Windows DHCP 最佳实践(四)
这是 Windows DHCP 最佳实践和技巧的最终指南。
如果您有任何最佳做法或技巧,请在下面的评论中发布它们。
在本指南(四)中,我将分享以下 DHCP 最佳实践和技巧。
DHCP 中继代理
如果您有一个具有多个网络的集中式 DHCP 服务器,则需要使用 DHCP 中继代理。
广播 DHCP 消息,路由器不转发广播数据包。要解决此问题,您可以在路由器/交换机上启用 DHCP 中继代理功能,以允许 DHCP 广播数据包到达设备。
您将需要查看路由器文档,以获取启用中继代理的命令。
资料来源
防止恶意 DHCP 服务器
您是否曾经有用户或 IT 部门中的某人将交换机/路由器插入墙上的可用端口?然后,导致用户无法连接到 Internet 或其他资源,Helpdesk 电话开始爆炸?
流氓 DHCP 服务器令人头疼。此外,它们可能会带来安全隐患,并且会被用于各种攻击。
阻止恶意 DHCP 服务器的最佳方法是在网络交换机上,可以通过称为 DHCP 侦听或基于 802.1x 端口的网络访问选项来完成。
DHCP 监听
DHCP 侦听是第 2 层交换功能,可阻止未经授权的(恶意)DHCP 服务器向设备分配 IP 地址。
DHCP 通过将交换端口分类为受信任或不受信任的端口来工作。可信端口允许 DHCP 消息,非可信端口阻止 DHCP 消息。
您希望设备(计算机,打印机,电话)位于不受信任的端口上,以便无法插入恶意 DHCP 服务器。
基于 802.1x 端口的网络访问
802.1x 是用于基于端口的网络访问控制的 IEEE 标准。它是一种机制,要求设备在提供网络访问权限之前先进行身份验证。
这不仅对流氓 DHCP 服务器有利,而且对控制对任何设备的网络访问也有好处。
802.1x 通常在交换机级别配置,并且需要客户端和身份验证服务器。
备用 DHCP 服务器
DHCP 服务器对于向客户端提供 IP 设置至关重要。如果系统崩溃,则需要尽快恢复该服务器。
您是否知道默认情况下,Windows 将每 60 分钟将 DHCP 配置备份到此文件夹%SystemRoot%System32\DHCP\backup
但是如果服务器崩溃并且您无法访问该文件夹,那对您没有好处。
如果没有任何异地备份,则需要定期将备份文件夹复制到另一个位置。
这可以通过将文件夹复制到另一个位置或使用 PowerShell 指定远程位置的脚本来完成。
Backup-DhcpServer -ComputerName “DC01” -Path “C:\DHCPBackup”
您可以在我的文章“备份和还原Windows DHCP服务器”中了解更多信息。
DHCP MAC 地址过滤
DHCP MAC 地址过滤功能使您可以基于 MAC 地址来阻止或允许 IP 地址分配。
如果要让 DHCP 作用域为明确的设备列表提供 IP 地址,这将很有用。如果 VLAN 上有不需要的设备获取 IP 地址,这也很有用。
例如,您有用户将 BYOD 设备放在您的安全 VLAN 上。您可以将这些设备添加到拒绝过滤器中。DHCP MAC 过滤是一种控制网络访问的快速简便的方法。如果有时间和资源,最好的选择是使用 802.1x。
结论
在管理 DHCP 服务器时,我多年来一直在使用这些技巧。如果能够正确配置,并且正确设置了 DHCP 服务器,这几乎不会出现问题。我希望这些技巧有用,请在下面的评论中发布您拥有的任何 DHCP 技巧或最佳实践。
本系列文档目录:
===
版权声明: 本文为 InfoQ 作者【BigYoung】的原创文章。
原文链接:【http://xie.infoq.cn/article/554f4adaf2f045b198adb2e96】。未经作者许可,禁止转载。
评论