Таблица плюсы и минусы ип и ооо в 2019 году: ИП или ООО: отличия, плюсы и минусы

IP-камер по сравнению с HD по коаксиальному кабелю 2019–2020

Сравнительный справочник на 2019–2020 годы

Множество сравнений « IP-камер по сравнению с HD по коаксиальному кабелю », которые вы видите в Интернете, более или менее влияют на то, какие технологии когда-либо продавала компания, что опубликовано статья. Некоторые из них могли быть точными на момент их написания, но сегодня могут ввести в заблуждение людей, ищущих информацию сегодня.

Возможно, вы слышали, что Коаксиальный кабель используется только для старых аналоговых видеотехнологий, а Ethernet или IP — единственный способ обновить или установить новую видеосистему. Но все игнорируют или забывают возможности коаксиального кабеля, который идет к вашему дому и обеспечивает более 300 HD-каналов И высокоскоростной интернет! Если старые коаксиальные кабели могут это сделать, почему это плохо для видеосистемы с камерой? Сам по себе коаксиальный кабель может быть старым, но технология, которая к нему подключается, так же современна, как и любая система на основе IP.

Внедрение новых технологий HD по коаксиальному кабелю За последние 5 лет мы столкнулись со многими новыми технологиями и альтернативами, которые делают качество видео по коаксиальному кабелю таким же хорошим, как у вашей стандартной камеры Ethernet/IP. Есть много плюсов и минусов в использовании обоих, давайте рассмотрим информацию, чтобы вы могли выбрать то, что лучше для вас.

Что такое IP-камеры?

IP-камеры также известны как Ethernet-камеры или сетевые камеры. Это очень универсальные камеры, которые используют вашу существующую сеть для кодирования/сжатия видео и отправки информации по сети на так называемый сетевой видеорегистратор (NVR) для сохранения. Они доступны с множеством опций, так как их можно установить с помощью проводного кабеля cat5e/cat6 или подключить через сигнал WIFI для беспроводной передачи. IP-камеры часто предлагают впечатляющие высокие разрешения, такие как 4K или даже 360-градусные камеры с разрешением 16 мегапикселей.

• Сетевые/IP-камеры: Кодирует/сжимает видеоданные и отправляет их по сети на сетевой видеорегистратор.
  • Предлагает самую высокую производительность в мегапикселях, доступную на рынке.
  • Одна камера с очень высоким разрешением может заменить несколько камер с более низким разрешением.
  • Небольшие установки WIFI/Wireless могут быть завершены всего за несколько минут
  • Требуются некоторые знания в области ИТ.
  • Лучше всего использовать с кабелем Ethernet Cat5e или Cat6.

IP-камеры также имеют функцию Power-over-Ethernet (POE), которая позволяет передавать питание/видео и данные по одному кабелю Ethernet, что упрощает монтаж проводов, поскольку вам не нужно возиться с традиционной камерой Источники питания.

Что такое

HD через коаксиальные камеры?

В отличие от большинства IP-камер, HD по коаксиальному кабелю поддерживает множество различных доступных технологий. Есть 2 основные категории, которые следует помнить, думая о HD по коаксиальному кабелю:

• Аналоговый HD : аналоговые технологии высокой четкости, такие как HD-TVI, HD-CVI и AHD.
  • Чаще всего они используются как недорогой и простой способ модернизации существующей установки, в которой используются старые аналоговые камеры. Вы используете тот же коаксиальный кабель, ту же мощность и можете перейти на разрешение 1080p или 4K без замены проводов.
  • Лучше всего использовать с коаксиальным кабелем RG59 или RG6.
• Цифровой HD : цифровой HD более высокого качества по коаксиальному кабелю, известный как HD-SDI, 3G-SDI и EX-SDI.
  • Это высококачественные несжатые сигналы реального времени для наилучшего качества видео, стандарт, взятый непосредственно из телевизионного вещания. Когда несжатое качество наиболее важно, это лучшее, что есть.
  • Этот тип сигнала лучше всего подходит, когда вам нужно самое чистое видеоизображение для идентификации или обработки изображения без артефактов сжатия, поскольку у вас есть возможность получить необработанное изображение с камеры перед сжатием. (в основном любые быстро движущиеся приложения, где артефакты сжатия могут быть проблемой).
  • Лучше всего использовать с коаксиальным кабелем RG6.

