配置DHCP服务

　　　　　　　　　　　　　　　　　　　　　　　　　　配置DHCP服务

一.DHCP的简介

1.DHCP是Dynamic Host Configuration Protocol(动态主机配置协议)的缩写；

2.DHCP是从BOOTP(Bootstrap Protocol)协议发展而来，其作用向主机动态分配IP地址及其他相关信息；

3.DHCP采用客户端/服务器模式，服务器负责采集中管理，客户端向服务器提出配置申请，服务器根据策略返回相应配置信息；

4.DHCP报文采用UDP封装。服务器所侦听的端口号是67，客户端的端口号是68.

二.DHCP的特点

1.即插即用性

　　客户端无需配置即能获得IP地址相关菜蔬，简化客户端网络配置，降低维护成本。

2.统一管理

　　所有IP地址及相关参数有DHCP服务器统一管理，统一分配。

3.使用效率高

　　通过IP地址租期管理，提高IP地址的使用效率。

4.可跨网段实现

　　通过使用DHCP中继，可使处于不同子网中的客户端和DHCP服务器之间实现协议报文交互。

三.DHCP系统组成

1.DHCP服务器

　　能提供DHCP功能的服务器或具有DHCP功能的网络设备。

2.DHCP中继

　　一般为路由器或三层交换机等网络设备。

3.DHCP客户端

　　需要动态获得IP地址的主机。

四.DHCP地址的分配方式

1.手工分配

　　根据需求，网络管理员为某些少数特定的主机（如DNS服务器，打印机）绑定固定的IP地址，其地址不会过期。

2.自动分配

　　为链接到网络的某些主机分配IP地址，该地址将长期由该主机使用。

3.动态分配

　　主机申请IP地址最常用的方法。DHCP服务器为客户端指定一个IP地址，同时为此地址规定了一个租用期限。如果自用时间到期，客户端必须重新申请IP地址。

五.IP地址动态获取过程

　　我们可以通过下面的一幅图来形象的了解一下该过程。

六.IP地址拒绝及释放

七.DHCP租约更新

八.DHCP中继工作原理

九.华为设备配置如下：

拓扑图如下：

1.配置DHCP服务，让每台机器都能自动获取到想要的IP地址，并且测试是否能ping通网关。

核心交换机配置如下：

 [Huawei]sysname core
 [core]dhcp enable  #启动DHCP服务
 [core]vlan 10   #创建VLAN10，如果不创建一会进入Vlanif 10时会报错哟~
 [core-vlan10]quit
 [core]interface Vlanif 10
 [core-Vlanif10]ip address 192.168.1.254 24 定义了网关地址
 [core-Vlanif10]dhcp select global  #该配置全局生效
 [core-Vlanif10]quit
 [core]ip pool yinzhengjie
 [core-ip-pool-yinzhengjie]gateway-list 192.168.1.254 （指定网关地址，必须指定已经定义的网关地址）
 [core-ip-pool-yinzhengjie]network 192.168.1.0 mask 24
 [core-ip-pool-yinzhengjie]excluded-ip-address 192.168.1.1 192.168.1.200  #将192.168.1.1-192.168.1.200之间的地址不进行分配。
 [core-ip-pool-yinzhengjie]dns-list 219.141.140.10  #指定DNS服务器
 [core-ip-pool-yinzhengjie]quit
 [core]interface Ethernet 0/0/1  #进入借口配置模式
 [core-Ethernet0/0/1]port link-type access   #将链路设置成access
 [core-Ethernet0/0/1]port default vlan 10 #默认允许vlan10通过
 [core-Ethernet0/0/1]quit
 [core]interface Ethernet 0/0/2
 [core-Ethernet0/0/2]port link-type access
 [core-Ethernet0/0/2]port default vlan 10
 [core-Ethernet0/0/2]quit
 [core]interface Ethernet 0/0/3
 [core-Ethernet0/0/3]port link-type access
 [core-Ethernet0/0/3]port default vlan 10
 [core-Ethernet0/0/3]quit
 [core]interface Ethernet 0/0/4
 [core-Ethernet0/0/4]port link-type access
 [core-Ethernet0/0/4]port default vlan 10
 [core-Ethernet0/0/4]quit
 [core]interface Ethernet 0/0/5
 [core-Ethernet0/0/5]port link-type access
 [core-Ethernet0/0/5]port default vlan 10
 [core-Ethernet0/0/5]quit 

