DHCP中繼實(shí)驗(yàn)(cisco)

1、最近看到大家經(jīng)常由于DHCP的問題犯愁.為了讓大家更明白的了解DHCP并且會(huì)配置，特 此發(fā)這個(gè)貼 相信大家認(rèn)證看完對(duì)DHCP就會(huì)了如指掌 DHCP Server 1. 配置 DHCP Server 開啟DHCP功能 r2 (confi g)#serv i ce dhcp (2) 配置DHCP地址池 r2(config)#ip dhcp pool cciel 地址池名為 cciel r2(dhcp-config)network 10. 1. 1. 0 255. 255. 255. 0 可供客戶端使用的地址段 r2(dhcp-conf ig) Sdefault-router 10. 1. 1. 1

2、 網(wǎng)關(guān) r2(dhcp-conf ig)#dns-server 10. 1. 1. 1 10. 1. 1. 2 DNS r2(dhcp-config)#1 ease 1 1 1 租期為1天1小時(shí)1分(默認(rèn)為一 天) r2(config)#ip dhcp pool ccie2 地址池名為 cciel r2(dhcp-config)#network 20. 1. 1.0 255. 255. 255. 0 可供客戶端使用的地址段 r2 (dhcp-config) Sdefau 1 t-router 20. 1. 1. 1 網(wǎng)關(guān) r2 (dhcp-conf ig)#dns-server 20. 1.

3、1. 1 20. 1. 1. 2 DNS r2(dhcp-config)#lease 1 1 1 租期為1天1小時(shí)1分(默認(rèn)一天) (3) 去掉不提供給客戶端的地址 注：因?yàn)槟承㊣P地址不希望提供給客戶端，比如網(wǎng)關(guān)地址，所以我們要將這些地址 從地址池中移除，這樣服務(wù)器就不會(huì)將這些地址發(fā)紿客戶端使用。 r2(config)#ip dhcp excluded-address 10. 1. 1. 1 10. 1. 1. 10 移除 10. 1. L 1 到 10. 1. 1. 10 r2(config)#ip dhcp excluded-address 20. 1. 1. 1 20. 1. 1. 1

4、0 移除 20. 1. 1. 1 到 20. L 1. 10 2. 配置 DHCP Client DHCP 10.1.1.1/24 FWO DHCP Client (1) 配置接口使用DHCP rl(config)#int f0/l rl(config-if)#ip address dhcp 3. 查看命令： (1在服務(wù)器上查看哪些地址分配給了哪些主機(jī)： R2#Show ip dhcp binding 4. 查看結(jié)果 查看DHCP Client 會(huì)看到接口 F0/0 的IP 地址為 10. 1. 1. 11 并且產(chǎn)生一條指向 10. 1. 1. 1的默認(rèn)路由(換成PC就會(huì)變成網(wǎng)關(guān)是10.1.1

5、.1),路由器并不需要得到DNS。 在這里，DHCP Server上明明配了兩個(gè)地址池，網(wǎng)段分別為 10. 1. 1. 0/24 和 20. 1. 1.0/24,為什么客戶端向服務(wù)器請求地址的時(shí)候，服務(wù)器就偏偏會(huì)把10.1. 1.0/24 網(wǎng)段的地址發(fā)給客戶，而不會(huì)錯(cuò)把20. 1.1. 0/24網(wǎng)段的地址發(fā)給客戶呢。這是因?yàn)榉?務(wù)器從哪個(gè)接口收到DHCP請求，就只能向客戶端發(fā)送地址段和接收接口地址相同 的網(wǎng)段，如果不存在相同網(wǎng)段，就會(huì)丟棄請求數(shù)據(jù)包。圖中接收接口地址為10. 1. 1. 1, 而地址池cciel 中的網(wǎng)段10.1.1.0/24正好和接收接口是相同網(wǎng)段，所以向客戶端發(fā) 送了 IP

6、 地址 10. 1. 1. llo DHCP中繼F0/0 DHCP Client 4.1.1.3 34.1. FO/1 F0/1 F0/0 FO/ff DHCP Server 如圖中所示，當(dāng)R1 的接口配置為DHCP荻得地址后，那么將從F0/0發(fā)出目的 地為255. 255. 255. 255 的廣播請求包，如果R2為DHCP服務(wù)器，便會(huì)響應(yīng)客戶端， 但它不是DHCP 服務(wù)器，因此R2 收到此廣播包后便默認(rèn)丟棄該請求包。而真正的 DHCP服務(wù)器是R4, R1 的廣播包又如何能到達(dá)R4這臺(tái)服務(wù)器呢，R4又如何向R1 客戶端發(fā)送正確的IP地址呢。 路由器是不能夠轉(zhuǎn)發(fā)廣播的，因此，除非能夠讓R2將客

