我正在草拟一个新的网络拓扑,但我不确定如何解决两个 VLAN 之间的 DHCP 问题。
- 10.50.2.0/23 将容纳我们的大多数用户、企业 wifi、打印机等。
- 10.250.3.0/24 将包含需要访问我们的 AWS VPN 隧道的用户子集
我计划使用 L3 交换机在子网之间进行路由,并使用 ACL 来控制哪个 VLAN 可以访问哪个方向和哪个方向(即 3/24 将能够访问 2/23,但反之则不行)。
问题是 10.50.3.0/24 网络中的 DHCP。我可以通过交换机配置 DHCP 中继,也可以在该网络中为我们的 Windows 2008 R2 DHCP 服务器提供一个 NIC。
哪个(如果有的话)是“正确”的方式?
您也可以让您的交换机也成为 DHCP 服务器。
多宿主 Windows 通常是一个坏主意。除非您做得非常正确,否则您可能会遇到奇怪的 DNS 和路由问题。
你最好使用中继代理。
我肯定会倾向于中继代理。虽然这可能不是一个大问题,但将 NIC 提供给该网络的服务器将打开更多可能的安全漏洞(或者需要更多的努力来锁定该服务器的防火墙更多一点。
使用 DHCP 中继的另一个好处是,如果由于某种原因需要切换 DHCP 服务器,将中继代理指向不同的 IP 非常简单,而不必使用另一个网卡设置另一个服务器并锁定该服务器也是。
编辑刚刚提醒自己,使用中继代理,如果您担心与 DHCP 相关的安全攻击,您还可以实现 DHCP 侦听。
我也同意配置 DHCP 中继代理可能是解决此问题的正确方法。多宿主 Windows 服务器通常不是推荐的配置,除非在非常特定的用例中。