华为DHCP及DHCP安全技术
DHCP 动态主机配置协议
基于UDP协议
bootpc—端口号68
bootps—端口号67
DHCP 角色:
1.DHCP client: 请求获取ip地址
2.DHCP server:为DHCP client分配的地址,地址租借,续租,释放
3.DHCP relay :中继代理(由于client和DHCP server不在同一个网段)
负责转发来自客户端方向或服务器方向的DHCP报文,协助DHCP客户端和DHCP服务器完成地址配置功能。
四个阶段:
1.发现阶段 discovery
查找DHCP server服务器的阶段,用广播报文
2.提供阶段 offer 单播
DHCP服务器提供IP地址的阶段
3.选择阶段 request 广播
DHCP client选择IP地址的阶段
选择第一个接收到offer报文的DHCP server
包含option 54 —是提供IP地址的server
Request 消息如果用于续租,在50%以单播发送,87.5%以广播发送
4.确认阶段
DHCP服务器确认所提供IP地址的阶段
DHCP 配置:
1.基于接口配置
interface Vlanif10
ip address 10.1.1.254 255.255.255.0
dhcp select interface //接口使能DHCP功能
dhcp server excluded-ip-address 10.1.1.100 10.1.1.253 //DHCP server分配地址的时候排错地址10.1.1.100–10.1.1.253
dhcp server lease day 0 hour 2 minute 0 //分配地址的租期2小时
验证
dis ip pool interface vlanif10 used
2.全局DHCP的配置
ip pool HW //DHCP pool名称为HW
gateway-list 10.1.1.254 //网关地址
network 10.1.1.0 mask 255.255.255.0 //分发地址网段
excluded-ip-address 10.1.1.50 10.1.1.253 //保留的地址50-253
lease day 0 hour 2 minute 0 //租期2h
dns-list 8.8.8.8 //dns server地址8.8.8.8
domain-name HW.com
interface Vlanif10
ip address 10.1.1.254 255.255.255.0
dhcp select global //应用本地的DHCP server
===============================================================
中继代理:
1.前提条件
中继代理的地址要和DHCP server地址一定要路由可达
SW3:
interface Vlanif10
ip address 10.1.1.254 255.255.255.0
dhcp select relay //开启中继代理
dhcp relay server-ip 100.1.1.1 //指定DHCP server地址
[SW3]dis dhcp relay all
DHCP relay agent running information of interface Vlanif10 :
Server IP address [01] : 100.1.1.1
Gateway address in use : 10.1.1.254
======================================================
DHCP snooping 功能:
1.两大功能:
信任端口:可以接收和处理所有的DHCP 报文
信任端口一般连接上联交换机的端口 trunk端口,或者DHCP server服务器的端口
非信任端口:只能发送DHCP discovery,拒绝从非信任接口由DHCP server发过来的DHCP 的其他报文 比如 OFFER ack NAK等
一般连接终端设备的端口,DHCP snooping是在中继环境下,才生效。一般配置在接入交换机上
dhcp snooping enable //全局开启dhcp snooping
vlan 10 /
dhcp snooping enable
interface GigabitEthernet0/0/3
dhcp snooping enable //接口开启DHCP snooping
dhcp snooping trusted //配置为信任接口
interface GigabitEthernet0/0/23
dhcp snooping enable //非信任接口
dhcp snooping check dhcp-rate enable
dhcp snooping check dhcp-rate 50 //限制DHCP rate 每秒50pps
[SW3]dis dhcp snooping
[SW3]dis dhcp snooping user-bind all
绑定表包含的内容:ip mac vlan 接口租期
int g0/0/23 ----配置在中继的接口上,连接终端设备的接口
dhcp option82 insert enable