DHCP服务器部署
DHCP服务器部署
作者:行癫
DHCP:动态主机配置协议
作用/原因: 实现自动配置IP地址,减少管理员的工作量,避免IP地址使用冲突。
DHCP报文类型:
DHCP discover 广播 形式发送( DHCP发现报文):客户端用来寻找 DHCP服务器。
DHCP offer 单播 用于 DHCP服务器来响应 DHCPdiscover 报文,此报文携带了各种配置信息。
DHCP request 广播形式发送 请求报文:客户端请求配置确认,或者续租。
DHCP ACK:服务器对request报文进行确认
DHCP NAK:服务器对REQUEST报文的拒绝响应。
DHCP release:客户端要释放地址池用来通知服务器
DHCP工作原理:
主机A以广播的形式发送DHCP discover 向网络中寻找DHCP服务器,
服务器收到DHCP discover后,以单播的形式发送 DHCP offer ,说我能发送,
主机A收到后以广播的形式回复DHCP request 询问是否确认发送,
服务器收到后以单播的形式回复DHCP ACK 消息,确认发送。
DHCP租期更新:
[外链图片转存失败(img-bmqPiwiO-1569001821257)(assets/clipboard-1568960177330.png)]
IP租约期限达到50%时,DHCP客户端以单播的形式请求更新IP地址。
DHCP重绑定:租期剩余12.5%时发送。
[外链图片转存失败(img-s7g0gv0R-1569001821258)(assets/clipboard-1568960188764.png)]
DHCP服务部署:
基于全局部署
[Huawei]dhcp enable :开启DHCP功能
[Huawei]ip pool huawei :建立地址池 名字为huawei
[Huawei]network 192.168.1.0 mask 24: 配置地址池中存放的地址
[Huawei]gateway-list 192.168.1.254 分的网关为192.168.1.254
[Huawei]dns-list 8.8.8.8 114.114.114.114 配置主用DNS备用DNS
[Huawei]dhcp select global :DHCP关联全局地址池, 在接口或者是VLANIF 口下配置
ipconfig / release 释放地址池
ipconfig /renew 重新获取地址
扩展命令:
[Huawei]display ip pool 查看设备地址池
[Huawei]display ip pool name huawei
Pool-name : huawei
Pool-No : 0
Lease : 1 Days 0 Hours 0 Minutes
Domain-name : -
DNS-server0 : 8.8.8.8
NBNS-server0 : -
Netbios-type : -
Position : Local Status : Unlocked
Gateway-0 : 192.168.1.254
Mask : 255.255.255.0
VPN instance : –
Start End Total Used Idle(Expired) Conflict Disable
192.168.1.1 192.168.1.254 253 1 252(0) 0 0
基于接口的地址池配置
[Huawei]dhcp enable :开启DHCP功能
[Huawei]dhcp select interface :关联接口地址池
[Huawei]dhcp server dns-list 8.8.8.8 114.114.114.114: 配置主用DNS备用DNS
扩展:查看接口地址池
[Huawei-GigabitEthernet0/0/2]display ip pool interface GigabitEthernet0/0/2
Pool-name : GigabitEthernet0/0/2
Pool-No : 3
Lease : 1 Days 0 Hours 0 Minutes
Domain-name : -
DNS-server0 : 114.114.114.114
NBNS-server0 : -
Netbios-type : -
Position : Interface Status : Unlocked
Gateway-0 : 192.168.3.2
Mask : 255.255.255.0
VPN instance : –
Start End Total Used Idle(Expired) Conflict Disable
192.168.3.1 192.168.3.254 253 0 253(0) 0 0
DHCP饿死攻击:
原因:攻击者通过改变CHADDR字段,大量的向DHCP服务器申请IP地址,直到服务器地址耗尽,导致其他用户不能正常申请。
措施:
仿冒DHCP server 攻击:
原理:攻击者的pc里安装一个可以仿冒DHCP服务器,向客户端提示错误的IP地址,导致客户端无法正常访问网络。
DHCP中间人攻击:
原理:攻击者利用ARP机制,
DHCP Snooping 技术
vlan下
DHCP snooping trusted+接口 在端口下开启信任
接口下
CP服务器,向客户端提示错误的IP地址,导致客户端无法正常访问网络。
DHCP中间人攻击:
原理:攻击者利用ARP机制,
DHCP Snooping 技术
vlan下
DHCP snooping trusted+接口 在端口下开启信任
接口下
DHCP snooping trusted