華為路由器dhcp簡(jiǎn)單配置實(shí)例

1、華為路由器dhcp簡(jiǎn)單配置實(shí)例session 1 DHCP的工作原理       DHCP（Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議）是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作， 主要有兩個(gè)用途：給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動(dòng)分配IP地址，給用戶(hù)或者內(nèi)部網(wǎng)絡(luò)管理員作為對(duì)所有計(jì)算機(jī)作中央管理的手段，在RFC 2131中有詳細(xì)的描述。DHCP有3個(gè)端口，其中UDP67和UDP68為正常的DHCP服務(wù)端口，分別作為DHCP Server和DHCP Client的服務(wù)端口；546號(hào)端口用于DHCPv6 Client

2、，而不用于DHCPv4，是為DHCP failover服務(wù)，這是需要特別開(kāi)啟的服務(wù)，DHCP failover是用來(lái)做“雙機(jī)熱備”的。       DHCP協(xié)議采用UDP作為傳輸協(xié)議，主機(jī)發(fā)送請(qǐng)求消息到DHCP服務(wù)器的67號(hào)端口，DHCP服務(wù)器回應(yīng)應(yīng)答消息給主機(jī)的68號(hào)端口，DHCP的IP地址自動(dòng)獲取工作原理及詳細(xì)步驟如下：1、DHCP Client以廣播的方式發(fā)出DHCP Discover報(bào)文。2、所有的DHCP Server都能夠接收到DHCP Client發(fā)送的DHCP Discover報(bào)文，所有的DHCP Server都會(huì)給出響應(yīng)，向DHCP C

3、lient發(fā)送一個(gè)DHCP Offer報(bào)文。DHCP Offer報(bào)文中“Your(Client) IP Address”字段就是DHCP Server能夠提供給DHCP Client使用的IP地址，且DHCP Server會(huì)將自己的IP地址放在“option”字段中以便DHCP Client區(qū)分不同的DHCP Server。DHCP Server在發(fā)出此報(bào)文后會(huì)存在一個(gè)已分配IP地址的紀(jì)錄。3、DHCP Client只能處理其中的一個(gè)DHCP Offer報(bào)文，一般的原則是DHCP Client處理最先收到的DHCP Offer報(bào)文。DHCP Client會(huì)發(fā)出一個(gè)廣播的DHCP Request

4、報(bào)文，在選項(xiàng)字段中會(huì)加入選中的DHCP Server的IP地址和需要的IP地址。4、DHCP Server收到DHCP Request報(bào)文后，判斷選項(xiàng)字段中的IP地址是否與自己的地址相同。如果不相同，DHCP Server不做任何處理只清除相應(yīng)IP地址分配記錄；如果相同，DHCP Server就會(huì)向DHCP Client響應(yīng)一個(gè)DHCP ACK報(bào)文，并在選項(xiàng)字段中增加IP地址的使用租期信息。5、DHCP Client接收到DHCP ACK報(bào)文后，檢查DHCP Server分配的IP地址是否能夠使用。如果可以使用，則DHCP Client成功獲得IP地址并根據(jù)IP地址使用租期自動(dòng)啟動(dòng)續(xù)延過(guò)程；如

5、果DHCP Client發(fā)現(xiàn)分配的IP地址已經(jīng)被使用，則DHCP Client向DHCPServer發(fā)出DHCP Decline報(bào)文，通知DHCP Server禁用這個(gè)IP地址，然后DHCP Client開(kāi)始新的地址申請(qǐng)過(guò)程。6、DHCP Client在成功獲取IP地址后，隨時(shí)可以通過(guò)發(fā)送DHCP Release報(bào)文釋放自己的IP地址，DHCP Server收到DHCP Release報(bào)文后，會(huì)回收相應(yīng)的IP地址并重新分配。session 2 dhcp的中繼代理和snooping一、dhcp中繼代理的作用就是：在一個(gè)L3層網(wǎng)絡(luò)中，如果dhcp服務(wù)器和客戶(hù)端不在同一個(gè)網(wǎng)段時(shí)，客戶(hù)端發(fā)送的dhcp

