導讀：今天主要向大家介紹有關DHCP的内容，有需要的朋友可以收藏一下！

一、 DHCP概述

1、DHCP

Dynamic Host Configuration Protocol 動态主機配置協議，是一種提供傳輸配置信息到主機的方法。

客戶機使用UDP68端口發送請求報文，服務器使用UDP67端口回應，給客戶機提供ip地址以及其它相關信息，如網絡掩碼、路由、DNS服務器地址等。基于Client-Server模式，信息格式與BOOTP類似。

2

手工配置IP地址的優缺點

（1）缺點：

配置繁瑣；

容易導緻IP地址沖突；

可移動性較差；

安全性得不到保障。

（2）優點：

配置簡單；

可移動性較好；

相對安全。

3、地址分配方式

自動分配— DHCP分配永久的IP地址給主機

動态分配— DHCP分配給客戶機一個地址的租約（或直到主機聲明放棄地址）

手動分配— 主機IP地址由管理員指定

注：僅僅動态分配有地址回收機制。

二、DHCP常見術語

DHCP client：DHCP 客戶機，通過DHCP 獲得網絡參數的主機。

DHCP server：DHCP 服務器，為DHCP client提供網絡參數的主機。

BOOTP relay agent：BOOTP 中繼代理，在DHCP 服務器和DHCP 客戶之間傳送DHCP 消息的主機或路由器。

DHCP relay agent：DHCP 中繼代理，在DHCP 服務器和DHCP 客戶之間傳送dhcp 消息的主機或路由器。

binding：綁定、封裝。将收集的配置參數（至少包括一個ip地址），封裝并分配給客戶機。這個動作是由服務器處理的。

三、Dhcp server配置步驟

1. 啟動/關閉DHCP服務器功能

2. 配置DHCP地址池

（1） 創建/删除DHCP地址池

（2） 配置動态DHCP地址池的參數

（3） 配置手工DHCP地址池的參數

3. 啟動記錄地址沖突的日志功能

4. 配置發ping包的個數和超時時間

Switch(Config)# service dhcp

Switch(Config)#ip dhcp pool A

Switch(dhcp-A-config)#network 10.16.1.0 24

Switch(dhcp-A-config)#lease 3

Switch(dhcp-A-config)#default-route 10.16.1.200 10.16.1.201

Switch(dhcp-A-config)#dns-server 10.16.1.202

Switch(dhcp-A-config)#netbios-name-server 10.16.1.209

Switch(dhcp-A-config)#exit

Switch(Config)#ip dhcp excluded-address 10.16.1.200 10.16.1.210

Switch(Config)#ip dhcp excluded-address 10.16.2.200 10.16.2.210

Switch(Config)#ip dhcp pool B

Switch(dhcp-A1config)#host 10.16.1.210

Switch(dhcp-A1-config)#hardware-address 0003.2223.dcab

Switch(Config)# ip dhcp conflict logging//*地址沖突缺省啟用

Switch(Config)#ip dhcp ping timeout 1000 //*ping超時缺省500ms

Switch(Config)#ip dhcp ping packets 5//*缺省發ping包個數為2

四、Dhcp中繼

在大型的網絡中，可能會存在多個子網。DHCP客戶機通過網絡廣播消息獲得DHCP服務器的響應後得到IP地址。但廣播消息是不能跨越子網的。因此，如果DHCP客戶機和服務器在不同的子網内，客戶機還能不能向服務器申請IP地址呢？

這就要用到DHCP中繼代理。

DHCP中繼代理實際上是一種軟件技術，安裝了DHCP中繼代理的計算機稱為DHCP中繼代理服務器，它承擔不同子網間的DHCP客戶機和服務器的通信任務。

1DHCP 中繼配置任務序列如下：

啟動 DHCP 中繼

配置 DHCP 中繼轉發 DHCP 廣播報文

說明：網絡中已存在DHCP Server，Vlan 20内PC的IP地址通過DHPC Relay方式獲得。

組網圖：

2、DHCP Server的配置

switch(config)#service dhcp 開啟dhcp服務

switch(config)#ip dhcp pool vlan20 創建dhcp地址池

switch(dhcp-vlan20-config)#network 10.1.2.1 24 dhcp的地址範圍

switch(dhcp-vlan20-config)#default-router 10.1.2.1 dhcp網關

switch(dhcp-vlan20-config)#exit

3、DHCP Relay的配置

switch(config)#service dhcp 開啟dhcp服務

switch(config)#ip forward-protocol udp bootps 開啟dhcp中繼轉發udp廣播報文

switch(config)#vlan 10

switch(config-Vlan10)#ip address 10.1.1.2 255.255.255.0 配置IP地址switch(config-Vlan10)#exitswitch(config)#vlan 20

switch(config-Vlan20)#ip address 10.1.2.1 255.255.255.0 配置IP地址switch(config-Vlan20)#ip help-address 10.1.1.1 指定dhcp中繼轉發UDP報文的目的地址

switch(config-Vlan20)#exit

五、Dhcp Snooping

DHCP Snooping 功能指交換機監測 DHCP CLIENT 通過 DHCP 協議獲取 IP 的過程。它通過設置信任端口和非信任端口，來防止 DHCP 攻擊及私設 DHCP SERVER。

從信任端口接收的 DHCP 報文無需校驗即可轉發。典型的設置是将信任端口連接 DHCP SERVER 或者 DHCP RELAY 代理。非信任端口連接 DHCP CLIENT，交換機将轉發從非信任端口接收的 DHCP 請求報文，不轉發從非信任端口接收的 DHCP 回應報文。

如果從非信任端口接收DHCP 回應報文，除了發出告警信息外，并可根據設置對該端口執行相應的動作，比如shutdown、下發 blackhole。

如果啟用了 DHCP Snooping 綁定功能，則交換機将會保存非信任端口下的 DHCP CLIENT 的綁定信息，每一條綁定信息包含該 DHCP CLIENT 的 MAC地址、 IP 地址、租期、 VLAN 号和端口号，這些綁定信息存放于 DHCP Snooping 的綁定表。

如上圖：

1、Mac-AA 設備為正常用戶，連接在交換機非信任端口 1/1 上，其通過 DHCP Client獲得 IP 1.1.1.5；

2、DHCP Server 和 GateWay 分别連接在交換機的信任端口 1/11 ; 1/12 上；惡意用戶 Mac-BB 連接在非信任端口 1/10 上，試圖僞裝 DHCP Server（發送 DHCPACK）。

3 、在交換機上設置 DHCP snooping 将能有效發現并阻止這種網絡攻擊。

交換機配置為：

switch#

switch#config

switch(config)#ip dhcp snooping enable 開啟dhcp偵聽功能

switch(config)#interface ethernet 1/11

switch(Config-Ethernet1/11 )#ip dhcp snooping trust 設置信任端口

switch(Config-Ethernet1/11 )#exit

switch(config)#interface ethernet 1/12

switch(Config-Ethernet1/12)#ip dhcp snooping trust 設置信任端口

switch(Config-Ethernet1/12)#exit

switch(config)#interface ethernet 1/1 -10

switch(Config-Port-Range)#ip dhcp snooping action shutdown 其餘端口收到dhcp服務時直接阻塞端口

switch(Config-Port-Range)#

關注安徽思恒信息科技有限公司,了解更多技術内容……

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!