Windows DHCP最佳實踐（四）

這是Windows DHCP最佳實踐和技巧的最終指南。

若是您有任何最佳作法或技巧，請在下面的評論中發佈它們。

在本指南（四）中，我將分享如下DHCP最佳實踐和技巧。

1. 使用DHCP中繼代理
2. 防止惡意DHCP服務器
3. 備用DHCP服務器
4. DHCP MAC地址過濾
5. 結論

DHCP中繼代理

若是您有一個具備多個網絡的集中式DHCP服務器，則須要使用DHCP中繼代理。

廣播DHCP消息，路由器不轉發廣播數據包。要解決此問題，您能夠在路由器/交換機上啓用DHCP中繼代理功能，以容許DHCP廣播數據包到達設備。

您將須要查看路由器文檔，以獲取啓用中繼代理的命令。

資料來源

思科配置DHCP中繼代理

HP配置DHCP中繼

防止惡意DHCP服務器

您是否曾經有用戶或IT部門中的某人將交換機/路由器插入牆上的可用端口？而後，致使用戶沒法鏈接到Internet或其餘資源，Helpdesk電話開始爆炸？

流氓DHCP服務器使人頭疼。此外，它們可能會帶來安全隱患，而且會被用於各類攻擊。

阻止惡意DHCP服務器的最佳方法是在網絡交換機上，能夠經過稱爲DHCP偵聽或基於802.1x端口的網絡訪問選項來完成。

DHCP監聽

DHCP偵聽是第2層交換功能，可阻止未經受權的（惡意）DHCP服務器向設備分配IP地址。

DHCP經過將交換端口分類爲受信任或不受信任的端口來工做。可信端口容許DHCP消息，非可信端口阻止DHCP消息。

您但願設備（計算機，打印機，電話）位於不受信任的端口上，以便沒法插入惡意DHCP服務器。

基於802.1x端口的網絡訪問

802.1x是用於基於端口的網絡訪問控制的IEEE標準。它是一種機制，要求設備在提供網絡訪問權限以前先進行身份驗證。

這不只對流氓DHCP服務器有利，並且對控制對任何設備的網絡訪問也有好處。

802.1x一般在交換機級別配置，而且須要客戶端和身份驗證服務器。

備用DHCP服務器

DHCP服務器對於向客戶端提供IP設置相當重要。若是系統崩潰，則須要儘快恢復該服務器。

您是否知道默認狀況下，Windows將每60分鐘將DHCP配置備份到此文件夾%SystemRoot%System32\DHCP\backup

可是若是服務器崩潰而且您沒法訪問該文件夾，那對您沒有好處。

若是沒有任何異地備份，則須要按期將備份文件夾複製到另外一個位置。

這能夠經過將文件夾複製到另外一個位置或使用PowerShell指定遠程位置的腳原本完成。

Backup-DhcpServer -ComputerName 「DC01」 -Path 「C:\DHCPBackup」

您能夠在個人文章「備份和還原Windows DHCP服務器」中瞭解更多信息。

DHCP MAC地址過濾

DHCP MAC地址過濾功能使您能夠基於MAC地址來阻止或容許IP地址分配。

若是要讓DHCP做用域爲明確的設備列表提供IP地址，這將頗有用。若是VLAN上有不須要的設備獲取IP地址，這也頗有用。

例如，您有用戶將BYOD設備放在您的安全VLAN上。您能夠將這些設備添加到拒絕過濾器中。DHCP MAC過濾是一種控制網絡訪問的快速簡便的方法。若是有時間和資源，最好的選擇是使用802.1x。

結論

在管理DHCP服務器時，我多年來一直在使用這些技巧。若是可以正確配置，而且正確設置了DHCP服務器，這幾乎不會出現問題。我但願這些技巧有用，請在下面的評論中發佈您擁有的任何DHCP技巧或最佳實踐。

本系列文檔目錄：

DHCP最佳實踐（一）

DHCP最佳實踐（二）

DHCP最佳實踐（三）

DHCP最佳實踐（四）

本文首發於 BigYoung小站