DHCP 動態主機配置服務能夠讓網絡上的一臺主機從一個DHCP服務器獲得一個有效的IP以及其它的配置信息,使能夠在網絡內正常通信。
DHCP使用的是UDP協議,主機發送請求給dhcp服務器的67端口,dhcp服務器回消息給主機的68端口。
DHCP實現過程主要包括以下幾步:
1.主機發送一個請求IP地址及其他配置信息的廣播報文 DHCPDiscover
2.DHCP服務器會送一個包含有效IP地址以及其他配置信息的單播報文DHCP offer
3.主機接受最先到達的DHCP Offer的那臺服務器,併發送一個單播的DHCPrequest報文 表示接受配置信息.
4.被選中DHCP服務器回送一個確認的報文 DHCPAck
至此 主機就可以通過DHCP分配的IP 在網絡內進行通信。
DHCP分配IP 有3種方式:
1.隨機永久性分配
2.綁定 靜態分配
3.隨機分配 有租約
我們平常使用最多的是第三種類型,當租約到期後,必須續約,否則服務器釋放該IP給其他主機使用。
在網絡中我們還會遇到一些問題,比如DHCP服務器和客戶端主機不在同一個網段,而路由器不會將一個廣播包從一個子網轉發到另外一個子網,這時候我們就要配置DHCP中繼,轉發DHCP廣播包.
還有一種情況就是 網絡內有多臺DHCP服務器,其中可能存在用戶非法私自搭建的DHCP服務器,這樣會產生客戶端無法獲取合法的IP地址,同時也會造成ip地址衝突的現象,爲了解決以上問題,中興三層路由交換機通過採取DHCP snooping 技術來阻斷不合法的dhcp服務器,這時候連接DHCP服務器的端口必須設置爲信任端口,另外結合動態的arp檢測技術,可以防止非法的IP MAC綁定.保證了dhcp服務器能夠正常分配IP地址。
DHCP配置選項一般包括以下幾點:
在交換機上開啓dhcp服務
創建地址池 ip local pool jzt 10.1.1.1 10.1.1.100 255.255.255.0
配置默認的DNS 和網關
配置地址租約 ip dhcp server leasetime 100
配置mac綁定
配置接口上DHCP用戶的限額
DHCP snooping的配置:
全局啓用DHCP snooping ip dhcp snooping enable
在vlan中啓用DHCP snooping ip dhcp snooping vlan <vlan-id>
配置DHCP snooping 信任端口 防止不合法的DHCPu、服務器欺騙
ip dhcp snooping trust f0/1
動態ARP檢測 ip arp inspection vlan <vlan-id>
手動配置DHCP snooping 數據庫表項
DHCP中繼的配置:
1.全局啓用內置的DHCP進程
ip dhcp enable
2.在接口上啓用DHCP relay
ip dhcp mode relay
3.在連接客戶機子網的接口上配置用戶缺省網關地址
ip dhcp relay agent 192.168.1.1
4.在連接客戶機子網的接口上配置外部DHCP的IP地址
ip dhcp relay server 192.168.1.254
5.全局將DHCP服務器的分配IP地址與arp綁定
ip dhcp relay update arp
配置實例 DHCPsnooping :
拓撲中 DHCP1 是合法的服務器 DHCP2是用戶私自搭建的非法服務器
3臺電腦同屬於vlan100
int range f0/1 -3
switchport mode acc
switchport acc vlan 100
配置模式下:ip dhcp snooping enable
ip dhcp snooping vlan 100
ip dhcp snooping trusst f0/2
int vlan 100
通過動態arp檢測技術可以防止pc機設置靜態ip地址 ip arp inspection
DHCP的維護和診斷:
show ip dhcp server 顯示dhcp server配置信息
show ip dhcp snooping configure
show ip dhcp server user 顯示DHCP用戶列表
show ip dhcp relay 顯示dhcp中繼配置信息
show ip local poor 顯示本地地址池的配置信息