Эти новейшие технологии также обеспечивают разрешение 4K, но видео передается с камеры по коаксиальному кабелю на цифровой видеорегистратор (DVR), очень похожий на IP-камеры и NVR.

Вот сравнительная таблица плюсов и минусов (я знаю, что длинновато, извините)

16 лучших рекомендаций DHCP: полное руководство

Это полное руководство по передовым практикам и советам Windows DHCP.

Если у вас есть какие-либо рекомендации или советы, поделитесь ими в комментариях ниже.

В этом руководстве я поделюсь следующими рекомендациями и советами по DHCP .

Содержание:

1. Не устанавливайте DHCP на контроллере домена
2. Использовать отказоустойчивость DHCP
3. Центральный и распределенный сервер DHCP
4. Избегайте назначения статических IP-адресов и используйте резервирование DHCP
5. Исключить IP-адреса из области DHCP
6. Изучение команд DHCP PowerShell
7. Подсети и преимущества сегментации сети
8. Советы по продолжительности аренды DHCP
9. Использовать обнаружение конфликтов IP только тогда, когда это необходимо
10. Запустить анализатор рекомендаций DHCP
11. Документируйте IP-адреса или используйте IPAM
12. Установка параметров DHCP-сервера
13. Использовать агенты DHCP-ретрансляции
14. Предотвращение мошеннических серверов DHCP
15. Резервный сервер DHCP
16. Фильтрация MAC-адресов DHCP

Не размещайте DHCP на контроллере домена

Общая рекомендация — не запускать какие-либо дополнительные роли на контроллере домена, кроме DNS. Ваш контроллер домена должен быть контроллером домена/DNS, и все. Небольшие организации обычно устанавливают дополнительные роли и стороннее программное обеспечение на свои контроллеры домена. Рекомендуется избегать этого, если можете.

В чем проблема?

Установка дополнительных служб на контроллер домена увеличивает поверхность атаки, затрудняет управление и может привести к проблемам с производительностью.

Выпуск №1. Управление контроллером домена с несколькими ролями

Контроллерами домена с несколькими установленными ролями трудно управлять. Это часто может приводить к нестабильности и перебоям в обслуживании.

Например, у вас возникли проблемы с DHCP или вы установили исправление безопасности, требующее перезагрузки. Перезагрузка сервера с ролью доменных служб Active Directory может привести к серьезным сбоям в работе вашей организации. Это может повлиять на аутентификацию, репликацию, групповую политику и DNS. Ваши пользователи не смогут получить доступ к чему-либо, если DNS не работает.

Если у вас несколько контроллеров домена и они правильно настроены, этих проблем можно избежать, но зачем рисковать?

Если DHCP был установлен на собственном сервере, вы можете перезагрузить сервер DCHP, не беспокоясь о том, что это повлияет на службы на контроллере домена.

Выпуск №2. Безопасность

1. Чем больше программного обеспечения/сервисов вы устанавливаете, тем выше ваша устойчивость к атакам. Если на контроллере домена установлен DHCP и в службе DHCP обнаружена новая уязвимость, ваш сервер контроллера домена теперь находится под угрозой.
2. У вас есть гостевой Wi-Fi? Как вы относитесь к подключению этих неуправляемых устройств к вашему серверу DHCP/DC? Я не сторонник использования внутреннего DHCP-сервера для предоставления общедоступных IP-адресов. Затем добавить, что эти общедоступные устройства также подключаются к контроллеру домена…. да, у меня сработала охранная сигнализация.
3. Когда DHCP установлен на контроллере домена, служба DHCP наследует разрешения безопасности учетной записи компьютера DC. Это нарушает принцип наименьших привилегий. Теперь ваш DHCP-сервер работает с привилегиями, которые ему не нужны для выполнения задачи, для которой он был разработан. Да, это можно исправить, но зачем добавлять этот риск.

