這是Windows DHCP最佳實踐和技巧的最終指南。

如果您有任何最佳做法或技巧，請在下面的評論中發(fā)布它們。

在本指南（四）中，我將分享以下DHCP最佳實踐和技巧。

1. 使用DHCP中繼代理
2. 防止惡意DHCP服務器
3. 備用DHCP服務器
4. DHCP MAC地址過濾
5. 結(jié)論

DHCP中繼代理

如果您有一個具有多個網(wǎng)絡的集中式DHCP服務器，則需要使用DHCP中繼代理。

廣播DHCP消息，路由器不轉(zhuǎn)發(fā)廣播數(shù)據(jù)包。要解決此問題，您可以在路由器/交換機上啟用DHCP中繼代理功能，以允許DHCP廣播數(shù)據(jù)包到達設備。

您將需要查看路由器文檔，以獲取啟用中繼代理的命令。

資料來源

思科配置DHCP中繼代理

HP配置DHCP中繼

防止惡意DHCP服務器

您是否曾經(jīng)有用戶或IT部門中的某人將交換機/路由器插入墻上的可用端口？然后，導致用戶無法連接到Internet或其他資源，Helpdesk電話開始爆炸？

流氓DHCP服務器令人頭疼。此外，它們可能會帶來安全隱患，并且會被用于各種攻擊。

阻止惡意DHCP服務器的最佳方法是在網(wǎng)絡交換機上，可以通過稱為DHCP偵聽或基于802.1x端口的網(wǎng)絡訪問選項來完成。

DHCP監(jiān)聽

DHCP偵聽是第2層交換功能，可阻止未經(jīng)授權的（惡意）DHCP服務器向設備分配IP地址。

DHCP通過將交換端口分類為受信任或不受信任的端口來工作。可信端口允許DHCP消息，非可信端口阻止DHCP消息。

您希望設備（計算機，打印機，電話）位于不受信任的端口上，以便無法插入惡意DHCP服務器。

基于802.1x端口的網(wǎng)絡訪問

802.1x是用于基于端口的網(wǎng)絡訪問控制的IEEE標準。它是一種機制，要求設備在提供網(wǎng)絡訪問權限之前先進行身份驗證。

這不僅對流氓DHCP服務器有利，而且對控制對任何設備的網(wǎng)絡訪問也有好處。

802.1x通常在交換機級別配置，并且需要客戶端和身份驗證服務器。

備用DHCP服務器

DHCP服務器對于向客戶端提供IP設置至關重要。如果系統(tǒng)崩潰，則需要盡快恢復該服務器。

您是否知道默認情況下，Windows將每60分鐘將DHCP配置備份到此文件夾%SystemRoot%System32\DHCP\backup

但是如果服務器崩潰并且您無法訪問該文件夾，那對您沒有好處。

如果沒有任何異地備份，則需要定期將備份文件夾復制到另一個位置。

這可以通過將文件夾復制到另一個位置或使用PowerShell指定遠程位置的腳本來完成。

Backup-DhcpServer -ComputerName “DC01” -Path “C:\DHCPBackup”

您可以在我的文章“備份和還原Windows DHCP服務器”中了解更多信息。

DHCP MAC地址過濾

DHCP MAC地址過濾功能使您可以基于MAC地址來阻止或允許IP地址分配。

如果要讓DHCP作用域為明確的設備列表提供IP地址，這將很有用。如果VLAN上有不需要的設備獲取IP地址，這也很有用。

例如，您有用戶將BYOD設備放在您的安全VLAN上。您可以將這些設備添加到拒絕過濾器中。DHCP MAC過濾是一種控制網(wǎng)絡訪問的快速簡便的方法。如果有時間和資源，最好的選擇是使用802.1x。

結(jié)論

在管理DHCP服務器時，我多年來一直在使用這些技巧。如果能夠正確配置，并且正確設置了DHCP服務器，這幾乎不會出現(xiàn)問題。我希望這些技巧有用，請在下面的評論中發(fā)布您擁有的任何DHCP技巧或最佳實踐。

本系列文檔目錄：

DHCP最佳實踐（一）

DHCP最佳實踐（二）

DHCP最佳實踐（三）

DHCP最佳實踐（四）

本文首發(fā)于BigYoung小站