這是Windows DHCP最佳實踐和技巧的最終指南。

如果您有任何最佳做法或技巧，請在下面的評論中發(fā)布它們。

在本指南（二）中，我將分享以下DHCP最佳實踐和技巧。

1. 從DHCP作用域中排除IP
2. 了解PowerShell DHCP命令
3. 子網(wǎng)劃分和網(wǎng)絡(luò)分段的好處
4. DHCP租約期限提示

從DHCP作用域中排除IP

創(chuàng)建DHCP作用域時，建議不要為靜態(tài)IP分配排除一小部分范圍。是的，我在上一個技巧中知道我說過不使用靜態(tài)分配，但是基礎(chǔ)設(shè)施設(shè)備將需要它。

您的網(wǎng)絡(luò)將具有一個默認路由，該默認路由將是路由器，因此您絕對希望將其排除在DHCP池之外。您可能還會遇到其他需要靜態(tài)IP的設(shè)備，因此最好將這些設(shè)備的排除的IP在DHCP池中設(shè)置一個較小范圍較。例如，我看到了各種需要靜態(tài)IP的警報和安全設(shè)備，因此我只提供排除范圍內(nèi)的IP。

這是用于工作站和筆記本電腦的數(shù)據(jù)VLAN的屏幕截圖，其中排除了10.2.10.1至10.2.10.10。

了解PowerShell DHCP命令

使用DHCP控制臺（dhcpmgmt.ms）并沒有錯，但是PowerShell很棒，并且簡化了許多任務(wù)。如果您的大型網(wǎng)絡(luò)具有數(shù)百個DHCP作用域，那么使用PowerShell將節(jié)省大量時間。

這里有一些命令可以幫助您入門。

安裝DHCP角色

Install-WindowsFeature -IncludeManagementTools DHCP

備用DHCP服務(wù)器

 Backup-DhcpServer -ComputerName "dhcp1.ad.activedirectorypro.com" -Path "C:\Windows\system32\dhcp\backup"

查看DHCP租約

Get-DhcpServerv4Scope | Get-DhcpServerv4Lease

從MAC地址查找DHCP租約

Get-DhcpServerv4Scope |Get-DhcpServerv4Lease |where {$_.ClientId -like “b4-b6-86-b4-**-**” }

添加DHCP作用域

Add-DHCPServerv4Scope -EndRange 10.2.1.254 -Name Vlan110 -StartRange 10.2.1.1 -SubnetMask 255.255.255.0 -State Active

獲取所有活動的ipv4范圍

Get-DHCPServerv4Scope

獲取范圍的所有DHCP保留

Get-DHCPServerv4Lease -ScopeId 10.2.1.0

創(chuàng)建DHCP預(yù)留

Get-DhcpServerv4Lease -ComputerName dhcpserver1 -IPAddress 10.2.1.8 | Add-DhcpServerv4Reservation -ComputerName server1

這只是用PowerShell管理DHCP服務(wù)器。下面的一些鏈接，是使用Powershell管理其他的一些服務(wù)。

資料來源

https://docs.microsoft.com/zh-cn/powershell/module/dhcpserver/?view=win10-ps

https://4sysops.com/archives/configure-dhcp-with-powershell-in-windows-server-2012-r2-and-above/

Active Directory的PowerShell命令的大量列表

子網(wǎng)劃分和網(wǎng)絡(luò)分段的好處

我不會深入探討子網(wǎng)劃分，因為有很多服務(wù)可以做到這一點。

但是，在配置DHCP作用域時，它有助于對網(wǎng)絡(luò)有一些基本的了解。

您不想為所有設(shè)備只有一個大的DHCP池，而是應(yīng)將設(shè)備分段到單獨的網(wǎng)絡(luò)中。這也取決于網(wǎng)絡(luò)的大小，如果網(wǎng)絡(luò)較小，則網(wǎng)絡(luò)分段不是那么重要。

