 IT 部门中的某人将交换机 / 路由器插入墙上的可用端口?而后,导致用户无奈连贯到 Internet 或其余资源,Helpdesk 电话开始爆炸?

流氓 DHCP 服务器令人头疼。此外,它们可能会带来安全隐患,并且会被用于各种攻打。

阻止歹意 DHCP 服务器的最佳办法是在网络交换机上,能够通过称为 DHCP 侦听或基于 802.1x 端口的网络拜访选项来实现。

DHCP 监听

DHCP 侦听是第 2 层替换性能,可阻止未经受权的(歹意)DHCP 服务器向设施调配 IP 地址。

DHCP 通过将替换端口分类为受信赖或不受信赖的端口来工作。可信端口容许 DHCP 音讯,非可信端口阻止 DHCP 音讯。

您心愿设施(计算机,打印机,电话)位于不受信赖的端口上,以便无奈插入歹意 DHCP 服务器。

基于 802.1x 端口的网络拜访

802.1x 是用于基于端口的网络访问控制的 IEEE 规范。它是一种机制,要求设施在提供网络拜访权限之前先进行身份验证。

这不仅对流氓 DHCP 服务器无利,而且对管制对任何设施的网络拜访也有益处。

802.1x 通常在交换机级别配置,并且须要客户端和身份验证服务器。

备用 DHCP 服务器

DHCP 服务器对于向客户端提供 IP 设置至关重要。如果零碎解体,则须要尽快恢复该服务器。

您是否晓得默认状况下,Windows 将每 60 分钟将 DHCP 配置备份到此文件夹 %SystemRoot%System32\DHCP\backup

然而如果服务器解体并且您无法访问该文件夹,那对您没有益处。

如果没有任何异地备份,则须要定期将备份文件夹复制到另一个地位。

这能够通过将文件夹复制到另一个地位或应用 PowerShell 指定近程地位的脚本来实现。

Backup-DhcpServer -ComputerName“DC01”-Path“C:\DHCPBackup”

您能够在我的文章“备份和还原 Windows DHCP 服务器”中理解更多信息。

DHCP MAC 地址过滤

DHCP MAC 地址过滤性能使您能够基于 MAC 地址来阻止或容许 IP 地址调配。

如果要让 DHCP 作用域为明确的设施列表提供 IP 地址,这将很有用。如果 VLAN 上有不须要的设施获取 IP 地址,这也很有用。

例如,您有用户将 BYOD 设施放在您的平安 VLAN 上。您能够将这些设施增加到回绝过滤器中。DHCP MAC 过滤是一种管制网络拜访的疾速简便的办法。如果有工夫和资源,最好的抉择是应用 802.1x。

论断

在治理 DHCP 服务器时,我多年来始终在应用这些技巧。如果可能正确配置,并且正确设置了 DHCP 服务器,这简直不会呈现问题。我心愿这些技巧有用,请在上面的评论中公布您领有的任何 DHCP 技巧或最佳实际。

本系列文档目录:

DHCP 最佳实际(一)

DHCP 最佳实际(二)

DHCP 最佳实际(三)

DHCP 最佳实际(四)

本文首发于 BigYoung 小站

正文完
 0