dhcp进阶之旅

DHCP八种报文类型:
DHCP discover:以原地址为0.0.0.0 目的地址为255.255.255.255 来发送广播报文,寻找DHCP服务器
DHCP offer:DHCP服务器用来响应客户端的HDCP discover 报文,并设置相应的配置参数(地址和租约信息)
DHCP request:客户端发送给DHCP服务器,用来确定用那一台dhcp服务器提供的ip地址。当租约期到50%会单播发送request报文,请求服务器续约。如果服务器没响应,那么等到租约期的87.5%会广播发送request报文,只所以广播是为了防止之前的服务器损坏,而不能正常续约转而向其他服务器请求续约
DHCP Ack:服务器发送给客户端做确认
DHCP decline:客户端发送给服务器通知dhcp服务器该ip地址以被使用
DHCP inform:客户端已经有ip地址,用来向dhcp服务器请求其他配置信息例如dns等等
DHCP NAK:dhcp服务器发送给客户端来表明客户端的地址请求不正确或者租约已经过期

DHCP release:客户端释放地址时用来通知dhcp服务器

dhcp进阶之旅_第1张图片


dhcp中继:实现跨网段的ip分配,一般用在企业内部管理,管理企业内部多个不同网段地址
在中继代理上配置命令如下:
interface GigabitEthernet0/0/1                进入接口
ip address 192.168.1.254 255.255.255.0        设置接口ip,通过中继代理接口的地址来区分要分配哪个网段的ip地址
dhcp select relay                             设置dhcp中继模式
dhcp relay server-ip 12.1.1.1                 中继指向dhcp服务器接口地址

在dhcp服务器上配置命令如下:
ip pool dhcp                                  设置地址池
gateway-list 192.168.1.254                    设置网关
network 192.168.1.0 mask 255.255.255.0        宣告分配网段
lease day 3 hour 0 minute 0                   设置租约期
dns-list 8.8.8.8                              设置dns
interface GigabitEthernet0/0/0                进入接口
ip address 12.1.1.1 255.255.255.0             设置接口地址
dhcp select global                            设置dhcp模式
ip pool huawei                                设置地址池
gateway-list 192.168.2.254                    设置网关
network 192.168.2.0 mask 255.255.255.0        宣告分配网段
lease day 3 hour 0 minute 0                   设置租约期
dns-list 8.8.8.8                              设置dns
ip route-static 192.168.1.0 255.255.255.0 12.1.1.2    添加一条静态路由,使dhcp能通过192.168.1.254这个接口将ip地址分配下去

ip route-static 192.168.2.0 255.255.255.0 12.1.1.2    添加一条静态路由,使dhcp能通过192.168.2.254这个接口将ip地址分配下去

dhcp snooping:通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息。在交换机上开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址
在交换机上的配置命令如下:
dhcp enable                                    开启dhcp
dhcp snooping enable                           开启dhcp snooping
dhcp snooping enable vlan X                    设置dhcp snooping应用在哪个vlan
interface GigabitEthernet0/0/4                 进入接口
dhcp snooping trusted                          将该接口设置为trusted接口
display dhcp snooping user-bind vlan 1         查看DHCP Snooping绑定表
DHCP Snooping绑定表:mac+ip+vlan+port的绑定关系   绑定表可以手动配置也可以动态学习
interface g0/0/3                               进入接口
dhcp snooping check dhcp-request enable        在接口下开启检查request报文的功能
dhcp snooping max-user-number X                设置该接口最多可以申请多少个ip,防止dhcp的饿死攻击 
dhcp snooping check dhcp-rate enable           防止dhcp防洪攻击
手动创建绑定表命令如下:
user-bind static ip-address x.x.x.x mac-address x.x.x.x interface x     将ip地址mac地址和端口进行绑定
在vlan下通过dhcp绑定表开启开启arp的防护中间人攻击功能,命令如下:
arp anti-attack check user-bind enable

你可能感兴趣的:(dhcp进阶之旅)