Установка DHCP на собственном рядовом сервере уменьшит поверхность атаки вашего контроллера домена.

Выпуск №3. Производительность

Как правило, DHCP-серверы работают очень эффективно и не требуют большого количества системных ресурсов, таких как ЦП или память.

Но…

Допустим, вы только что узнали о новой опции DHCP, такой как обнаружение конфликтов, и включили ее для всех областей.

О-о… Теперь загрузка ЦП стремительно растет, а службы домена работают медленно, пользователи не могут войти в систему, а запросы DNS мучительно медленны.

Возможно, вы устанавливаете IPAM для отслеживания доступных IP-адресов, и он занимает процессор и память… опять же, отнимая ресурсы у служб домена.

Я мог бы продолжать и продолжать… Дело в том, что чем больше программного обеспечения/служб вы устанавливаете на свой контроллер домена, тем больше это может повлиять на производительность и привести к перебоям в работе служб.

Сводка
Контроллер домена — одна из наиболее важных служб в среде домена Windows, это ваше детище, и он заслуживает своего места на сервере. Контроллер домена — это контроллер домена, контроллер домена — это контроллер домена. Ничего больше.

Use DHCP Failover

DHCP Failover — это функция, обеспечивающая высокую доступность DHCP-сервера. При аварийном переключении DHCP два DHCP-сервера совместно используют информацию DHCP, так что в случае выхода из строя одного другой сервер все еще может предоставлять DHCP-аренду клиентам.

Опция аварийного переключения DHCP встроена в операционную систему сервера Windows. На рисунке ниже показана настройка двух DHCP-серверов, настроенных с режимом сбоя балансировки нагрузки. Если один сервер выходит из строя, другой сервер остается активным и принимает на себя все запросы DCHP.

Существует два варианта схемы аварийного переключения:

Схема горячего резерва

При использовании режима горячего резерва один сервер является активным, а другой — резервным. Активный сервер является основным сервером и обрабатывает все запросы DHCP. Если активный сервер выходит из строя, резервный сервер берет на себя запросы DHCP.

Этот параметр обычно используется, когда резервный блок физически находится в другом месте, чем активный.

Расчет балансировки нагрузки

В режиме балансировки нагрузки оба сервера работают в режиме «активный-активный» для обработки запросов DHCP. Запросы распределяются по нагрузке и распределяются между двумя DHCP-серверами. Если один из серверов потеряет связь со своим аварийным партнером, он начнет предоставлять аренду всем DHCP-клиентам.

Сводка
Вам нужно будет определить, какая схема аварийного переключения лучше всего подходит для вашей среды. Это бесплатная встроенная опция, поэтому воспользуйтесь ею и сделайте свои DHCP-серверы отказоустойчивыми.

Источники :

• Отказоустойчивая архитектура DHCP

Центральный и распределенный сервер DHCP

У вас большая сеть с филиалами в разных местах?

Вопрос в том, устанавливаете ли вы DHCP-сервер в этих филиалах или у них есть туннель обратно к централизованному DHCP-серверу?

Централизованный DHCP-сервер

Централизованный DHCP-сервер размещается в централизованном месте, к которому удаленные офисы подключаются для DHCP. Обычно он располагается в одном из основных центров обработки данных. В этой схеме нет локальных DHCP-серверов, все запросы возвращаются на централизованный сервер.

Распределенный сервер DHCP

В модели распределенного DHCP серверы DHCP находятся в локальном филиале. В этой модели клиенты получают IP-адреса от локального DHCP-сервера.

Какой вариант лучше?

На это можно ответить одним простым вопросом?

Может ли филиал работать полностью сам по себе без обратной связи с центром обработки данных? Если да, то имеет смысл иметь локальный сервер DHCP и DNS.

Если филиал туннелирует обратно в центр обработки данных для Интернета, Active Directory, DNS и т. д., тогда нет смысла устанавливать DHCP локально.

Я работаю в компании, у которой есть офисы по всему штату, и я использую централизованную модель DHCP. У нас есть надежные быстрые соединения, поэтому нам имеет смысл использовать централизованный DHCP-сервер.

