DHCP概述:
DHCP客户端向DHCP服务端发送请求报文时,用的是广播报文,主要在二层传输,如果用的是DHCP中继,则在中继相应的端口上用单播的方式来申请DHCP地址
一、思科交换机
1、同一台设备上的DHCP
Switch(config)#ip dhcp pool test01 -------------------------------------(建立名为 test01 的地址池)
Switch(dhcp-config)#network 192.168.1.0 255.255.255.0 ---------------(网络地址)
Switch(dhcp-config)#dns-server 202.103.224.68 ------------------------(DNS 地址)
Switch(dhcp-config)#default-router 192.168.1.1 ------------------------(默认网关)
Switch(dhcp-config)#lease 30 -------------------------------------------(租约期限)
Switch(config)#ip dhcp pool test02 -------------------------------------(建立名为 test01 的地址池)
Switch(dhcp-config)#network 192.168.2.0 255.255.255.0 ---------------(网络地址)
Switch(dhcp-config)#dns-server 202.103.224.68 ------------------------(DNS 地址)
Switch(dhcp-config)#default-router 192.168.2.1 ------------------------(默认网关)
Switch(dhcp-config)#lease 30 -------------------------------------------(租约期限)
Switch(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.1----------在DHCP分配地址时排除某个地址或是一段地址
Switch(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.1
Switch(config)#interface vlan 2
Switch(config-if)#ip address 192.168.1.1 255.255.255.0--------------------该地址用DHCP地址池里面的网关地址对应,DHCP会根据接口下的地址段来识别用哪个地地址池地址
Switch(config)#interface vlan 3
Switch(config-if)#ip address 192.168.2.1 255.255.255.0
2、DHCP中继
说明:R1、R2、R3之间用的是ospf,R3是DHCP服务器,SW作用是中继
R3上的配置:
R3(config)#ip dhcp pool test01 -------------------------------------(建立名为 test01 的地址池)
R3(dhcp-config)#network 192.168.1.0 255.255.255.0 ---------------(网络地址)
R3(dhcp-config)#dns-server 202.103.224.68 ------------------------(DNS 地址)
R3(dhcp-config)#default-router 192.168.1.1 ------------------------(默认网关)
R3(dhcp-config)#lease 30 -------------------------------------------(租约期限)
R3(config)#ip dhcp pool test02 -------------------------------------(建立名为 test01 的地址池)
R3(dhcp-config)#network 192.168.2.0 255.255.255.0 ---------------(网络地址)
R3(dhcp-config)#dns-server 202.103.224.68 ------------------------(DNS 地址)
R3(dhcp-config)#default-router 192.168.2.1 ------------------------(默认网关)
R3(dhcp-config)#lease 30 -------------------------------------------(租约期限)
R3(config)#ip dhcp excluded-address 192.168.1.1 192.168.1.1----------在DHCP分配地址时排除某个地址或是一段地址
R3(config)#ip dhcp excluded-address 192.168.2.1 192.168.2.1
R3(config)#interface GigabitEthernet0/2
R3(config-if)#ip address 20.20.20.2 255.255.255.0
R3用的是ospf路由来和交换机sw通信的
SW配置
上联接口:
SW(config)#interface GigabitEthernet0/0
SW(config-if)#ip address 10.10.10.1 255.255.255.0
下联接口(对接用户客户端接口)
Switch(config)#interface GigabitEthernet0/1
Switch(config-if)#switchport trunk allowed vlan 2-3
Switch(config-if)#switchport mode trunk
