DHCP最佳實踐（二）

這是Windows DHCP最佳實踐和技巧的最終指南。

若是您有任何最佳作法或技巧，請在下面的評論中發佈它們。

在本指南（二）中，我將分享如下DHCP最佳實踐和技巧。

1. 從DHCP做用域中排除IP
2. 瞭解PowerShell DHCP命令
3. 子網劃分和網絡分段的好處
4. DHCP租約期限提示

從DHCP做用域中排除IP

建立DHCP做用域時，建議不要爲靜態IP分配排除一小部分範圍。是的，我在上一個技巧中知道我說過不使用靜態分配，可是基礎設施設備將須要它。

您的網絡將具備一個默認路由，該默認路由將是路由器，所以您絕對但願將其排除在DHCP池以外。您可能還會遇到其餘須要靜態IP的設備，所以最好將這些設備的排除的IP在DHCP池中設置一個較小範圍較。例如，我看到了各類須要靜態IP的警報和安全設備，所以我只提供排除範圍內的IP。

這是用於工做站和筆記本電腦的數據VLAN的屏幕截圖，其中排除了10.2.10.1至10.2.10.10。

瞭解PowerShell DHCP命令

使用DHCP控制檯（dhcpmgmt.ms）並無錯，可是PowerShell很棒，而且簡化了許多任務。若是您的大型網絡具備數百個DHCP做用域，那麼使用PowerShell將節省大量時間。

這裏有一些命令能夠幫助您入門。

安裝DHCP角色

Install-WindowsFeature -IncludeManagementTools DHCP

備用DHCP服務器

Backup-DhcpServer -ComputerName "dhcp1.ad.activedirectorypro.com" -Path "C:\Windows\system32\dhcp\backup"

查看DHCP租約

Get-DhcpServerv4Scope | Get-DhcpServerv4Lease

從MAC地址查找DHCP租約

Get-DhcpServerv4Scope |Get-DhcpServerv4Lease |where {$_.ClientId -like 「b4-b6-86-b4-**-**」 }

添加DHCP做用域

Add-DHCPServerv4Scope -EndRange 10.2.1.254 -Name Vlan110 -StartRange 10.2.1.1 -SubnetMask 255.255.255.0 -State Active

獲取全部活動的ipv4範圍

Get-DHCPServerv4Scope

獲取範圍的全部DHCP保留

Get-DHCPServerv4Lease -ScopeId 10.2.1.0

建立DHCP預留

Get-DhcpServerv4Lease -ComputerName dhcpserver1 -IPAddress 10.2.1.8 | Add-DhcpServerv4Reservation -ComputerName server1

這只是用PowerShell管理DHCP服務器。下面的一些連接，是使用Powershell管理其餘的一些服務。

資料來源

https://docs.microsoft.com/zh-cn/powershell/module/dhcpserver/?view=win10-ps

https://4sysops.com/archives/configure-dhcp-with-powershell-in-windows-server-2012-r2-and-above/

Active Directory的PowerShell命令的大量列表

子網劃分和網絡分段的好處

我不會深刻探討子網劃分，由於有不少服務能夠作到這一點。

可是，在配置DHCP做用域時，它有助於對網絡有一些基本的瞭解。

您不想爲全部設備只有一個大的DHCP池，而是應將設備分段到單獨的網絡中。這也取決於網絡的大小，若是網絡較小，則網絡分段不是那麼重要。

網絡分段的好處

安全

經過將設備保持在單獨的網絡上，您能夠更好地控制網絡。您的打印機須要訪問互聯網嗎？可能不會。財務部門的計算機是否須要直接與HR中的計算機對話，絕對不是。經過將設備分紅本身的網絡，您能夠更好地控制它們的訪問。

限制網絡中的橫向移動確實能夠減慢攻擊者和病毒的速度。在網絡級別啓用防火牆或訪問控制列表以限制網絡中的橫向移動很是重要。

網絡性能

將全部內容都放在一個大型網絡上將建立一個巨大的廣播域。這可能會致使各類問題，例如生成樹循環，廣播和多播風暴。對網絡進行分段將分隔廣播域並減小可能的性能問題。

控制訪客/訪客訪問

您不但願您的訪客網絡訪問您的安全網絡。將此流量分離到其本身的網絡，能夠過濾流量並阻止對內部網絡的訪問。我還將訪客網絡用於僅須要Internet鏈接的IOT類型的設備。

如下是如何細分網絡流量的示例。

• 計算機= 10.2.10.0/24 VLAN 110
• 打印機= 10.2.8.0/24 VLAN 108
• 語音= 10.2.6.0/24 VLAN 106
• 視頻監控= 10.2.4.0/24 VLAN 104
• 服務器= 10.2.2.0/24 VLAN 102
• 訪客= 10.16.0.0/23 VLAN 116

除了進行網絡分段以外，請嘗試使IP方案保持簡單，這確實簡化了DHCP做用域的管理。

DHCP租約期限提示

DHCP租約是DHCP服務器爲客戶端分配IP地址的時間段。DHCP做用域的默認DHCP租用時間爲8天。

提示＃1增長固定設備的租賃時間

對於小型網絡，您能夠將租約時間保留爲默認設置8小時。

對於大型網絡，請考慮將固定設備（工做站）的DHCP做用域更改成16天。這樣能夠減小與DHCP相關的網絡流量。工做站不常常移動，所以無需爲了得到IP地址而常常跟DHCP進行交互。

提示＃2減小訪客/移動設備的租賃時間

若是提供來賓wifi，則這些DHCP做用域會很快耗盡可用IP。這些設備極可能只須要臨時訪問（例如幾個小時）。對於這些範圍，請考慮將DHCP租用時間調整爲1小時。若是設備仍然處於活動狀態，它將續訂，可是若是設備斷開鏈接，它將釋放IP地址，這將有助於您的來賓有足夠的可用IP。

移動設備也多是這種狀況，儘管愈來愈多的用戶使用筆記本電腦，但這種設備可能會很棘手。默認的8天可能就足夠了，可是若是您知道移動設備常常處處移動，則能夠考慮減小租賃時間。

總結：
若是您擁有僅用於特定設備（例如工做站）的DHCP做用域，請考慮調整DHCP租用時間。

本系列文檔目錄：

DHCP最佳實踐（一）
DHCP最佳實踐（二）
DHCP最佳實踐（三）
DHCP最佳實踐（四）

本文首發於BigYoung小站