Mejores prácticas de DHCP(2)
Si tiene alguna práctica recomendada o sugerencia, publíquela en los comentarios a continuación.
En esta guía (2), compartiré las siguientes mejores prácticas y técnicas de DHCP.
Al crear un alcance DHCP, no se recomienda excluir pequeños rangos de asignaciones de IP estáticas. Sí, sé que en última instancia dije que no se utilizara la asignación estática, pero el equipo de infraestructura lo requerirá.
Su red tendrá una ruta predeterminada, que será un enrutador, por lo que definitivamente querrá excluirla del grupo de direcciones DHCP. Es posible que encuentre otros dispositivos que requieran IP estáticas, por lo que es una buena idea configurar las IP excluidas para estos dispositivos en un rango más pequeño en el grupo DHCP. Por ejemplo, he visto varias alarmas y equipos de seguridad que requieren IP estáticas, por lo que solo proporciono IP dentro del rango de exclusión.
Esta es una captura de pantalla de los datos utilizados por VLAN para estaciones de trabajo y portátiles, excluyendo 10.2.10.1 a 10.2.10.
No hay nada de malo en usar la consola DHCP (dhcpmgmt.ms), pero PowerShell es excelente y simplifica muchas tareas. Si tiene una red grande con cientos de alcances DHCP, usar PowerShell le ahorrará mucho tiempo.
Aquí hay algunos comandos para comenzar.
Esto es solo usar PowerShell para administrar el servidor DHCP. Los siguientes enlaces tratan sobre el uso de Powershell para administrar otros servicios.
/powershell/module/dhcpserver/? view=win10-ps
/archives/configure-DHCP-with-powershell-in-windows-server-2012-R2-and above/
Gran escala de comandos de PowerShell en Active Lista de directorio.
No entraré en detalles sobre la división en subredes porque hay muchos servicios que pueden hacerlo.
Sin embargo, al configurar alcances DHCP, es útil tener algunos conocimientos básicos de redes.
No desea tener un solo grupo de direcciones DHCP grande para todos los dispositivos, sino que debe agrupar los dispositivos en diferentes redes. Esto también depende del tamaño de la red. Si la red es pequeña, la segmentación de la red es menos importante.
Al colocar tus dispositivos en una red separada, tienes más control sobre tu red. ¿Su impresora necesita acceso a Internet? Probablemente no. ¿La computadora del departamento de finanzas necesita comunicarse directamente con la computadora de Recursos Humanos? Absolutamente no. Al agrupar dispositivos en sus propias redes, puede controlar mejor su acceso.
Limitar el movimiento lateral en su red realmente puede ralentizar a los atacantes y a los virus. Es importante habilitar firewalls o listas de control de acceso a nivel de red para limitar el movimiento lateral en la red.
Poner todo en una red grande crea un dominio de difusión enorme. Esto puede causar varios problemas, como bucles de árbol de expansión, tormentas de difusión y multidifusión. La segmentación de su red separa los dominios de transmisión y reduce posibles problemas de rendimiento.
No desea que su red de invitados tenga acceso a su red segura. Separar este tráfico de su propia red permite filtrar el tráfico y bloquear el acceso a la red interna. También utilizo una red de invitados para dispositivos tipo IOT que solo requieren conexión a Internet.
El siguiente es un ejemplo de cómo segmentar el tráfico de red.
Además de la segmentación de la red, intente mantener el esquema de IP simple para simplificar verdaderamente la administración de los alcances DHCP.
Una concesión DHCP es el período de tiempo durante el cual el servidor DHCP asigna una dirección IP a un cliente. El tiempo de concesión de DHCP predeterminado para un ámbito DHCP es de 8 días.
Para redes pequeñas, puede dejar el tiempo de concesión en la configuración predeterminada de 8 horas.
Para redes grandes, considere cambiar el alcance de DHCP para dispositivos fijos (estaciones de trabajo) a 16 días. Esto puede reducir el tráfico de red relacionado con DHCP. La estación de trabajo no se mueve con frecuencia y no necesita interactuar con DHCP con frecuencia para obtener una dirección IP.
Si se proporciona wifi para invitados, estos ámbitos DHCP se quedarán rápidamente sin IP disponibles. Es posible que estos dispositivos solo requieran acceso temporal (por ejemplo, durante unas horas). Para estos rangos, considere ajustar el tiempo de concesión de DHCP a 1 hora. Si el dispositivo aún está activo, se renovará, pero si se desconecta, liberará la dirección IP, lo que ayudará a sus invitados a tener suficientes IP disponibles.
Este también puede ser el caso de los dispositivos móviles. Si bien cada vez más usuarios utilizan computadoras portátiles, los dispositivos pueden resultar complicados. Los 8 días predeterminados pueden ser suficientes, pero si sabes que el dispositivo móvil se moverá con frecuencia, puedes considerar reducir el tiempo de alquiler.
Prácticas recomendadas de DHCP (1)
Prácticas recomendadas de DHCP (2)
Prácticas recomendadas de DHCP (3)
Prácticas recomendadas de DHCP ( 4)