Adresowanie DHCP a adresowanie statyczne dla serwerów

Prowadzę „ożywioną” debatę ze współpracownikiem na temat powodów używania DHCP przeciwko serwerom w środowisku sieciowym lub przeciwko niemu. W szczególności środowisko sieciowe to stosunkowo niewielka sieć, ale z mojego doświadczenia wynika, że ​​zawsze lepiej jest mieć serwery o statycznych adresach, szczególnie do takich rzeczy jak zdalne zarządzanie itp.

Szukałem i mogłem znaleźć jakieś konkretne powody dla lub przeciw dynamicznym adresom przypisanym na serwerach, więc pomyślałem, że zapytam tłum tutaj.

Mój współpracownik opowiada się za adresami serwerów przypisanymi do DHCP dla ułatwienia zarządzania i stwierdza, że ​​jeśli adresy kiedykolwiek się zmienią, nie musisz ręcznie zmieniać adresu IP serwera. Mam wątpliwości co do tej odpowiedzi.

Dla celów zarządzania, ponieważ ta sieć jest niewielka, zmiana adresu IP urządzeń statycznych nie jest niczym wielkim, ponieważ jest ich tak mało.

Wszelkie sugestie, pomysły lub komentarze?

Dlaczego nie ma w tej kombinacji coś podobnego cfenginealbo puppeti statyczne adresy IP został wychowany? Z lotu ptaka jest to najlepsze z obu rozwiązań - scentralizowana konfiguracja bez utraty usługi ścieżki krytycznej. Czy zapewnia centralny sposób na zepsucie rzeczy? Tak, ale DHCP też.

W większych instalacjach, w których pracowałem, wszystko to zostało osiągnięte dzięki kombinacji zarządzanych kickstartów i cfengine... i działało pięknie. Ponadto większość, jeśli nie wszyscy dostawcy VPS, używają narzędzia do obsługi administracyjnej, które oblicza adresy IP i ustawia je statycznie również w utworzonej instancji - kolejny przykład zarządzania konfiguracją + statyczne adresy IP.

W przypadku wystarczająco dużej instalacji powinieneś używać zarządzania konfiguracją i być blisko w pełni zautomatyzowanego wdrażania w obecnym stanie, nie wspominając o procedurach kontroli zmian, w których procedury te zostałyby określone (najlepiej).

Największym problemem, jaki widzę w przypadku używania DHCP do serwerów, jest to, że jeśli z jakiegoś powodu usługa DHCP przestanie działać, Twoje serwery mogą utracić swoje adresy IP. Oprócz tego istnieje również ryzyko bezpieczeństwa związane z możliwością man-in-the-middle serwerów poprzez kontrolowanie ich dzierżawy DHCP (która kontroluje domyślną bramę). I, jak powiedzieli inni plakaty, niektóre serwery / usługi wymagają statycznych adresów IP (najlepszym przykładem są kontrolery domeny).

Chociaż istnieją pewne funkcje serwera, które muszą mieć lokalnie zdefiniowane adresy IP, jestem wielkim fanem używania DHCP do adresów serwerów.

Po pierwsze, jak zauważyli inni, możesz (i powinieneś) używać DHCP do obsługi adresów statycznych. Zakładając, że Linux, potrzebujesz tego w swoim pliku dhcpd.conf:

host server {
        option host-name "server.example.com";
        hardware ethernet  xx:xx:xx:xx:xx:xx;
        fixed-address server.example.com;
}

W pliku strefy DNS przypisz adres IP server.example.com.

Plusy:

• Plik strefy DNS jest teraz „jednym źródłem prawdy” dla wszystkich przypisań IP. Ułatwia wyszukiwanie błędów (zduplikowane adresy IP, literówki) i zapewnia, że ​​każdy może bez problemu znaleźć adres IP serwera
• Zmiany w infrastrukturze sieci można łatwo propagować. Wdrażasz zapasowy serwer DNS? Po prostu dodaj go do pliku konfiguracyjnego DHCP, a wszystkie systemy go podniosą, gdy przedłużą dzierżawę.
• Zmiany adresu IP urządzenia i wpisu DNS urządzenia nie mogą z definicji nie zostać zsynchronizowane. Przenosisz maszynę do nowej podsieci? Zmień adres IP dokładnie w jednym miejscu i gotowe.

Cons:

• Dodałeś znaczący punkt awarii. Ogranicz to dzięki zapasowemu serwerowi DHCP. Długie czasy najmu również mogą pomóc.
• Tryb uczenia drzewa opinającego blokuje żądania DHCP, co może znacznie wydłużyć czas uruchamiania komputera, a nawet spowodować przekroczenie limitu czasu DHCP. Użyj portufast, aby wyłączyć drzewo opinające na wybranych portach. Nawiasem mówiąc, dobry pomysł na stację roboczą.

Nie zgadzam się z pomysłem używania DHCP do serwerów - chociaż w bardzo dużych sieciach mogę sobie wyobrazić, że to może trochę się rozmyć - ale jest to kwestia preferencji, a nie trudne i szybkie imho - możesz zarezerwować adresy dla serwerów itp. (chociaż jeśli to zrobisz, dlaczego nie uczynić ich statycznymi, co przywraca mnie do tego, dlaczego się z tym nie zgadzam ...).

Myślę, że kilka aplikacji serwerowych albo wyraźnie wymaga statycznych adresów IP, albo nie zachowuje się wcale ładnie, jeśli ich adres się zmieni. Dla mnie ci zwykle wskazują na zły pomysł.

Chcesz używać statycznych adresów IP z serwerami, które wymagają tłumaczenia IP na publiczne na prywatne. Na przykład serwer poczty e-mail lub serwera WWW umieszczony za zaporą ogniową, który powinien być dostępny z Internetu. Wszystko, co świadczy usługi domenowe, powinno również używać STATIC. Większość czegokolwiek innego może korzystać z DHCP, ale należy zachować ostrożność, ponieważ ma potencjalne pułapki, jak wspomniali inni.

Musisz użyć rezerwacji DHCP, aby zarezerwować przypisane adresy IP dla serwerów i uniknąć przypisywania ich adresów IP innym komputerom.

Możesz uzyskać najlepsze z obu podejść: używaj DHCP do wszystkiego, rezerwując zakres dla stacji roboczych i ustalając adres IP dla każdego adresu MAC serwera.