导读:今天主要给大家介绍DHCP的内容。有需要的朋友可以收藏一下!一. DHCP概述1、DHCP动态主机配置协议动态主机配置协议是一种向主机传输配置信息的方法。
导读:今天主要给大家介绍DHCP的内容。有需要的朋友可以收藏一下!
一. DHCP概述
1、DHCP
动态主机配置协议动态主机配置协议是一种向主机传输配置信息的方法。
客户端使用UDP68端口发送请求消息,服务器使用UDP67端口响应,为客户端提供ip地址等相关信息,如网络掩码、路由、DNS服务器地址等。基于客户机-服务器模式,信息格式类似于BOOTP。
2
手动配置IP地址的优点和缺点
(1)缺点:
配置繁琐;
容易造成IP地址冲突;
机动性差;
安全无法保证。
(2)优点:
配置简单;
良好的流动性;
相对安全。
3.地址分配方法
自动分配—DHCP为主机分配一个永久IP地址。
动态分配—DHCP向客户端分配地址租约(或者直到主机放弃该地址)。
手动分配—主机IP地址由管理员指定。
注意:只有动态分配才有地址恢复机制。
二、DHCP常用术语
DHCP客户端:DHCP客户端,通过DHCP获取网络参数的主机。
DHCP服务器:DHCP服务器,为DHCP客户端提供网络参数的主机。
BOOTP中继代理:BOOTP中继代理,在DHCP服务器和DHCP客户端之间传输DHCP消息的主机或路由器。
Dhcp中继代理:DHCP中继代理,在DHCP服务器和DHCP客户端之间传输DHCP消息的主机或路由器。
绑定:绑定,封装。封装收集的配置参数(包括至少一个ip地址)并将其分发给客户端。此操作由服务器处理。
三。Dhcp服务器配置步骤
1.启动/关闭DHCP服务器功能
2.配置DHCP地址池
(1)创建/删除DHCP地址池
(2)配置动态DHCP地址池的参数
(3)配置手动DHCP地址池的参数。
3.启动记录地址冲突的日志功能。
4.配置ping数据包的数量和超时。
交换机(配置)#服务dhcp
交换机(配置)#ip dhcp池A
交换机(DHCP-A-config)#网络10.16.1.0 24
交换机(DHCP-A-config)#租约3
交换机(DHCP-A-config)#默认路由10.16.1.200 10.16.1.201
交换机(DHCP-A-config)# DNS-server 10 . 16 . 1 . 202
交换机(DHCP-A-config)# NetBIOS-name-server 10 . 16 . 1 . 209
交换机(DHCP-A-config)#退出
交换机(配置)#ip dhcp排除-地址10.16.1.200 10.16.1.210
交换机(配置)#ip dhcp排除-地址10.16.2.200 10.16.2.210
交换机(配置)#ip dhcp池B
交换机(DHCP-a1 config)#主机10.16.1.210
交换机(DHCP-A1-config)#硬件地址0003.2223.dcab
默认情况下,交换机(配置)# IP DHCP冲突记录//*地址冲突处于启用状态
交换机(配置)# IP DHCP ping超时1000//*默认ping超时为500毫秒
Switch (config) # IP DHCP ping数据包5//*发送的ping数据包的默认数量是2。
第四,Dhcp中继
在大型网络中,可能有多个子网。DHCP客户端通过网络广播消息收到DHCP服务器的响应后,获取IP地址。但是广播消息不能跨越子网。所以,如果DHCP客户端和服务器在不同的子网,客户端还可以向服务器申请IP地址吗?
