DHCP最佳实践（二）

这是Windows DHCP最佳实践和技巧的最终指南。

若是您有任何最佳作法或技巧，请在下面的评论中发布它们。

在本指南（二）中，我将分享如下DHCP最佳实践和技巧。

1. 从DHCP做用域中排除IP
2. 了解PowerShell DHCP命令
3. 子网划分和网络分段的好处
4. DHCP租约期限提示

从DHCP做用域中排除IP

建立DHCP做用域时，建议不要为静态IP分配排除一小部分范围。是的，我在上一个技巧中知道我说过不使用静态分配，可是基础设施设备将须要它。

您的网络将具备一个默认路由，该默认路由将是路由器，所以您绝对但愿将其排除在DHCP池以外。您可能还会遇到其余须要静态IP的设备，所以最好将这些设备的排除的IP在DHCP池中设置一个较小范围较。例如，我看到了各类须要静态IP的警报和安全设备，所以我只提供排除范围内的IP。

这是用于工做站和笔记本电脑的数据VLAN的屏幕截图，其中排除了10.2.10.1至10.2.10.10。

了解PowerShell DHCP命令

使用DHCP控制台（dhcpmgmt.ms）并无错，可是PowerShell很棒，而且简化了许多任务。若是您的大型网络具备数百个DHCP做用域，那么使用PowerShell将节省大量时间。

这里有一些命令能够帮助您入门。

安装DHCP角色

Install-WindowsFeature -IncludeManagementTools DHCP

备用DHCP服务器

Backup-DhcpServer -ComputerName "dhcp1.ad.activedirectorypro.com" -Path "C:\Windows\system32\dhcp\backup"

查看DHCP租约

Get-DhcpServerv4Scope | Get-DhcpServerv4Lease

从MAC地址查找DHCP租约

Get-DhcpServerv4Scope |Get-DhcpServerv4Lease |where {$_.ClientId -like “b4-b6-86-b4-**-**” }

添加DHCP做用域

Add-DHCPServerv4Scope -EndRange 10.2.1.254 -Name Vlan110 -StartRange 10.2.1.1 -SubnetMask 255.255.255.0 -State Active

获取全部活动的ipv4范围

Get-DHCPServerv4Scope

获取范围的全部DHCP保留

Get-DHCPServerv4Lease -ScopeId 10.2.1.0

建立DHCP预留

Get-DhcpServerv4Lease -ComputerName dhcpserver1 -IPAddress 10.2.1.8 | Add-DhcpServerv4Reservation -ComputerName server1

这只是用PowerShell管理DHCP服务器。下面的一些连接，是使用Powershell管理其余的一些服务。

资料来源

https://docs.microsoft.com/zh-cn/powershell/module/dhcpserver/?view=win10-ps

https://4sysops.com/archives/configure-dhcp-with-powershell-in-windows-server-2012-r2-and-above/

Active Directory的PowerShell命令的大量列表

子网划分和网络分段的好处

我不会深刻探讨子网划分，由于有不少服务能够作到这一点。

可是，在配置DHCP做用域时，它有助于对网络有一些基本的了解。

您不想为全部设备只有一个大的DHCP池，而是应将设备分段到单独的网络中。这也取决于网络的大小，若是网络较小，则网络分段不是那么重要。

网络分段的好处

安全

经过将设备保持在单独的网络上，您能够更好地控制网络。您的打印机须要访问互联网吗？可能不会。财务部门的计算机是否须要直接与HR中的计算机对话，绝对不是。经过将设备分红本身的网络，您能够更好地控制它们的访问。

限制网络中的横向移动确实能够减慢攻击者和病毒的速度。在网络级别启用防火墙或访问控制列表以限制网络中的横向移动很是重要。

网络性能

将全部内容都放在一个大型网络上将建立一个巨大的广播域。这可能会致使各类问题，例如生成树循环，广播和多播风暴。对网络进行分段将分隔广播域并减小可能的性能问题。

控制访客/访客访问

您不但愿您的访客网络访问您的安全网络。将此流量分离到其本身的网络，能够过滤流量并阻止对内部网络的访问。我还将访客网络用于仅须要Internet链接的IOT类型的设备。

如下是如何细分网络流量的示例。

• 计算机= 10.2.10.0/24 VLAN 110
• 打印机= 10.2.8.0/24 VLAN 108
• 语音= 10.2.6.0/24 VLAN 106
• 视频监控= 10.2.4.0/24 VLAN 104
• 服务器= 10.2.2.0/24 VLAN 102
• 访客= 10.16.0.0/23 VLAN 116

除了进行网络分段以外，请尝试使IP方案保持简单，这确实简化了DHCP做用域的管理。

DHCP租约期限提示

DHCP租约是DHCP服务器为客户端分配IP地址的时间段。DHCP做用域的默认DHCP租用时间为8天。

提示＃1增长固定设备的租赁时间

对于小型网络，您能够将租约时间保留为默认设置8小时。

对于大型网络，请考虑将固定设备（工做站）的DHCP做用域更改成16天。这样能够减小与DHCP相关的网络流量。工做站不常常移动，所以无需为了得到IP地址而常常跟DHCP进行交互。

提示＃2减小访客/移动设备的租赁时间

若是提供来宾wifi，则这些DHCP做用域会很快耗尽可用IP。这些设备极可能只须要临时访问（例如几个小时）。对于这些范围，请考虑将DHCP租用时间调整为1小时。若是设备仍然处于活动状态，它将续订，可是若是设备断开链接，它将释放IP地址，这将有助于您的来宾有足够的可用IP。

移动设备也多是这种状况，尽管愈来愈多的用户使用笔记本电脑，但这种设备可能会很棘手。默认的8天可能就足够了，可是若是您知道移动设备常常处处移动，则能够考虑减小租赁时间。

总结：
若是您拥有仅用于特定设备（例如工做站）的DHCP做用域，请考虑调整DHCP租用时间。

本系列文档目录：

DHCP最佳实践（一）
DHCP最佳实践（二）
DHCP最佳实践（三）
DHCP最佳实践（四）

本文首发于BigYoung小站