我正在绘制一个新的网络拓扑,但不确定如何解决两个 VLAN 之间的 DHCP 问题。
- 10.50.2.0/23 将容纳我们的大多数用户、公司 WiFi、打印机等。
- 10.250.3.0/24 将容纳需要访问我们的 AWS VPN 隧道的一部分用户
我计划使用 L3 交换机在子网之间进行路由,并使用 ACL 控制哪个 VLAN 可以访问哪个 VLAN 以及在哪个方向访问(即 3/24 可以访问 2/23,但反之则不行)。
问题出在 10.50.3.0/24 网络中的 DHCP。我可以通过交换机配置 DHCP 中继,也可以为我们的 Windows 2008 R2 DHCP 服务器在该网络中提供一个 NIC。
哪种方法(如果有的话)是“正确”的?
答案1
您也可以让您的交换机成为 DHCP 服务器。
多宿主 Windows 通常不是一个好主意。除非你做得完美无缺,否则你可能会遇到奇怪的 DNS 和路由问题。
您最好使用中继代理。
答案2
我绝对倾向于使用中继代理。虽然这可能不是一个大问题,但将服务器的 NIC 接入该网络将带来更多可能的安全漏洞(或者需要付出更多努力来进一步锁定该服务器的防火墙)。
使用 DHCP 中继的另一个好处是,如果由于某种原因您需要切换 DHCP 服务器,则可以非常简单地将中继代理指向不同的 IP,而不必设置具有另一个 nic 的另一台服务器并锁定该服务器。
编辑刚刚提醒了自己这一点,如果您担心与 DHCP 相关的安全攻击,那么使用中继代理,您还可以实现 DHCP 监听。
答案3
我也同意配置 DHCP 中继代理可能是解决此问题的正确方法。除了非常特殊的用例外,通常不建议对 Windows 服务器进行多宿主配置。