Lab_7 DHCP

Lab_7 DHCP

DHCP工作原理... 1

DHCP基本配置... 2

DHCP中继代理... 3

DHCP Spoofing. 5

DHCP工作原理

1、DHCP Discover：在任何时候，客户计算机如果设置为自动获取IP地址，那么在它开机时，就会检查自己当前是否租用了一个IP地址，如果没有，它就向DCHP请求一个租用，由于该客户计算机并不知道DHCP服务器的地址，所以会用255.255.255.255作为目标地址，源地址使用0.0.0.0，在网络上广播一个DHCPDISCOVER消息，消息包含客户计算机的媒体访问控制（MAC）地址（网卡上内建的硬件地址）以及它的NetBIOS名字。   2、DHCP Offer：当DHCP服务器接收到一个来自客户的IP租用请求时，它会根据自己的作用域地址池为该客户保留一个IP地址并且在网络上广播一个来实现，该消息包含客户的MAC地址、服务器所能提供的IP地址、子网掩码、租用期限，以及提供该租用的DHCP服务器本身的IP地址。   3、DHCP Request：如果子网还存在其它DHCP服务器，那么客户机在接受了某个DHCP服务器的DHCPOFFER消息后，它会广播一条包含提供租用的服务器的IP地址的DHCPREQUEST消息，在该子网中通告所有其它DHCP服务器它已经接受了一个地址的提供，其他DHCP服务器在接收到这条消息后，就会撤销为该客户提供的租用。然后把为该客户分配的租用地址返回到地址池中，该地址将可以重新作为一个有效地址提供给别的计算机使用。   4、DHCP ACK： DHCP服务器接收到来自客户的DHCPREQUEST消息，它就开始配置过程的最后一个阶段，这个确认阶段由DHCP服务器发送一个DHCPACK包给客户，该包包括一个租用期限和客户所请求的所有其它配置信息，至此，完成TCP/IP配置。   5、ARP：当客户端启用DHCP服务器给的IP前，客户端还会向网络发送一个ARP报文查询网络中有没有其他机器在使用该IP，如果发现该IP已被占用，客户端会发送一个DHCP decline 报文给DHCP服务器拒绝接受其DHCP offer并重新发送DHCP discover   6. 登录网络：DHCPclient重新登录网络时，会直接发送包含前一次所分配的IP地址的DHCP request信息，当DHCPserver收到请求后他会尝试让DHCPclient继续使用原来的IP，并回答一个ACK确认信息，如果此IP无法再分配给原来的DHCP客户端使用时，则DHCP服务器给DHCP客户端回答一个DHCPnack。当原来的DHCPclient收到此信息后，他就必须重新发送discover寻求新的地址 7、租期：DHCP服务器向DHCP客户端初祖的IP一般都会有一个期限，期满后便会收回IP地址， 如果client想继续使用则必须跟新其IP租约。DHCP客户端再ip租期过半时会自动向DHCPserver发送request更新其ip租约，如果这时得不到server确认client还可以继续使用ip，再剩下的租约再次过半时（75%）还得不到确认的话，那么工作站就不能拥有这个Ip。 DHCP基本配置

DHCP中继代理

DHCP Server

R1 F0/1

DHCP Spoofing

DHCP

R1

Hacker

此时Client的流量将经过Hacker然后到网关

防御方法

DHCP Snoop

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。

当交换机开启了 DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

1 在全局开启DHCP Snooping(必须)

ip dhcp snooping

2 在vlan上启用

ip dhcp snooping vlan 11-200

3 接口上启用 DHCP Trust（很重要的命令，默认全局启用了dhcp snooping之后，所有的接口都是untrust，只允许接PC，必须在和dhcp服务器，接入层交换机相连的接口下配置trust。untrust接口只能够发送DHCP请求，其余的DHCP相关包都会丢弃）

ip dhcp snooping trust

4 可以在接pc的接口上配置dhcp包的速率

ip dhcp snooping limit rate 100

why？