Switch(config)#interface vlan 2
Switch(config-if)#ip address 192.168.1.1 255.255.255.0--------------------该网关地址是用来识别取用那个地址池的地址
Switch(config-if)#ip helper-address 20.20.20.2----------------------------该ip为DHCP服务器接口IP地址
Switch(config)#interface vlan 3
Switch(config-if)#ip address 192.168.2.1 255.255.255.0--------------------该网关地址是用来识别取用那个地址池的地址
Switch(config-if)#ip helper-address 20.20.20.2----------------------------该ip为DHCP服务器接口IP地址
Switch(dhcp-config)#host 10.1.1.21 255.255.255.0--------------------------------静态地址和MAC绑定
Switch(dhcp-config)#client-identifier 0050.bade.6384
调试命令
show service binding------------------显示分配的地址
show ip dhcp conflict-----------------显示地址冲突情况
二、华为设备
1、基于接口的DHCP
dhcp enable
interface Vlanif10
ip address 10.1.1.1 255.255.255.0
dhcp select interface
dhcp server excluded-ip-address 10.1.1.2 10.1.1.3
dhcp server lease day 30 hour 0 minute 0
dhcp server dns-list 10.1.1.2
2、基于全局的DHCP
dhcp enable
[SwitchA] ip pool 1
[SwitchA-ip-pool-1] network 10.1.1.0 mask 255.255.255.128
[SwitchA-ip-pool-1] dns-list 10.1.1.2
[SwitchA-ip-pool-1] gateway-list 10.1.1.1
[SwitchA-ip-pool-1] excluded-ip-address 10.1.1.2
[SwitchA-ip-pool-1] excluded-ip-address 10.1.1.4
[SwitchA-ip-pool-1] lease day 10
[SwitchA-ip-pool-1] quit
[SwitchA] interface vlanif 10
[SwitchA-Vlanif10] ip address 10.1.1.1 255.255.255.128
[SwitchA-Vlanif10] dhcp select global
[SwitchA-Vlanif10] quit
3、DHCP中继
DHCP服务器端配置:
dhcp enable
[R3]ip pool vlan10 // 创建一个名为vlan10 的地址池
[R3-ip-pool-vlan10]network 192.168.10.0 mask 255.255.255.0 //写入网段及子网掩码
[R3-ip-pool-vlan10]gateway-list 192.168.10.254 //写入网关
[R3-ip-pool-vlan10]dns-list 1.1.1.1 // 配置DNS
[R3]interface GigabitEthernet0/0/0
[R3-GigabitEthernet0/0/0]dhcp select global //在接口上应用基于全局的DHCP(在接口里输入)
DHCP中继设备端配置
[R1]dhcp enable //在系统试图开启DHCP服务
[R1]interface GigabitEthernet0/0/0--------------------------下联客户端接口
[R1-GigabitEthernet0/0/0]ip address 192.168.10.254
[R1-GigabitEthernet0/0/0]dhcp select relay //【开启DHCP中继功能】
[R1-GigabitEthernet0/0/0]dhcp relay server-ip 100.1.1.2 //【指向DHCP服务器的接口地址】
执行命令dhcp server static-bind ip-address ip-address mac-address macaddress,
采用静态地址绑定方式将接口地址池中的IP地址与MAC地址绑定。当用户需要分配到固定的IP地址时,可以将地址池中尚未分配的IP地址与用户的MAC地址绑定。
说明
采用静态地址绑定方式将接口地址池中的IP地址与MAC地址绑定时,该IP地址必须在接口地址池可动态分配的IP地址范围之内。
三、H3C交换机配置和华为配置类似
1、在接口模式下配置
[H3C] interface Vlan-interface 10
[H3C-Vlan-interface10] ip address 10.214.10.1 24
[H3C-Vlan-interface10] dhcp select interface
[H3C-Vlan-interface10] dhcp server expired day 2
[H3C-Vlan-interface10] dhcp server dns-list 10.214.10.3
[H3C-Vlan-interface10] dhcp server nbst-list 10.214.10.4
[H3C-Vlan-interface10] dhcp server static-bind ip-address 10.214.10.3 mac-address 000d-85c7-4e20------# 使用IP地址与MAC地址绑定的方式为DNS/WINS/Mail Server分配IP地址
