精华内容
下载资源
问答
  • 这里写目录标题DHCP Snooping(DHCP监听)简介好处DHCP Snooping原理描述信任端口功能DHCP监听表DHCP 攻击及其防范DHCP Server仿冒者攻击攻击原理解决方法:仿冒DHCP报文攻击:攻击原理:解决方法:DHCP Server服务...

    DHCP Snooping(DHCP监听)简介

    DHCP Snooping是DHCP(Dynamic Host Configuration Protocol)的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网络上针对DHCP攻击

    目前DHCP协议(RFC2131)在应用的过程中遇到很多安全方面的问题,网络中存在一些针对DHCP的攻击,如DHCP Server仿冒者攻击、DHCP Server的拒绝服务攻击、仿冒DHCP报文攻击等。

    为了保证网络通信业务的安全性,可引入DHCP Snooping技术,在DHCP Client和DHCP Server之间建立一道防火墙,以抵御网络中针对DHCP的各种攻击。

    好处

    • 设备具有防御网络上DHCP攻击的能力,增强了设备的可靠性,保障通信网络的正常运行。通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文。
    • 为用户提供更安全的网络环境,更稳定的网络服务。

    DHCP Snooping原理描述

    DHCP监听将交换机端口划分为两类:

    • 信任端口:正常接收DHCP服务器响应的DHCP ACK、DHCP NAK和DHCP Offer报文。连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口。
    • 非信任端口:只能够发送DHCP请求,丢弃来自非信任端口的所有其它DHCP报文。通常为连接终端设备的端口,如PC,网络打印机等。

    信任端口功能

    通过开启DHCP Snooping特性,交换机限制非信任端口(用户端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文,例如DHCP Offer报文等。而且并非所有来自非信任端口的DHCP请求都被允许通过,交换机还会比较DHCP 请求报文的(报文头里的)源MAC地址和(报文内容里的)DHCP客户机的硬件地址(即CHADDR字段),只有这两者相同的请求报文才会被转发,否则将被丢弃。这样就防止了DHCP拒绝服务攻击

    信任端口可以接收所有的DHCP报文。通过只将交换机连接到合法DHCP服务器的端口设置为信任端口,其他端口设置为非信任端口,就可以防止用户伪造DHCP服务器来攻击网络。DHCP监听特性还可以对端口的DHCP报文进行限速。通过在每个非信任端口下进行限速,将可以阻止合法DHCP请求报文的广播攻击

    DHCP监听表

    DHCP监听还有一个非常重要的作用就是建立一张DHCP监听绑定表(DHCP Snooping Binding)。一旦一个连接在非信任端口的客户端获得一个合法的DHCP Offer,交换机就会自动在DHCP监听绑定表里添加一个绑定条目,内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息

    1. 为了保证设备在生成DHCP Snooping绑定表时能够获取到用户MAC等参数,DHCP Snooping功能需应用于二层网络中的接入设备或第一个DHCP Relay上

    2. 非信任端口只允许客户端的DHCP请求报文通过,这里只是相对于DHCP报文来说的。其他非DHCP报文还是可以正常转发的。这就表示客户端可以以静态指定IP地址的方式通过非信任端口接入网络。由于静态客户端不会发送DHCP报文,所以DHCP监听绑定表里也不会有该静态客户端的记录。

    3. 信任端口的客户端信息不会被记录到DHCP监听绑定表里

      如果有一客户端连接到了一个信任端口,即使它是通过正常的DHCP方式获得IP地址,DHCP监听绑定表里也不有该客户端的记录。如果要求客户端只能以动态获得IP的方式接入网络,则必须借助于IPSG和DAI技术。(DHCP监听绑定表中的条目可以手工添加,无论是对信任端口还是非信任端口而言)

    4. 交换机为了获得高速转发,通常只检查报文的二层帧头,获得目标MAC地址后直接转发,不会去检查报文的内容。而DHCP监听本质上就是开启交换机对DHCP报文的内容部分的检查,DHCP报文不再只是被检查帧头了

    5. 当交换机收到一个DHCPDECLINE或DHCPRELEASE广播报文,并且报文头的源MAC地址存在于DHCP监听绑定表的一个条目中。但是报文的实际接收端口与绑定表条目中的端口字段不一致时,该报文将被丢弃。(防止DHCP仿冒者攻击)

    6. DHCP监听绑定表里的Lease列就是每个客户端对应的DHCP租约时间。当客户端离开网络后,该条目并不会立即消失。当客户端再次接入网络,重新发起DHCP请求以后,相应的条目内容就会被更新。

    7. DHCP Snooping绑定表根据DHCP租期进行老化或根据用户释放IP地址时发出的DHCP Release报文自动删除对应表项。DHCP监听绑定表在设备重启后会丢失,需要重新绑定,但可以通过设置将绑定表保存在flash或者tftp/ftp服务器上,待设备重启后直接读取,而不需要客户端再次进行绑定。

    8. DHCP监听绑定表不仅用于防御DHCP攻击,还为后续的IPSG和DAI技术提供动态数据库支持。

    DHCP 攻击及其防范

    DHCP Server仿冒者攻击

    攻击原理

    由于DHCP Server和DHCP Client之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。如果该DHCP服务器为用户分配错误的IP地址和其他网络参数,将会对网络造成非常大的危害。

    解决方法:

    为了防止DHCP Server仿冒者攻击,可配置设备接口的“信任(Trusted)/非信任(Untrusted)”工作模式

    将与合法DHCP服务器直接或间接连接的接口设置为信任接口,其他接口设置为非信任接口。此后,从“非信(Untrusted)”接口上收到的DHCP回应报文将被直接丢弃,这样可以有效防止DHCP Server仿冒者的攻击。

    仿冒DHCP报文攻击:

    攻击原理:

    已获取到IP地址的合法用户通过向服务器发送DHCP Request或DHCP Release报文用以续租或释放IP地址。如果攻击者冒充合法用户不断向DHCP Server发送DHCP Request报文来续租IP地址,会导致这些到期的IP地址无法正常回收,以致一些合法用户不能获得IP地址;而若攻击者仿冒合法用户的DHCP Release报文发往DHCP Server,将会导致用户异常下线。

    解决方法:

    为了有效的防止仿冒DHCP报文攻击,可利用DHCP Snooping绑定表的功能。设备通过将DHCP Request续租报文和DHCP Release报文与绑定表进行匹配操作能够有效的判别报文是否合法(主要是检查报文中的VLAN、IP、MAC、接口信息是否匹配动态绑定表),若匹配成功则转发该报文,匹配不成功则丢弃。

    DHCP Server服务拒绝攻击:

    攻击原理:

    若设备接口interface1下存在大量攻击者恶意申请IP地址,会导致DHCP Server中IP地址快速耗尽而不能为其他合法用户提供IP地址分配服务。

    另一方面,DHCP Server通常仅根据DHCP Request报文中的CHADDR(Client Hardware Address)字段来确认客户端的MAC地址。如果某一攻击者通过不断改变CHADDR字段向DHCP Server申请IP地址,同样将会导致DHCP Server上的地址池被耗尽,从而无法为其他正常用户提供IP地址。

    DHCP拒绝服务攻击攻击可以是纯粹的DOS攻击,也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时,攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址,使它们将信息转发给准备截取的恶意计算机。

    甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的,但由于DHCP请求报文是广播报文,如果大量发送的话也会耗尽网络带宽,形成另一种拒绝服务攻击。

    解决方法:

    为了抑制大量DHCP用户恶意申请IP地址,在使能设备的DHCP Snooping功能后,可配置设备或接口允许接入的最大DHCP用户数,当接入的用户数达到该值时,则不再允许任何用户通过此设备或接口成功申请到IP地址。

    而对通过改变DHCP Request报文中的CHADDR字段方式的攻击,可使能设备检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能,此后设备将检查上送的DHCP Request报文中的帧头MAC地址是否与CHADDR值相等,相等则转发,否则丢弃。

    配置DHCP Snooping的攻击防范功能:

    配置DHCP Snooping的一些功能,防范DHCP的各种攻击.

