如果妳有任何最佳實踐或建議,請在下面的評論中發表。
在本指南(2)中,我將分享以下DHCP最佳實踐和技術。
創建DHCP作用域時,不建議排除小範圍的靜態IP分配。是的,我知道在最後壹招裏我說過不要用靜態分配,但是基礎設施設備會需要。
您的網絡將有壹個默認路由,這將是壹個路由器,所以您肯定要將其從DHCP地址池中排除。您可能會遇到其他需要靜態IP的設備,因此最好在DHCP池中將這些設備的排除IP設置在壹個較小的範圍內。比如我見過各種需要靜態IP的報警器和安防設備,所以我只提供排除範圍內的IP。
這是VLAN用於工作站和筆記本電腦的數據截圖,不包括10.2.10.1到10.2.10。
使用DHCP控制臺(dhcpmgmt.ms)沒什麽問題,但是PowerShell很棒,簡化了很多任務。如果您的大型網絡有數百個DHCP作用域,使用PowerShell將節省大量時間。
這裏有壹些命令可以幫助妳開始。
這只是用PowerShell來管理DHCP服務器。以下鏈接是關於使用Powershell管理其他服務的。
/powershell/module/dhcpserver/?view=win10-ps
/archives/configure-DHCP-with-powershell-in-windows-server-2012-R2-及以上/
Active Directory中PowerShell命令的大型列表。
子網劃分我就不贅述了,因為有很多服務可以做到這壹點。
但是,在配置DHCP作用域時,對網絡有壹些基本的了解會有所幫助。
您不希望所有設備只有壹個大型DHCP地址池,但是您應該將設備劃分到不同的網絡中。這也取決於網絡的規模。如果網絡很小,網絡分段就沒那麽重要了。
通過將設備放在單獨的網絡上,您可以更好地控制網絡。妳的打印機需要上網嗎?大概不會。財務部的電腦是否需要直接和HR的電腦對話,絕對不需要。通過將設備劃分到各自的網絡中,您可以更好地控制它們的訪問。
限制網絡中的橫向移動可以真正減緩攻擊者和病毒的速度。在網絡級別啟用防火墻或訪問控制列表來限制網絡中的橫向移動非常重要。
把所有東西都放在壹個大網絡上,會產生壹個巨大的廣播域。這可能會導致各種問題,如生成樹循環、廣播和組播風暴。對網絡進行分段可以分隔廣播域,減少可能出現的性能問題。
您不希望您的客人網絡訪問您的安全網絡。將這種流量從其自己的網絡中分離出來,可以過濾流量並阻止對內部網絡的訪問。對於只需要互聯網連接的IOT類型的設備,我也使用訪客網絡。
以下是如何對網絡流量進行分段的示例。
除了網絡分段,請盡量保持IP方案簡單,真正簡化DHCP作用域的管理。
DHCP租約是DHCP服務器為客戶端分配IP地址的時間段。DHCP作用域的默認DHCP租用時間是8天。
對於小型網絡,您可以將租用時間保留為默認設置8小時。
對於大型網絡,請考慮將固定設備(工作站)的DHCP作用域改為16天。這可以減少與DHCP相關的網絡流量。工作站不經常移動,不需要經常和DHCP交互來獲取IP地址。
如果提供了訪客wifi,這些DHCP作用域將很快用完可用的IP。這些設備可能只需要臨時訪問(例如,幾個小時)。對於這些範圍,請考慮將DHCP租用時間調整為1小時。如果設備仍然處於活動狀態,它將續訂,但如果設備斷開連接,它將釋放IP地址,這將有助於您的來賓擁有足夠的可用IP。
移動設備也可能是這種情況。雖然越來越多的用戶使用筆記本電腦,但這種設備可能會很棘手。默認的8天可能足夠了,但是如果妳知道移動設備經常移動,妳可以考慮減少租用時間。
DHCP最佳實踐(1)
DHCP最佳實踐(2)
DHCP最佳實踐(3)
DHCP最佳實踐(4)