因此,我们运行单个DHCP服务器(在每个位置,我们有3个位置),为我们的员工和员工以及我们的学生机构提供IP地址。 我们有一个DHCP服务器连接到我们的核心交换机区域的交换机。
由于我一直在重新devise我们的networking,并一直在研究DHCP问题,我们已经通过自己的DHCP服务器连接了多个连接的校园,所以基本上这个问题有一个巨大的中心,无论DHCP服务器首先响应哪个IP地址。 问题是,由于DHCP租约,我们正在路由问题以及其他问题的混乱。 每个远程位置的DHCP服务器的function仅仅是为了员工和学生的IP租用和打印机文件托pipe。
今年十二月,我们在这三个networking中创build“岛屿”,路由将由一些L3交换机和实际的防火墙来处理。 我的问题是在networking中的这种变化,是时候打破自由,并为学生提供独立的DHCP服务器? 我试图用尽可能多的便利性和安全性来devise所有这些,这是一场噩梦,考虑到我inheritance了一个破坏性的系统,只有3个IT人员去完成这个工作。
从TechNet阅读了BKM的大量文章之后,我想从这里的每个人那里获得一些真实世界的专业知识。
一些关于“路由问题”以及由于DHCP租约而引起的其他问题的混乱的说法,可能会帮助我们更好地了解您来自哪里。 中央DHCP服务器不能做你想做的事情没有内在原因。
我相信我在一个顾客身上也有类似的情况。 他们拥有5座build筑的校园,大约有1000个固定有线客户端和200个无线客户端(其中一些在build筑物之间移动)。 我们使用一对中央DHCP服务器计算机(运行Windows Server 2008 R2)为整个networking提供DHCP。 我对configuration很满意。
各个build筑物都具有执行VLAN内路由和build筑物间路由的第3层交换机。 build筑物中没有防火墙,但在第3层交换机上有一些ACL提供一些防火墙function。
我依靠无线接入点(Ruckus)和2/3层交换机(Dell和Cisco)中的function来防止客户端通过虚假请求耗尽DHCP范围,并识别和locking带有恶意DHCP服务器的端口。 如果我想变得很花哨,我可能会考虑在敏感示波器的DHCP服务器上使用基于MAC地址的过滤 ,将特定的交换机端口locking到只有已知的MAC地址,和/或其他技巧更严格。 (我们将公共WiFi子网的DHCP拆分为一对ISC DHCPd服务器,但是我们这样做是因为与微软存在差异,有关DHCP是否需要CAL的说法,而不是因为任何架构问题。)
我没有在每个build筑物中为服务器计算机设置安全空间,因此从纯粹的物理安全angular度来看,将DHCP服务器放在每个build筑物中是不可能的。 我没有看到分布式DHCP服务器的function优势。 如果build筑物间的连接closures了,那么在任何build筑物中DHCP都不会帮助,因为他们没有任何现场资源可以访问。 有5个单点故障,而不是中央DHCP服务器对也似乎是一个坏主意。 同样地,将2台DHCP服务器放入每个build筑物中,以提供build筑内冗余并将服务器数量增加到10个,似乎造成了许多pipe理负担和服务器计算机硬件/软件许可费用。