导读:今天主要向大家介绍有关DHCP的内容,有需要的朋友可以收藏一下!
一、 DHCP概述
1、DHCP
Dynamic Host Configuration Protocol 动态主机配置协议,是一种提供传输配置信息到主机的方法。
客户机使用UDP68端口发送请求报文,服务器使用UDP67端口回应,给客户机提供ip地址以及其它相关信息,如网络掩码、路由、DNS服务器地址等。基于Client-Server模式,信息格式与BOOTP类似。
2
手工配置IP地址的优缺点
(1)缺点:
配置繁琐;
容易导致IP地址冲突;
可移动性较差;
安全性得不到保障。
(2)优点:
配置简单;
可移动性较好;
相对安全。
3、地址分配方式
自动分配— DHCP分配永久的IP地址给主机
动态分配— DHCP分配给客户机一个地址的租约(或直到主机声明放弃地址)
手动分配— 主机IP地址由管理员指定
注:仅仅动态分配有地址回收机制。
二、DHCP常见术语
DHCP client:DHCP 客户机,通过DHCP 获得网络参数的主机。
DHCP server:DHCP 服务器,为DHCP client提供网络参数的主机。
BOOTP relay agent:BOOTP 中继代理,在DHCP 服务器和DHCP 客户之间传送DHCP 消息的主机或路由器。
DHCP relay agent:DHCP 中继代理,在DHCP 服务器和DHCP 客户之间传送dhcp 消息的主机或路由器。
binding:绑定、封装。将收集的配置参数(至少包括一个ip地址),封装并分配给客户机。这个动作是由服务器处理的。
三、Dhcp server配置步骤
1. 启动/关闭DHCP服务器功能
2. 配置DHCP地址池
(1) 创建/删除DHCP地址池
(2) 配置动态DHCP地址池的参数
(3) 配置手工DHCP地址池的参数
3. 启动记录地址冲突的日志功能
4. 配置发ping包的个数和超时时间
Switch(Config)# service dhcp
Switch(Config)#ip dhcp pool A
Switch(dhcp-A-config)#network 10.16.1.0 24
Switch(dhcp-A-config)#lease 3
Switch(dhcp-A-config)#default-route 10.16.1.200 10.16.1.201
Switch(dhcp-A-config)#dns-server 10.16.1.202
Switch(dhcp-A-config)#netbios-name-server 10.16.1.209
Switch(dhcp-A-config)#exit
Switch(Config)#ip dhcp excluded-address 10.16.1.200 10.16.1.210
Switch(Config)#ip dhcp excluded-address 10.16.2.200 10.16.2.210
Switch(Config)#ip dhcp pool B
Switch(dhcp-A1config)#host 10.16.1.210
Switch(dhcp-A1-config)#hardware-address 0003.2223.dcab
Switch(Config)# ip dhcp conflict logging//*地址冲突缺省启用
Switch(Config)#ip dhcp ping timeout 1000 //*ping超时缺省500ms
Switch(Config)#ip dhcp ping packets 5//*缺省发ping包个数为2
四、Dhcp中继
在大型的网络中,可能会存在多个子网。DHCP客户机通过网络广播消息获得DHCP服务器的响应后得到IP地址。但广播消息是不能跨越子网的。因此,如果DHCP客户机和服务器在不同的子网内,客户机还能不能向服务器申请IP地址呢?
这就要用到DHCP中继代理。
DHCP中继代理实际上是一种软件技术,安装了DHCP中继代理的计算机称为DHCP中继代理服务器,它承担不同子网间的DHCP客户机和服务器的通信任务。
1DHCP 中继配置任务序列如下:
启动 DHCP 中继
配置 DHCP 中继转发 DHCP 广播报文
说明:网络中已存在DHCP Server,Vlan 20内PC的IP地址通过DHPC Relay方式获得。
组网图:
2、DHCP Server的配置
switch(config)#service dhcp 开启dhcp服务
switch(config)#ip dhcp pool vlan20 创建dhcp地址池
switch(dhcp-vlan20-config)#network 10.1.2.1 24 dhcp的地址范围
switch(dhcp-vlan20-config)#default-router 10.1.2.1 dhcp网关
switch(dhcp-vlan20-config)#exit
3、DHCP Relay的配置
switch(config)#service dhcp 开启dhcp服务
switch(config)#ip forward-protocol udp bootps 开启dhcp中继转发udp广播报文
switch(config)#vlan 10
switch(config-Vlan10)#ip address 10.1.1.2 255.255.255.0 配置IP地址switch(config-Vlan10)#exitswitch(config)#vlan 20
switch(config-Vlan20)#ip address 10.1.2.1 255.255.255.0 配置IP地址switch(config-Vlan20)#ip help-address 10.1.1.1 指定dhcp中继转发UDP报文的目的地址
switch(config-Vlan20)#exit
五、Dhcp Snooping
DHCP Snooping 功能指交换机监测 DHCP CLIENT 通过 DHCP 协议获取 IP 的过程。它通过设置信任端口和非信任端口,来防止 DHCP 攻击及私设 DHCP SERVER。
从信任端口接收的 DHCP 报文无需校验即可转发。典型的设置是将信任端口连接 DHCP SERVER 或者 DHCP RELAY 代理。非信任端口连接 DHCP CLIENT,交换机将转发从非信任端口接收的 DHCP 请求报文,不转发从非信任端口接收的 DHCP 回应报文。
如果从非信任端口接收DHCP 回应报文,除了发出告警信息外,并可根据设置对该端口执行相应的动作,比如shutdown、下发 blackhole。
如果启用了 DHCP Snooping 绑定功能,则交换机将会保存非信任端口下的 DHCP CLIENT 的绑定信息,每一条绑定信息包含该 DHCP CLIENT 的 MAC地址、 IP 地址、租期、 VLAN 号和端口号,这些绑定信息存放于 DHCP Snooping 的绑定表。
如上图:
1、Mac-AA 设备为正常用户,连接在交换机非信任端口 1/1 上,其通过 DHCP Client获得 IP 1.1.1.5;
2、DHCP Server 和 GateWay 分别连接在交换机的信任端口 1/11 ; 1/12 上;恶意用户 Mac-BB 连接在非信任端口 1/10 上,试图伪装 DHCP Server(发送 DHCPACK)。
3 、在交换机上设置 DHCP snooping 将能有效发现并阻止这种网络攻击。
交换机配置为:
switch#
switch#config
switch(config)#ip dhcp snooping enable 开启dhcp侦听功能
switch(config)#interface ethernet 1/11
switch(Config-Ethernet1/11 )#ip dhcp snooping trust 设置信任端口
switch(Config-Ethernet1/11 )#exit
switch(config)#interface ethernet 1/12
switch(Config-Ethernet1/12)#ip dhcp snooping trust 设置信任端口
switch(Config-Ethernet1/12)#exit
switch(config)#interface ethernet 1/1 -10
switch(Config-Port-Range)#ip dhcp snooping action shutdown 其余端口收到dhcp服务时直接阻塞端口
switch(Config-Port-Range)#
关注安徽思恒信息科技有限公司,了解更多技术内容……
,