一、DHCP概念
DHCP(Dynamic Host Configuration Protocol 动态主机配置协议)通常应用于中大型的局域网环境中,使网络环境中的主机动态获取IP地址、网关、dns服务器地址等信息。它减少了网络管理人员的工作量,避免了因人工配置网络参数而导致的地址冲突等问题。
二、DHCP报文
DHCP报文总共分为8类
1、DHCP DISCOVER
由客户端(例如:PC机)发出广播来查找可用的DHCP服务器
2、DHCP OFFER
DHCP服务器响应客户端的DHCP DISCOVER报文,指定了各种配置信息。这个报文只是告诉客户端可提供的IP地址,但最终还是需要由客户端的ARP检测来确定IP地址是否重复
3、DHCP REQUEST
1)客户端发送广播来请求DHCP服务器希望获得配置信息
2)客户端请求确认原先的配置
3)客户端若已绑定IP,可以通过此报文来延长IP地址租期
4、DHCP ACK
由DHCP服务器发送给客户端的最终配置信息,这时才能真正获取IP地址等相关信息
5、DHCP DECLINE
当客户端发现IP地址已经被使用,通过此报文来通知DHCP服务器,并请求服务器重新分配一个地址
6、DHCP INFORM
客户端已获取IP地址时,通过此报文来请求DHCP服务器其他配置参数(网关、DNS服务器地址等)
7、DHCP NAK
DHCP服务器发送给客户端的报文,用来表明客户端的地址请求不正确或者租期已过期。客户端收到此报文,需要重新开始DHCP流程(DISCOVER报文开始)
8、DHCP RELEASE
客户端主动释放地址时用来通知DHCP服务器的报文,当DHCP服务器收到此报文后,会将此IP地址信息分配给其他客户端
三、DHCP的租期与续租
DHCP租期的作用是为了更加合理有效的使用IP地址
当租期时间到达50%时,客户端会向DHCP服务器发送单播DHCP REQUEST报文用于续租,如果DHCP服务器有回应,发送了ACK报文并且客户端接收到该报文,那么说明续租成功。如果DHCP服务器因为某些原因没有发送ACK报文或者客户端没有接收到ACK报文,那么此时客户端依旧可以使用此IP地址
当租期时间到达87.5%时,客户端会发送广播DHCP REQUEST报文,同样如果客户端收到来自DHCP服务器的ACK报文说明续租成功,如果还是未接收到ACK报文,那么此时客户端还能使用该IP地址
当租期时间到达100%时,客户端会自动放弃使用该IP地址,重新开始DHCP过程(从DISCOVER报文开始)
四、DHCP模式
DHCP总共有3种模式:全局模式、接口模式、中继模式
1、全局模式
全局模式的特点:需要创建地址池并在该地址池下配置IP地址网段、网关、DNS服务器等
全局模式的好处:使用范围比接口模式广泛
【全局模式实验】
实验拓扑:
实验要求:
1)PC1属于vlan10,网关为192.168.1.254/24;PC2属于vlan20,网关为192.168.2.254/24
2)Core核心交换机为DHCP服务器
3)Core核心交换机和SW二层交换机之间使用trunk链路
4)最终目的:PC1和PC2都能通过DHCP全局模式自动获取IP地址等信息
实验配置:
1)PC1和PC2都设置为DHCP自动获取
2)在SW上配置端口,将PC1划入vlan10,PC2划入vlan20,上行端口配置为trunk
vlan batch 10 20interface Ethernet0/0/2 port link-type access port default vlan 10interface Ethernet0/0/3 port link-type access port default vlan 20interface Ethernet0/0/1 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 10 203)Core核心交换机上配置trunk端口
vlan batch 10 20interface GigabitEthernet0/0/1 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 10 204)Core核心交换机配置vlan10和vlan20的网关
interface Vlanif10 ip address 192.168.1.254 255.255.255.0interface Vlanif20 ip address 192.168.2.254 255.255.255.05)Core核心交换机配置DHCP
dhcp enable //开启DHCP功能ip pool p_vlan10 //创建vlan10的地址池 gateway-list 192.168.1.254 //配置网关 network 192.168.1.0 mask 255.255.255.0 //配置IP地址网段 dns-list 8.8.8.8 114.114.114.114 //配置DNS服务器ip pool p_vlan20 //创建vlan20的地址池 gateway-list 192.168.2.254 network 192.168.2.0 mask 255.255.255.0 dns-list 8.8.8.8 114.114.114.114interface Vlanif10 dhcp select global //DHCP全局模式interface Vlanif20 dhcp select global6)PC1和PC2成功分配到IP地址等信息并且能相互ping通对方
