本文隶属于分类

互联网

广告推荐

技术交流学习或者有任何问题欢迎加群

编程技术交流群 : 154514123 爱上编程      Java技术交流群 : 6128790  Java

session 1 DHCP的工作原理

       DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作, 主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,在RFC 2131中有详细的描述。DHCP有3个端口,其中UDP67和UDP68为正常的DHCP服务端口,分别作为DHCP Server和DHCP Client的服务端口;546号端口用于DHCPv6 Client,而不用于DHCPv4,是为DHCP failover服务,这是需要特别开启的服务,DHCP failover是用来做“双机热备”的。

       DHCP协议采用UDP作为传输协议,主机发送请求消息到DHCP服务器的67号端口,DHCP服务器回应应答消息给主机的68号端口,DHCP的IP地址自动获取工作原理及详细步骤如下:

1、DHCP Client以广播的方式发出DHCP Discover报文。

2、所有的DHCP Server都能够接收到DHCP Client发送的DHCP Discover报文,所有的DHCP Server都会给出响应,向DHCP Client发送一个DHCP Offer报文。DHCP Offer报文中“Your(Client) IP Address”字段就是DHCP Server能够提供给DHCP Client使用的IP地址,且DHCP Server会将自己的IP地址放在“option”字段中以便DHCP Client区分不同的DHCP Server。DHCP Server在发出此报文后会存在一个已分配IP地址的纪录。

3、DHCP Client只能处理其中的一个DHCP Offer报文,一般的原则是DHCP Client处理最先收到的DHCP Offer报文。DHCP Client会发出一个广播的DHCP Request报文,在选项字段中会加入选中的DHCP Server的IP地址和需要的IP地址。

4、DHCP Server收到DHCP Request报文后,判断选项字段中的IP地址是否与自己的地址相同。如果不相同,DHCP Server不做任何处理只清除相应IP地址分配记录;如果相同,DHCP Server就会向DHCP Client响应一个DHCP ACK报文,并在选项字段中增加IP地址的使用租期信息。

5、DHCP Client接收到DHCP ACK报文后,检查DHCP Server分配的IP地址是否能够使用。如果可以使用,则DHCP Client成功获得IP地址并根据IP地址使用租期自动启动续延过程;如果DHCP Client发现分配的IP地址已经被使用,则DHCP Client向DHCPServer发出DHCP Decline报文,通知DHCP Server禁用这个IP地址,然后DHCP Client开始新的地址申请过程。

6、DHCP Client在成功获取IP地址后,随时可以通过发送DHCP Release报文释放自己的IP地址,DHCP Server收到DHCP Release报文后,会回收相应的IP地址并重新分配。



session 2 dhcp的中继代理和snooping

一、dhcp中继代理的作用就是:在一个L3层网络中,如果dhcp服务器和客户端不在同一个网段时,客户端发送的dhcp-discovery广播包将会被网关设备丢弃(L3层隔离广播特性)。dhcp中继就是在网关接口上配置一种能让网关识别客户端发送的dhcp-discovery广播包,当网关收到该包后不做丢弃处理,而是以单播形式代理客户端来向dhcp服务器请求ip地址,然后再将dhcp回应的offer包转发给客户端,帮助客户端完成ip地址的获取过程。
只需要再L3网关的接口上配置中继代理:


二、为了防止网络中非法dhcp向用户提供dhcp服务,可以使用dhcp snooping(dhcp探测功能)。
       DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息(也就是非法dhcp服务器)。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息,该技术在接口上设置是否信任该接口上连接的dhcp服务器(如果有)。
       当交换机开启了 DHCP-Snooping后,交换机所有端口会对自己接受来的DHCP报文进行侦听,并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外,DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文,而不信任端口会将接收到的DHCP Offer报文丢弃。这样,可以完成交换机对假冒DHCP Server的屏蔽作用,确保客户端从合法的DHCP Server获取IP地址。
       默认情况下开启了DHCP Snooping后,交换机所有接口都被设置为不信任状态,就是任何一个端口收到dhcp服务器的offer响应包后都会丢弃,可以手动配置合法dhcp所在的端口为信任端口,不丢弃dhcp服务器向外发送的offer包,来实现dhcp的安全。
       一般所有交换机都开启dhcp snooping功能,信任接口一般都是sw之间相连的接口(如果是汇聚层交换机的话需要在该交换机连接上游核心sw和下游接入sw的接口上都开启dhcp trust才可以,核心L3层交换机作为dhcp服务器的话),非信任接口都是sw连接PC的接口。


session 3 dhcp的配置实例

拓扑如下:


      根据拓扑配置,要求PC1和PC2分别在不同的vlan中获取AR2这台DHCP分配的ip地址,并且在LSW2和AR2上开启dhcp snpooping功能防止非法dhcp服务器接入网络和非法用户对于AR2的dhcp泛红攻击,在LSW2上开启中继代理功能为PC1和P2代理dhcp服务器的ip地址。

具体配置如下:

一、将AR2配置成dhcp服务器

[Huawei]interface g0/0/0

[Huawei-GigabitEthernet0/0/0] ip address 12.1.1.2 255.255.255.0

[Huawei-GigabitEthernet0/0/0] quit

[Huawei]

[Huawei] ip pool net1                                                                         配置为vlan2分配IP地址的地址池,名为net1