[H3C-Vlan-interface10] dhcp server static-bind ip-address 10.214.10.4 mac-address 0013-4ca8-9b71
[H3C-Vlan-interface10] dhcp server static-bind ip-address 10.214.10.5 mac-address 002e08d20-54c6
[H3C-Vlan-interface10] quit
[H3C] [H3C]dhcp server forbidden-ip 10.214.10.3 10.214.10.5----------# 配置DNS/WINS/Mail Server的静态IP地址为不可分配地址
基于全局地址池,在特定某一接口下配置
[SwitchA] interface g0/0/1
[SwitchA-Vlan-interface1] ip address 10.1.1.1 24
[SwitchA-Vlan-interface1] dhcp select global----------------接口工作在DHCP服务器全局地址池模式
dhcp select global { interface interface-type interface-number [ to interface-type interface-number ] | all }--------系统视图下同时配置多个接口
# 配置不参与自动分配的 IP 地址。
[SwitchA] dhcp server forbidden-ip 10.1.1.3
# 配置 DHCP 地址池 test。
[SwitchA] dhcp server ip-pool test
[SwitchA-dhcp-pool-0] static-bind mac-address 000f-e249-8050---------------------静态分配地址
[SwitchA-dhcp-pool-0] static-bind ip-address 10.1.1.6 24
[SwitchA-dhcp-pool-0] dns-list 10.1.1.3
[SwitchA-dhcp-pool-0] domain-name com
[SwitchA-dhcp-pool-0] gateway-list 10.1.1.1
[SwitchA-dhcp-pool-0] quit
[H3C]dhcp enable //该系列交换机,dhcp功能默认为开启状态
[H3C]dhcp server ip-pool test1 //创建dhcp地址池
[H3C-dhcp-pool-5201351]network 192.168.1.0 mask 255.255.255.0 //指定dhcp网络
[H3C-dhcp-pool-5201351]gateway-list 192.168.1.1 //配置网关
[H3C-dhcp-pool-5201351]dhcp server forbidden-ip 192.168.1.2 192.168.1.100 //排除的IP段,即2到100的IP段不参与地址段自动分配,也可在系统视图下配
DHCP安全DHCP Snooping
DHCP Snooping将交换机上的端口分为两种类型,即信任端口(Trusted端口)和非信任端口(Untrusted端口);与合法的DHCP Server相连接的端口应
配置为Trusted端口,其他端口应配置为Untrusted端口。交换机从Trusted端口接收到DHCP响应报文(例如DHCP Offer报文、DHCP Ack报文等等)后,会转发这些报文,从而保证合法的DHCP Server可以正常地分配IP地址及提供其他网络参数;交换机从Untrusted端口接收到DHCP响应报文(例如DHCP Offer报文、DHCP Ack报文等等)后,会丢弃这些报文,从而阻止仿冒的DHCP Server分配IP地址及提供其他网络参数。
关键配置命令:交换机的端口默认是Untrusted端口。如果需要将交换机的某个端口配置为Trusted端口,可以在该端口视图下使用命令dhcp snooping trusted。如果需要将某个Trusted端口恢复为Untrusted端口,可以在该端口视图下使用命令undo dhcp snooping trusted。
非信任端口:通常为连接终端设备的端口,如PC ,网络打印机等
信任端口:连接合法DHCP 服务器的端口或者连接汇聚交换机的上行端口
一、DHCP snooping 技术介绍
DHCP 监听( DHCP Snooping )是一种DHCP 安全特性。Cisco 交换机支持在每个VLAN 基础上启用DHCP 监听特性。通过这种特性,交换机能够拦截第二层VLAN 域内的所有DHCP 报文。通过开启DHCP 监听特性, 交换机限制用户端口(非信任端口)只能够发送DHCP 请求, 丢弃来自用户端口的所有DHCP 报文,例如DHCP Offer 报文等。而且,并非所有来自用户端口的DHCP 请求都被允许通过,交换机还会比较DHCP 请求报文的(报文头里的)源MAC 地址和(报文内容里的) DHCP 客户机的硬件地址(即CHADDR 字段),只有这两者相同的请求报文才会被转发,否则将被丢弃。这样就防止了DHCP 耗竭攻击。信任端口可以接收所有的DHCP报文。通过只将交换机连接到合法DHCP 服务器的端口设置为信任端口,其他端口设置为非信任端口,就可以防止用户伪造DHCP 服务器来攻击网络。DHCP 监听特性还可以对端口的DHCP 报文进行限速。通过在每个非信任端口下进行限速,将可以阻止合法DHCP 请求报文的广播攻击。DHCP监听还有一个非常重要的作用就是建立一张DHCP 监听绑定表( DHCP Snooping Binding )。一旦一个连接在非信任端口的客户端获得一个合法的DHCP Offer ,交换机就会自动在DHCP 监听绑定表里添加一个绑定条目, 内容包括了该非信任端口的客户端IP 地址、MAC 地址、端口号、VLAN 编
号、租期等信息。