2、接口模式
接口模式的特点:直接配置在某接口下,而接口地址即为网关
接口模式的好处:简单易配置
【接口模式实验】
实验拓扑:
实验要求:
1)PC1和PC3属于Vlan10,网关为192.168.1.254;PC2属于Vlan20,网关为192.168.2.254
2)Core核心交换机为DHCP服务器
3)Core核心交换机和SW二层交换机之间使用trunk链路
4)DHCP分配给PC3的IP地址为固定IP:192.168.1.5/24
5)DHCP保留192.168.2.252和192.168.2.253地址不分配
6)DHCP租期为12小时
7)采用DHCP接口模式进行配置
实验配置:
1)PC1、PC2和PC3都设置为DHCP自动获取
2)在SW上配置端口,将PC1、PC3划入vlan10,PC2划入vlan20,上行端口配置为trunk
vlan batch 10 20interface Ethernet0/0/2 port link-type access port default vlan 10interface Ethernet0/0/3 port link-type access port default vlan 20interface Ethernet0/0/4 port link-type access port default vlan 10interface Ethernet0/0/1 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 10 203)Core核心交换机配置trunk和vlan10、vlan20的网关
vlan batch 10 20interface Vlanif10 ip address 192.168.1.254 255.255.255.0interface Vlanif20 ip address 192.168.2.254 255.255.255.0interface GigabitEthernet0/0/1 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 10 204)Core核心交换机配置DHCP,使用接口模式
DHCP分配给PC3的IP地址为固定IP:192.168.1.5/24
DHCP保留192.168.2.252和192.168.2.253地址不分配
DHCP租期为12小时
dhcp enable //开启DHCPinterface Vlanif10 dhcp select interface //接口模式 dhcp server static-bind ip-address 192.168.1.5 mac-address 5489-98cd-7c8f //将IP与MAC进行绑定,这样PC3能获取到固定IP dhcp server lease day 0 hour 12 minute 0 //租期设置为12小时 dhcp server dns-list 8.8.8.8 114.114.114.114 //配置DNS服务器interface Vlanif20 dhcp select interface dhcp server excluded-ip-address 192.168.2.252 192.168.2.253 //排除192.168.2.252和253两个地址 dhcp server lease day 0 hour 12 minute 0 dhcp server dns-list 8.8.8.8 114.114.114.114注意:
在进行IP与MAC绑定时,如果跳Error:The static-MAC is exist in this IP-pool. 那么PC3上使用ipconfig /release进行IP地址释放后再配置命令,配置完毕后PC3上使用ipconfig /renew重新获取IP地址。正式环境客户端网卡直接禁用再启用即可
5)最终完成结果如下:
PC1获取到的IP地址
PC2获取到的IP地址(排除了192.168.2.252和2.253两个IP地址)
PC3获取到的IP地址(分配到了192.168.1.5)
3、中继模式
当企业使用戴尔、HP的服务器来做DHCP Server时,因为无法跨Vlan进行DHCP地址分发,所以就有了DHCP中继模式,让其他Vlan下的客户端也能够接收到DHCP Server分发的IP地址
【中继模式实验】
实验拓扑:
实验要求:
1)PC1属于Vlan10,网关为192.168.1.254;PC2属于Vlan20,网关为192.168.2.254
2)DHCP Server路由器为DHCP服务器
3)Core核心交换机和SW二层交换机之间使用trunk链路
4)使用DHCP中继模式让PC1和PC2能够正常通信
实验配置:
1)PC1和PC2都设置为DHCP自动获取
2)在SW上配置端口,将PC1划入vlan10,PC2划入vlan20,上行端口配置为trunk
vlan batch 10 20interface Ethernet0/0/1 port link-type access port default vlan 10interface Ethernet0/0/2 port link-type access port default vlan 20interface Ethernet0/0/3 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 10 203)Core核心交换机上配置trunk和vlan10、vlan20、vlan900的网关,并且将vlan900划分进G0/0/2端口中
