dhcp是什么意思(什么是DHCP)今天主要向大家介绍有关DHCP的内容,有需要的朋友可以收藏一下!
一、 DHCP概述
1、DHCP
Dynamic Host Configuration Protocol 动态主机配置协议,是一种提供传输配置信息到主机的 *** 。
客户机使用UDP68端口发送请求报文,服务器使用UDP67端口回应,给客户机提供ip地址以及其它相关信息,如 *** 掩码、路由、DNS服务器地址等。基于Client-Server模式,信息格式与BOOTP类似。
2
手工配置IP地址的优缺点
(1)缺点:
配置繁琐;
容易导致IP地址冲突;
可移动性较差;
安全性得不到保障。
(2)优点:
配置简单;
可移动性较好;
相对安全。
3、地址分配方式
自动分配— DHCP分配永久的IP地址给主机
动态分配— DHCP分配给客户机一个地址的租约(或直到主机声明放弃地址)
手动分配— 主机IP地址由管理员指定
注:仅仅动态分配有地址回收机制。
二、DHCP常见术语
DHCP client:DHCP 客户机,通过DHCP 获得 *** 参数的主机。
DHCP server:DHCP 服务器,为DHCP client提供 *** 参数的主机。
BOOTP relay agent:BOOTP 中继 *** ,在DHCP 服务器和DHCP 客户之间传送DHCP 消息的主机或路由器。
DHCP relay agent:DHCP 中继 *** ,在DHCP 服务器和DHCP 客户之间传送dhcp 消息的主机或路由器。
binding:绑定、封装。将收集的配置参数(至少包括一个ip地址),封装并分配给客户机。这个动作是由服务器处理的。
三、Dhcp server配置步骤
1. 启动/关闭DHCP服务器功能
2. 配置DHCP地址池
(1) 创建/删除DHCP地址池
(2) 配置动态DHCP地址池的参数
(3) 配置手工DHCP地址池的参数
3. 启动记录地址冲突的日志功能
4. 配置发ping包的个数和超时时间
Switch(Config)# service dhcp
Switch(Config)#ip dhcp pool A
Switch(dhcp-A-config)#network 10.16.1.0 24
Switch(dhcp-A-config)#lease 3
Switch(dhcp-A-config)#default-route 10.16.1.200 10.16.1.201
Switch(dhcp-A-config)#dns-server 10.16.1.202
Switch(dhcp-A-config)#netbios-name-server 10.16.1.209
Switch(dhcp-A-config)#exit
Switch(Config)#ip dhcp excluded-address 10.16.1.200 10.16.1.210
Switch(Config)#ip dhcp excluded-address 10.16.2.200 10.16.2.210
Switch(Config)#ip dhcp pool B
Switch(dhcp-A1config)#host 10.16.1.210
Switch(dhcp-A1-config)#hardware-address 0003.2223.dcab
Switch(Config)# ip dhcp conflict logging//*地址冲突缺省启用
Switch(Config)#ip dhcp ping timeout 1000 //*ping超时缺省500ms
Switch(Config)#ip dhcp ping packets 5//*缺省发ping包个数为2
四、Dhcp中继
在大型的 *** 中,可能会存在多个子网。DHCP客户机通过 *** 广播消息获得DHCP服务器的响应后得到IP地址。但广播消息是不能跨越子网的。因此,如果DHCP客户机和服务器在不同的子网内,客户机还能不能向服务器申请IP地址呢?
这就要用到DHCP中继 *** 。
DHCP中继 *** 实际上是一种软件技术,安装了DHCP中继 *** 的计算机称为DHCP中继 *** 服务器,它承担不同子网间的DHCP客户机和服务器的通信任务。
1DHCP 中继配置任务序列如下:
启动 DHCP 中继
配置 DHCP 中继转发 DHCP 广播报文
说明: *** 中已存在DHCP Server,Vlan 20内PC的IP地址通过DHPC Relay方式获得。
组网图:
2、DHCP Server的配置
switch(config)#service dhcp 开启dhcp服务
switch(config)#ip dhcp pool vlan20 创建dhcp地址池
switch(dhcp-vlan20-config)#network 10.1.2.1 24 dhcp的地址范围
switch(dhcp-vlan20-config)#default-router 10.1.2.1 dhcp网关
switch(dhcp-vlan20-config)#exit
3、DHCP Relay的配置
switch(config)#service dhcp 开启dhcp服务
switch(config)#ip forward-protocol udp bootps 开启dhcp中继转发udp广播报文
switch(config)#vlan 10
switch(config-Vlan10)#ip address 10.1.1.2 255.255.255.0 配置IP地址switch(config-Vlan10)#exitswitch(config)#vlan 20
switch(config-Vlan20)#ip address 10.1.2.1 255.255.255.0 配置IP地址switch(config-Vlan20)#ip help-address 10.1.1.1 指定dhcp中继转发UDP报文的目的地址
switch(config-Vlan20)#exit
五、Dhcp Snooping
DHCP Snooping 功能指交换机监测 DHCP CLIENT 通过 DHCP 协议获取 IP 的过程。它通过设置信任端口和非信任端口,来防止 DHCP 攻击及私设 DHCP SERVER。
从信任端口接收的 DHCP 报文无需校验即可转发。典型的设置是将信任端口连接 DHCP SERVER 或者 DHCP RELAY *** 。非信任端口连接 DHCP CLIENT,交换机将转发从非信任端口接收的 DHCP 请求报文,不转发从非信任端口接收的 DHCP 回应报文。
如果从非信任端口接收DHCP 回应报文,除了发出告警信息外,并可根据设置对该端口执行相应的动作,比如shutdown、下发 blackhole。
如果启用了 DHCP Snooping 绑定功能,则交换机将会保存非信任端口下的 DHCP CLIENT 的绑定信息,每一条绑定信息包含该 DHCP CLIENT 的 MAC地址、 IP 地址、租期、 VLAN 号和端口号,这些绑定信息存放于 DHCP Snooping 的绑定表。
如上图:
1、Mac-AA 设备为正常用户,连接在交换机非信任端口 1/1 上,其通过 DHCP Client获得 IP 1.1.1.5;
2、DHCP Server 和 GateWay 分别连接在交换机的信任端口 1/11 ; 1/12 上;恶意用户 Mac-BB 连接在非信任端口 1/10 上,试图伪装 DHCP Server(发送 DHCPACK)。
3 、在交换机上设置 DHCP snooping 将能有效发现并阻止这种 *** 攻击。
交换机配置为:
switch#
switch#config
switch(config)#ip dhcp snooping enable 开启dhcp侦听功能
switch(config)#interface ethernet 1/11
switch(Config-Ethernet1/11 )#ip dhcp snooping trust 设置信任端口
switch(Config-Ethernet1/11 )#exit
switch(config)#interface ethernet 1/12
switch(Config-Ethernet1/12)#ip dhcp snooping trust 设置信任端口
switch(Config-Ethernet1/12)#exit
switch(config)#interface ethernet 1/1 -10
switch(Config-Port-Range)#ip dhcp snooping action shutdown 其余端口收到dhcp服务时直接阻塞端口
来源:博客,欢迎分享本文!
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。