DHCPリレーとマルチホームDHCPサーバー
新しいネットワークトポロジをスケッチしていますが、2つのVLAN間のDHCPの問題を解決する方法がわかりません。
- 10.50.2.0/23は、ユーザー、企業のWi-Fi、プリンターなどの大部分を保持します。
- 10.250.3.0/24は、AWSVPNトンネルへのアクセスを必要とするユーザーのサブセットを保持します
L3スイッチを使用してサブネット間をルーティングし、ACLを使用してどのVLANがどの方向にアクセスできるか」を制御することを計画しています(つまり、3/24は2/23にアクセスできますが逆ではありません)。
問題は、10.50.3.0/24ネットワークのDHCPです。スイッチを介してDHCPリレーを構成するか、Windows 2008 R2DHCPサーバーにそのネットワーク内のNIC)を与えることができます。
「正しい」方法はどちらですか(どちらか)
スイッチをDHCPサーバーにすることもできます。
マルチホーミングWindowsはしばしば悪い考えです。あなたがそれを完全に正しく行わない限り、あなたは奇妙なDNSとルーティングの問題を抱えている可能性があります。
リレーエージェントを使用することをお勧めします。
私は間違いなくリレーエージェントに傾倒します。大きな問題ではないかもしれませんが、サーバーにNICをそのネットワークに与えると、セキュリティの脆弱性が増える可能性があります(または、サーバーのファイアウォールをもう少しロックするためにより多くの労力が必要になります。
DHCPリレーを使用するもう1つの利点は、何らかの理由でDHCPサーバーを切り替える必要がある場合に、別のNICを使用して別のサーバーをセットアップし、そのサーバーをロックするのではなく、リレーエージェントを別のIPにポイントすることが非常に簡単なことです。同じように。
編集これを思い出してください。リレーエージェントを使用すると、DHCP関連のセキュリティ攻撃が心配な場合にDHCPスヌーピングを実装することもできます。
DHCPリレーエージェントを構成することがおそらくこれを行う正しい方法であることに私も同意します。 Windowsサーバーのマルチホーミングは、非常に特殊な使用例を除いて、一般的に推奨される構成ではありません。