测试，将电脑的网卡配置设置成DHCP获取：

 PC>ipconfig

 Link local IPv6 address...........: fe80::5689:98ff:fe17:5156
 IPv6 address......................: :: / 128
 IPv6 gateway......................: ::
 IPv4 address......................: 192.168.1.253
 Subnet mask.......................: 255.255.255.0
 Gateway...........................: 192.168.1.254
 Physical address..................: 54-89-98-17-51-56
 DNS server........................: 219.141.136.10

 PC>ping 192.168.1.254

 Ping 192.168.1.254: 32 data bytes, Press Ctrl_C to break
 From 192.168.1.254: bytes=32 seq=1 ttl=255 time=16 ms
 From 192.168.1.254: bytes=32 seq=2 ttl=255 time<1 ms
 From 192.168.1.254: bytes=32 seq=3 ttl=255 time<1 ms
 From 192.168.1.254: bytes=32 seq=4 ttl=255 time=15 ms
 From 192.168.1.254: bytes=32 seq=5 ttl=255 time=16 ms

 --- 192.168.1.254 ping statistics ---
   5 packet(s) transmitted
   5 packet(s) received
   0.00% packet loss
   round-trip min/avg/max = 0/9/16 ms

 PC>

总经理电脑测试结果

 PC>ipconfig

 Link local IPv6 address...........: fe80::5689:98ff:fe3f:1d82
 IPv6 address......................: :: / 128
 IPv6 gateway......................: ::
 IPv4 address......................: 192.168.1.252
 Subnet mask.......................: 255.255.255.0
 Gateway...........................: 192.168.1.254
 Physical address..................: 54-89-98-3F-1D-82
 DNS server........................: 219.141.136.10

 PC>ping 192.168.1.254

 Ping 192.168.1.254: 32 data bytes, Press Ctrl_C to break
 From 192.168.1.254: bytes=32 seq=1 ttl=255 time=31 ms
 From 192.168.1.254: bytes=32 seq=2 ttl=255 time<1 ms
 From 192.168.1.254: bytes=32 seq=3 ttl=255 time=16 ms
 From 192.168.1.254: bytes=32 seq=4 ttl=255 time=15 ms
 From 192.168.1.254: bytes=32 seq=5 ttl=255 time=16 ms

 --- 192.168.1.254 ping statistics ---
   5 packet(s) transmitted
   5 packet(s) received
   0.00% packet loss
   round-trip min/avg/max = 0/15/31 ms

 PC>

财务电脑测试结果

2.进行ARP绑定

其实很简单。我们从上面可以看出总经理的电脑的MAC地址是：54-89-98-17-51-56，那么我们只要在核心交换机上找到这个MAC地址就能找到相对应的IP地址，然后对其进行绑定。

 [core]display arp | include 5489-9817-5156  #查处MAC所对应的IP
 IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE INTERFACE      VPN-INSTANCE
 VLAN
 ------------------------------------------------------------------------------
 192.168.1.253   5489-9817-5156  19        D-0  Eth0/0/1
 ------------------------------------------------------------------------------
 Total:6         Dynamic:5       Static:0     Interface:1
 [core]
 [core]arp static 192.168.1.253   5489-9817-5156
 [core]display ip pool name  yinzhengjie used  #查看地址池使用情况
   Pool-name      : yinzhengjie
   Pool-No        : 0
   Lease          : 1 Days 0 Hours 0 Minutes
   Domain-name    : -
   DNS-server0    : 219.141.136.10
   NBNS-server0   : -
   Netbios-type   : -
   Position       : Local           Status           : Unlocked
   Gateway-0      : 192.168.1.254
   Mask           : 255.255.255.0
   VPN instance   : --
  -----------------------------------------------------------------------------
          Start           End     Total  Used  Idle(Expired)  Conflict  Disable
  -----------------------------------------------------------------------------
      192.168.1.1   192.168.1.254   253     5         48(0)         0      200
  -----------------------------------------------------------------------------

