配置DHCP服务
作者:尹正杰
版权声明:原创作品,谢绝转载!否则将追究法律责任。
一.DHCP的简介
1.DHCP是Dynamic Host Configuration Protocol(动态主机配置协议)的缩写;
2.DHCP是从BOOTP(Bootstrap Protocol)协议发展而来,其作用向主机动态分配IP地址及其他相关信息;
3.DHCP采用客户端/服务器模式,服务器负责采集中管理,客户端向服务器提出配置申请,服务器根据策略返回相应配置信息;
4.DHCP报文采用UDP封装。服务器所侦听的端口号是67,客户端的端口号是68.
二.DHCP的特点
1.即插即用性
客户端无需配置即能获得IP地址相关菜蔬,简化客户端网络配置,降低维护成本。
2.统一管理
所有IP地址及相关参数有DHCP服务器统一管理,统一分配。
3.使用效率高
通过IP地址租期管理,提高IP地址的使用效率。
4.可跨网段实现
通过使用DHCP中继,可使处于不同子网中的客户端和DHCP服务器之间实现协议报文交互。
三.DHCP系统组成
1.DHCP服务器
能提供DHCP功能的服务器或具有DHCP功能的网络设备。
2.DHCP中继
一般为路由器或三层交换机等网络设备。
3.DHCP客户端
需要动态获得IP地址的主机。
四.DHCP地址的分配方式
1.手工分配
根据需求,网络管理员为某些少数特定的主机(如DNS服务器,打印机)绑定固定的IP地址,其地址不会过期。
2.自动分配
为链接到网络的某些主机分配IP地址,该地址将长期由该主机使用。
3.动态分配
主机申请IP地址最常用的方法。DHCP服务器为客户端指定一个IP地址,同时为此地址规定了一个租用期限。如果自用时间到期,客户端必须重新申请IP地址。
五.IP地址动态获取过程
我们可以通过下面的一幅图来形象的了解一下该过程。
六.IP地址拒绝及释放
七.DHCP租约更新
八.DHCP中继工作原理
九.华为设备配置如下:
拓扑图如下:
1.配置DHCP服务,让每台机器都能自动获取到想要的IP地址,并且测试是否能ping通网关。
核心交换机配置如下:
1 [Huawei]sysname core 2 [core]dhcp enable #启动DHCP服务 3 [core]vlan 10 #创建VLAN10,如果不创建一会进入Vlanif 10时会报错哟~ 4 [core-vlan10]quit 5 [core]interface Vlanif 10 6 [core-Vlanif10]ip address 192.168.1.254 24 定义了网关地址 7 [core-Vlanif10]dhcp select global #该配置全局生效 8 [core-Vlanif10]quit 9 [core]ip pool yinzhengjie10 [core-ip-pool-yinzhengjie]gateway-list 192.168.1.254 (指定网关地址,必须指定已经定义的网关地址) 11 [core-ip-pool-yinzhengjie]network 192.168.1.0 mask 2412 [core-ip-pool-yinzhengjie]excluded-ip-address 192.168.1.1 192.168.1.200 #将192.168.1.1-192.168.1.200之间的地址不进行分配。13 [core-ip-pool-yinzhengjie]dns-list 219.141.140.10 #指定DNS服务器14 [core-ip-pool-yinzhengjie]quit 15 [core]interface Ethernet 0/0/1 #进入借口配置模式16 [core-Ethernet0/0/1]port link-type access #将链路设置成access17 [core-Ethernet0/0/1]port default vlan 10 #默认允许vlan10通过18 [core-Ethernet0/0/1]quit 19 [core]interface Ethernet 0/0/220 [core-Ethernet0/0/2]port link-type access 21 [core-Ethernet0/0/2]port default vlan 1022 [core-Ethernet0/0/2]quit 23 [core]interface Ethernet 0/0/324 [core-Ethernet0/0/3]port link-type access25 [core-Ethernet0/0/3]port default vlan 1026 [core-Ethernet0/0/3]quit 27 [core]interface Ethernet 0/0/428 [core-Ethernet0/0/4]port link-type access 29 [core-Ethernet0/0/4]port default vlan 1030 [core-Ethernet0/0/4]quit 31 [core]interface Ethernet 0/0/532 [core-Ethernet0/0/5]port link-type access 33 [core-Ethernet0/0/5]port default vlan 1034 [core-Ethernet0/0/5]quit
测试,将电脑的网卡配置设置成DHCP获取:
1 PC>ipconfig 2 3 Link local IPv6 address...........: fe80::5689:98ff:fe17:5156 4 IPv6 address......................: :: / 128 5 IPv6 gateway......................: :: 6 IPv4 address......................: 192.168.1.253 7 Subnet mask.......................: 255.255.255.0 8 Gateway...........................: 192.168.1.254 9 Physical address..................: 54-89-98-17-51-5610 DNS server........................: 219.141.136.1011 12 13 PC>ping 192.168.1.25414 15 Ping 192.168.1.254: 32 data bytes, Press Ctrl_C to break16 From 192.168.1.254: bytes=32 seq=1 ttl=255 time=16 ms17 From 192.168.1.254: bytes=32 seq=2 ttl=255 time<1 ms18 From 192.168.1.254: bytes=32 seq=3 ttl=255 time<1 ms19 From 192.168.1.254: bytes=32 seq=4 ttl=255 time=15 ms20 From 192.168.1.254: bytes=32 seq=5 ttl=255 time=16 ms21 22 --- 192.168.1.254 ping statistics ---23 5 packet(s) transmitted24 5 packet(s) received25 0.00% packet loss26 round-trip min/avg/max = 0/9/16 ms27 28 PC>
1 PC>ipconfig 2 3 Link local IPv6 address...........: fe80::5689:98ff:fe3f:1d82 4 IPv6 address......................: :: / 128 5 IPv6 gateway......................: :: 6 IPv4 address......................: 192.168.1.252 7 Subnet mask.......................: 255.255.255.0 8 Gateway...........................: 192.168.1.254 9 Physical address..................: 54-89-98-3F-1D-8210 DNS server........................: 219.141.136.1011 12 13 PC>ping 192.168.1.25414 15 Ping 192.168.1.254: 32 data bytes, Press Ctrl_C to break16 From 192.168.1.254: bytes=32 seq=1 ttl=255 time=31 ms17 From 192.168.1.254: bytes=32 seq=2 ttl=255 time<1 ms18 From 192.168.1.254: bytes=32 seq=3 ttl=255 time=16 ms19 From 192.168.1.254: bytes=32 seq=4 ttl=255 time=15 ms20 From 192.168.1.254: bytes=32 seq=5 ttl=255 time=16 ms21 22 --- 192.168.1.254 ping statistics ---23 5 packet(s) transmitted24 5 packet(s) received25 0.00% packet loss26 round-trip min/avg/max = 0/15/31 ms27 28 PC>
2.进行ARP绑定
其实很简单。我们从上面可以看出总经理的电脑的MAC地址是:54-89-98-17-51-56,那么我们只要在核心交换机上找到这个MAC地址就能找到相对应的IP地址,然后对其进行绑定。
1 [core]display arp | include 5489-9817-5156 #查处MAC所对应的IP 2 IP ADDRESS MAC ADDRESS EXPIRE(M) TYPE INTERFACE VPN-INSTANCE 3 VLAN 4 ------------------------------------------------------------------------------ 5 192.168.1.253 5489-9817-5156 19 D-0 Eth0/0/1 6 ------------------------------------------------------------------------------ 7 Total:6 Dynamic:5 Static:0 Interface:1 8 [core] 9 [core]arp static 192.168.1.253 5489-9817-5156 10 [core]display ip pool name yinzhengjie used #查看地址池使用情况11 Pool-name : yinzhengjie12 