    1. 使能DHCP Snooping功能。
    2. 配置接口的信任状态,以保证客户端从合法的服务器获取IP地址。(防范DHCP Server仿冒者攻击)
    3. 使能ARP与DHCP Snooping的联动功能,保证DHCP用户在异常下线时实时更新绑定表。
    4. 使能对DHCP报文进行绑定表匹配检查的功能。(防止仿冒DHCP报文攻击)
    5. 配置允许接入的最大用户数以及使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是否一致功能。(防止DHCP Server服务拒绝攻击)
    6. 配置丢弃报文告警和报文限速告警功能。

    DHCP Snooping支持的Option82功能:

    概述:

    在传统的DHCP动态分配IP地址过程中,DHCP Server不能够根据DHCP请求报文感知到用户的具体物理位置,以致同一VLAN的用户得到的IP地址所拥有的权限是完全相同的。由于网络管理者不能对同一VLAN中特定的用户进行有效的控制,即不能够控制客户端对网络资源的访问,这将给网络的安全控制提出了严峻的挑战。

    RFC 3046定义了DHCP Relay Agent Information Option(Option 82),该选项记录了DHCP Client的位置信息。DHCP Snooping设备或DHCP Relay通过在DHCP请求报文中添加Option 82选项,将DHCP Client的精确物理位置信息传递给DHCP Server,从而使得DHCP Server能够为主机分配合适的IP地址和其他配置信息,实现对客户端的安全控制。

    注意:

    • Option 82选项携带的用户位置信息与DHCP Snooping绑定表记录的用户参数是两个相互独立的概念,没有任何关联。Option 82选项携带的用户位置信息是在DHCP用户申请IP地址时(此时用户还未分配到IP地址),由设备添加到DHCP请求报文中。DHCP Snooping绑定表是在设备收到DHCP Server回应的DHCP Ack报文时(此时已为用户分配了IP地址),设备根据DHCP Ack报文信息自动生成。

    Option82包含两个常用子选项Circuit ID和Remote ID

    • Circuit ID子选项主要用来标识客户端所在的VLAN、接口等信息
    • Remote ID子选项主要用来标识客户端接入的设备,一般为设备的MAC地址。

    设备作为DHCP Relay时,使能或未使能DHCP Snooping功能都可支持Option82选项功能,但若设备在二层网络作为接入设备,则必须使能DHCP Snooping功能方可支持Option82功能。

    Option 82选项仅记录了DHCP用户的精确物理位置信息并通过DHCP请求报文中将该信息发送给DHCP Server。而如果需要对不同的用户部署不同的地址分配或安全策略,则需DHCP Server支持Option 82功能并在其上已配置了IP地址分配或安全策略。

    实现:

    • Insert方式:当设备收到DHCP请求报文时,若该报文中没有Option 82选项,则插入Option82选项;若该报文中含有Option82选项,则判断Option82选项中是否包含remote-id,如果包含,则保持Option82选项不变,如果不包含,则插入remote id。
    • Rebuild方式:当设备收到DHCP请求报文时,若该报文中没有Option82选项,则插入Option82选项;若该报文中含有Option82选项,则删除该Option82选项并插入管理员自己在设备上配置的Option82选项。

    对于Insert和Rebuild两种方式,当设备接收到DHCP服务器的响应报文时,处理方式一致。

    • DHCP响应报文中有Option82选项:
      • 如果设备收到的DHCP请求报文中没有Option82选项

        则设备将删除DHCP响应报文中的Option82选项,之后转发给DHCP Client。

      • 如果设备收到的DHCP请求报文中有Option82选项

        则设备将DHCP响应报文中的Option 82选项格式还原为DHCP请求报文中的Option82选项,之后转发给DHCP Client。

    • DHCP响应报文不含有Option82选项:直接转发。
    展开全文
  • DHCP和路由动态协议

    2021-04-14 16:58:20
    DHCP和动态路由协议RIP 前言 在大型企业网络中,会有大量的主机或设备需要获取IP等网络参数。如果采用手工配置,工作量大而且不好管理,如果有用户擅自修改参数网络,还可能会造成IP地址冲突等问题。使用动态主机...

    DHCP和动态路由协议RIP
    概述:在大型企业网络中,会有大量的主机或设备需要获取IP等网络参数。如果采用手工配置,工作量大而且不好管理,如果有用户擅自修改参数网络,还可能会造成IP地址冲突等问题。使用动态主机配置协议DHCP来分配IP地址等网络参数,可以减少管理员的工作量,避免用户手工配置网络参数的地址冲突。

    DHCP
    1、DHCP的介绍:
    DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议
    1 给内部网络或网络服务供应商自动分配IP地址
    2 给用户或者内部网络管理员作为对所有计算机作中央管理的手段
    DHCP协议可以有效避免用户手工修改参数造成的ip地址的冲突,是应用层的协议,端口号为udp的67和68号端口

    工作原理
    DHCP四个工作步骤
    1客户端通过广播发送DHCP Disccover报文寻找服务器端
    2服务器通过单播发送DHCP offer报文向客户提供IP地址等信息
    3客户端通过广播发送DHCP Request报文告知服务端本地选择使用哪个IP
    4服务器通过单播发送DHCP Ack报文告知客户端IP地址是合法可用的

    在这里插入图片描述
    DHCP配置方法
    global 配置办法 在全局配置

     [R1]dhcp enable
    [R1]ip pool 1
    [ip-pool-1]network ip-address 192.168.1.0 mask 24   #地址池的网络段
    [ip-pool-1]getaway-list 192.168.1.254    #网关ip,注意对应主机上直连接口也为这个ip
    [ip-pool-1]lease day 0 hour 12     #设置租约时间
    [ip-pool-1]nds-list 8.8.8.8   #设置提供nds服务的ip地址为谷歌
    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
    [R1-GigabitEthernet0/0/0]dhcp select global   #激活全局配置
    
