




版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、華為路由器dhcp簡(jiǎn)單配置實(shí)例session 1 DHCP的工作原理 DHCP(Dynamic Host Configuration Protocol,動(dòng)態(tài)主機(jī)配置協(xié)議)是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議,使用UDP協(xié)議工作, 主要有兩個(gè)用途:給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動(dòng)分配IP地址,給用戶(hù)或者內(nèi)部網(wǎng)絡(luò)管理員作為對(duì)所有計(jì)算機(jī)作中央管理的手段,在RFC 2131中有詳細(xì)的描述。DHCP有3個(gè)端口,其中UDP67和UDP68為正常的DHCP服務(wù)端口,分別作為DHCP Server和DHCP Client的服務(wù)端口;546號(hào)端口用于DHCPv6 Client
2、,而不用于DHCPv4,是為DHCP failover服務(wù),這是需要特別開(kāi)啟的服務(wù),DHCP failover是用來(lái)做“雙機(jī)熱備”的。 DHCP協(xié)議采用UDP作為傳輸協(xié)議,主機(jī)發(fā)送請(qǐng)求消息到DHCP服務(wù)器的67號(hào)端口,DHCP服務(wù)器回應(yīng)應(yīng)答消息給主機(jī)的68號(hào)端口,DHCP的IP地址自動(dòng)獲取工作原理及詳細(xì)步驟如下:1、DHCP Client以廣播的方式發(fā)出DHCP Discover報(bào)文。2、所有的DHCP Server都能夠接收到DHCP Client發(fā)送的DHCP Discover報(bào)文,所有的DHCP Server都會(huì)給出響應(yīng),向DHCP C
3、lient發(fā)送一個(gè)DHCP Offer報(bào)文。DHCP Offer報(bào)文中“Your(Client) IP Address”字段就是DHCP Server能夠提供給DHCP Client使用的IP地址,且DHCP Server會(huì)將自己的IP地址放在“option”字段中以便DHCP Client區(qū)分不同的DHCP Server。DHCP Server在發(fā)出此報(bào)文后會(huì)存在一個(gè)已分配IP地址的紀(jì)錄。3、DHCP Client只能處理其中的一個(gè)DHCP Offer報(bào)文,一般的原則是DHCP Client處理最先收到的DHCP Offer報(bào)文。DHCP Client會(huì)發(fā)出一個(gè)廣播的DHCP Request
4、報(bào)文,在選項(xiàng)字段中會(huì)加入選中的DHCP Server的IP地址和需要的IP地址。4、DHCP Server收到DHCP Request報(bào)文后,判斷選項(xiàng)字段中的IP地址是否與自己的地址相同。如果不相同,DHCP Server不做任何處理只清除相應(yīng)IP地址分配記錄;如果相同,DHCP Server就會(huì)向DHCP Client響應(yīng)一個(gè)DHCP ACK報(bào)文,并在選項(xiàng)字段中增加IP地址的使用租期信息。5、DHCP Client接收到DHCP ACK報(bào)文后,檢查DHCP Server分配的IP地址是否能夠使用。如果可以使用,則DHCP Client成功獲得IP地址并根據(jù)IP地址使用租期自動(dòng)啟動(dòng)續(xù)延過(guò)程;如
5、果DHCP Client發(fā)現(xiàn)分配的IP地址已經(jīng)被使用,則DHCP Client向DHCPServer發(fā)出DHCP Decline報(bào)文,通知DHCP Server禁用這個(gè)IP地址,然后DHCP Client開(kāi)始新的地址申請(qǐng)過(guò)程。6、DHCP Client在成功獲取IP地址后,隨時(shí)可以通過(guò)發(fā)送DHCP Release報(bào)文釋放自己的IP地址,DHCP Server收到DHCP Release報(bào)文后,會(huì)回收相應(yīng)的IP地址并重新分配。session 2 dhcp的中繼代理和snooping一、dhcp中繼代理的作用就是:在一個(gè)L3層網(wǎng)絡(luò)中,如果dhcp服務(wù)器和客戶(hù)端不在同一個(gè)網(wǎng)段時(shí),客戶(hù)端發(fā)送的dhcp
6、-discovery廣播包將會(huì)被網(wǎng)關(guān)設(shè)備丟棄(L3層隔離廣播特性)。dhcp中繼就是在網(wǎng)關(guān)接口上配置一種能讓網(wǎng)關(guān)識(shí)別客戶(hù)端發(fā)送的dhcp-discovery廣播包,當(dāng)網(wǎng)關(guān)收到該包后不做丟棄處理,而是以單播形式代理客戶(hù)端來(lái)向dhcp服務(wù)器請(qǐng)求ip地址,然后再將dhcp回應(yīng)的offer包轉(zhuǎn)發(fā)給客戶(hù)端,幫助客戶(hù)端完成ip地址的獲取過(guò)程。只需要再L3網(wǎng)關(guān)的接口上配置中繼代理:二、為了防止網(wǎng)絡(luò)中非法dhcp向用戶(hù)提供dhcp服務(wù),可以使用dhcp snooping(dhcp探測(cè)功能)。 DHCP Snooping技術(shù)是DHCP安全特性,通過(guò)建立和維護(hù)D
7、HCP Snooping綁定表過(guò)濾不可信任的DHCP信息,這些信息是指來(lái)自不信任區(qū)域的DHCP信息(也就是非法dhcp服務(wù)器)。DHCP Snooping綁定表包含不信任區(qū)域的用戶(hù)MAC地址、IP地址、租用期、VLAN-ID 接口等信息,該技術(shù)在接口上設(shè)置是否信任該接口上連接的dhcp服務(wù)器(如果有)。 當(dāng)交換機(jī)開(kāi)啟了 DHCP-Snooping后,交換機(jī)所有端口會(huì)對(duì)自己接受來(lái)的DHCP報(bào)文進(jìn)行偵聽(tīng),并可以從接收到的DHCP Request或DHCP Ack報(bào)文中提取并記錄IP地址和MAC地址信息。另外,DHCP-Snooping允許將某個(gè)物
8、理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報(bào)文,而不信任端口會(huì)將接收到的DHCP Offer報(bào)文丟棄。這樣,可以完成交換機(jī)對(duì)假冒DHCP Server的屏蔽作用,確??蛻?hù)端從合法的DHCP Server獲取IP地址。 默認(rèn)情況下開(kāi)啟了DHCP Snooping后,交換機(jī)所有接口都被設(shè)置為不信任狀態(tài),就是任何一個(gè)端口收到dhcp服務(wù)器的offer響應(yīng)包后都會(huì)丟棄,可以手動(dòng)配置合法dhcp所在的端口為信任端口,不丟棄dhcp服務(wù)器向外發(fā)送的offer包,來(lái)實(shí)現(xiàn)dhcp的安全。
9、60; 一般所有交換機(jī)都開(kāi)啟dhcp snooping功能,信任接口一般都是sw之間相連的接口(如果是匯聚層交換機(jī)的話(huà)需要在該交換機(jī)連接上游核心sw和下游接入sw的接口上都開(kāi)啟dhcp trust才可以,核心L3層交換機(jī)作為dhcp服務(wù)器的話(huà)),非信任接口都是sw連接PC的接口。session 3 dhcp的配置實(shí)例拓?fù)淙缦拢?#160; 根據(jù)拓?fù)渑渲?,要求PC1和PC2分別在不同的vlan中獲取AR2這臺(tái)DHCP分配的ip地址,并且在LSW2和AR2上開(kāi)啟dhcp snpooping功能防止非法dhcp服務(wù)器接入網(wǎng)絡(luò)和非法用戶(hù)對(duì)于AR2的dhcp泛紅攻
10、擊,在LSW2上開(kāi)啟中繼代理功能為PC1和P2代理dhcp服務(wù)器的ip地址。具體配置如下:一、將AR2配置成dhcp服務(wù)器Huaweiinterface g0/0/0Huawei-GigabitEthernet0/0/0 ip address 12.1.1.2 255.255.255.0Huawei-GigabitEthernet0/0/0 quitHuaweiHuawei ip pool net1
11、 配置為vlan2分配IP地址的地址池,名為net1Huawei-ip-pool-net1 network 192.168.1.0 mask 255.255.255.0 分配的ip是192.168.1.0/24Hua
12、wei-ip-pool-net1 gateway-list 192.168.1.1Huawei-ip-pool-net1 dns-list 218.30.19.40 61.134.1.4Huawei-ip-pool-net1 static-bind ip-address 192.168.1.10 mac-address 0000-1111-2222 為固定mac分配固定ipHuawei-ip-pool-net1 excluded-ip-address 192.168.1.2
13、 不分配的ip地址Huawei-ip-pool-net1 quitHuaweiHuawei ip pool net2 配置為vlan2分配IP地址的地址池,
14、名為net1Huawei-ip-pool-net2 network 192.168.2.0 mask 255.255.255.0 分配的ip是192.168.1.0/24Huawei-ip-pool-net2 gateway-list 192.168.2.1Huawei-ip-pool-net2 dns-list 218.30.19.40 61.134.1.4Huawei-ip-pool-net2 static-bind ip-address 192.168.2.10 mac-addr
15、ess 0001-1111-2222 為固定mac分配固定ipHuawei-ip-pool-net2 excluded-ip-address 192.168.2.2 不分配的ip地址Huawei-ip-pool-net2 quitHuaweiHuaweiinterface g0/0/0Huawei-GigabitEthernet0/0/0 ip address 12.1.1.2
16、255.255.255.0 Huawei-GigabitEthernet0/0/0 dhcp select global 接口下開(kāi)啟器全局DHCP分配功能Huawei-GigabitEthernet0/0/0 quit
