电脑装配网

干货|什么是DHCP?这些我们应该知道

 人阅读 | 作者lilintao | 时间:2024-02-29 18:06

导读:今天主要向大家介绍有关DHCP的内容,有需要的朋友可以收藏一下!

一、 DHCP概述

1、DHCP

Dynamic Host Configuration Protocol 动态主机配置协议,是一种提供传输配置信息到主机的方法。

客户机使用UDP68端口发送请求报文,服务器使用UDP67端口回应,给客户机提供ip地址以及其它相关信息,如网络掩码、路由、DNS服务器地址等。基于Client-Server模式,信息格式与BOOTP类似。

2

手工配置IP地址的优缺点

(1)缺点:

配置繁琐;

容易导致IP地址冲突;

可移动性较差;

安全性得不到保障。

(2)优点:

配置简单;

可移动性较好;

相对安全。

3、地址分配方式

自动分配— DHCP分配永久的IP地址给主机

动态分配— DHCP分配给客户机一个地址的租约(或直到主机声明放弃地址)

手动分配— 主机IP地址由管理员指定

注:仅仅动态分配有地址回收机制。

二、DHCP常见术语

DHCP client:DHCP 客户机,通过DHCP 获得网络参数的主机。

DHCP server:DHCP 服务器,为DHCP client提供网络参数的主机。

BOOTP relay agent:BOOTP 中继代理,在DHCP 服务器和DHCP 客户之间传送DHCP 消息的主机或路由器。

DHCP relay agent:DHCP 中继代理,在DHCP 服务器和DHCP 客户之间传送dhcp 消息的主机或路由器。

binding:绑定、封装。将收集的配置参数(至少包括一个ip地址),封装并分配给客户机。这个动作是由服务器处理的。

三、Dhcp server配置步骤

1. 启动/关闭DHCP服务器功能

2. 配置DHCP地址池

(1) 创建/删除DHCP地址池

(2) 配置动态DHCP地址池的参数

(3) 配置手工DHCP地址池的参数

3. 启动记录地址冲突的日志功能

4. 配置发ping包的个数和超时时间

Switch(Config)# service dhcp

Switch(Config)#ip dhcp pool A

Switch(dhcp-A-config)#network 10.16.1.0 24

Switch(dhcp-A-config)#lease 3

Switch(dhcp-A-config)#default-route 10.16.1.200 10.16.1.201

Switch(dhcp-A-config)#dns-server 10.16.1.202

Switch(dhcp-A-config)#netbios-name-server 10.16.1.209

Switch(dhcp-A-config)#exit

Switch(Config)#ip dhcp excluded-address 10.16.1.200 10.16.1.210

Switch(Config)#ip dhcp excluded-address 10.16.2.200 10.16.2.210

Switch(Config)#ip dhcp pool B

Switch(dhcp-A1config)#host 10.16.1.210

Switch(dhcp-A1-config)#hardware-address 0003.2223.dcab

Switch(Config)# ip dhcp conflict logging//*地址冲突缺省启用

Switch(Config)#ip dhcp ping timeout 1000 //*ping超时缺省500ms

Switch(Config)#ip dhcp ping packets 5//*缺省发ping包个数为2

四、Dhcp中继

在大型的网络中,可能会存在多个子网。DHCP客户机通过网络广播消息获得DHCP服务器的响应后得到IP地址。但广播消息是不能跨越子网的。因此,如果DHCP客户机和服务器在不同的子网内,客户机还能不能向服务器申请IP地址呢?

这就要用到DHCP中继代理。

DHCP中继代理实际上是一种软件技术,安装了DHCP中继代理的计算机称为DHCP中继代理服务器,它承担不同子网间的DHCP客户机和服务器的通信任务。

1DHCP 中继配置任务序列如下:

启动 DHCP 中继

配置 DHCP 中继转发 DHCP 广播报文

说明:网络中已存在DHCP Server,Vlan 20内PC的IP地址通过DHPC Relay方式获得。

组网图:

2、DHCP Server的配置

switch(config)#service dhcp 开启dhcp服务

switch(config)#ip dhcp pool vlan20 创建dhcp地址池

switch(dhcp-vlan20-config)#network 10.1.2.1 24 dhcp的地址范围

switch(dhcp-vlan20-config)#default-router 10.1.2.1 dhcp网关

switch(dhcp-vlan20-config)#exit

3、DHCP Relay的配置

switch(config)#service dhcp 开启dhcp服务

switch(config)#ip forward-protocol udp bootps 开启dhcp中继转发udp广播报文

switch(config)#vlan 10

switch(config-Vlan10)#ip address 10.1.1.2 255.255.255.0 配置IP地址switch(config-Vlan10)#exitswitch(config)#vlan 20

switch(config-Vlan20)#ip address 10.1.2.1 255.255.255.0 配置IP地址switch(config-Vlan20)#ip help-address 10.1.1.1 指定dhcp中继转发UDP报文的目的地址

switch(config-Vlan20)#exit

五、Dhcp Snooping

DHCP Snooping 功能指交换机监测 DHCP CLIENT 通过 DHCP 协议获取 IP 的过程。它通过设置信任端口和非信任端口,来防止 DHCP 攻击及私设 DHCP SERVER。

从信任端口接收的 DHCP 报文无需校验即可转发。典型的设置是将信任端口连接 DHCP SERVER 或者 DHCP RELAY 代理。非信任端口连接 DHCP CLIENT,交换机将转发从非信任端口接收的 DHCP 请求报文,不转发从非信任端口接收的 DHCP 回应报文。

如果从非信任端口接收DHCP 回应报文,除了发出告警信息外,并可根据设置对该端口执行相应的动作,比如shutdown、下发 blackhole。

如果启用了 DHCP Snooping 绑定功能,则交换机将会保存非信任端口下的 DHCP CLIENT 的绑定信息,每一条绑定信息包含该 DHCP CLIENT 的 MAC地址、 IP 地址、租期、 VLAN 号和端口号,这些绑定信息存放于 DHCP Snooping 的绑定表。

如上图:

1、Mac-AA 设备为正常用户,连接在交换机非信任端口 1/1 上,其通过 DHCP Client获得 IP 1.1.1.5;

2、DHCP Server 和 GateWay 分别连接在交换机的信任端口 1/11 ; 1/12 上;恶意用户 Mac-BB 连接在非信任端口 1/10 上,试图伪装 DHCP Server(发送 DHCPACK)。

3 、在交换机上设置 DHCP snooping 将能有效发现并阻止这种网络攻击。

交换机配置为:

switch#

switch#config

switch(config)#ip dhcp snooping enable 开启dhcp侦听功能

switch(config)#interface ethernet 1/11

switch(Config-Ethernet1/11 )#ip dhcp snooping trust 设置信任端口

switch(Config-Ethernet1/11 )#exit

switch(config)#interface ethernet 1/12

switch(Config-Ethernet1/12)#ip dhcp snooping trust 设置信任端口

switch(Config-Ethernet1/12)#exit

switch(config)#interface ethernet 1/1 -10

switch(Config-Port-Range)#ip dhcp snooping action shutdown 其余端口收到dhcp服务时直接阻塞端口

switch(Config-Port-Range)#

关注微信公众号:安徽思恒信息科技有限公司,了解更多技术内容……


文章标签:

本文链接:『转载请注明出处』