    
    

    interface配置方法,接口配置,在具体接口上面配置DHCP

     [R1]dhcp enable 
    [R1]int g0/0/0
    [R1-GigabitEthernet0/0/0]ip add 192.168.1.254 24
    [R1-GigabitEthernet0/0/0]dhcp server interface 
    [R1-GigabitEthernet0/0/0]dhcp server lease day 0 hour 12 
    [R1-GigabitEthernet0/0/0]dhcp  server dns-list 8.8.8.8
    
    
    

    路由协议分为 直连路由 静态路由 动态路由三类:

    在这里插入图片描述
    动态路由协议的分类

    IGP内网 EGP外网
    在这里插入图片描述
    什么是动态路由?
    动态路由机制的运作依赖路由器的两个基本功能:路由器之间适时的路由信息交换,对路由表的维护:

    1. 路由器之间适时地交换路由信息。
      动态路由之所以能根据网络的情况自动计算路由、选择转发路径,是由于当网络发生变化时,路由器之间彼此交换的路由信息会告知对方网络的这种变化,通过信息扩散使所有路由器都能得知网络变化。
    2. 路由器根据某种路由算法(不同的动态路由协议算法不同)把收集到的路由信息加工成路由表,供路由器在转发IP报文时查阅。
      在网络发生变化时,收集到最新的路由信息后,路由算法重新计算,从而可以得到最新的路由表。
      需要说明的是,路由器之间的路由信息交换在不同的路由协议中的过程和原则是不同的。交换路由信息的最终目的在于通过路由表找到一条转发IP报文的"最佳"路径。每一种路由算法都有其衡量"最佳"的一套原则,大多是在综合多个特性的基础上进行计算,这些特性有:路径所包含的路由器结点数(hop count)、网络传输费用(cost)、带宽(bandwidth)、延迟(delay)、负载(load)、可靠性(reliability)和最大传输单元MTU(maximum transmission unit)。
      常见的动态路由协议有:RIP、OSPF、IS-IS、BGP、IGRP/EIGRP。每种路由协议的工作方式、选路原则等都有所不同。
      在这里插入图片描述
      在这里插入图片描述
      在这里插入图片描述

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    RIP协议概述
    RIP(RoutingInformation Protocols,路由信息协议)
    是应用较早的内部网关协议(IGP).
    适用于小型网络,是典型的距离矢量协议。
    RIP基于UDP,端口520。
    在我司设备上路由优先级为100。
    RIP有三个版本:RIPv1、RIPv2及RLPng。

    在这里插入图片描述
    RIPv2 相比v1的改进
    支持外部路由标记(Route Tag),可以在路由策略中根据Tag对路由进行灵活的控制。
    报文中携带掩码信息,支持路由聚合和CIDR (Classless lnter-DomainRouting)。
    支持指定下一跳,在广播网上可以选择到目的网段最优下一跳地址。
    支持以组播方式发送更新报文,只有支持RIP-2的设备才能接收协议报文,减少资源消耗。
    支持对协议报文进行验证,增强安全性。

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    距离矢量路由选择协议的防环机制·
    定义最大度量以防止计数至无穷大
    水平分割
    路由中毒
    毒性逆转
    抑制计时器
    触发更新

    环路避免
    ·为了防止RIP路由在网络中被无限泛洪从而跳数累加到无穷大,RIP规定:路由的最大跳数为15跳,也就是如果度量值大于等于16跳则被视为不可达;·最大跳数的设定虽然解决了度量值技术到无穷大的问题,但是却也极大地限制了RIP所能支持的网络的规模。

    在这里插入图片描述
    在这里插入图片描述

    在这里插入图片描述

    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    给pc3分地址
    在这里插入图片描述
    在这里插入图片描述
    mac 输错 了

    设置rip
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    展开全文
  • DHCP动态配置 一个网络如果要正常地运行,则网络中的主机(Host)必需要知道某些重要的网络参数,如IP地址、网络掩码、网关地址、DNS服务器地址、网络打印机地址等等。显然,在每台主机上都采用手工方式来配置这些...

    DHCP

    DHCP技术

    手工配置网络

    传统的手工配置网络参数需要每个用户都手动配置IP地址、掩码、网关、DNS等多个参数。

    这样就会存在一些问题

    • 人员素质要求高
    • 容易出错
    • 灵活性差
    • IP地址资源利用率低
    • 工作量大

    DHCP动态配置

    一个网络如果要正常地运行,则网络中的主机(Host)必需要知道某些重要的网络参数,如IP地址、网络掩码、网关地址、DNS服务器地址、网络打印机地址等等。显然,在每台主机上都采用手工方式来配置这些参数是非常困难的、或是根本不可能的。

    随着用户规模的扩大及用户位置的不固定性,传统的静态手工配置方式已经无法满足需求,为了实现网络可以动态合理地分配IP地址给主机使用,需要用到动态主机配置协议DHCP。

    DHCP相对于静态手工配置有如下优点

    • 效率高
    • 灵活性强
    • 易于管理

    主要作用:动态分配IP地址

    名称:动态主机配置协议/DHCP(dynamic host configuration protocol)

    DHCP基本工作过程

    获取IP的过程

    在这里插入图片描述

    DHCP采用了Client/Server模型;DHCP Client需要从DHCP Server那里获得各种网络配置参数,这个过程是通过DHCP Client与DHCP Server之间交互各种DHCP消息来实现的。DHCP消息是封装在UDP报文中的,DHCP Server使用端口号67来接收DHCP消息,DHCP Client使用端口号68来接收DHCP消息。

    Client通过DHCP来申请获取自己的IP地址的基本过程,这一过程包含了四个阶段:

    1. 发现阶段

      发现阶段也就是PC上的DHCP Client寻找DHCP Server的阶段。PC上的DHCP Client开始运行后,会以广播的方式发送一个DHCP Discover消息。

      需要说明的是,图中所示的二层广播域中除了路由器R上运行了DHCP Server外,可能还有其它设备也运行了DHCP Server。如果是这样,那么所有这些DHCP Server都会接收到PC发送的DHCP Discover消息,也都会对所收到的DHCP Discover消息做出回应。

    2. 提供阶段

      提供阶段也就是DHCP Server向DHCP Client提供IP地址的阶段,每一个接收到DHCP Discover消息的DHCP Server(包括路由器R上运行的DHCP Server)都会从自己维护的地址池中选择一个合适的IP地址,并通过DHCP Offer消息将这个IP地址发送给DHCP Client。DHCP Server是以单播的方式来发送DHCP Offer消息的。

    3. 请求阶段

      在请求阶段中,PC上的DHCP Client会在若干个收到的Offer(即若干个收到的DHCP Offer消息)中根据某种原则来确定出自己将要接受哪一个Offer。通常情况下,DHCP Client会接受它所收到的第一个Offer(即最先收到的那个DHCP Offer消息)。图中,假设PC最先收到的DHCP Offer消息是来自路由器R。于是,PC上的DHCP Client会以广播方式发送一个DHCP Request消息,其意图就是向路由器R上的DHCP Server提出请求,希望获取到该DHCP Server发送给自己的DHCP Offer消息中所提供的那个IP地址。注意,这个DHCP Request消息中携带有R上的DHCP Server的标识(称为Server Identifier),表示PC上的DHCP Client只愿意接受R上的DHCP Server所给出的Offer。

