Windows DHCP最佳实践（四）

这是Windows DHCP最佳实践和技巧的最终指南。

若是您有任何最佳作法或技巧，请在下面的评论中发布它们。

在本指南（四）中，我将分享如下DHCP最佳实践和技巧。

1. 使用DHCP中继代理
2. 防止恶意DHCP服务器
3. 备用DHCP服务器
4. DHCP MAC地址过滤
5. 结论

DHCP中继代理

若是您有一个具备多个网络的集中式DHCP服务器，则须要使用DHCP中继代理。

广播DHCP消息，路由器不转发广播数据包。要解决此问题，您能够在路由器/交换机上启用DHCP中继代理功能，以容许DHCP广播数据包到达设备。

您将须要查看路由器文档，以获取启用中继代理的命令。

资料来源

思科配置DHCP中继代理

HP配置DHCP中继

防止恶意DHCP服务器

您是否曾经有用户或IT部门中的某人将交换机/路由器插入墙上的可用端口？而后，致使用户没法链接到Internet或其余资源，Helpdesk电话开始爆炸？

流氓DHCP服务器使人头疼。此外，它们可能会带来安全隐患，而且会被用于各类攻击。

阻止恶意DHCP服务器的最佳方法是在网络交换机上，能够经过称为DHCP侦听或基于802.1x端口的网络访问选项来完成。

DHCP监听

DHCP侦听是第2层交换功能，可阻止未经受权的（恶意）DHCP服务器向设备分配IP地址。

DHCP经过将交换端口分类为受信任或不受信任的端口来工做。可信端口容许DHCP消息，非可信端口阻止DHCP消息。

您但愿设备（计算机，打印机，电话）位于不受信任的端口上，以便没法插入恶意DHCP服务器。

基于802.1x端口的网络访问

802.1x是用于基于端口的网络访问控制的IEEE标准。它是一种机制，要求设备在提供网络访问权限以前先进行身份验证。

这不只对流氓DHCP服务器有利，并且对控制对任何设备的网络访问也有好处。

802.1x一般在交换机级别配置，而且须要客户端和身份验证服务器。

备用DHCP服务器

DHCP服务器对于向客户端提供IP设置相当重要。若是系统崩溃，则须要尽快恢复该服务器。

您是否知道默认状况下，Windows将每60分钟将DHCP配置备份到此文件夹%SystemRoot%System32\DHCP\backup

可是若是服务器崩溃而且您没法访问该文件夹，那对您没有好处。

若是没有任何异地备份，则须要按期将备份文件夹复制到另外一个位置。

这能够经过将文件夹复制到另外一个位置或使用PowerShell指定远程位置的脚原本完成。

Backup-DhcpServer -ComputerName “DC01” -Path “C:\DHCPBackup”

您能够在个人文章“备份和还原Windows DHCP服务器”中了解更多信息。

DHCP MAC地址过滤

DHCP MAC地址过滤功能使您能够基于MAC地址来阻止或容许IP地址分配。

若是要让DHCP做用域为明确的设备列表提供IP地址，这将颇有用。若是VLAN上有不须要的设备获取IP地址，这也颇有用。

例如，您有用户将BYOD设备放在您的安全VLAN上。您能够将这些设备添加到拒绝过滤器中。DHCP MAC过滤是一种控制网络访问的快速简便的方法。若是有时间和资源，最好的选择是使用802.1x。

结论

在管理DHCP服务器时，我多年来一直在使用这些技巧。若是可以正确配置，而且正确设置了DHCP服务器，这几乎不会出现问题。我但愿这些技巧有用，请在下面的评论中发布您拥有的任何DHCP技巧或最佳实践。

本系列文档目录：

DHCP最佳实践（一）

DHCP最佳实践（二）

DHCP最佳实践（三）

DHCP最佳实践（四）

本文首发于 BigYoung小站