Следует учитывать, сколько сотрудников работает в филиале. Если у вас очень большой филиал с тысячами сотрудников, вам могут помочь локальные ресурсы, такие как Active Directory, DNS и DHCP. Это будет большой трафик, проходящий по каналу WAN, и если канал выйдет из строя, все эти сотрудники будут переведены в автономный режим.

Резюме
На выбор между централизованным или распределенным DHCP часто можно ответить следующим вопросом: «Может ли филиал работать без обратного подключения к центру обработки данных. Размер удаленного офиса и скорость обратного соединения с центром обработки данных также могут иметь значение.

Источники :

• Топологии многосайтового развертывания для DHCP Failover
• Распределенный и централизованный DHCP

Назначать статические IP-адреса компьютерам, принтерам, телефонам или любым другим устройствам конечного пользователя очень сложно.

Вот что происходит, когда вы статистически назначаете IP-адрес.

1. Служба поддержки заменяет устройство, не знающее статический IP-адрес
2. Теперь устройство потеряло связь полностью или частично
3. Служба поддержки отправляет запросы сетевой команде для устранения проблемы
4. Сетевая команда отправляет заявку обратно в службу поддержки со статическим IP-адресом
.
5. Служба поддержки теперь должна подойти к устройству и назначить IP-адрес

Я много раз оказывался в подобной ситуации, и, как я уже сказал, это мучительно. Чтобы избежать всего этого, просто используйте резервирование DHCP вместо статических назначений IP.

Для всего, что требует фиксированного IP-адреса, я использую резервирование DHCP. Единственным исключением являются инфраструктурные устройства, такие как маршрутизаторы и коммутаторы, которые получают статические IP-адреса.

Снимок экрана резервирования DHCP для принтеров.

С резервированием DHCP все, что вам нужно сделать, это обновить MAC-адрес при замене устройств, и IP-адрес автоматически назначается обратно устройству.

Он также обеспечивает быстрый просмотр всего, что было назначено IP, вместо того, чтобы вручную отслеживать все в электронной таблице.

Исключить IP-адреса из области DHCP

При создании области DHCP я рекомендую исключить небольшой диапазон для статических назначений IP-адресов. Да, я знаю, что в предыдущем совете я говорил, что не используйте статические назначения, но они понадобятся вам для инфраструктурного оборудования.

В ваших сетях будет маршрут по умолчанию, который будет маршрутизатором, поэтому вы определенно хотите исключить его из пула DHCP. Вы также можете столкнуться с другим оборудованием, которому требуется статический IP-адрес, поэтому хорошо иметь небольшой диапазон IP-адресов, исключенных из пула DHCP для этих устройств. Например, я видел различные устройства сигнализации и безопасности, которым нужен статический IP-адрес, поэтому я просто предоставляю IP-адрес из диапазона исключения.

Вот снимок экрана VLAN для передачи данных, используемой для рабочих станций и ноутбуков, за исключением 10. 2.10.1–10.2.10.10.

Изучите команды DHCP PowerShell

Нет ничего плохого в использовании консоли DHCP (dhcpmgmt.ms), но PowerShell великолепен и упрощает многие задачи. Если у вас большая сеть с сотнями областей DHCP, то использование PowerShell поможет вам сэкономить огромное количество времени.

Вот несколько команд, которые помогут вам начать работу.

Установить роль DHCP

 Install-WindowsFeature -IncludeManagementTools DHCP 

Backup DHCP Server

 Backup-DhcpServer -ComputerName "dhcp1.ad.activedirectorypro.com" -Path "C:\Windows\system32\dhcp\backup" 

Просмотр аренды DHCP

 Get-DhcpServerv4Scope | Get-DhcpServerv4Lease 

Найти аренду DHCP по MAC-адресу

 Get-DhcpServerv4Scope |Get-DhcpServerv4Lease |где {$_.ClientId -like “b4-b6-86-b4-**-**” } 

Добавить область действия DHCP

 Add-DHCPServerv4Scope -EndRange 10.2.1.254 -Name Vlan110 -StartRange 10.2.1.1 -SubnetMask 255. 255.255.0 -State Active 

Get all active ipv4 scopes

 Get-DHCPServerv4Scope 

Get all DHCP reservations for a scope

 Get-DHCPServerv4Lease -ScopeId 10.2.1.0 

Создать резервирование DHCP

 Get-DhcpServerv4Lease -ComputerName dhcpserver1 -IPAddress 10.2.1.8 | Add-DhcpServerv4Reservation -ComputerName server1 

Это просто царапает сервер управления DHCP с помощью PowerShell. Я добавил несколько ссылок ниже на некоторые дополнительные ресурсы по использованию Powershell.

