首页 安全防御正文

dhcp是什么意思(什么是DHCP)

dhcp是什么意思(什么是DHCP)今天主要向大家介绍有关DHCP的内容,有需要的朋友可以收藏一下!

一、 DHCP概述

1、DHCP

Dynamic Host Configuration Protocol 动态主机配置协议,是一种提供传输配置信息到主机的 *** 。

客户机使用UDP68端口发送请求报文,服务器使用UDP67端口回应,给客户机提供ip地址以及其它相关信息,如 *** 掩码、路由、DNS服务器地址等。基于Client-Server模式,信息格式与BOOTP类似。

2

手工配置IP地址的优缺点

(1)缺点:

配置繁琐;

容易导致IP地址冲突;

可移动性较差;

安全性得不到保障。

 

干货|什么是DHCP?这些我们应该知道

 

(2)优点:

配置简单;

可移动性较好;

相对安全。

3、地址分配方式

自动分配— DHCP分配永久的IP地址给主机

动态分配— DHCP分配给客户机一个地址的租约(或直到主机声明放弃地址)

手动分配— 主机IP地址由管理员指定

注:仅仅动态分配有地址回收机制。

干货|什么是DHCP?这些我们应该知道

 

 

二、DHCP常见术语

DHCP client:DHCP 客户机,通过DHCP 获得 *** 参数的主机。

DHCP server:DHCP 服务器,为DHCP client提供 *** 参数的主机。

BOOTP relay agent:BOOTP 中继 *** ,在DHCP 服务器和DHCP 客户之间传送DHCP 消息的主机或路由器。

DHCP relay agent:DHCP 中继 *** ,在DHCP 服务器和DHCP 客户之间传送dhcp 消息的主机或路由器。

binding:绑定、封装。将收集的配置参数(至少包括一个ip地址),封装并分配给客户机。这个动作是由服务器处理的。

干货|什么是DHCP?这些我们应该知道

 

三、Dhcp server配置步骤

1. 启动/关闭DHCP服务器功能

2. 配置DHCP地址池

(1) 创建/删除DHCP地址池

(2) 配置动态DHCP地址池的参数

(3) 配置手工DHCP地址池的参数

3. 启动记录地址冲突的日志功能

4. 配置发ping包的个数和超时时间

Switch(Config)# service dhcp

Switch(Config)#ip dhcp pool A

Switch(dhcp-A-config)#network 10.16.1.0 24

Switch(dhcp-A-config)#lease 3

Switch(dhcp-A-config)#default-route 10.16.1.200 10.16.1.201

Switch(dhcp-A-config)#dns-server 10.16.1.202

Switch(dhcp-A-config)#netbios-name-server 10.16.1.209

Switch(dhcp-A-config)#exit

Switch(Config)#ip dhcp excluded-address 10.16.1.200 10.16.1.210

Switch(Config)#ip dhcp excluded-address 10.16.2.200 10.16.2.210

Switch(Config)#ip dhcp pool B

Switch(dhcp-A1config)#host 10.16.1.210

Switch(dhcp-A1-config)#hardware-address 0003.2223.dcab

Switch(Config)# ip dhcp conflict logging//*地址冲突缺省启用

Switch(Config)#ip dhcp ping timeout 1000 //*ping超时缺省500ms

Switch(Config)#ip dhcp ping packets 5//*缺省发ping包个数为2

干货|什么是DHCP?这些我们应该知道

 

四、Dhcp中继

在大型的 *** 中,可能会存在多个子网。DHCP客户机通过 *** 广播消息获得DHCP服务器的响应后得到IP地址。但广播消息是不能跨越子网的。因此,如果DHCP客户机和服务器在不同的子网内,客户机还能不能向服务器申请IP地址呢?

这就要用到DHCP中继 *** 。

DHCP中继 *** 实际上是一种软件技术,安装了DHCP中继 *** 的计算机称为DHCP中继 *** 服务器,它承担不同子网间的DHCP客户机和服务器的通信任务。

1DHCP 中继配置任务序列如下:

启动 DHCP 中继

配置 DHCP 中继转发 DHCP 广播报文

说明: *** 中已存在DHCP Server,Vlan 20内PC的IP地址通过DHPC Relay方式获得。

组网图:

 

干货|什么是DHCP?这些我们应该知道

 

2、DHCP Server的配置

switch(config)#service dhcp 开启dhcp服务

switch(config)#ip dhcp pool vlan20 创建dhcp地址池

switch(dhcp-vlan20-config)#network 10.1.2.1 24 dhcp的地址范围

switch(dhcp-vlan20-config)#default-router 10.1.2.1 dhcp网关

switch(dhcp-vlan20-config)#exit

干货|什么是DHCP?这些我们应该知道

 

 

3、DHCP Relay的配置

switch(config)#service dhcp 开启dhcp服务

switch(config)#ip forward-protocol udp bootps 开启dhcp中继转发udp广播报文

switch(config)#vlan 10

switch(config-Vlan10)#ip address 10.1.1.2 255.255.255.0 配置IP地址switch(config-Vlan10)#exitswitch(config)#vlan 20

switch(config-Vlan20)#ip address 10.1.2.1 255.255.255.0 配置IP地址switch(config-Vlan20)#ip help-address 10.1.1.1 指定dhcp中继转发UDP报文的目的地址

switch(config-Vlan20)#exit

干货|什么是DHCP?这些我们应该知道

 

五、Dhcp Snooping

DHCP Snooping 功能指交换机监测 DHCP CLIENT 通过 DHCP 协议获取 IP 的过程。它通过设置信任端口和非信任端口,来防止 DHCP 攻击及私设 DHCP SERVER。

从信任端口接收的 DHCP 报文无需校验即可转发。典型的设置是将信任端口连接 DHCP SERVER 或者 DHCP RELAY *** 。非信任端口连接 DHCP CLIENT,交换机将转发从非信任端口接收的 DHCP 请求报文,不转发从非信任端口接收的 DHCP 回应报文。

如果从非信任端口接收DHCP 回应报文,除了发出告警信息外,并可根据设置对该端口执行相应的动作,比如shutdown、下发 blackhole。

如果启用了 DHCP Snooping 绑定功能,则交换机将会保存非信任端口下的 DHCP CLIENT 的绑定信息,每一条绑定信息包含该 DHCP CLIENT 的 MAC地址、 IP 地址、租期、 VLAN 号和端口号,这些绑定信息存放于 DHCP Snooping 的绑定表。

干货|什么是DHCP?这些我们应该知道

 

如上图:

1、Mac-AA 设备为正常用户,连接在交换机非信任端口 1/1 上,其通过 DHCP Client获得 IP 1.1.1.5;

2、DHCP Server 和 GateWay 分别连接在交换机的信任端口 1/11 ; 1/12 上;恶意用户 Mac-BB 连接在非信任端口 1/10 上,试图伪装 DHCP Server(发送 DHCPACK)。

3 、在交换机上设置 DHCP snooping 将能有效发现并阻止这种 *** 攻击。

干货|什么是DHCP?这些我们应该知道

 

交换机配置为:

switch#

switch#config

switch(config)#ip dhcp snooping enable 开启dhcp侦听功能

switch(config)#interface ethernet 1/11

switch(Config-Ethernet1/11 )#ip dhcp snooping trust 设置信任端口

switch(Config-Ethernet1/11 )#exit

switch(config)#interface ethernet 1/12

switch(Config-Ethernet1/12)#ip dhcp snooping trust 设置信任端口

switch(Config-Ethernet1/12)#exit

switch(config)#interface ethernet 1/1 -10

switch(Config-Port-Range)#ip dhcp snooping action shutdown 其余端口收到dhcp服务时直接阻塞端口

来源:博客,欢迎分享本文!

版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。