這是Windows DHCP最佳實(shí)踐和技巧的最終指南。

如果您有任何最佳做法或技巧，請(qǐng)?jiān)谙旅娴脑u(píng)論中發(fā)布它們。

在本指南（二）中，我將分享以下DHCP最佳實(shí)踐和技巧。

1. 從DHCP作用域中排除IP

2. 了解PowerShell DHCP命令

3. 子網(wǎng)劃分和網(wǎng)絡(luò)分段的好處

4. DHCP租約期限提示

從DHCP作用域中排除IP

創(chuàng)建DHCP作用域時(shí)，建議不要為靜態(tài)IP分配排除一小部分范圍。是的，我在上一個(gè)技巧中知道我說(shuō)過(guò)不使用靜態(tài)分配，但是基礎(chǔ)設(shè)施設(shè)備將需要它。

您的網(wǎng)絡(luò)將具有一個(gè)默認(rèn)路由，該默認(rèn)路由將是路由器，因此您絕對(duì)希望將其排除在DHCP池之外。您可能還會(huì)遇到其他需要靜態(tài)IP的設(shè)備，因此最好將這些設(shè)備的排除的IP在DHCP池中設(shè)置一個(gè)較小范圍較。例如，我看到了各種需要靜態(tài)IP的警報(bào)和安全設(shè)備，因此我只提供排除范圍內(nèi)的IP。

這是用于工作站和筆記本電腦的數(shù)據(jù)VLAN的屏幕截圖，其中排除了10.2.10.1至10.2.10.10。

了解PowerShell DHCP命令

使用DHCP控制臺(tái)（dhcpmgmt.ms）并沒(méi)有錯(cuò)，但是PowerShell很棒，并且簡(jiǎn)化了許多任務(wù)。如果您的大型網(wǎng)絡(luò)具有數(shù)百個(gè)DHCP作用域，那么使用PowerShell將節(jié)省大量時(shí)間。

這里有一些命令可以幫助您入門(mén)。

安裝DHCP角色

Install-WindowsFeature -IncludeManagementTools DHCP

備用DHCP服務(wù)器

 Backup-DhcpServer -ComputerName "dhcp1.ad." -Path "C:\Windows\system32\dhcp\backup"

查看DHCP租約

Get-DhcpServerv4Scope | Get-DhcpServerv4Lease

從MAC地址查找DHCP租約

Get-DhcpServerv4Scope |Get-DhcpServerv4Lease |where {$_.ClientId -like “b4-b6-86-b4-**-**” }

添加DHCP作用域

Add-DHCPServerv4Scope -EndRange 10.2.1.254 -Name Vlan110 -StartRange 10.2.1.1 -SubnetMask 255.255.255.0 -State Active

獲取所有活動(dòng)的ipv4范圍

Get-DHCPServerv4Scope

獲取范圍的所有DHCP保留

Get-DHCPServerv4Lease -ScopeId 10.2.1.0

創(chuàng)建DHCP預(yù)留

Get-DhcpServerv4Lease -ComputerName dhcpserver1 -IPAddress 10.2.1.8 | Add-DhcpServerv4Reservation -ComputerName server1

這只是用PowerShell管理DHCP服務(wù)器。下面的一些鏈接，是使用Powershell管理其他的一些服務(wù)。

資料來(lái)源

https://docs.microsoft.com/zh-cn/powershell/module/dhcpserver/?view=win10-ps

https:///archives/configure-dhcp-with-powershell-in-windows-server-2012-r2-and-above/

Active Directory的PowerShell命令的大量列表

子網(wǎng)劃分和網(wǎng)絡(luò)分段的好處

我不會(huì)深入探討子網(wǎng)劃分，因?yàn)橛泻芏喾?wù)可以做到這一點(diǎn)。

但是，在配置DHCP作用域時(shí)，它有助于對(duì)網(wǎng)絡(luò)有一些基本的了解。

您不想為所有設(shè)備只有一個(gè)大的DHCP池，而是應(yīng)將設(shè)備分段到單獨(dú)的網(wǎng)絡(luò)中。這也取決于網(wǎng)絡(luò)的大小，如果網(wǎng)絡(luò)較小，則網(wǎng)絡(luò)分段不是那么重要。