   Network section :
   --------------------------------------------------------------------------
   Index              IP               MAC      Lease   Status
   --------------------------------------------------------------------------
     248   192.168.1.249    5489-98f6-48f8       1143   Used
     249   192.168.1.250    5489-98c7-7563       1148   Used
     250   192.168.1.251    5489-98a0-5e3a       1153   Used
     251   192.168.1.252    5489-983f-1d82       1164   Used
     252   192.168.1.253    5489-9817-5156       1170   Used
   --------------------------------------------------------------------------

 [core]

3.思考：外网为什么基本没有ARP攻击

首先了解什么是ARP，
　　我这里就是简单的说下arp攻击的原理。。ARP协议的工作原理就是主机A向主机B发送一个数据 （这里说明一下发送数据接受数据不是直接发送就完了，其实是一个复杂的过程，会做一个封装和解封装的过程）主机A会在自己的ARP缓存中寻找目标IP地址，如果找到了，就知道了b主机的MAC地址，直接把目标MAC地址写入帧里面发送就可以了；如果在ARP缓存表中没有找到相对应的IP地址，主机A就会在网络上发送一个广播，IP是某某的的对应B主机的MAC地址是什么？由于IP的唯一性，最终会有一个主机响应的。。
ARP攻击是怎么样的？
　　就是中途跳出一个C，伪装成B的IP ，接着假装成B的声音喊了下，我在这里这里，你把数据发过来吧。

外网为什么基本没有ARP攻击？

　　IP地址几十亿个,A可以访问各种不同地址,C根本不可能伪装过来..内网的话,,A向B请求都要同过网关的,,C只要伪装成网关地址就行了,所以局域网ARP攻击这么频繁。IP和MAC地址绑定后 A发数据给B ，要同时要验证B的IP和MAC的，C伪装成B的IP，A检查下MAC不对，就直接丢掉了。。

　　不过现在MAC地址也可以伪装。。。 但绑定后安全性是提高不少

4.扩充：基于接口的配置DHCP

 ip pool 1
 gateway-list 1.1.1.1
 network 1.1.1.0 mask 255.255.255.0
 interface GigabitEthernet0/0/0
 ip address 1.1.1.1 255.255.255.0
 dhcp select global

十.H3C配置如下：

【实验目的】

l  了解DHCP协议工作原理

l  掌握设备作为DHCP服务器的常用配置命令

l  掌握设备作为DHCP中继的常用配置

【实验要求】

PC可以通过DHCP自动获取IP地址

【实验设备】

交换机一台、路由器一台、PC机一台、网线两根、console线

【实验拓扑】

实验拓扑

【实验过程】

一、PC1直接通过RT1获得IP地址

1、IP地址规划

设备名称	接口	IP地址	网关
RT1	G/0/0	192.168.1.1	--

2、配置RT1作为DHCP服务器

开启DHCP功能

[RT1]dhcp enable

创建地址池并且设置网关和可被分配的IP地址

[RT1]dhcp server ip-pool h3cne

[RT1-dhcp-pool-h3cne]network 192.168.1.0 mask 255.255.255.0

[RT1-dhcp-pool-h3cne]gateway-list 192.168.1.1

[RT1-dhcp-pool-h3cne]qu

排除不可被分配的IP地址

[RT1]dhcp server forbidden-ip 192.168.1.1[w1]

[RT1]

3、查看DHCP服务器可供分配的IP地址资源

4、PC1通过DHCP服务器获取IP地址

---

网关不可被分配

十一.思科配置如下：