DHCP协议-报文类型/需求背景/协议特性/DHCO中继/DHCP Snooping概述

DHCP协议需求背景DHCP协议需求背景

减少错误
通过配置DHCP，把手工配置IP地址所导致的错误减少到最低程度，例如已分配的IP地址再次分配给另一设备所造成的地址冲突等将大大减少。
减少网络管理
1、TCP/IP配置是集中化和自动完成的，不需要网络管理员手工配置。网络管理员能集中定义全局和特定子网的TCP/IP配置信息。
2、使用DHCP选项可以自动给客户机分配全部范围的附加TCP/IP配置值。客户机配置的地址变化必须经常更新，比如远程访问客户机经常到处移动，这样便于它在新的地点重新启动时，高效而又自动地进行配置。
3、同时大部分路由器能转发DHCP配置请求，这就减少了在每个子网设置DHCP服务器的必要，除非有其它原因要这样做。

DHCP是Bootstrap协议的一种扩展,基于UDP协议,客户端的端口号是68,服务端的端口号是67。

DHCP协议特性
1、保证任何IP地址在同一时刻只能由一台DHCP客户机所使用
2、DHCP应当可以给用户分配永久固定的IP地址
3、DHCP应当可以同用其他方法获得IP地址的主机共存(如手工配置IP地址的主机)
4、DHCP服务器应当向现有的DHCP客户端提供服务

DHCP报文8种类型：

DHCP中继

考虑到成本,无需每个子网都配备一台DHCP服务器,所以DHCP协议应当可以通过路由器或者BOOTP代理透传（DHCP中继）。
由于DHCP请求报文采用广播方式发送报文，因此当DHCP客户端和DHCP服	务器处于不同子网时，必须要通过DHCP中继进行通信，最终获取到IP地址。
多个网络上的DHCP客户端可以使用同一个DHCP服务器，既节省了成本，又便于进行集中管理。

DHCP Snooping概述

DHCP Snooping是 DHCP 的一种安全特性，主要应用在 交换机 上，作用是屏蔽接入网络中的非法的 DHCP 服务器。即开启 DHCP Snooping 功能后，网络中的客户端只有从管理员指定的 DHCP 服务器获取 IP 地址。
DHCP在设计上未从分考虑安全因素，从而留下了许多安全漏洞，使得DHCP很容易受到攻击。实际网络中，针对DHCP的攻击行为主要有以下三种：
*DHCP饿死攻击
仿冒DHCP Server攻击
DHCP中间人攻击*

DHCP饿死攻击
攻击原理：攻击者持续大量的向DHCP Server申请地址，直到耗尽DHCP Server地址池中的IP地址，导致DHCP Server不能给正常的用户进行分配。
解决方法：通过校验CHADDR与MAC值。
仿冒DHCP Server攻击。
攻击原理：攻击者仿冒DHCP Server，向客户端分配错误的IP地址及提供错误的网关地址等，导致客户端无法正常访问网络。
解决办法：通过配置trust与untrust口区分转发。
中间人攻击
攻击原理：攻击者利用ARP机制，让PC-A学习到IP-S与MAC-B的映射关系，又让Server学习到IP-A与MAC-B的映射关系。如此一来，PC-A与Server之间交付的IP报文都会经过攻击者中转。
解决办法：开启ARP检测。