Lab_7 DHCP

Lab_7 DHCP

DHCP工作原理... 1

DHCP基本配置... 2

DHCP中继代理... 3

DHCP Spoofing. 5

DHCP工作原理

Lab_7 DHCP_第1张图片

1、DHCP Discover:在任何时候,客户计算机如果设置为自动获取IP地址,那么在它开机时,就会检查自己当前是否租用了一个IP地址,如果没有,它就向DCHP请求一个租用,由于该客户计算机并不知道DHCP服务器的地址,所以会用255.255.255.255作为目标地址,源地址使用0.0.0.0,在网络上广播一个DHCPDISCOVER消息,消息包含客户计算机的媒体访问控制(MAC)地址(网卡上内建的硬件地址)以及它的NetBIOS名字。   2、DHCP Offer:当DHCP服务器接收到一个来自客户的IP租用请求时,它会根据自己的作用域地址池为该客户保留一个IP地址并且在网络上广播一个来实现,该消息包含客户的MAC地址、服务器所能提供的IP地址、子网掩码、租用期限,以及提供该租用的DHCP服务器本身的IP地址。   3、DHCP Request:如果子网还存在其它DHCP服务器,那么客户机在接受了某个DHCP服务器的DHCPOFFER消息后,它会广播一条包含提供租用的服务器的IP地址的DHCPREQUEST消息,在该子网中通告所有其它DHCP服务器它已经接受了一个地址的提供,其他DHCP服务器在接收到这条消息后,就会撤销为该客户提供的租用。然后把为该客户分配的租用地址返回到地址池中,该地址将可以重新作为一个有效地址提供给别的计算机使用。   4、DHCP ACK: DHCP服务器接收到来自客户的DHCPREQUEST消息,它就开始配置过程的最后一个阶段,这个确认阶段由DHCP服务器发送一个DHCPACK包给客户,该包包括一个租用期限和客户所请求的所有其它配置信息,至此,完成TCP/IP配置。   5、ARP:当客户端启用DHCP服务器给的IP前,客户端还会向网络发送一个ARP报文查询网络中有没有其他机器在使用该IP,如果发现该IP已被占用,客户端会发送一个DHCP decline 报文给DHCP服务器拒绝接受其DHCP offer并重新发送DHCP discover   6. 登录网络:DHCPclient重新登录网络时,会直接发送包含前一次所分配的IP地址的DHCP request信息,当DHCPserver收到请求后他会尝试让DHCPclient继续使用原来的IP,并回答一个ACK确认信息,如果此IP无法再分配给原来的DHCP客户端使用时,则DHCP服务器给DHCP客户端回答一个DHCPnack。当原来的DHCPclient收到此信息后,他就必须重新发送discover寻求新的地址 7、租期:DHCP服务器向DHCP客户端初祖的IP一般都会有一个期限,期满后便会收回IP地址, 如果client想继续使用则必须跟新其IP租约。DHCP客户端再ip租期过半时会自动向DHCPserver发送request更新其ip租约,如果这时得不到server确认client还可以继续使用ip,再剩下的租约再次过半时(75%)还得不到确认的话,那么工作站就不能拥有这个Ip。 DHCP基本配置

clip_image004[7]

clip_image006[4]

clip_image008[4]

DHCP中继代理

clip_image010[6]

clip_image012[4]

clip_image010[7]

clip_image014[4]

DHCP Server

clip_image016[4]

R1 F0/1

clip_image018[4]

clip_image020[4]

clip_image022[4]

clip_image024[4]

DHCP Spoofing

clip_image026[4]

clip_image028[4]

DHCP

clip_image030[4]

R1

clip_image032[4]

Hacker

clip_image034[4]

clip_image036[4]

clip_image038[4]

clip_image040[4]

此时Client的流量将经过Hacker然后到网关

防御方法

clip_image042[4]

DHCP Snoop

DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。

当交换机开启了 DHCP-Snooping后,会对DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。

1 在全局开启DHCP Snooping(必须)

ip dhcp snooping

2 vlan上启用

ip dhcp snooping vlan 11-200

3 接口上启用 DHCP Trust(很重要的命令,默认全局启用了dhcp snooping之后,所有的接口都是untrust,只允许接PC,必须在和dhcp服务器,接入层交换机相连的接口下配置trustuntrust接口只能够发送DHCP请求,其余的DHCP相关包都会丢弃)

ip dhcp snooping trust

4 可以在接pc的接口上配置dhcp包的速率

ip dhcp snooping limit rate 100

why

clip_image044[4]

你可能感兴趣的:(职场,DHCP,休闲,lab)