因此,我们运行单个 DHCP 服务器(在每个位置,我们有 3 个位置),为我们的员工/职员以及学生团体提供 IP 地址。我们有一个连接到核心交换机区域的交换机的单个 DHCP 服务器。
我一直在重新设计我们的网络,并研究我们在多个拥有自己的 DHCP 服务器的连接校园中遇到的 DHCP 问题,从这个问题来看,我们基本上有一个巨大的集线器,其中任何 DHCP 服务器响应都会首先给出该 IP 地址。问题是,由于 DHCP 租约,我们遇到了路由问题和一大堆其他问题。每个远程位置的 DHCP 服务器的功能只是为员工/工作人员和学生提供 IP 租约和打印机文件托管。
今年 12 月,我们将在 3 个网络中创建“孤岛”,路由将由一些 L3 交换机和实际防火墙处理。我的问题是,随着网络的这种变化,是时候摆脱束缚,为学生提供独立的 DHCP 服务器了吗?我试图在设计这一切时尽可能地考虑便利性和安全性,但考虑到我继承了一个漏洞百出的破旧系统,只有 3 名 IT 人员来完成这项工作,这简直是一场噩梦。
在阅读了 TechNet 上有关 BKM 的大量文章后,我希望从这里的每个人那里获得一些现实世界的专业知识。
答案1
详细说明一下“路由问题以及由于 DHCP 租约而导致的大量其他问题”可能有助于我们更好地了解您的出发点。中央 DHCP 服务器无法满足您的要求没有任何内在原因。
我相信我的一个客户也遇到过类似的情况。他们有一个由 5 栋大楼组成的园区,大约有 1,000 个固定有线客户端和 200 个无线客户端(其中一些在大楼之间移动)。我们使用一对中央 DHCP 服务器计算机(运行 Windows Server 2008 R2)为整个网络提供 DHCP。我对配置非常满意。
各个建筑物都有第 3 层交换机,用于执行 VLAN 内路由和建筑物间路由。建筑物内没有防火墙,但第 3 层交换机上有一些 ACL,可提供一些防火墙功能。
我依靠无线接入点 (Ruckus) 和第 2/3 层交换机 (Dell 和 Cisco) 中的功能来防止客户端用虚假请求耗尽 DHCP 范围,并识别和锁定带有恶意 DHCP 服务器的端口。如果我想要真正花哨,我可能会考虑使用DHCP 服务器上基于 MAC 地址的过滤对于敏感范围,将特定交换机端口锁定为仅已知的 MAC 地址,和/或其他更严厉的技巧。 (我们将公共 wifi 子网的 DHCP 分离到一对 ISC DHCPd 服务器,但我们这样做是因为 Microsoft 在 DHCP 是否需要 CAL 的声明上存在分歧,而不是因为任何架构问题。)
我没有在每栋建筑中为服务器计算机留出安全空间,因此从纯物理安全角度来看,在每栋建筑中放置 DHCP 服务器是不可能的。我也没有看到分布式 DHCP 服务器的任何功能优势。如果建筑间链路中断,在任何给定建筑物中使用 DHCP 都不会有帮助,因为他们无论如何都没有现场资源可以访问。拥有 5 个单点故障而不是一对中央 DHCP 服务器似乎也不是一个好主意。同样,在每栋建筑中放置 2 个 DHCP 服务器以提供建筑内冗余并将服务器数量增加到 10 个似乎会带来很多管理负担和服务器计算机硬件/软件许可费用。