      显然,该二层广播域中所有的DHCP Server都会接收到PC上的DHCP Client发送的DHCP Request消息。R上的DHCP Server收到并分析了该DHCP Request消息后,会明白PC已经愿意接受自己的Offer了。其他的DHCP Server收到并分析了该DHCP Request消息后,会明白PC拒绝了自己的Offer。于是,这些DHCP Server就会收回自己当初给予PC的Offer。也就是说,当初准备提供给PC使用的IP地址现在可以用来分配给别的设备使用了。

    4. 确认阶段

      在确认阶段,R上的DHCP Server会向PC上的DHCP Client发送一个DHCP Ack消息。注意,由于种种原因,R上的DHCP Server也可能会向PC上的DHCP Client发送一个DHCP Nak消息。如果PC接收到了DHCP Nak消息,就说明这次获取IP地址的尝试失败了。在这种情况下,PC只能重新回到发现阶段来开始新一轮的IP地址申请过程。

    IP续租过程

    在这里插入图片描述

    1. IP租约

      DHCP Server每次给DHCP Client分配一个IP地址时,只是跟DHCP Client定立了一个关于这个IP地址的租约(Lease)。每个租约都有一个租约期(Duration of Lease),DHCP协议规定租约期的缺省值不得小于1个小时,而实际部署DHCP时,租约期的缺省值通常都是24小时。在租约期内,DHCP Client才能使用相应的IP地址。当租约期到期之后,DHCP Client是不被允许继续使用这个IP地址的。在租约期还没有到期的时候,DHCP Client可以申请续租这个IP地址,其过程如图所示。

    2. IP续租

      DHCP协议规定,在缺省情况下,图中的T1时刻是租约期到了一半的时刻,而T2时刻则是租约期到了87.5%的时刻。在T1时刻,PC上的DHCP Client会以单播方式向R上的DHCP Server发送一个DHCP Request消息,请求续租IP地址(也就是请求重新开始租约期的计时)。如果在T2时刻之前, PC上的DHCP Client收到了回应的DHCP Ack消息,则说明续租已经成功。如果直到T2时刻,PC上的DHCP Client都未收到回应的DHCP Ack消息,那么在T2时刻,PC上的DHCP Client会以广播方式发送一个DHCP Request消息,继续请求续租IP地址。如果在租约期到期之前,PC上的DHCP Client收到了回应的DHCP Ack消息,则说明续租成功。如果直到租约期到期时,PC上的DHCP Client仍未收到回应的DHCP Ack消息,那么PC就必须停止使用原来的IP地址,也就是说,PC只能重新从发现阶段开始来重新申请一个IP地址。

    DHCP配置

    基于接口的DHCP

    在这里插入图片描述

    # 使能DHCP功能,在配置DHCP服务器时必须先执行该命令,才能配置DHCP的其他功能并生效
    [R1]dhcp enable 
    # 进入接口
    [R1]interface GigabitEthernet0/0/1
    # 给接口配置IP
    [R1-GigabitEthernet0/0/1]ip address 192.168.1.254 255.255.255.0 
    # 使能接口分配地址方式且关联接口地址池
    [R1-GigabitEthernet0/0/1]dhcp select interface
    # 配置接口地址池中不参与自动分配的IP地址范围
    [R1-GigabitEthernet0/0/1]dhcp server excluded-ip-address 192.168.1.253 
    # 配置接口地址池中IP地址的租用有效期,默认1天,可配置小时分钟
    [R1-GigabitEthernet0/0/1]dhcp server lease day 2 hour 0 minute 0 
    # 指定分配的DNS服务器地址
    [R1-GigabitEthernet0/0/1]dhcp server dns-list 192.168.1.253 
    

    基于全局地址池的DHCP

    在这里插入图片描述

    [R1]dhcp enable 
    # 设置一个名为pool1的全局地址池
    [R1]ip pool pool1
    # 设置分配的网关IP
    [R1-ip-pool-pool1]gateway-list 192.168.2.254 
    # 设置分配的地址网段(代表给这个IP下分配IP)
    [R1-ip-pool-pool1]network 192.168.2.0 mask 255.255.255.0 
    # 设置不参与自动分配的IP地址范围
    [R1-ip-pool-pool1]excluded-ip-address 192.168.2.253 
    # 设置地址池中IP地址的租用有效期限,默认1天
    [R1-ip-pool-pool1]lease day 3 hour 0 minute 0 
    # 设置分配的DNS服务器地址
    [R1-ip-pool-pool1]dns-list 192.168.2.253 
    
    # 进入需要分配的接口
    [R1]interface GigabitEthernet0/0/1
    # 设置网关
    [R1-GigabitEthernet0/0/1]ip address 192.168.2.254 255.255.255.0 
    # 接口使用全局地址池
    [R1-GigabitEthernet0/0/1]dhcp select global
    

    DHCP Realy(DHCP中继)

    DHCP Realy

    从前面的描述中可知,DHCP Discover、DHCP Offer等消息都是以广播报文的方式发送的,也就是说,DHCP Client和DHCP Server必须在同一个二层广播域中才能接收到彼此发送的DHCP消息。DHCP消息无法跨越二层广播域传递。

    一个实际的IP网络通常都包含了多个二层广播域,如果需要部署DHCP,那么可以有两种方法:

    方法一:在每一个二层广播域中都部署一个DHCP Server(代价太大,现实中一般不推荐此方法)。

    方法二:部署一个DHCP Server来同时为多个二层广播域中的DHCP Client服务,这就需要引入DHCP Relay。

    DHCP Relay工作过程

    在这里插入图片描述

    DHCP Relay的基本作用就是专门在DHCP Client和DHCP Server之间进行DHCP消息的中转。

    如图所示,DHCP Client利用DHCP Relay来从DHCP Server那里获取IP地址等配置参数时,DHCP Relay必须与DHCP Client位于同一个二层广播域,但DHCP Server可以与DHCP Relay位于同一个二层广播域,也可以与DHCP Relay位于不同的二层广播域。DHCP Client与DHCP Relay之间是以广播方式交换DHCP消息的,但DHCP Relay与DHCP Server之间是以单播方式交换DHCP消息的(这就意味着,DHCP Relay必须事先知道DHCP Server的IP地址)。

    DHCP Relay配置过程

    在这里插入图片描述

    采用DHCP中继加单臂路由的设置

    # R1(DCHP Server)
    [R1]dhcp enable
    # 创建一个名为pool10的地址池
    [R1]ip pool pool10
    # 设置分配的网关IP
    [R1-ip-pool-pool1]gateway-list 192.168.10.254 
    # 设置分配的地址网段(代表给这个IP下分配IP)
    [R1-ip-pool-pool1]network 192.168.10.0 mask 255.255.255.0 
    # 设置分配的DNS服务器地址
    [R1-ip-pool-pool1]dns-list 10.1.1.1 
    # 进入接口
    [R1]interface GigabitEthernet0/0/0
    # 配置和R2互连接口地址
    [R1-GigabitEthernet0/0/0]ip address 10.1.1.1 255.255.255.0 
    # 选择global模式
    [R1-GigabitEthernet0/0/0]dhcp select global
    # 添加静态路由(由于中继后的DHCP报文是一个源地址为192.168.10.254的单播报文,需要有回去的路由)
    [R1]ip route-static 192.168.10.0 255.255.255.0 10.1.1.2
    