Источники:

• Командлет DhcpServer PowerShell
• Команды Active Directory PowerShell

Подсети и преимущества сегментации сети

Я не буду углубляться в подсети, потому что для этого есть много ресурсов.

Но… при настройке областей DHCP полезно иметь базовое представление о сети.

Вы не хотите иметь только один большой пул DHCP для всех ваших устройств, вы должны сегментировать устройства в отдельные сети. Это также зависит от размера вашей сети, если у вас небольшая сеть, то сегментация сети не так важна.

Преимущества сегментации сети

Безопасность

Размещая устройства в отдельных сетях, вы лучше контролируете сеть. Нужен ли вашим принтерам доступ в Интернет? Возможно нет. Должны ли компьютеры в финансовом отделе общаться напрямую с компьютерами в отделе кадров? Абсолютно НЕТ. Разделив устройства на отдельные сети, вы сможете лучше контролировать их доступ.

Ограничение горизонтального перемещения в сети может существенно замедлить атакующих и вирусы. Важно включить брандмауэры или списки контроля доступа на сетевом уровне, чтобы ограничить горизонтальное перемещение в вашей сети.

Производительность сети

Объединение всего в одну большую сеть создаст гигантский широковещательный домен. Это может привести ко всевозможным проблемам, таким как петли связующего дерева, широковещательные и многоадресные штормы. Сегментация ваших сетей разделит широковещательные домены и уменьшит возможные проблемы с производительностью.

Контроль доступа посетителей/гостей

Вы не хотите, чтобы ваша гостевая сеть имела доступ к вашей защищенной сети. Выделение этого трафика в его собственную сеть позволяет вам фильтровать этот трафик и блокировать доступ к вашей внутренней сети. Я также использую гостевую сеть для устройств типа IOT, которым просто нужно подключение к Интернету.

Ниже приведен пример того, как я сегментирую сетевой трафик.

• Компьютеры = 10.2.10.0/24 VLAN 110
• принтеров = 10.2.8.0/24 VLAN 108
• Голос = 10.2.6.0/24 VLAN 106
• Видеонаблюдение = 10.2.4.0/24 VLAN 104
• Сервер = 10.2.2.0/24 = VLAN 102
• Гость = 10.16.0.0/23 = VLAN 116

В дополнение к сегментации сети постарайтесь сохранить простую схему IP, это действительно упрощает управление областями DHCP.

Продолжительность аренды DHCP Советы

Аренда DHCP — это период времени, в течение которого DHCP-сервер назначает IP-адрес клиенту. Время аренды DHCP по умолчанию для областей DHCP составляет 8 дней.

Совет №1: увеличьте время аренды для стационарных устройств

Для небольших сетей можно оставить для времени аренды значение по умолчанию, равное 8 часам.

Для больших сетей рассмотрите возможность изменения области действия DHCP для стационарных устройств (рабочих станций) до 16 дней. Это может уменьшить сетевой трафик, связанный с DHCP. Рабочие станции перемещаются не так часто, поэтому им не нужно так часто проходить весь танец DHCP, чтобы получить IP-адрес.

Совет № 2: уменьшите время аренды для гостевых/мобильных устройств

Если вы предоставляете гостевой Wi-Fi, эти области DHCP могут очень быстро исчерпать доступные IP-адреса. Этим устройствам, скорее всего, просто нужен временный доступ, например, на несколько часов. Для этих областей рассмотрите возможность настройки времени аренды DHCP на 1 час. Если устройство все еще активно, оно будет обновлено, но если устройство отключится, оно освободит IP-адрес. Это должно помочь с доступными IP-адресами в ваших гостевых областях.