vlan batch 10 20 900interface Vlanif10 ip address 192.168.1.254 255.255.255.0interface Vlanif20 ip address 192.168.2.254 255.255.255.0interface Vlanif900 ip address 192.168.200.1 255.255.255.0interface GigabitEthernet0/0/2 port link-type access port default vlan 900interface GigabitEthernet0/0/1 port link-type trunk undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 10 204)配置DHCP Server路由器
interface GigabitEthernet0/0/0 ip address 192.168.200.5 255.255.255.0ip route-static 0.0.0.0 0 192.168.200.1dhcp enable //开启DHCP功能ip pool vlan10 gateway-list 192.168.1.254 network 192.168.1.0 mask 255.255.255.0 dns-list 8.8.8.8 114.114.114.114ip pool vlan20 gateway-list 192.168.2.254 network 192.168.2.0 mask 255.255.255.0 dns-list 8.8.8.8 114.114.114.114interface GigabitEthernet0/0/0 dhcp select global5)Core核心交换机上配置中继模式
dhcp enableinterface Vlanif10 dhcp select relay //开启DHCP中继模式 dhcp relay server-ip 192.168.200.5 //设置DHCP服务器为192.168.200.5路由器interface Vlanif20 dhcp select relay dhcp relay server-ip 192.168.200.56)检查PC1和PC2发现已经获取到了IP地址
五、DHCP Snooping
DHCP Snooping是一种安全技术,通常部署在交换机上,用来隔绝非法的DHCP服务器。客户端获取IP地址等信息只能通过信任接口获取,其他接口的DHCP发出的OFFER报文全部丢弃。
【DHCP Snooping实验】
实验拓扑:
实验要求:
1)PC1能获取到DHCP Server所分发的IP地址等信息
2)非法的DHCP Server无法分配IP地址给PC1
实验配置:
1)DHCP Server上进行DHCP配置
interface GigabitEthernet0/0/0 ip address 192.168.1.254 255.255.255.0dhcp enable //开启DHCPinterface GigabitEthernet0/0/0 ip address 192.168.1.254 255.255.255.0 dhcp select interface //使用接口模式 dhcp server dns-list 8.8.8.8 114.114.114.114 //配置DNS配置完以后发现PC机已经能够获取到IP地址了
2)非法的DHCP Server上进行配置
interface GigabitEthernet0/0/0 ip address 192.168.5.254 255.255.255.0dhcp enableinterface GigabitEthernet0/0/0 ip address 192.168.5.254 255.255.255.0 dhcp select interface dhcp server dns-list 8.8.8.8 114.114.114.1143)断开DHCP Server的连接,PC1使用ipconfig /release和ipconfig /renew对IP地址进行重新获取,发现获取到了错误的IP地址
4)为了避免这类现象,就要使用DHCP Snooping功能
交换机SW上配置DHCP Snooping
dhcp enable //开启DHCP服务dhcp snooping enable //开启DHCP Snooping功能dhcp snooping enable vlan 1 //因为没有配置vlan,所以这里使用vlan1interface Ethernet0/0/2 //交换机上联接口作为信任口 dhcp snooping trusted //添加为信任PC重新获取IP地址后发现,IP已经更换为原来的192.168.1.253了
断开DHCP Server的连接,PC重新获取IP发现无法获取,说明DHCP Snooping配置生效
以上为DHCP学习笔记,主要以肖哥HCNP视频内容为主,如有错误,请各位大佬指正,谢谢~
版权声明:内容来源于互联网和用户投稿 如有侵权请联系删除