这需要使用DHCP中继代理。
DHCP中继代理实际上是一种软件技术。安装了DHCP中继代理的计算机称为DHCP中继代理服务器,承担DHCP客户端与不同子网的服务器之间的通信任务。
1DHCP中继配置任务序列如下:
启动DHCP中继
配置DHCP中继转发DHCP广播消息
说明:网络中已经存在DHCP服务器,Vlan 20中PC的IP地址是通过DHPC中继获得的。
网络图:
2.DHCP服务器的配置
switch(config)# servicedhcp打开dhcp服务
交换机(配置)# IP dhcp地址池VLAN 20创建dhcp地址池
交换机(DHCP-VLAN 20-config)# network 10 . 1 . 2 . 1 24 DHCP的地址范围
交换机(DHCP-VLAN 20-配置)#默认-路由器10.1.2.1 DHCP网关
交换机(DHCP-VLAN 20-config)#出口
3.DHCP中继的配置
switch(config)# servicedhcp打开dhcp服务
switch(config)# IP Forward-Protocol udp Boots打开dhcp中继转发UDP广播消息
交换机(配置)#vlan 10
交换机(配置-VLAN 10) # IP地址10.1.1.2 255.255.255.0配置IP地址交换机(配置-VLAN 10) #出口交换机(配置)# VLAN 20
交换机(配置-VLAN 20) # IP地址10.1.2.1 255.255.0配置IP地址交换机(配置-VLAN 20) # IP帮助地址10.1.1.1指定dhcp中继转发的UDP报文的目的地址。
交换机(配置VLAN 20)#退出
动词 (verb的缩写)Dhcp窥探
DHCP Snooping是指交换机监听DHCP客户端通过DHCP协议获取IP的过程。它通过设置可信端口和不可信端口来防止DHCP攻击和私自设置DHCP服务器。
从可信端口收到的DHCP消息可以不经验证就被转发。典型的设置是将可信端口连接到DHCP服务器或DHCP中继代理。非受信端口连接到DHCP客户端,交换机将转发从非受信端口收到的DHCP请求消息,但不会转发从非受信端口收到的DHCP响应消息。
如果从不受信任的端口接收到DHCP响应报文,除了发送告警报文外,还可以根据设置对端口进行相应的动作,比如关机、发送黑洞等。
如果启用了DHCP Snooping绑定功能,交换机将保存不可信端口下DHCP客户端的绑定信息。每个绑定信息包括DHCP客户端的MAC地址、IP地址、租期、VLAN号和端口号,这些绑定信息存储在DHCP Snooping的绑定表中。
如上图所示:
1.Mac-AA设备为普通用户,连接到交换机的非受信端口1/1,通过DHCP客户端获取IP 1.1.1.5;
2.DHCP服务器和网关分别连接到交换机的可信端口1/11;1月12日;恶意用户Mac-BB连接到不可信端口1/10,试图伪装DHCP服务器(发送DHCPACK)。
3.在交换机上设置DHCP侦听将有效地发现和阻止这种网络攻击。
交换机被配置为:
开关#
开关#配置
switch(config)# IP dhcp snooping enable打开DHCP侦听。
交换机(配置)#接口以太网1/11
交换机(配置-以太网1/11) # IP DHCP侦听信任设置信任端口
交换机(配置以太网1/11)#退出
交换机(配置)#接口以太网1/12
交换机(配置-以太网1/12) # IP DHCP侦听信任设置信任端口
交换机(配置以太网1/12)#退出
交换机(配置)#接口以太网1/1 -10
switch(config-port-range)# IP dhcp snooping动作关闭其余端口在接收DHCP服务时直接阻塞端口。
开关(配置端口范围)#
关注微信微信官方账号:安徽思恒信息技术有限公司了解更多技术内容...
免责声明:本站所有文章内容,图片,视频等均是来源于用户投稿和互联网及文摘转载整编而成,不代表本站观点,不承担相关法律责任。其著作权各归其原作者或其出版社所有。如发现本站有涉嫌抄袭侵权/违法违规的内容,侵犯到您的权益,请在线联系站长,一经查实,本站将立刻删除。
作者:美站资讯,如若转载,请注明出处:https://www.meizw.com/n/110522.html