    # R2(DHCP Relay)
    [R2]dhcp enable
    # 创建名为DHCPR1的组
    [R2]dhcp server group DHCPR1 
    # 设定DHCP组服务器地址
    [R2-dhcp-server-group-DHCPR1]dhcp-server 10.1.1.1 0
    # 配置和R1互连的地址
    # 进入接口
    [R2]interface GigabitEthernet0/0/0
    [R2-GigabitEthernet0/0/0]ip address 10.1.1.2 255.255.255.0 
    # 进入端口
    [R2]interface GigabitEthernet0/0/1.10
    # 配置单臂路由
    [R2-GigabitEthernet0/0/1.10]dot1q termination vid 10
    [R2-GigabitEthernet0/0/1.10]ip address 192.168.10.254 255.255.255.0 
    [R2-GigabitEthernet0/0/1.10]arp broadcast enable
    # 选择DHCP relay模式
    [R2-GigabitEthernet0/0/1.10]dhcp select relay
    # 设定relay使用的服务器组
    [R2-GigabitEthernet0/0/1.10]dhcp relay server-select DHCPR1
    # 也可直接设定DHCP服务器
    # [R2-GigabitEthernet0/0/1.10]dhcp relay server-ip 10.1.1.1 
    
    # SW1
    vlan batch 10 20
    # 配置Vlan
    interface Ethernet0/0/1
     port link-type access
     port default vlan 10
    # 配置Vlan
    interface Ethernet0/0/2
     port link-type access
     port default vlan 20
    

    vlan20同vlan10配置方式

    DHCP Snooping技术

    DHCP在设计上未充分考虑到安全因素,从而留下了许多安全漏洞,使得DHCP很容易受到攻击。实际网络中,针对DHCP的攻击行为主要有以下三种:

    • DHCP饿死攻击/地址耗尽

      攻击原理:攻击者持续大量地向DHCP Server申请IP地址,直到耗尽DHCP Server地址池中的IP地址,导致DHCP Server不能给正常的用户进行分配。

      漏洞分析:DHCP Server向申请者分配IP地址时,无法区分正常的申请者与恶意的申请者。

    • 仿冒DHCP Server攻击

      攻击原理:攻击者仿冒DHCP Server,向客户端分配错误的IP地址及提供错误的网关地址等参数,导致客户端无法正常访问网络。

      漏洞分析:DHCP客户端接收到来自DHCP Server的DHCP消息后,无法区分这些DHCP消息是来自仿冒的DHCP Server,还是来自合法的DHCP Server。

    • DHCP中间人攻击

      攻击原理:攻击者利用ARP机制,让PC-A学习到IP-S与MAC-B的映射关系,又让Server学习到IP-A与MAC-B的映射关系。如此一来,PC-A与Server之间交互的IP报文都会经过攻击者中转。

      漏洞分析:从本质上讲,中间人攻击是一种Spoofing IP/MAC攻击,中间人利用了虚假的IP地址与MAC地址之间的映射关系来同时欺骗DHCP的客户端和服务器。

    DHCP Snooping技术的出现

    为了增强网络安全,防止DHCP受到攻击,一种称为DHCP Snooping的技术应运而生。DHCP Snooping不是一种标准技术,尚未有统一的标准规范,不同的网络设备制造商在DHCP Snooping的实现上也不尽相同。
    DHCP Snooping部署在交换机上,其作用类似于在DHCP客户端与DHCP服务器端之间构筑了一道虚拟的防火墙。

    1. DHCP Snooping用于防止DHCP饿死攻击:

      为了弥补上述漏洞,从而阻止饿死攻击,DHCP Snooping技术支持在端口下对DHCP Request报文的源MAC地址与CHADDR进行一致性检查:如果二者相同,则转发报文;如果二者不相同,则丢弃。如果要在某端口下实施源MAC地址与CHADDR的一致性检查,可以在该端口下使用命令dhcp snooping check dhcp-chaddr enable。

    2. DHCP Snooping用于防止仿冒DHCP Server攻击:

      交换机的端口默认是Untrusted端口。如果需要将交换机的某个端口配置为Trusted端口,可以在该端口视图下使用命令dhcp snooping trusted。如果需要将某个Trusted端口恢复为Untrusted端口,可以在该端口视图下使用命令undo dhcp snooping trusted。

    3. DHCP Snooping用于防止DHCP中间人攻击:

      运行了DHCP Snooping的交换机会“侦听(Snooping)”往来于用户与DHCP Server之间的DHCP消息,并从中收集用户的MAC地址(这里的MAC地址是指DHCP消息中CHADDR字段的值)、用户的IP地址(这里的IP地址是指DHCP Server分配给相应CHADDR的IP地址)等信息,这些信息会集中存放在一个数据库中,该数据库也被称为DHCP Snooping绑定表。运行了DHCP Snooping的交换机会建立并动态维护DHCP Snooping绑定表,绑定表中除了包含了用户的MAC地址、用户的IP地址外,还包括IP地址租用期、VLAN-ID等等信息。

      在交换机的系统视图下执行配置命令arp dhcp-snooping-detect enable。

    展开全文
  •  DHCP(Dynamic Host Configuration Protocol)即动态主机配置协议是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升...

    简介

            DHCP(Dynamic Host Configuration Protocol)即动态主机配置协议是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:使网络环境中的主机动态的获得IP地址、Gateway地址、DNS服务器地址等信息,并能够提升地址的使用率;给用户用于内部网管理员作为对所有计算机作中央管理的手段。
            DHCP的前身是 BOOTP。BOOTP 原本是用于无磁盘主机连接的网络上面的:网络主机使用 BOOT ROM 而不是磁盘起动并连接上网络,BOOTP 则可以自动地为那些主机设定 TCP/IP 环境。但 BOOTP 有一个缺点:您在设定前须事先获得客户端的硬件地址,而 且,与 IP 的对应是静态的。换而言之,BOOTP 非常缺乏 "动态性" ,若在有限的 IP 资源环境中,BOOTP 的一对一对应会造成非常可观的浪费。
            DHCP 可以说是 BOOTP 的增强版本,它分为两个部份:一个是服务器端,而另一个是客户端。所有的 IP 网络设定数据都由 DHCP 服务器集中管理,并负责处理客户端的 DHCP 要求;而客户端则会使用从服务器分配下来的IP环境数据。比较起 BOOTP ,DHCP 透过 "租约" 的概念,有效且动态的分配客户端的 TCP/IP 设定,而且,作为兼容考虑,DHCP 也完全照顾了 BOOTP Client 的需求。

    注:为了便于理解,下图为本机网卡信息:

