中兴ZXR10系列 DHCP 学习笔记

DHCP 动态主机配置服务能够让网络上的一台主机从一个DHCP服务器获得一个有效的IP以及其它的配置信息，使能够在网络内正常通信。

DHCP使用的是UDP协议，主机发送请求给dhcp服务器的67端口，dhcp服务器回消息给主机的68端口。

DHCP实现过程主要包括以下几步：

1.主机发送一个请求IP地址及其他配置信息的广播报文 DHCPDiscover

2.DHCP服务器会送一个包含有效IP地址以及其他配置信息的单播报文DHCP offer

3.主机接受最先到达的DHCP Offer的那台服务器，并发送一个单播的DHCPrequest报文 表示接受配置信息.

4.被选中DHCP服务器回送一个确认的报文 DHCPAck

至此 主机就可以通过DHCP分配的IP 在网络内进行通信。

DHCP分配IP 有3种方式：

1.随机永久性分配

2.绑定 静态分配

3.随机分配 有租约

我们平常使用最多的是第三种类型，当租约到期后，必须续约，否则服务器释放该IP给其他主机使用。

在网络中我们还会遇到一些问题，比如DHCP服务器和客户端主机不在同一个网段，而路由器不会将一个广播包从一个子网转发到另外一个子网，这时候我们就要配置DHCP中继，转发DHCP广播包.

 还有一种情况就是 网络内有多台DHCP服务器，其中可能存在用户非法私自搭建的DHCP服务器，这样会产生客户端无法获取合法的IP地址，同时也会造成ip地址冲突的现象，为了解决以上问题，中兴三层路由交换机通过采取DHCP snooping 技术来阻断不合法的dhcp服务器，这时候连接DHCP服务器的端口必须设置为信任端口，另外结合动态的arp检测技术，可以防止非法的IP MAC绑定.保证了dhcp服务器能够正常分配IP地址。

DHCP配置选项一般包括以下几点：

在交换机上开启dhcp服务

创建地址池 ip local pool jzt 10.1.1.1 10.1.1.100 255.255.255.0

配置默认的DNS 和网关

配置地址租约 ip dhcp server leasetime 100

配置mac绑定

配置接口上DHCP用户的限额

DHCP snooping的配置：

全局启用DHCP snooping  ip dhcp snooping enable

在vlan中启用DHCP snooping  ip dhcp snooping vlan <vlan-id>

配置DHCP snooping 信任端口 防止不合法的DHCPu、服务器欺骗

ip dhcp snooping trust f0/1

动态ARP检测 ip arp inspection vlan <vlan-id>

手动配置DHCP snooping 数据库表项

 

DHCP中继的配置：

1.全局启用内置的DHCP进程

ip dhcp enable

2.在接口上启用DHCP relay

ip dhcp mode relay

3.在连接客户机子网的接口上配置用户缺省网关地址

ip dhcp relay agent 192.168.1.1

4.在连接客户机子网的接口上配置外部DHCP的IP地址

ip dhcp relay server 192.168.1.254

5.全局将DHCP服务器的分配IP地址与arp绑定

ip dhcp relay update arp

 

 配置实例 DHCPsnooping :

 

 

拓扑中 DHCP1 是合法的服务器 DHCP2是用户私自搭建的非法服务器

3台电脑同属于vlan100

int  range f0/1 -3

switchport mode acc

switchport acc vlan 100

配置模式下：ip dhcp snooping enable

ip dhcp snooping  vlan 100

ip dhcp snooping trusst f0/2

int vlan 100

通过动态arp检测技术可以防止pc机设置静态ip地址 ip arp inspection  

 DHCP的维护和诊断：

show ip dhcp server 显示dhcp server配置信息

show ip dhcp snooping configure

show ip dhcp server user 显示DHCP用户列表

show ip dhcp relay  显示dhcp中继配置信息

show ip  local  poor  显示本地地址池的配置信息