Это также может быть в случае с мобильными устройствами, это может быть сложно, хотя все больше и больше пользователей имеют ноутбуки. 8 дней по умолчанию может быть достаточно, но если вы знаете о мобильных устройствах, которые часто перемещаются, вы можете рассмотреть возможность сокращения времени аренды.

Сводка
Если у вас есть области DHCP, которые обслуживают только определенные устройства, такие как рабочие станции, рассмотрите возможность настройки времени аренды DHCP.

Используйте обнаружение конфликта IP-адресов только тогда, когда это необходимо

Когда два устройства в одной локальной сети имеют одинаковый IP-адрес, возникает конфликт IP-адресов. Это приводит к тому, что у одного или обоих устройств возникают проблемы со связью в сети.

У DHCP-сервера есть опция, помогающая уменьшить конфликты IP-адресов. Параметр обнаружения конфликтов на DHCP-сервере сначала проверяет, используется ли IP-адрес, прежде чем назначать его устройству.

По умолчанию это отключено во всех областях DHCP.

Microsoft рекомендует использовать это только тогда, когда это необходимо. НЕ включайте это для каждой области. Если вы держитесь подальше от статических назначений IP, вам, вероятно, никогда не понадобится включать это.

Если вы включите это, установите количество попыток обнаружения 1 или 2.

Источники :

• Рекомендации Microsoft DHCP

Запустить анализатор рекомендаций DHCP

Анализатор рекомендаций Microsoft — это инструмент, который проверяет конфигурацию DHCP на соответствие рекомендациям Microsoft. Анализатор передового опыта встроен в Windows Server и доступен в инструменте управления сервером.

Шаги для запуска инструмента.

Шаг 1: Откройте Диспетчер серверов

Шаг 2: Щелкните DHCP

Шаг 3: Запустите сканирование BPA

Результаты будут отображаться после завершения сканирования

Сканер BPA должен помочь обнаружить любые основные неверные конфигурации. Просмотрите свои результаты и внесите любые изменения, которые, по вашему мнению, необходимы для вашей среды.

Задокументируйте IP-адреса или используйте IPAM

Задокументируйте свою схему IP, VLAN и статические назначения IP.

Для небольших сетей может быть достаточно электронной таблицы Excel.

Для больших сетей я рекомендую инструмент управления IP-адресами. В течение многих лет я использовал электронные таблицы Excel, и по мере роста сети электронные таблицы превратились в кошмар. В конце концов я переместил все электронные таблицы в средство отслеживания IP-адресов SolarWinds и больше не беспокоился об управлении IP-адресами. SolarWinds IPAM позаботится обо всем за меня, и, самое главное, я могу быстро выполнить поиск по всей базе данных.

Преимущества IPAM

• Автоматическое отслеживание IP-адреса
• Может интегрироваться с DHCP/DNS для отслеживания использования области DHCP
• Предупреждение и отчет об использовании области
• Поиск по IP-адресам, комментариям, именам хостов и т. д. Очень приятно иметь возможность быстрого поиска по ключевому слову, чтобы узнать, какой у устройства IP-адрес.

Загрузить 30-дневную бесплатную пробную версию

Настройка параметров DHCP-сервера

Параметры области действия DHCP позволяют автоматически настраивать дополнительные параметры TCP/IP на клиентских устройствах.

Параметры DHCP можно настроить на двух разных уровнях: на сервере или для каждой области DHCP.

Я предпочитаю в каждой области, это больше работы, но у меня могут быть области, такие как гостевой Wi-Fi, которые я не хочу использовать для внутреннего DNS. Иногда VOIP-телефонам требуются специальные параметры для настройки, и я не хочу этого на уровне сервера.

Наиболее часто используемые параметры:

003 Маршрутизатор

006 DNS-серверы

015 Имя домена DNS

Воспользуйтесь преимуществами параметров области, чтобы вы могли автоматически настроить параметры IP на всех устройствах.