    封包格式及各字段分析

    三种机制分配IP地址:
    1. 自动分配方式,DHCP服务器为主机指定一个永久性的IP地址,一旦DHCP客户端第一次成功从DHCP服务器端租用到IP地址后,就可以永久性的使用该地址。
    2. 动态分配方式,DHCP服务器给主机指定一个具有时间限制的IP地址,时间到期或主机明确表示放弃该地址时,该地址可以被其他主机使用。
    3. 手工分配方式,客户端的IP地址是由网络管理员指定的,DHCP服务器只是将指定的IP地址告诉客户端主机。
    具有以下功能:
    1. 保证任何IP地址在同一时刻只能由一台DHCP客户机所使用。
    2. DHCP应当可以给用户分配永久固定的IP地址。
    3. DHCP应当可以同用其他方法获得IP地址的主机共存(如手工配置IP地址的主机)。
    4. DHCP服务器应当向现有的BOOTP客户端提供服务。
            DHCP消息的格式是基于BOOTP(Bootstrap Protocol)消息格式的,这就要求设备具有BOOTP中继代理的功能,并能够与BOOTP客户端和DHCP服务器实现交互。BOOTP中继代理的功能,使得没有必要在每个物理网络都部署一个DHCP服务器。

    封包格式及各字段分析

    封包格式

    字段分析

    OP:操作码,占8位、分为请求报文和响应报文。1:请求报文,2:应答报文。即client送给server的封包,设为1,反之为2。
    请求报文:Discover:1、Request:3、Release:7、Inform:8、Decline:4。
    应答报文:Offer:2、ACK:5、NAK:6。


    HW Type:硬件地址类型,占8位、MAC地址类型其实是指明网络类型,HW type值为1时表示为最常见的以太网MAC地址类型。
    HW Len:硬件地址长度,占8位、以太网MAC地址长度为6个字节,即以太网时HW Len值为6。
    Hops:跳点数,占8位、默认为0。DHCP请求报文每经过一个DHCP中继,该字段就会增加1。没有经过DHCP中继时值为0。(若数据包需经过router传送,每站加1,若在同一网内,为0。)
    Transaction ID:事务标识,占32位、客户端通过DHCP Discover报文发起一次IP地址请求时选择的随机数,相当于请求标识。用来标识一次IP地址请求过程。在一次请求中所有报文的ID都是一样的。
    Seconds:引导时间,占32位、客户端从获取到IP地址或者续约过程开始到现在所消耗的时间,以秒为单位。在没有获得IP地址前该字段始终为0。(DHCP客户端开始DHCP请求后所经过的时间。目前尚未使用,固定为0。)
    Flags:标志位,只使用第0比特位,是广播应答标识位,用来标识DHCP服务器应答报文是采用单播还是广播发送,0表示采用单播发送方式,1表示采用广播发送方式。其余位尚未使用。(即从0-15bits,最左1bit为1时表示server将以广播方式传送封包给client)。注:在客户端正式分配了IP地址之前的第一次IP地址请求过程中,所有DHCP报文都是以广播方式发送的,包括客户端发送的DHCP Discover和DHCP Request报文,以及DHCP服务器发送的DHCP Offer、DHCP ACK和DHCP NAK报文。当然,如果是由DHCP中继器转的报文,则都是以单播方式发送的。另外,IP地址续约、IP地址释放的相关报文都是采用单播方式进行发送的。
    Client IP Address:客户端IP地址,占32位、仅在DHCP服务器发送的ACK报文中显示,在其他报文中均显示0,因为在得到DHCP服务器确认前,客户端是还没有分配到IP地址的。只有客户端是Bound、Renew、Rebinding状态,并且能响应ARP请求时,才能被填充。
    Your IP Address:服务器分配给客户端的IP地址,占32位、仅在DHCP服务器发送的Offer和ACK报文中显示,其他报文中显示为0。
    Srever IP Address:服务器IP地址,占32位、仅在DHCP Offer、DHCP ACK报文中显示,其他报文中显示为0。(用于bootstrap过程中的IP地址)
    Gateway IP Address:网关IP地址,占32位、如果没有经过DHCP中继,则显示为0。(转发代理(网关)IP地址)
    Client Hardware Address:客户端的硬件地址,占128位、在每个报文中都会显示对应DHCP客户端的MAC地址。
    Server Name:服务器名称(DNS域名格式),占512位、在Offer和ACK报文中显示发送报文的服务器名称,其他报文显示为0。
    Boot File name:服引导文件名,占1024位、仅在DHCP Offer报文中显示,其他报文中显示为空。
    Options:可选项字段,长度可变,格式为"代码+长度+数据"。

    数据包分析

    完整的DHCP四次交互:

    发现(Discover):
            发现阶段,即DHCP客户机寻找DHCP服务器的阶段。DHCP客户机以广播方式(因为DHCP服务器的IP地址对于客户机来说是未知的)发送DHCP discover发现信息来寻找DHCP服务器,即向地址255.255.255.255发送特定的广播信息。网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息,但只有DHCP服务器才会做出响应。

    服务响应(Offer):
            提供阶段,即DHCP服务器提供IP地址的阶段。在网络中接收到DHCP discover发现信息的DHCP服务器都会做出响应,它从尚未出租的IP地址中挑选一个分配给DHCP客户机,向DHCP客户机发送一个包含出租的IP地址和其他设置的DHCP offer提供信息。

    请求(Request):
            选择阶段,即DHCP客户机选择某台DHCP服务器提供的IP地址的阶段。如果有多台DHCP服务器向DHCP客户机发来的DHCP offer提供信息,则DHCP客户机只接受第一个收到的DHCP offer提供信息,然后它就以广播方式回答一个DHCP request请求信息,该信息中包含向它所选定的DHCP服务器请求IP地址的内容。之所以要以广播方式回答,是为了通知所有的DHCP服务器,他将选择某台DHCP服务器所提供的IP地址。

    消息类型解析:

    确认(ACK):
            确认阶段,即DHCP服务器确认所提供的IP地址的阶段。当DHCP服务器收到DHCP客户机回答的DHCP request请求信息之后,它便向DHCP客户机发送一个包含它所提供的IP地址和其他设置的DHCP ACK确认信息,告诉DHCP客户机可以使用它所提供的IP地址。然后DHCP客户机便将其TCP/IP协议与网卡绑定,另外,除DHCP客户机选中的服务器外,其他的DHCP服务器都将收回曾提供的IP地址。

    重新登录:
            以后DHCP客户机每次重新登录网络时,就不需要再发送DHCP discover发现信息了,而是直接发送包含前一次所分配的IP地址的DHCP request请求信息。当DHCP服务器收到这一信息后,它会尝试让DHCP客户机继续使用原来的IP地址,并回答一个DHCP ACK确认信息。如果此IP地址已无法再分配给原来的DHCP客户机使用时(比如此IP地址已分配给其它DHCP客户机使用),则DHCP服务器给DHCP客户机回答一个DHCP NACK否认信息。当原来的DHCP客户机收到此DHCP NACK否认信息后,它就必须重新发送DHCP discover发现信息来请求新的IP地址。
    NACK:

    更新租约:
            DHCP服务器向DHCP客户机出租的IP地址一般都有一个租借期限,期满后DHCP服务器便会收回出租的IP地址。如果DHCP客户机要延长其IP租约,则必须更新其IP租约。DHCP客户机启动时和IP租约期限过一半时,DHCP客户机都会自动向DHCP服务器发送更新其IP租约的信息。

    其他相关

    DHCP交互过程:

    1.DHCP Client以广播的方式发出DHCP Discover报文。
    2.所有的DHCP Server都能够接收到DHCP Client发送的DHCP Discover报文,所有的DHCP Server都会给出响应,向DHCP Client发送一个DHCP Offer报文。DHCP Offer报文中“Your(Client) IP Address”字段就是DHCP Server能够提供给DHCP Client使用的IP地址,且DHCP Server会将自己的IP地址放在“option”字段中以便DHCP Client区分不同的DHCP Server。DHCP Server在发出此报文后会存在一个已分配IP地址的纪录。
    3.DHCP Client只能处理其中的一个DHCP Offer报文,一般的原则是DHCP Client处理最先收到的DHCP Offer报文。DHCP Client会发出一个广播的DHCP Request报文,在选项字段中会加入选中的DHCP Server的IP地址和需要的IP地址。
    4.DHCP Server收到DHCP Request报文后,判断选项字段中的IP地址是否与自己的地址相同。如果不相同,DHCP Server不做任何处理只清除相应IP地址分配记录;如果相同,DHCP Server就会向DHCP Client响应一个DHCP ACK报文,并在选项字段中增加IP地址的使用租期信息。
    5.DHCP Client接收到DHCP ACK报文后,检查DHCP Server分配的IP地址是否能够使用。如果可以使用,则DHCP Client成功获得IP地址并根据IP地址使用租期自动启动续延过程;如果DHCP Client发现分配的IP地址已经被使用,则DHCP Client向DHCP Server发出DHCP Decline报文,通知DHCP Server禁用这个IP地址,然后DHCP Client开始新的地址申请过程。
    6.DHCP Client在成功获取IP地址后,随时可以通过发送DHCP Release报文释放自己的IP地址,DHCP Server收到DHCP Release报文后,会回收相应的IP地址并重新分配。

    续租:

            在使用租期超过50%时刻处,DHCP Client会以单播形式向DHCP Server发送DHCP Request报文来续租IP地址。如果DHCP Client成功收到DHCP Server发送的DHCP ACK报文,则按相应时间延长IP地址租期;如果没有收到DHCP Server发送的DHCP ACK报文,则DHCP Client继续使用这个IP地址。
            在使用租期超过87.5%时刻处,DHCP Client会以广播形式向DHCP Server发送DHCP Request报文来续租IP地址。如果DHCP Client成功收到DHCP Server发送的DHCP ACK报文,则按相应时间延长IP地址租期;如果没有收到DHCP Server发送的DHCP ACK报文,则DHCP Client继续使用这个IP地址,直到IP地址使用租期到期时,DHCP Client才会向DHCP Server发送DHCP Release报文来释放这个IP地址,并开始新的IP地址申请过程。

    DHCP配置术语,主要参数:

    作用域:网络上IP地址完整连续范围,通常定义为接受DHCP服务网络上的单个物理子网。
    排除范围:在作用域内从DHCP服务中排除的有限IP地址序列。排除后的IP地址不会通过DHCP服务分配出去。
    地址池:定义排除范围后,剩余的地址在作用域内形成可用的“地址池”。
    租约:租约是由DHCP服务器指定的一段时间,在此段时间内,分配的IP可以供客户机使用,一般情况下,客户端会在一定时间发送“续租报文”。租约期限决定租约何时期满以及客户端需要向服务器对它进行更新的频率。
    保留:可以使用“保留”创建DHCP服务器指派的永久地址租约,可以保留一些特定IP地址供DHCP客户端永久使用,可确保子网上指定的设备始终使用相同的IP地址。保留地址可以使用作用域地址范围中任何IP地址,即使该IP地址同时还位于某个排除范围内。
    选项:选项是DHCP服务器在向DHCP客户端提供租约时可指派的其他客户端配置参数。例如,一些常用选项包含默认网关(路由器)、DNS服务器、IP地址。通常为每个作用域启用并配置这些选项类型。

    跨网络的 DHCP 运作

            DHCP Discover报文是以广播方式进行的,其情形只能在同一网络之内进行,因为路由器是不会将广播传送出去的。但如果 DHCP 服务器安设在其它的网络上面呢?由于DHCP客户端还没有IP环境设定,所以也不知道网关,而且有些路由器也不会将 DHCP广播封包传递出去,因此这情形下DHCP发现报文是永远没办法抵达DHCP服务端的,当然也不会发生Offer及其它动作了。要解决这个问题,我们可以用DHCP代理(中继)主机来接管客户的DHCP请求,然后将此请求传递给真正的 DHCP 服务器,然后将服务器的回复传给客户。这里,代理主机必须自己具有路由能力,且能将双方的封包互传对方。

    DHCP服务中继实现:
    所有计算机均为自动获取IP
    DHCP Server在1.1.2.0/24网段,其中配置1.1.1.0/24网段和1.1.2.0/24网段的DHCP服务。
    路由器上(Cisco),命令#ip helper-address 1.1.1.253 配置中继服务。
    DHCP服务中继实现,至此,所有计算机均可以向DHCP Server请求IP地址,1.1.2.0/24网段主机直接通过广播发现报文向DHCP Server请求IP地址,1.1.1.0/24网段主机通过路由器的中继请求IP地址(主机广播发现报文请求IP地址,路由器接收报文,单播到DHCP服务器,服务器响应将报文单播至路由器,路由器在1.1.1.0/24网段广播,刚刚请求IP的主机接收报文。。。(再向下说就是废话了)。。。)

     

    展开全文
  • DHCP动态主机配置协议rfc2131翻译

    千次阅读 2019-09-30 18:14:16
    动态主机配置协议 本备忘录的状态 本文档为以下内容指定了Internet标准跟踪协议:互联网社区,并要求讨论提出建议改进。... 动态主机配置协议(DHCP)提供了一个框架,用于将配置信息传递到TCPIP网...
  • 1.公网ip私网ip 外网IP是全世界唯一的IP地址,仅分配给一个网络设备。公网IP地址全世界仅分配给一个网络设备(比如你在家拨号,分配给你一个IP地址吧,那个地址是唯一的,你用你机器做个网站,别人访问你的IP地址...
  • 动态主机配置协议DHCP(DHCPv4)

    千次阅读 2020-05-17 19:22:10
    DHCP一、DHCP简介DHCP的发展:二、DHCP报文:DHCP报文类型:DHCP报文格式DHCP报文中各字段的含义DHCP Opthion字段选项三、DHCP原理描述DHCP角色:DHCP服务器给首次接入网络的客户端分配网络参数的工作原理:无中继...
  • VRRP、DHCP和中继DHCP的基本知识点一、VRRP----虚拟路由器冗余协议1.1 VRRP的概述1.2 VRRP的术语1.3 VRRP状态机1.4 VRRP报文1.5 VRRP的作用1.6 VRRP的相关配置二、DHCP和中继DHCP2.1 DHCP动态主机配置协议2.1.1 DHCP...
  • DHCP

    2020-02-02 19:06:13
    定义动态主机配置协议DHCP(Dynamic Host Configuration Protocol)是一种用于集中对用户IP地址进行动态管理配置的技术。即使规模较小的网络,通过DHCP也可以使后续增加网络设备变得简单快捷。 DHCP是在BOOTP...
  • DHCP允许计算机动态地获取IP地址,而不是静态为每台主机指定地址。DHCP能够分配其他配置参数,例如客户端的启动配置文件,使客户端仅用一个消息就获取它所需要的所有配置信息。动态分配机制:通过DHCP为主机分配一个...
  • 网络基础之DHCP和RIP

    2021-04-14 16:11:23
    文章目录前言一、DHCP概述二、DHCP报文类型三、DHCP工作原理 前言 在大型企业网络中,会有大量的主机或设备需要获取IP地址等网络参数。...DHCP动态主机配置协议)是一个局域网的网络协议。指的是由
  • DHCP原理及DHCP服务器的防攻击手段

    千次阅读 多人点赞 2019-09-28 17:45:07
    2、DHCP相对于静态手工配置的优点【效率高、灵活性强、易于管理等】 二、DHCP的原理与配置 (一)、DHCP的基本工作过程【发现阶段、提供阶段、请求阶段、确认阶段】如下图: 【发现阶段】:在发现阶段,DHCP...
  • 动态主机配置协议 目录动态主机配置协议
  • DHCP的原理基础配置
  • dhcp服务器网关修改

    2021-08-11 07:53:06
    若将动态DHCP改为静态IP设置,IP网关等网络信息必须裸金属服务器下发时保持一致,否则可能会引起网络不通。以CentOS 7系列为例,具体配置步骤可参考本节。查看裸金属服务器的IP、网关等信息。查看IP地址:...
  • 1.R1配置dhcp服务,能够分配1.02.0网段的IP地址给四台主机dhcp 网关:.254 dns:8.8.8.8 租约:12小时 给pc3分配一个固定IP2.10 2.路由器配置rip实现全网互通 在R1上配置,分配网段给四台主机 先设置接口的IP [R1...
  • Wireshark分析DHCP

    2021-01-12 03:15:19
    常见的有: ●DHCP Server的冒充 ●DHCP Server的DOS攻击,如DHCP耗竭攻击 ●某些用户随便指定IP地址,造成IP地址冲突 1、DHCP Server的冒充 由于DHCP服务器客户端之间没有认证机制,所以如果在网络上随意添加一台...
  • 华为网络配置(DHCP

    千次阅读 2021-11-11 19:37:14
    在IP网络中,每个连接Internet的设备都需要分配唯一的IP地址,DHCP使网络管理员能从中心结点监控分配IP地址,当某台计算机移到网络中的其它位置时,能自动收到新的IP地址,DHCP实现的自动化分配IP地址不仅降低了...
  • dhcp的客户端服务端必须在同一网段。 客户端不需要配置什么,它会自动在所在网段搜寻合适的DHCP服务器。 dhcp服务端: 安装dhcp# yum install -y dhcp 编辑配置文件/etc/dhcp/dhcpd.conf (1) 自动分配...
  • DHCP 原理及抓包分析

    千次阅读 2019-02-26 22:44:14
    1.2 DHCP 工作机制 2. DHCP 交互流程 2.1 正常交互流程 2.2 租约 2.3 客户端状态机 2.4 参数配置 3. DHCP 报文 3.1 报文类型 3.2 报文格式 3.3 抓包 4. DHCP 中继代理 1. DHCP 简介 1.1 DHCP 作用 ...
  • 一 .DHCP协议工作的四个过程: 1.注意: DHCP在提供服务时,DHCP客户端是以UDP 68号端口进行数据传输的,而DHCP服务器是以UDP 67号端口进行数据传输的。 2. 3. 发现阶段(DHCP客户端在网络中广播发送DHCP DISCOVER...
  • 1.1.1 当前主机APR高速缓存里面有目的主机IP地址MAC地址的映射 补充APR: 对于每一个主机路由器,都会有一个ARP高速缓存,里面存的是IP地址与MAC地址的映射。 1.1.2 当前主机APR高速缓存里面没有目的主机IP...
  • DHCP监听DHCP监听(DHCP Snooping)是一种保护DHCP服务器的安全机制,它可以过滤来自网络中的主机或其他设备的非信任DHCP报文,以保证客户端能从正确的DHCP服务器获得IP地址,DHCP监听可以避免DHCP服务器欺骗和DHCP...
  • DHCP的配置

    千次阅读 2019-08-05 10:14:52
    dhcp enable命令是DHCP相关功能的总开关,DHCP Relay、DHCP Snooping、DHCP Server等功能都要在执行dhcp enable命令使能DHCP功能后才会生效。执行undo dhcp enable命令后,设备上所有的DHCP相关的配置会被删除;...
  • DHCP服务http服务

    2017-12-23 23:35:36
    (一)、DHCP服务DHCP:Dynamic Host Configuration Protocol,动态主机配置协议 <-- bootpTCP/IP IPADDR NETMASK GATEWAY DNS广播租用: Client--> DHCPDISCOVER DHCPOFFER <--Server Client-->...
  • C++动态链接/静态链接库编程

    千次阅读 2013-10-30 21:58:58
    VC++ 动态链接库 (DLL) 编程(一) ――理解库 作者: 宋宝华 e-mail: 21cnbao @ 21cn.com 1. 概论 先来阐述一下 DLL(Dynamic Linkable Library) 的概念,你可以简单的把 DLL 看成一种仓库,
  • DHCP IPv6基础

    2021-07-17 09:20:47
    DHCP动态主机配置协议)是一个局域网的网络协议,为网络内IP 地址分配提供快速、自动集中管理的协议。它还用于配置设备上的子网掩码、默认网关DNS 服务器信息。 1.1 DHCP功能 DHCP 可以自动为局域网中主机...
  • 思科交换机DHCP功能使用简介

    千次阅读 2020-12-31 02:09:15
    一、DHCP server功能:DHCP可以动态的为其管辖下的主机分配地址。DHCP协议报文是UDP报文,DHCP使用67(客户端)68(服务器)端口。首先,客户端(例如我们PC的网卡)在其所在广播域广播发送discover报文;当此广播域的...
  • DHCP指的是由服务器控制一段IP地址范围,客户机登录服务器时就...计算机可以通过静态手工分配IP地址和DHCP服务器动态分配IP地址两种方式管理局域网。。。只要勾选DHCP服务,即开放自动分配IP地址.一般的家庭就不用设置...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 9,994
精华内容 3,997
关键字:

dhcp动态和静态机制

友情链接: zbbz.rar