Pool-No : 013 Lease : 1 Days 0 Hours 0 Minutes14 Domain-name : -15 DNS-server0 : 219.141.136.10 16 NBNS-server0 : - 17 Netbios-type : - 18 Position : Local Status : Unlocked19 Gateway-0 : 192.168.1.254 20 Mask : 255.255.255.021 VPN instance : --22 -----------------------------------------------------------------------------23 Start End Total Used Idle(Expired) Conflict Disable24 -----------------------------------------------------------------------------25 192.168.1.1 192.168.1.254 253 5 48(0) 0 20026 -----------------------------------------------------------------------------27 28 Network section : 29 --------------------------------------------------------------------------30 Index IP MAC Lease Status 31 --------------------------------------------------------------------------32 248 192.168.1.249 5489-98f6-48f8 1143 Used 33 249 192.168.1.250 5489-98c7-7563 1148 Used 34 250 192.168.1.251 5489-98a0-5e3a 1153 Used 35 251 192.168.1.252 5489-983f-1d82 1164 Used 36 252 192.168.1.253 5489-9817-5156 1170 Used 37 --------------------------------------------------------------------------38 39 [core]
3.思考:外网为什么基本没有ARP攻击
首先了解什么是ARP,
我这里就是简单的说下arp攻击的原理。。ARP协议的工作原理就是主机A向主机B发送一个数据 (这里说明一下发送数据接受数据不是直接发送就完了,其实是一个复杂的过程,会做一个封装和解封装的过程)主机A会在自己的ARP缓存中寻找目标IP地址,如果找到了,就知道了b主机的MAC地址,直接把目标MAC地址写入帧里面发送就可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就会在网络上发送一个广播,IP是某某的的对应B主机的MAC地址是什么?由于IP的唯一性,最终会有一个主机响应的。。ARP攻击是怎么样的? 就是中途跳出一个C,伪装成B的IP ,接着假装成B的声音喊了下,我在这里这里,你把数据发过来吧。外网为什么基本没有ARP攻击?
IP地址几十亿个,A可以访问各种不同地址,C根本不可能伪装过来..内网的话,,A向B请求都要同过网关的,,C只要伪装成网关地址就行了,所以局域网ARP攻击这么频繁。IP和MAC地址绑定后 A发数据给B ,要同时要验证B的IP和MAC的,C伪装成B的IP,A检查下MAC不对,就直接丢掉了。。
不过现在MAC地址也可以伪装。。。 但绑定后安全性是提高不少
4.扩充:基于接口的配置DHCP
1 ip pool 1 2 gateway-list 1.1.1.13 network 1.1.1.0 mask 255.255.255.04 interface GigabitEthernet0/0/05 ip address 1.1.1.1 255.255.255.06 dhcp select global
十.H3C配置如下:
【实验目的】
l 了解DHCP协议工作原理
l 掌握设备作为DHCP服务器的常用配置命令
l 掌握设备作为DHCP中继的常用配置
【实验要求】
PC可以通过DHCP自动获取IP地址
【实验设备】
交换机一台、路由器一台、PC机一台、网线两根、console线
【实验拓扑】
实验拓扑
【实验过程】
一、PC1直接通过RT1获得IP地址
1、IP地址规划
| 设备名称 | 接口 | IP地址 | 网关 |
| RT1 | G/0/0 | 192.168.1.1 | -- |
2、配置RT1作为DHCP服务器
开启DHCP功能
[RT1]dhcp enable
创建地址池并且设置网关和可被分配的IP地址
[RT1]dhcp server ip-pool h3cne
[RT1-dhcp-pool-h3cne]network 192.168.1.0 mask 255.255.255.0
[RT1-dhcp-pool-h3cne]gateway-list 192.168.1.1
[RT1-dhcp-pool-h3cne]qu
排除不可被分配的IP地址
[RT1]dhcp server forbidden-ip 192.168.1.1[w1]
[RT1]
3、查看DHCP服务器可供分配的IP地址资源
4、PC1通过DHCP服务器获取IP地址
网关不可被分配
十一.思科配置如下: