Windows DHCP最佳实践（四）

这是Windows DHCP最佳实践和技巧的最终指南。

如果您有任何最佳做法或技巧，请在下面的评论中发布它们。

在本指南（四）中，我将分享以下DHCP最佳实践和技巧。

1. 使用DHCP中继代理
2. 防止恶意DHCP服务器
3. 备用DHCP服务器
4. DHCP MAC地址过滤
5. 结论

DHCP中继代理

如果您有一个具有多个网络的集中式DHCP服务器，则需要使用DHCP中继代理。

广播DHCP消息，路由器不转发广播数据包。要解决此问题，您可以在路由器/交换机上启用DHCP中继代理功能，以允许DHCP广播数据包到达设备。

您将需要查看路由器文档，以获取启用中继代理的命令。

资料来源

思科配置DHCP中继代理

HP配置DHCP中继

防止恶意DHCP服务器

您是否曾经有用户或IT部门中的某人将交换机/路由器插入墙上的可用端口？然后，导致用户无法连接到Internet或其他资源，Helpdesk电话开始爆炸？

流氓DHCP服务器令人头疼。此外，它们可能会带来安全隐患，并且会被用于各种攻击。

阻止恶意DHCP服务器的最佳方法是在网络交换机上，可以通过称为DHCP侦听或基于802.1x端口的网络访问选项来完成。

DHCP监听

DHCP侦听是第2层交换功能，可阻止未经授权的（恶意）DHCP服务器向设备分配IP地址。

DHCP通过将交换端口分类为受信任或不受信任的端口来工作。可信端口允许DHCP消息，非可信端口阻止DHCP消息。

您希望设备（计算机，打印机，电话）位于不受信任的端口上，以便无法插入恶意DHCP服务器。

基于802.1x端口的网络访问

802.1x是用于基于端口的网络访问控制的IEEE标准。它是一种机制，要求设备在提供网络访问权限之前先进行身份验证。

这不仅对流氓DHCP服务器有利，而且对控制对任何设备的网络访问也有好处。

802.1x通常在交换机级别配置，并且需要客户端和身份验证服务器。

备用DHCP服务器

DHCP服务器对于向客户端提供IP设置至关重要。如果系统崩溃，则需要尽快恢复该服务器。

您是否知道默认情况下，Windows将每60分钟将DHCP配置备份到此文件夹%SystemRoot%System32\DHCP\backup

但是如果服务器崩溃并且您无法访问该文件夹，那对您没有好处。

如果没有任何异地备份，则需要定期将备份文件夹复制到另一个位置。

这可以通过将文件夹复制到另一个位置或使用PowerShell指定远程位置的脚本来完成。

Backup-DhcpServer -ComputerName “DC01” -Path “C:\DHCPBackup”

您可以在我的文章“备份和还原Windows DHCP服务器”中了解更多信息。

DHCP MAC地址过滤

DHCP MAC地址过滤功能使您可以基于MAC地址来阻止或允许IP地址分配。

如果要让DHCP作用域为明确的设备列表提供IP地址，这将很有用。如果VLAN上有不需要的设备获取IP地址，这也很有用。

例如，您有用户将BYOD设备放在您的安全VLAN上。您可以将这些设备添加到拒绝过滤器中。DHCP MAC过滤是一种控制网络访问的快速简便的方法。如果有时间和资源，最好的选择是使用802.1x。

结论

在管理DHCP服务器时，我多年来一直在使用这些技巧。如果能够正确配置，并且正确设置了DHCP服务器，这几乎不会出现问题。我希望这些技巧有用，请在下面的评论中发布您拥有的任何DHCP技巧或最佳实践。

本系列文档目录：

DHCP最佳实践（一）

DHCP最佳实践（二）

DHCP最佳实践（三）

DHCP最佳实践（四）

本文首发于BigYoung小站