这是Windows DHCP最佳实践和技巧的最终指南。
如果您有任何最佳做法或技巧,请在下面的评论中发布它们。
在本指南(二)中,我将分享以下DHCP最佳实践和技巧。
- 从DHCP作用域中排除IP
- 子网划分和网络分段的好处
从DHCP作用域中排除IP
创建DHCP作用域时,建议不要为静态IP分配排除一小部分范围。是的,我在上一个技巧中知道我说过不使用静态分配,但是基础设施设备将需要它。
您的网络将具有一个默认路由,该默认路由将是路由器,因此您绝对希望将其排除在DHCP池之外。您可能还会遇到其他需要静态IP的设备,因此最好将这些设备的排除的IP在DHCP池中设置一个较小范围较。例如,我看到了各种需要静态IP的警报和安全设备,因此我只提供排除范围内的IP。
子网划分和网络分段的好处
我不会深入探讨子网划分,因为有很多服务可以做到这一点。
但是,在配置DHCP作用域时,它有助于对网络有一些基本的了解。
您不想为所有设备只有一个大的DHCP池,而是应将设备分段到单独的网络中。这也取决于网络的大小,如果网络较小,则网络分段不是那么重要。
通过将设备保持在单独的网络上,您可以更好地控制网络。您的打印机需要访问互联网吗?可能不会。财务部门的计算机是否需要直接与HR中的计算机对话,绝对不是。通过将设备分成自己的网络,您可以更好地控制它们的访问。
限制网络中的横向移动确实可以减慢攻击者和病毒的速度。在网络级别启用防火墙或访问控制列表以限制网络中的横向移动非常重要。
将所有内容都放在一个大型网络上将创建一个巨大的广播域。这可能会导致各种问题,例如生成树循环,广播和多播风暴。对网络进行分段将分隔广播域并减少可能的性能问题。
您不希望您的访客网络访问您的安全网络。将此流量分离到其自己的网络,可以过滤流量并阻止对内部网络的访问。我还将访客网络用于仅需要Internet连接的IOT类型的设备。
以下是如何细分网络流量的示例。
除了进行网络分段之外,请尝试使IP方案保持简单,这确实简化了DHCP作用域的管理。
DHCP租约是DHCP服务器为客户端分配IP地址的时间段。DHCP作用域的默认DHCP租用时间为8天。
提示#1增加固定设备的租赁时间
对于小型网络,您可以将租约时间保留为默认设置8小时。
对于大型网络,请考虑将固定设备(工作站)的DHCP作用域更改为16天。这样可以减少与DHCP相关的网络流量。工作站不经常移动,因此无需为了获得IP地址而经常跟DHCP进行交互。
提示#2减少访客/移动设备的租赁时间
如果提供来宾wifi,则这些DHCP作用域会很快耗尽可用IP。这些设备很可能只需要临时访问(例如几个小时)。对于这些范围,请考虑将DHCP租用时间调整为1小时。如果设备仍然处于活动状态,它将续订,但是如果设备断开连接,它将释放IP地址,这将有助于您的来宾有足够的可用IP。
移动设备也可能是这种情况,尽管越来越多的用户使用笔记本电脑,但这种设备可能会很棘手。默认的8天可能就足够了,但是如果您知道移动设备经常到处移动,则可以考虑减少租赁时间。
DHCP最佳实践(一)
DHCP最佳实践(二)
DHCP最佳实践(三)
DHCP最佳实践(四)
以上是 的全部内容, 来源链接:
