۱۶ نکته برتر سرویس DHCP (بخش 5)

مهرداد میرابی

آذر 17, 1401
1:08 ب.ظ

در ادامه سری مقالات 16 پیشنهاد و نکته برتر (best practice) درباره سرویس DHCP بخش پنجم با شما به اشتراک گذاشته خواهد شد. اگر شما هم نکته و تکنیکی را تجربه کرده اید در کامنت ها به اشتراک بگذارید.

13. DHCP Relay Agents

اگر یک سرور DHCP متمرکز با چندین شبکه دارید، باید از یک عامل رله DHCP استفاده کنید.

پیام های DHCP پخش می شوند و روترها بسته های پخش را فوروارد نمی کنند. برای رفع این مشکل می‌توانید عملکرد عامل رله DHCP را روی روتر/سوئیچ خود فعال کنید تا بسته‌های پخش DHCP به دستگاه دسترسی پیدا کنند.

شما باید داکیومنت روتر خود را برای دستورات فعال کردن عامل رله بررسی کنید.

منابع :

Cisco Configyure DHCP Relay Agent

HP Configure DHCP Relay

14. از سرورهای DHCP سرکش جلوگیری کنید

آیا تا به حال برای شما پیش آمده است که کاربر یا فردی در بخش فناوری اطلاعات خود یک سوئیچ/روتر را به پورت موجود روی دیوار وصل کند؟ سپس تلفن Helpdesk شروع به انفجار می کند زیرا کاربران نمی توانند به اینترنت یا منابع دیگر متصل شوند.

سرورهای DHCP سرکش یک سردرد هستند. علاوه بر این، آنها می توانند یک خطر امنیتی باشند و برای حملات مختلف استفاده شوند.

بهترین راه برای مسدود کردن سرورهای DHCP سرکش، سوئیچ شبکه است. این را می توان با گزینه ای به نام DHCP snooping یا دسترسی به شبکه مبتنی بر پورت 802.1x انجام داد.

DHCP Snooping

DHCP snooping یک ویژگی سوئیچ لایه 2 است که سرورهای DHCP غیرمجاز (سرکش) را از ارسال آدرس های IP به دستگاه ها مسدود می کند.

DHCP با دسته بندی سوئیچ پورت ها به عنوان پورت های قابل اعتماد یا غیر قابل اعتماد کار می کند. یک پورت قابل اعتماد به پیام های DHCP اجازه می دهد و یک پورت نامعتبر پیام های DHCP را مسدود می کند.

شما می‌خواهید دستگاه‌های خود (رایانه‌ها، چاپگرها، تلفن‌ها) روی یک پورت غیرقابل اعتماد باشند، بنابراین یک سرور DHCP سرکش نمی‌تواند به آن وصل شود.

802.1x port based network access

802.1x یک استاندارد IEEE برای کنترل دسترسی شبکه مبتنی بر پورت است. این مکانیزمی است که می‌تواند دستگاه‌ها را قبل از دسترسی به شبکه، احراز هویت کنند.

این نه تنها برای سرورهای سرکش DHCP بلکه برای کنترل دسترسی شبکه به هر چیزی خوب است.

802.1x معمولاً در سطح سوئیچ پیکربندی می‌شود و به مشتری و سرور احراز هویت نیاز دارد.

15. پشتیبان گیری از سرور DHCP

سرورهای DHCP شما برای ارائه تنظیمات IP به مشتریان شما حیاتی هستند. در صورت خرابی سیستم باید در اسرع وقت این سرور را بازیابی کنید.

آیا می دانید به طور پیش فرض، ویندوز از پیکربندی DHCP هر 60 دقیقه یک بار در این پوشه %SystemRoot%System32\DHCP\backup نسخه پشتیبان تهیه می کند.

این عالی است، اما اگر سرور از کار بیفتد و نتوانید به پوشه دسترسی پیدا کنید، برای شما مفید نیست.

اگر هیچ نسخه خارج از سایتی ندارید، باید پوشه پشتیبان را در یک برنامه منظم در مکان دیگری کپی کنید.

این را می توان با اسکریپتی انجام داد که پوشه را در مکان دیگری کپی می کند یا از PowerShell برای تعیین یک مکان راه دور استفاده می کند.

Backup-DhcpServer -ComputerName “DC01” -Path “C:\DHCPBackup”

در مقاله من می توانید در این مورد بیشتر بخوانید Backup and Restore Windows DHCP Server

16. فیلتر کردن آدرس DHCP MAC

ویژگی فیلتر کردن آدرس DHCP MAC به شما اجازه می دهد تا آدرس IP را بر اساس آدرس های MAC مسدود یا اجازه دهید.

اگر می‌خواهید یک دامنه DHCP آدرس‌های IP را برای لیستی صریح از دستگاه‌ها ارائه دهد، مفید است. همچنین اگر دستگاه های ناخواسته ای در VLAN دارید که آدرس IP دریافت می کنند مفید است.

به عنوان مثال، شما کاربرانی دارید که دستگاه های BYOD را روی VLAN امن شما قرار می دهند. می توانید این دستگاه ها را به فیلتر انکار اضافه کنید. فیلتر DHCP MAC یک راه سریع و ساده برای کنترل دسترسی به شبکه است. اگر زمان و منابع دارید، گزینه بهتر استفاده از 802.1x است.

نتیجه گیری

من سال ها از این نکات هنگام مدیریت سرورهای DHCP استفاده می کنم. هنگامی که به درستی پیکربندی شود، DHCP می تواند یک سرور تنظیم و فراموش شود که مشکلی کم یا بدون مشکل دارد. امیدوارم این نکات برای شما مفید باشد و لطفاً هر نکته یا بهترین روش DHCP را در نظرات زیر ارسال کنید.

Reference : Top 16 DHCP Best Practices: The Ultimate Guide