Агенты DHCP-ретрансляции

Если у вас есть централизованный DHCP-сервер с несколькими сетями, вам потребуется использовать агент DHCP-ретрансляции.

Сообщения DHCP передаются широковещательно, а маршрутизаторы не пересылают широковещательные пакеты. Чтобы устранить эту проблему, вы можете включить функцию агента ретрансляции DHCP на своем маршрутизаторе/коммутаторе, чтобы позволить широковещательным пакетам DHCP достигать устройства.

Вам необходимо проверить в документации вашего маршрутизатора команды для включения агента ретрансляции.

Источники :

• Агент DHCP-ретрансляции Cisco Configyure
• HP Настройка DHCP-ретранслятора

Предотвращение мошеннических DHCP-серверов

Приходилось ли вам когда-нибудь, чтобы пользователь или сотрудник вашего ИТ-отдела подключал коммутатор/маршрутизатор к свободному порту на стене? Затем телефон службы поддержки начинает разрываться, потому что пользователи не могут подключиться к Интернету или другим ресурсам.

Мошеннические DHCP-серверы — головная боль. Кроме того, они могут представлять угрозу безопасности и использоваться для различных атак.

Лучший способ заблокировать мошеннические DHCP-серверы — это сетевой коммутатор. Это можно сделать с помощью опции под названием DHCP snooping или доступа к сети на основе порта 802.1x.

Отслеживание DHCP

Отслеживание DHCP — это функция коммутатора уровня 2, которая блокирует неавторизованные (мошеннические) DHCP-серверы от передачи IP-адресов устройствам.

DHCP работает, классифицируя порты коммутатора как доверенные или ненадежные порты. Доверенный порт разрешает сообщения DHCP, ненадежный порт блокирует сообщения DHCP.

Вы хотите, чтобы ваши устройства (компьютеры, принтеры, телефоны) были подключены к недоверенному порту, чтобы не удалось подключить мошеннический DHCP-сервер.

Доступ к сети на основе порта 802.1x

802.1x — это стандарт IEEE для управления доступом к сети на основе порта. Это механизм, который может потребовать от устройств аутентификации перед предоставлением им доступа к сети.

Это хорошо не только для мошеннических DHCP-серверов, но и для управления сетевым доступом ко всему.

802.1x обычно настраивается на уровне коммутатора и требует наличия клиента и сервера аутентификации.

Резервный DHCP-сервер

Ваши DHCP-серверы имеют решающее значение для предоставления настроек IP вашим клиентам. В случае сбоя системы вам необходимо восстановить этот сервер как можно скорее.

Знаете ли вы, что по умолчанию Windows каждые 60 минут создает резервную копию конфигурации DHCP в этой папке %SystemRoot%System32\DHCP\backup.

Это здорово, но бесполезно, если сервер выйдет из строя и вы не сможете получить доступ к папке.

Если у вас нет удаленной репликации, вам потребуется регулярно копировать папку резервного копирования в другое место.

Это можно сделать с помощью сценария, который копирует папку в другое место или использует PowerShell для указания удаленного расположения.

Backup-DhcpServer -ComputerName «DC01» -Path «C:\DHCPBackup»

Подробнее об этом можно прочитать в моей статье Резервное копирование и восстановление DHCP-сервера Windows

Фильтрация MAC-адресов DHCP

Функция фильтрации MAC-адресов DHCP позволяет вы можете заблокировать или разрешить назначение IP-адресов на основе MAC-адресов.

Это полезно, если вы хотите, чтобы область DHCP предоставляла IP-адреса явному списку устройств. Это также полезно, если у вас есть нежелательные устройства в VLAN, получающие IP-адрес.

Например, у вас есть пользователи, подключающие устройства BYOD к вашей защищенной VLAN. Вы можете добавить эти устройства в запретный фильтр. Фильтрация MAC-адресов DHCP — это быстрый и простой способ управления доступом к сети. Если у вас есть время и ресурсы, лучше использовать 802.1x.

Заключение

Я уже много лет использую эти советы при управлении DHCP-серверами. При правильной настройке DHCP можно установить и забыть о сервере практически без проблем.