網(wǎng)絡(luò)分段的好處

安全

通過將設(shè)備保持在單獨的網(wǎng)絡(luò)上，您可以更好地控制網(wǎng)絡(luò)。您的打印機需要訪問互聯(lián)網(wǎng)嗎？可能不會。財務(wù)部門的計算機是否需要直接與HR中的計算機對話，絕對不是。通過將設(shè)備分成自己的網(wǎng)絡(luò)，您可以更好地控制它們的訪問。

限制網(wǎng)絡(luò)中的橫向移動確實可以減慢攻擊者和病毒的速度。在網(wǎng)絡(luò)級別啟用防火墻或訪問控制列表以限制網(wǎng)絡(luò)中的橫向移動非常重要。

網(wǎng)絡(luò)性能

將所有內(nèi)容都放在一個大型網(wǎng)絡(luò)上將創(chuàng)建一個巨大的廣播域。這可能會導(dǎo)致各種問題，例如生成樹循環(huán)，廣播和多播風暴。對網(wǎng)絡(luò)進行分段將分隔廣播域并減少可能的性能問題。

控制訪客/訪客訪問

您不希望您的訪客網(wǎng)絡(luò)訪問您的安全網(wǎng)絡(luò)。將此流量分離到其自己的網(wǎng)絡(luò)，可以過濾流量并阻止對內(nèi)部網(wǎng)絡(luò)的訪問。我還將訪客網(wǎng)絡(luò)用于僅需要Internet連接的IOT類型的設(shè)備。

以下是如何細分網(wǎng)絡(luò)流量的示例。

• 計算機= 10.2.10.0/24 VLAN 110
• 打印機= 10.2.8.0/24 VLAN 108
• 語音= 10.2.6.0/24 VLAN 106
• 視頻監(jiān)控= 10.2.4.0/24 VLAN 104
• 服務(wù)器= 10.2.2.0/24 VLAN 102
• 訪客= 10.16.0.0/23 VLAN 116

除了進行網(wǎng)絡(luò)分段之外，請嘗試使IP方案保持簡單，這確實簡化了DHCP作用域的管理。

DHCP租約期限提示

DHCP租約是DHCP服務(wù)器為客戶端分配IP地址的時間段。DHCP作用域的默認DHCP租用時間為8天。

提示＃1增加固定設(shè)備的租賃時間

對于小型網(wǎng)絡(luò)，您可以將租約時間保留為默認設(shè)置8小時。

對于大型網(wǎng)絡(luò)，請考慮將固定設(shè)備（工作站）的DHCP作用域更改為16天。這樣可以減少與DHCP相關(guān)的網(wǎng)絡(luò)流量。工作站不經(jīng)常移動，因此無需為了獲得IP地址而經(jīng)常跟DHCP進行交互。

提示＃2減少訪客/移動設(shè)備的租賃時間

如果提供來賓wifi，則這些DHCP作用域會很快耗盡可用IP。這些設(shè)備很可能只需要臨時訪問（例如幾個小時）。對于這些范圍，請考慮將DHCP租用時間調(diào)整為1小時。如果設(shè)備仍然處于活動狀態(tài)，它將續(xù)訂，但是如果設(shè)備斷開連接，它將釋放IP地址，這將有助于您的來賓有足夠的可用IP。

移動設(shè)備也可能是這種情況，盡管越來越多的用戶使用筆記本電腦，但這種設(shè)備可能會很棘手。默認的8天可能就足夠了，但是如果您知道移動設(shè)備經(jīng)常到處移動，則可以考慮減少租賃時間。

總結(jié)：
如果您擁有僅用于特定設(shè)備（例如工作站）的DHCP作用域，請考慮調(diào)整DHCP租用時間。

本系列文檔目錄：

DHCP最佳實踐（一）
DHCP最佳實踐（二）
DHCP最佳實踐（三）
DHCP最佳實踐（四）

本文首發(fā)于BigYoung小站