網(wǎng)絡(luò)分段的好處

安全

通過(guò)將設(shè)備保持在單獨(dú)的網(wǎng)絡(luò)上，您可以更好地控制網(wǎng)絡(luò)。您的打印機(jī)需要訪(fǎng)問(wèn)互聯(lián)網(wǎng)嗎？可能不會(huì)。財(cái)務(wù)部門(mén)的計(jì)算機(jī)是否需要直接與HR中的計(jì)算機(jī)對(duì)話(huà)，絕對(duì)不是。通過(guò)將設(shè)備分成自己的網(wǎng)絡(luò)，您可以更好地控制它們的訪(fǎng)問(wèn)。

限制網(wǎng)絡(luò)中的橫向移動(dòng)確實(shí)可以減慢攻擊者和病毒的速度。在網(wǎng)絡(luò)級(jí)別啟用防火墻或訪(fǎng)問(wèn)控制列表以限制網(wǎng)絡(luò)中的橫向移動(dòng)非常重要。

網(wǎng)絡(luò)性能

將所有內(nèi)容都放在一個(gè)大型網(wǎng)絡(luò)上將創(chuàng)建一個(gè)巨大的廣播域。這可能會(huì)導(dǎo)致各種問(wèn)題，例如生成樹(shù)循環(huán)，廣播和多播風(fēng)暴。對(duì)網(wǎng)絡(luò)進(jìn)行分段將分隔廣播域并減少可能的性能問(wèn)題。

控制訪(fǎng)客/訪(fǎng)客訪(fǎng)問(wèn)

您不希望您的訪(fǎng)客網(wǎng)絡(luò)訪(fǎng)問(wèn)您的安全網(wǎng)絡(luò)。將此流量分離到其自己的網(wǎng)絡(luò)，可以過(guò)濾流量并阻止對(duì)內(nèi)部網(wǎng)絡(luò)的訪(fǎng)問(wèn)。我還將訪(fǎng)客網(wǎng)絡(luò)用于僅需要Internet連接的IOT類(lèi)型的設(shè)備。

以下是如何細(xì)分網(wǎng)絡(luò)流量的示例。

• 計(jì)算機(jī)= 10.2.10.0/24 VLAN 110

• 打印機(jī)= 10.2.8.0/24 VLAN 108

• 語(yǔ)音= 10.2.6.0/24 VLAN 106

• 視頻監(jiān)控= 10.2.4.0/24 VLAN 104

• 服務(wù)器= 10.2.2.0/24 VLAN 102

• 訪(fǎng)客= 10.16.0.0/23 VLAN 116

除了進(jìn)行網(wǎng)絡(luò)分段之外，請(qǐng)嘗試使IP方案保持簡(jiǎn)單，這確實(shí)簡(jiǎn)化了DHCP作用域的管理。

DHCP租約期限提示

DHCP租約是DHCP服務(wù)器為客戶(hù)端分配IP地址的時(shí)間段。DHCP作用域的默認(rèn)DHCP租用時(shí)間為8天。

提示＃1增加固定設(shè)備的租賃時(shí)間

對(duì)于小型網(wǎng)絡(luò)，您可以將租約時(shí)間保留為默認(rèn)設(shè)置8小時(shí)。

對(duì)于大型網(wǎng)絡(luò)，請(qǐng)考慮將固定設(shè)備（工作站）的DHCP作用域更改為16天。這樣可以減少與DHCP相關(guān)的網(wǎng)絡(luò)流量。工作站不經(jīng)常移動(dòng)，因此無(wú)需為了獲得IP地址而經(jīng)常跟DHCP進(jìn)行交互。

提示＃2減少訪(fǎng)客/移動(dòng)設(shè)備的租賃時(shí)間

如果提供來(lái)賓wifi，則這些DHCP作用域會(huì)很快耗盡可用IP。這些設(shè)備很可能只需要臨時(shí)訪(fǎng)問(wèn)（例如幾個(gè)小時(shí)）。對(duì)于這些范圍，請(qǐng)考慮將DHCP租用時(shí)間調(diào)整為1小時(shí)。如果設(shè)備仍然處于活動(dòng)狀態(tài)，它將續(xù)訂，但是如果設(shè)備斷開(kāi)連接，它將釋放IP地址，這將有助于您的來(lái)賓有足夠的可用IP。

移動(dòng)設(shè)備也可能是這種情況，盡管越來(lái)越多的用戶(hù)使用筆記本電腦，但這種設(shè)備可能會(huì)很棘手。默認(rèn)的8天可能就足夠了，但是如果您知道移動(dòng)設(shè)備經(jīng)常到處移動(dòng)，則可以考慮減少租賃時(shí)間。

總結(jié)：
如果您擁有僅用于特定設(shè)備（例如工作站）的DHCP作用域，請(qǐng)考慮調(diào)整DHCP租用時(shí)間。