17、; Huaweidhcp server ping packet 10 timeout 100
18、60; 配置dhcp服務(wù)器分配某個(gè)ip之前先探測(cè)該ip是否已被網(wǎng)絡(luò)中pc使用的功能,dhcp服務(wù)器會(huì)向該ip地址發(fā)10個(gè)包且每次100ms,無(wú)應(yīng)答才會(huì)分配該ip地址給客戶(hù)端Huaweidhcp check dhcp-rate enable 開(kāi)啟dhc
19、p的速率檢測(cè)功能開(kāi)關(guān)Huaweidhcp check dhcp-rate 90 檢測(cè)收到dhcp請(qǐng)求包的速率最大為90個(gè)/s,默認(rèn)100個(gè)/s,防止dhcp泛紅攻擊Huawei quitHuawei ip route-static 0.0.0.0 0.0.0.0 12.1.1.1
20、 配置一條能夠到達(dá)客戶(hù)端網(wǎng)絡(luò)的默認(rèn)路由二、配置SW成為dhcp中繼代理為vlan2和vlan3中的客戶(hù)端提供對(duì)應(yīng)的dhcp中繼代理服務(wù),并配置dhcp-snooping功能防止非法的dhcp服務(wù)器分配ip地址給客戶(hù)端Huaweiinterface Vlanif 1Huawei-Vlanif1ip address 12.1.1.1 255.255.255.0Huawei-Vlanif1quitHuaweiHuaweivlan 2 &
21、#160; 創(chuàng)建vlan2、3Huawei-vlan2quitHuaweivlan 3 Huawei-vlan3quitHuaweiHuawei interface vlan 2Huawei-Vlanif2 ip
22、address 192.168.1.1 255.255.255.0Huawei-Vlanif2dhcp select relay Huawei-Vlanif2 dhcp relay server-ip 12.1.1.2 在vlan2中開(kāi)啟dhcp中繼功能Huawei-Vlanif2 quitHuaweiHuawei interface vlan 3Huawei-Vlanif3 ip address 192.168.2.1 255.25
23、5.255.0Huawei-Vlanif3dhcp select relay 在vlan3中開(kāi)啟dhcp中繼功能Huawei-Vlanif3 dhcp relay server-ip 12.1.1.2 dhcp選擇中繼服務(wù)器IP地址Huawei-Vlanif3 quitHuaweiHuaweiinterface g0/0/1
24、; 配置接口g0/0/1和g/0/2為access接口Huawei-GigabitEthernet0/0/1port link-type access Huawei-GigabitEthernet0/0/1quitHuaweiHuaweiinterface g0/0/2Huawei-GigabitEthernet0/0/1
25、port link-type access Huawei-GigabitEthernet0/0/1quitHuaweiHuaweivlan 2 將g/0/1接口加入vlan2,g/0/2加入vlan3Huawei-vlan2port g0/0/1Huawei-vlan2quitHuaweiHuaweivlan 3 Huawei-vlan3port g0/0/2Huawei-vlan3quitHuaweiHuaweiip route-static 0.0.0.0 0.0.0.0 12.1.1.2 配置能
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 河南省新鄉(xiāng)市新鄉(xiāng)市一中2025屆化學(xué)高一下期末質(zhì)量檢測(cè)試題含解析
- 統(tǒng)編版2024-2025學(xué)年一年級(jí)語(yǔ)文第二學(xué)期期末階段質(zhì)量檢測(cè)
- 高考英語(yǔ)寫(xiě)作萬(wàn)能模板(素材)
- 北京車(chē)輛登記管理辦法
- 北航科技競(jìng)賽管理辦法
- 非物質(zhì)文化遺產(chǎn)的保護(hù)與傳承
- FPGA信號(hào)發(fā)生器原理與應(yīng)用
- 古代文學(xué)作品鑒賞與解讀
- 普通小店晉升管理辦法
- 民航數(shù)據(jù)共享管理辦法
- 酒店前臺(tái)案例分析
- 消防應(yīng)急通信培訓(xùn)
- 消防應(yīng)急通信保障
- XX小學(xué)預(yù)防未成年人違法犯罪工作制度
- 火災(zāi)自動(dòng)報(bào)警系統(tǒng)查驗(yàn)報(bào)告
- 業(yè)務(wù)傭金提成協(xié)議書(shū)模板
- GB/T 29469-2024潔凈室及相關(guān)受控環(huán)境性能及合理性評(píng)價(jià)
- 國(guó)家開(kāi)放大學(xué)《城市管理學(xué)》作業(yè)-“城市病”表現(xiàn)及其治理
- 甄嬛傳電子版劇本第01-10集
- 【中國(guó)信科-中信科移動(dòng)】2023星地融合通信白皮書(shū)
- 廚師中暑防范知識(shí)講座
評(píng)論
0/150
提交評(píng)論