这是WindowsDHCP最佳实践和技巧的终极指南。如果您有任何最佳实践或提示,请将它们发布在下面的评论中。在本指南(第四篇)中,我将分享以下DHCP最佳实践和技巧。使用DHCP中继代理防止恶意DHCP服务器备用DHCP服务器DHCPMAC地址过滤结论DHCP中继代理如果您有一个具有多个网络的集中式DHCP服务器,则需要使用DHCP中继代理。广播DHCP消息,路由器不转发广播数据包。为了解决这个问题,可以在路由器/交换机上开启DHCP中继功能,允许DHCP广播报文到达设备。您需要查看路由器文档以获取启用中继代理的命令。来源Cisco配置DHCP中继代理HP配置DHCP中继防止流氓DHCP服务器您是否曾让用户或IT人员将交换机/路由器插入墙上的可用端口?然后,导致用户无法连接到互联网或其他资源,Helpdesk电话开始爆炸?流氓DHCP服务器令人头疼。此外,它们可能会带来安全风险并被用于各种攻击。阻止流氓DHCP服务器的最佳方法是在网络交换机上,这可以通过称为DHCP侦听或802.1x基于端口的网络访问的选项来完成。DHCP侦听DHCP侦听是一种第2层交换功能,可防止未经授权(恶意)的DHCP服务器将IP地址分配给设备。DHCP通过将交换机端口分类为受信任或不受信任来工作。受信任的端口允许DHCP消息,不受信任的端口阻止DHCP消息。您希望设备(计算机、打印机、电话)位于不受信任的端口上,以便无法插入流氓DHCP服务器。802.1x基于端口的网络访问802.1x是用于基于端口的网络访问控制的IEEE标准。它是一种要求设备在提供网络访问之前进行身份验证的机制。这不仅有利于流氓DHCP服务器,也有利于控制对任何设备的网络访问。802.1x通常在交换机级别配置,需要客户端和身份验证服务器。备用DHCP服务器DHCP服务器对于向客户端提供IP设置至关重要。如果系统崩溃,服务器需要尽快恢复。您知道吗,默认情况下,Windows会每60分钟将DHCP配置备份到此文件夹%SystemRoot%System32\DHCP\backup,但如果服务器崩溃并且您无法访问该文件夹,它对您没有任何好处。如果您没有任何异地备份,则需要定期将备份文件夹复制到另一个位置。这可以通过将文件夹复制到另一个位置的脚本或使用PowerShell指定远程位置来完成。Backup-DhcpServer-ComputerName"DC01"-Path"C:\DHCPBackup"您可以在我的文章“备份和恢复WindowsDHCP服务器”中了解更多信息。DHCPMAC地址过滤DHCPMAC地址过滤允许您阻止或允许基于MAC地址的IP地址分配。如果您希望DHCP作用域为明确的设备列表提供IP地址,这将很有用。如果VLAN上不需要的设备正在获取IP地址,这也很有用。例如,您有用户将BYOD设备放在您的安全VLAN上。您可以将这些设备添加到拒绝过滤器中。DHCPMAC过滤是一种控制网络访问的快捷方式。考虑到时间和资源,最好的选择是使用802.1x。结论多年来,我一直在使用这些技巧来管理DHCP服务器。如果配置正确并且DHCP服务器设置正确,这很少会成为问题。我希望这些提示有用,请在下面的评论中发布任何DHCP提示或最佳实践。本系列文档内容:DHCP最佳实践(一)DHCP最佳实践(二)DHCP最佳实践(三)DHCP最佳实践(四)
