乾貨|什麼是DHCP?這些我們應該知道
導讀
:今天主要向大家介紹有關DHCP的內容,有需要的朋友可以收藏一下!
一、 DHCP概述
1、
DHCP
Dynamic Host Configuration Protocol 動態主機配置協議,是一種提供傳輸配置資訊到主機的方法。
客戶機使用UDP68埠傳送請求報文,伺服器使用UDP67埠迴應,給客戶機提供ip地址以及其它相關資訊,如網路掩碼、路由、DNS伺服器地址等。基於Client-Server模式,資訊格式與BOOTP類似。
2
手工配置IP地址的優缺點
(1)缺點:
配置繁瑣;
容易導致IP地址衝突;
可移動性較差;
安全性得不到保障。
開啟搜狗搜尋APP,檢視更多精彩資訊
(2)優點:
配置簡單;
可移動性較好;
相對安全。
3、
地址分配方式
自動分配
— DHCP分配永久的IP地址給主機
動態分配
— DHCP分配給客戶機一個地址的租約(或直到主機宣告放棄地址)
手動分配
— 主機IP地址由管理員指定
注:僅僅動態分配有地址回收機制。
二、DHCP常見術語
DHCP client:
DHCP 客戶機,透過DHCP 獲得網路引數的主機。
DHCP server:
DHCP 伺服器,為DHCP client提供網路引數的主機。
BOOTP relay agent:
BOOTP 中繼代理,在DHCP 伺服器和DHCP 客戶之間傳送DHCP 訊息的主機或路由器。
DHCP relay agent:
DHCP 中繼代理,在DHCP 伺服器和DHCP 客戶之間傳送dhcp 訊息的主機或路由器。
binding
:繫結、封裝。將收集的配置引數(至少包括一個ip地址),封裝並分配給客戶機。這個動作是由伺服器處理的。
三、Dhcp server配置步驟
1. 啟動/關閉DHCP伺服器功能
2. 配置DHCP地址池
(1) 建立/刪除DHCP地址池
(2) 配置動態DHCP地址池的引數
(3) 配置手工DHCP地址池的引數
3. 啟動記錄地址衝突的日誌功能
4. 配置發ping包的個數和超時時間
Switch(Config)# service dhcp
Switch(Config)#ip dhcp pool A
Switch(dhcp-A-config)#network 10。16。1。0 24
Switch(dhcp-A-config)#lease 3
Switch(dhcp-A-config)#default-route 10。16。1。200 10。16。1。201
Switch(dhcp-A-config)#dns-server 10。16。1。202
Switch(dhcp-A-config)#netbios-name-server 10。16。1。209
Switch(dhcp-A-config)#exit
Switch(Config)#ip dhcp excluded-address 10。16。1。200 10。16。1。210
Switch(Config)#ip dhcp excluded-address 10。16。2。200 10。16。2。210
Switch(Config)#ip dhcp pool B
Switch(dhcp-A1config)#host 10。16。1。210
Switch(dhcp-A1-config)#hardware-address 0003。2223。dcab
Switch(Config)# ip dhcp conflict logging//*地址衝突預設啟用
Switch(Config)#ip dhcp ping timeout 1000 //*ping超時預設500ms
Switch(Config)#ip dhcp ping packets 5//*預設發ping包個數為2
四、
Dhcp中繼
在大型的網路中,可能會存在多個子網。DHCP客戶機透過網路廣播訊息獲得DHCP伺服器的響應後得到IP地址。但廣播訊息是不能跨越子網的。因此,如果DHCP客戶機和伺服器在不同的子網內,客戶機還能不能向伺服器申請IP地址呢?
這就要用到DHCP中繼代理。
DHCP中繼代理實際上是一種軟體技術,安裝了DHCP中繼代理的計算機稱為DHCP中繼代理伺服器,它承擔不同子網間的DHCP客戶機和伺服器的通訊任務。
1
DHCP 中繼配置任務序列如下:
啟動 DHCP 中繼
配置 DHCP 中繼轉發 DHCP 廣播報文
說明:
網路中已存在DHCP Server,Vlan 20內PC的IP地址透過DHPC Relay方式獲得。
組網圖:
2、
DHCP Server的配置
switch(config)#service dhcp 開啟dhcp服務
switch(config)#ip dhcp pool vlan20 建立dhcp地址池
switch(dhcp-vlan20-config)#network 10。1。2。1 24 dhcp的地址範圍
switch(dhcp-vlan20-config)#default-router 10。1。2。1 dhcp閘道器
switch(dhcp-vlan20-config)#exit
3、
DHCP Relay的配置
switch(config)#service dhcp 開啟dhcp服務
switch(config)#ip forward-protocol udp bootps 開啟dhcp中繼轉發udp廣播報文
switch(config)#vlan 10
switch(config-Vlan10)#ip address 10。1。1。2 255。255。255。0 配置IP地址switch(config-Vlan10)#exitswitch(config)#vlan 20
switch(config-Vlan20)#ip address 10。1。2。1 255。255。255。0 配置IP地址switch(config-Vlan20)#ip help-address 10。1。1。1 指定dhcp中繼轉發UDP報文的目的地址
switch(config-Vlan20)#exit
五、
Dhcp Snooping
DHCP Snooping 功能指交換機監測 DHCP CLIENT 透過 DHCP 協議獲取 IP 的過程。它透過設定信任埠和非信任埠,來防止 DHCP 攻擊及私設 DHCP SERVER。
從信任埠接收的 DHCP 報文無需校驗即可轉發。典型的設定是將信任埠連線 DHCP SERVER 或者 DHCP RELAY 代理。非信任埠連線 DHCP CLIENT,交換機將轉發從非信任埠接收的 DHCP 請求報文,不轉發從非信任埠接收的 DHCP 迴應報文。
如果從非信任埠接收DHCP 迴應報文,除了發出告警資訊外,並可根據設定對該埠執行相應的動作,比如shutdown、下發 blackhole。
如果啟用了 DHCP Snooping 繫結功能,則交換機將會儲存非信任埠下的 DHCP CLIENT 的繫結資訊,每一條繫結資訊包含該 DHCP CLIENT 的 MAC地址、 IP 地址、租期、 VLAN 號和埠號,這些繫結資訊存放於 DHCP Snooping 的繫結表。
如上圖:
1、Mac-AA 裝置為正常使用者,連線在交換機非信任埠 1/1 上,其透過 DHCP Client獲得 IP 1。1。1。5;
2、DHCP Server 和 GateWay 分別連線在交換機的信任埠 1/11 ; 1/12 上;惡意使用者 Mac-BB 連線在非信任埠 1/10 上,試圖偽裝 DHCP Server(傳送 DHCPACK)。
3 、在交換機上設定 DHCP snooping 將能有效發現並阻止這種網路攻擊。
交換機配置為:
switch#
switch#config
switch(config)#ip dhcp snooping enable 開啟dhcp偵聽功能
switch(config)#interface ethernet 1/11
switch(Config-Ethernet1/11 )#ip dhcp snooping trust 設定信任埠
switch(Config-Ethernet1/11 )#exit
switch(config)#interface ethernet 1/12
switch(Config-Ethernet1/12)#ip dhcp snooping trust 設定信任埠
switch(Config-Ethernet1/12)#exit
switch(config)#interface ethernet 1/1 -10
switch(Config-Port-Range)#ip dhcp snooping action shutdown 其餘埠收到dhcp服務時直接阻塞埠
switch(Config-Port-Range)#