Таким образом, мы запускаем отдельные DHCP-серверы (в каждом месте у нас есть 3 местоположения), которые обслуживают IP-адреса наших сотрудников / сотрудников, а также наших студентов. У нас есть один DHCP-сервер, который подключается к нашим коммутаторам в области основного коммутатора.
Поскольку я перепроектировал нашу сеть и изучал проблемы DHCP, которые у нас были в нескольких подключенных кампусах с их собственными DHCP-серверами, в основном на этот вопрос у нас есть гигантский концентратор, в котором любой DHCP-сервер, отвечающий первым, выдает этот IP-адрес. адрес. Проблема в том, что из-за аренды DHCP мы получаем проблемы с маршрутизацией и ужасный беспорядок из других проблем. Функции DHCP-серверов в каждом удаленном месте - это просто аренда IP-адреса и хостинг файлов принтера как для сотрудников / сотрудников, так и для студентов.
В декабре этого года мы создаем «острова» в трех сетях, а маршрутизация будет осуществляться некоторыми коммутаторами L3 и настоящими межсетевыми экранами. У меня вопрос в связи с этим изменением в сети, не пора ли освободиться и иметь независимые DHCP-серверы для студентов? Я пытаюсь разработать все это с учетом максимального удобства и безопасности, что является кошмаром, учитывая, что я унаследовал сломанную систему с огромными зияющими дырами, которые выполняли только 3 ИТ-специалиста.
Прочитав целую кучу статей о BKM из TechNet, я захотел получить от каждого присутствующего реальный опыт.
Некоторое уточнение того, что вы подразумеваете под «проблемами маршрутизации и ужасным беспорядком из других проблем из-за аренды DHCP», может помочь нам лучше понять, откуда вы пришли. Нет никаких причин, по которым центральный DHCP-сервер не может делать то, что вы хотите.
Думаю, у меня похожая ситуация с вашей у одного из Заказчиков. У них есть кампус из 5 зданий с примерно 1000 фиксированными проводными клиентами и 200 беспроводными клиентами (некоторые из которых перемещаются между зданиями). Мы используем пару компьютеров с центральным DHCP-сервером (под управлением Windows Server 2008 R2) для предоставления DHCP для всей сети. Я вполне доволен конфигурацией.
В отдельных зданиях есть коммутаторы уровня 3, которые выполняют маршрутизацию внутри VLAN и между зданиями. В зданиях нет брандмауэров, но есть некоторые списки ACL на коммутаторах уровня 3, которые обеспечивают некоторые функции брандмауэра.
Я полагаюсь на функции в своих точках беспроводного доступа (Ruckus) и коммутаторах уровня 2/3 (Dell и Cisco), чтобы не допустить, чтобы клиенты исчерпывали области DHCP поддельными запросами, а также для идентификации и блокировки портов с помощью мошеннических серверов DHCP. Если бы я хотел по-настоящему фантазировать, я бы подумал об использовании Фильтрация на основе MAC-адресов на DHCP-серверах для чувствительных областей, блокировка определенных портов коммутатора только известными MAC-адресами и / или другие уловки, чтобы быть более драконовскими. (Мы разделяем DHCP для общедоступных подсетей Wi-Fi на пару серверов DHCPd ISC, но мы делаем это из-за расхождений в заявлениях Microsoft о том, требуется ли клиентская лицензия для DHCP, а не из-за каких-либо архитектурных проблем. .)
У меня нет безопасного места для серверных компьютеров в каждом здании, поэтому размещение DHCP-серверов в каждом здании было невозможно с точки зрения чистой физической безопасности. Я также не видел никаких функциональных преимуществ в распределении DHCP-серверов. Если ссылки между зданиями не работают, наличие DHCP в каком-либо конкретном здании не поможет, потому что в любом случае у них нет внутренних ресурсов для доступа. Наличие 5 отдельных точек отказа вместо пары центральных DHCP-серверов также казалось плохой идеей. Точно так же размещение 2 DHCP-серверов в каждом здании для обеспечения избыточности внутри здания и увеличение количества серверов до 10 казалось созданием большой административной нагрузки и расходов на лицензирование аппаратного / программного обеспечения сервера.