[Huawei-ip-pool-net1] network 192.168.1.0 mask 255.255.255.0          分配的ip是192.168.1.0/24

[Huawei-ip-pool-net1] gateway-list 192.168.1.1

[Huawei-ip-pool-net1] dns-list 218.30.19.40 61.134.1.4

[Huawei-ip-pool-net1] static-bind ip-address 192.168.1.10 mac-address 0000-1111-2222        为固定mac分配固定ip

[Huawei-ip-pool-net1] excluded-ip-address 192.168.1.2                      不分配的ip地址

[Huawei-ip-pool-net1] quit

[Huawei]

[Huawei] ip pool net2                                                                          配置为vlan2分配IP地址的地址池,名为net1

[Huawei-ip-pool-net2] network 192.168.2.0 mask 255.255.255.0           分配的ip是192.168.1.0/24

[Huawei-ip-pool-net2] gateway-list 192.168.2.1

[Huawei-ip-pool-net2] dns-list 218.30.19.40 61.134.1.4

[Huawei-ip-pool-net2] static-bind ip-address 192.168.2.10 mac-address 0001-1111-2222        为固定mac分配固定ip

[Huawei-ip-pool-net2] excluded-ip-address 192.168.2.2                       不分配的ip地址

[Huawei-ip-pool-net2] quit

[Huawei]

[Huawei]interface g0/0/0

[Huawei-GigabitEthernet0/0/0] ip address 12.1.1.2 255.255.255.0            

[Huawei-GigabitEthernet0/0/0] dhcp select global                                接口下开启器全局DHCP分配功能

[Huawei-GigabitEthernet0/0/0] quit                                                     

[Huawei]dhcp server ping packet 10 timeout 100                                 配置dhcp服务器分配某个ip之前先探测该ip是否已被网络中pc使用的功能,dhcp服务器会向该ip地址发10个包且每次100ms,无应答才会分配该ip地址给客户端

[Huawei]dhcp check dhcp-rate enable                                                 开启dhcp的速率检测功能开关
[Huawei]dhcp check dhcp-rate 90                       检测收到dhcp请求包的速率最大为90个/s,默认100个/s,防止dhcp泛红攻击

[Huawei] quit

[Huawei] ip route-static 0.0.0.0 0.0.0.0 12.1.1.1                                       配置一条能够到达客户端网络的默认路由


二、配置SW成为dhcp中继代理为vlan2和vlan3中的客户端提供对应的dhcp中继代理服务,并配置dhcp-snooping功能防止非法的dhcp服务器分配ip地址给客户端

[Huawei]interface Vlanif 1
[Huawei-Vlanif1]ip address 12.1.1.1 255.255.255.0

[Huawei-Vlanif1]quit
[Huawei]

[Huawei]vlan 2                                                                创建vlan2、3
[Huawei-vlan2]quit
[Huawei]vlan 3 
[Huawei-vlan3]quit
[Huawei]

[Huawei] interface vlan 2
[Huawei-Vlanif2] ip address 192.168.1.1 255.255.255.0

[Huawei-Vlanif2] dhcp relay server-ip 12.1.1.2                      在vlan2中开启dhcp中继功能

[Huawei-Vlanif2] quit
[Huawei]

[Huawei] interface vlan 3
[Huawei-Vlanif3] ip address 192.168.2.1 255.255.255.0

[Huawei-Vlanif3] dhcp relay server-ip 12.1.1.2                       在vlan3中开启dhcp中继功能

[Huawei-Vlanif3] quit
[Huawei]

[Huawei]interface g0/0/1                                                       配置接口g0/0/1和g/0/2为access接口

[Huawei-GigabitEthernet0/0/1]port link-type access 
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]

[Huawei]interface g0/0/2

[Huawei-GigabitEthernet0/0/1]port link-type access 
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]

[Huawei]vlan 2                                                                      将g/0/1接口加入vlan2,g/0/2加入vlan3
[Huawei-vlan2]port g0/0/1
[Huawei-vlan2]quit

[Huawei]

[Huawei]vlan 3 
[Huawei-vlan3]port g0/0/2

[Huawei-vlan3]quit

[Huawei]

[Huawei]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2                       配置能够到达dhcp服务器的路由

[Huawei]

[Huawei]dhcp snooping enable                                            开启全局dhcp-snooping检测功能

[Huawei]interface g0/0/3

[Huawei-GigabitEthernet0/0/3]dhcp snooping trusted          在连接dhcp服务器的接口信任dhcp-offer报文
[Huawei-GigabitEthernet0/0/3]quit
[Huawei]

[Huawei]interface g0/0/1

[Huawei-GigabitEthernet0/0/1]dhcp snooping enable          在连接客户端的接口不信任dhcp-offer报文,建议每个连接客户端的接口都配置dhcp-snooping,防止非法dhcp服务器提供ip地址
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]

[Huawei]interface g0/0/2
[Huawei-GigabitEthernet0/0/2]dhcp snooping enable           在连接客户端的接口不信任dhcp-offer报文,建议每个连接客户端的接口都配置dhcp-snooping,防止非法dhcp服务器提供ip地址
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]


三、完成配置后,可以再客户端pc1和pc2上使用ipconfig/renew来获取ip地址

 



技术交流学习或者有任何问题欢迎加群

编程技术交流群 : 154514123 爱上编程      Java技术交流群 : 6128790  Java

广告推荐

讨论区