6、-discovery廣播包將會(huì)被網(wǎng)關(guān)設(shè)備丟棄（L3層隔離廣播特性）。dhcp中繼就是在網(wǎng)關(guān)接口上配置一種能讓網(wǎng)關(guān)識(shí)別客戶(hù)端發(fā)送的dhcp-discovery廣播包，當(dāng)網(wǎng)關(guān)收到該包后不做丟棄處理，而是以單播形式代理客戶(hù)端來(lái)向dhcp服務(wù)器請(qǐng)求ip地址，然后再將dhcp回應(yīng)的offer包轉(zhuǎn)發(fā)給客戶(hù)端，幫助客戶(hù)端完成ip地址的獲取過(guò)程。只需要再L3網(wǎng)關(guān)的接口上配置中繼代理：二、為了防止網(wǎng)絡(luò)中非法dhcp向用戶(hù)提供dhcp服務(wù)，可以使用dhcp snooping（dhcp探測(cè)功能）。       DHCP Snooping技術(shù)是DHCP安全特性，通過(guò)建立和維護(hù)D

7、HCP Snooping綁定表過(guò)濾不可信任的DHCP信息，這些信息是指來(lái)自不信任區(qū)域的DHCP信息（也就是非法dhcp服務(wù)器）。DHCP Snooping綁定表包含不信任區(qū)域的用戶(hù)MAC地址、IP地址、租用期、VLAN-ID 接口等信息，該技術(shù)在接口上設(shè)置是否信任該接口上連接的dhcp服務(wù)器（如果有）。       當(dāng)交換機(jī)開(kāi)啟了 DHCP-Snooping后，交換機(jī)所有端口會(huì)對(duì)自己接受來(lái)的DHCP報(bào)文進(jìn)行偵聽(tīng)，并可以從接收到的DHCP Request或DHCP Ack報(bào)文中提取并記錄IP地址和MAC地址信息。另外，DHCP-Snooping允許將某個(gè)物

8、理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報(bào)文，而不信任端口會(huì)將接收到的DHCP Offer報(bào)文丟棄。這樣，可以完成交換機(jī)對(duì)假冒DHCP Server的屏蔽作用，確?？蛻?hù)端從合法的DHCP Server獲取IP地址。       默認(rèn)情況下開(kāi)啟了DHCP Snooping后，交換機(jī)所有接口都被設(shè)置為不信任狀態(tài)，就是任何一個(gè)端口收到dhcp服務(wù)器的offer響應(yīng)包后都會(huì)丟棄，可以手動(dòng)配置合法dhcp所在的端口為信任端口，不丟棄dhcp服務(wù)器向外發(fā)送的offer包，來(lái)實(shí)現(xiàn)dhcp的安全。   

9、60;  一般所有交換機(jī)都開(kāi)啟dhcp snooping功能，信任接口一般都是sw之間相連的接口（如果是匯聚層交換機(jī)的話(huà)需要在該交換機(jī)連接上游核心sw和下游接入sw的接口上都開(kāi)啟dhcp trust才可以，核心L3層交換機(jī)作為dhcp服務(wù)器的話(huà)），非信任接口都是sw連接PC的接口。session 3 dhcp的配置實(shí)例拓?fù)淙缦拢?#160;     根據(jù)拓?fù)渑渲?，要求PC1和PC2分別在不同的vlan中獲取AR2這臺(tái)DHCP分配的ip地址，并且在LSW2和AR2上開(kāi)啟dhcp snpooping功能防止非法dhcp服務(wù)器接入網(wǎng)絡(luò)和非法用戶(hù)對(duì)于AR2的dhcp泛紅攻

10、擊，在LSW2上開(kāi)啟中繼代理功能為PC1和P2代理dhcp服務(wù)器的ip地址。具體配置如下：一、將AR2配置成dhcp服務(wù)器Huaweiinterface g0/0/0Huawei-GigabitEthernet0/0/0 ip address 12.1.1.2 255.255.255.0Huawei-GigabitEthernet0/0/0 quitHuaweiHuawei ip pool net1                            

11、                                            配置為vlan2分配IP地址的地址池，名為net1Huawei-ip-pool-net1 network 192.168.1.0 mask 255.255.255.0          分配的ip是192.168.1.0/24Hua

12、wei-ip-pool-net1 gateway-list 192.168.1.1Huawei-ip-pool-net1 dns-list 218.30.19.40 61.134.1.4Huawei-ip-pool-net1 static-bind ip-address 192.168.1.10 mac-address 0000-1111-2222        為固定mac分配固定ipHuawei-ip-pool-net1 excluded-ip-address 192.168.1.2    

13、                  不分配的ip地址Huawei-ip-pool-net1 quitHuaweiHuawei ip pool net2                                              配置為vlan2分配IP地址的地址池，

14、名為net1Huawei-ip-pool-net2 network 192.168.2.0 mask 255.255.255.0           分配的ip是192.168.1.0/24Huawei-ip-pool-net2 gateway-list 192.168.2.1Huawei-ip-pool-net2 dns-list 218.30.19.40 61.134.1.4Huawei-ip-pool-net2 static-bind ip-address 192.168.2.10 mac-addr

15、ess 0001-1111-2222        為固定mac分配固定ipHuawei-ip-pool-net2 excluded-ip-address 192.168.2.2                       不分配的ip地址Huawei-ip-pool-net2 quitHuaweiHuaweiinterface g0/0/0Huawei-GigabitEthernet0/0/0 ip address 12.1.1.2

16、255.255.255.0            Huawei-GigabitEthernet0/0/0 dhcp select global                                接口下開(kāi)啟器全局DHCP分配功能Huawei-GigabitEthernet0/0/0 quit          

17、;                                           Huaweidhcp server ping packet 10 timeout 100                            

18、60;   配置dhcp服務(wù)器分配某個(gè)ip之前先探測(cè)該ip是否已被網(wǎng)絡(luò)中pc使用的功能，dhcp服務(wù)器會(huì)向該ip地址發(fā)10個(gè)包且每次100ms，無(wú)應(yīng)答才會(huì)分配該ip地址給客戶(hù)端Huaweidhcp check dhcp-rate enable                                                 開(kāi)啟dhc

19、p的速率檢測(cè)功能開(kāi)關(guān)Huaweidhcp check dhcp-rate 90                       檢測(cè)收到dhcp請(qǐng)求包的速率最大為90個(gè)/s，默認(rèn)100個(gè)/s，防止dhcp泛紅攻擊Huawei quitHuawei ip route-static 0.0.0.0 0.0.0.0 12.1.1.1                      

20、                配置一條能夠到達(dá)客戶(hù)端網(wǎng)絡(luò)的默認(rèn)路由二、配置SW成為dhcp中繼代理為vlan2和vlan3中的客戶(hù)端提供對(duì)應(yīng)的dhcp中繼代理服務(wù)，并配置dhcp-snooping功能防止非法的dhcp服務(wù)器分配ip地址給客戶(hù)端Huaweiinterface Vlanif 1Huawei-Vlanif1ip address 12.1.1.1 255.255.255.0Huawei-Vlanif1quitHuaweiHuaweivlan 2         &

21、#160;                                                      創(chuàng)建vlan2、3Huawei-vlan2quitHuaweivlan 3 Huawei-vlan3quitHuaweiHuawei interface vlan 2Huawei-Vlanif2 ip

22、address 192.168.1.1 255.255.255.0Huawei-Vlanif2dhcp select relay Huawei-Vlanif2 dhcp relay server-ip 12.1.1.2                      在vlan2中開(kāi)啟dhcp中繼功能Huawei-Vlanif2 quitHuaweiHuawei interface vlan 3Huawei-Vlanif3 ip address 192.168.2.1 255.25

23、5.255.0Huawei-Vlanif3dhcp select relay 在vlan3中開(kāi)啟dhcp中繼功能Huawei-Vlanif3 dhcp relay server-ip 12.1.1.2                       dhcp選擇中繼服務(wù)器IP地址Huawei-Vlanif3 quitHuaweiHuaweiinterface g0/0/1                

24、;                                       配置接口g0/0/1和g/0/2為access接口Huawei-GigabitEthernet0/0/1port link-type access Huawei-GigabitEthernet0/0/1quitHuaweiHuaweiinterface g0/0/2Huawei-GigabitEthernet0/0/1

25、port link-type access Huawei-GigabitEthernet0/0/1quitHuaweiHuaweivlan 2                                                                      將g/0/1接口加入vlan2，g/0/2加入vlan3Huawei-vlan2port g0/0/1Huawei-vlan2quitHuaweiHuaweivlan 3 Huawei-vlan3port g0/0/2Huawei-vlan3quitHuaweiHuaweiip route-static 0.0.0.0 0.0.0.0 12.1.1.2                       配置能