7、戶端的廣播包單播發(fā)向 R4這臺(tái)服務(wù)器。我們的做法就是讓R2將廣播包通過單播繼續(xù)前轉(zhuǎn)到R4這臺(tái)服務(wù) 器，稱為DHCP中繼，通過IP help-address功能來實(shí)現(xiàn)。 1. R2配置 (1) 配置將DHCP廣播前轉(zhuǎn)到34. 1. 1.4 注：IP help-address功能默認(rèn)能夠前轉(zhuǎn)DIICP協(xié)議，所以無需額外添加。 R2(config)#int f0/0 R2(config-if)#ip helper-address 34. 1. 1. 4 2. 配置 DHCP Server： F0/0 (1) 開啟DHCP功能 R4 (config)#service dhcp (2) 配置DHCP地址

8、池 R4(config)#ip dhcp pool cciel 地址池名為 cciel R4(dhcp-config)Network 10. 1. 1.0 255. 255. 255. 0 可供客戶端使用的地址段 R4 (dhcp-conf i g) ftdefau 1 trou ter 10. 1. 1. 1 網(wǎng)關(guān) R4(config)#ip dhcp pool ccie2 地址池名為 cciel R4(dhcp-config)network 34. 1. 1. 0 255. 255. 255. 0 可供客戶端使用的地址段 R4(dhcp-config)#defau 1 trouter 34

9、. 1. 1. 4 網(wǎng)關(guān) (3) 去掉不提供給客戶端的地址 R4 (config)ttip dhcp excluded-address 10. 1. 1. 1 10. 1. 1. 10 移除 10. 1. 1. 1 到 10. L 1 10 R4(config)#ip dhcp excluded-address 34. 1. 1. 1 34. 1. 1. 10 移除 20. L 1. 1 到 20. L 1. 10 (4) 配置正確地址池的路由 R4 (config)#ip route 10. 1. 1. 0 255. 255. 255. 0 34. 1. 1. 3 注：R3無需做任何配置！

10、3. 查看結(jié)果 查看DHCP Client會(huì)看到接口 F0/0的IP地址為10. 1. 1. 11,那么DHCP服務(wù)器R4 又是根據(jù)什么來判斷出客戶端需要的是哪個(gè)網(wǎng)段的IP地址呢，為什么還是沒有錯(cuò)把 34. 1. 1. 0/24網(wǎng)段的地址發(fā)給客戶呢。不是說服務(wù)器從哪個(gè)接口收到請求，就把這個(gè) 接口相同網(wǎng)段的地址發(fā)給客戶端嗎？按照之前的理論，應(yīng)該是發(fā)送34.1.1.0/24的地 址給客戶啊。 在這里， 能夠指導(dǎo)服務(wù)器發(fā)送正確IP地址給客戶端， 是因?yàn)橛幸粋€(gè)被 稱為option 82的選項(xiàng)，這個(gè)選項(xiàng)只要DHCP請求數(shù)據(jù)包被中繼后便會(huì)自動(dòng)添加，此 選項(xiàng)，中繼路由券會(huì)在里面的giaddr位置寫上參數(shù)，這

11、個(gè)參數(shù)，就是告訴服務(wù)器，客 戶端需要哪個(gè)網(wǎng)段的IP地址才能正常工作。中繼路由器從哪個(gè)接口收到客戶的DHCP 請求， 就在option 82的giaddr位置寫上該接收接口的IP地址， 然后服務(wù)器根據(jù)giaddr 位置上的IP地址，從地址池中選擇一個(gè)與該IP地址相同網(wǎng)段的地址給客戶，如果 沒有相應(yīng)地址池，則放棄響應(yīng)，所以，服務(wù)器R4能夠正確發(fā)送10.1.1.0/24 的地址 給客戶，正是因?yàn)镽2在由于IP help-address的影響下，將giaddr 的參數(shù)改成了自 己 接收接口的地址，即將giaddr參數(shù)改成了 10.1.1.1,通過debug會(huì)看到如下過程： Mar 100： 28： 3

12、6. 666： DHCPD： setting giaddr to 10. 1. 1. 1. Mar100：28：36. 666HCPD：B00TREQUESTfrom0063. 6973. 636f.2d30. 3031.322e. 6439. 6639. 2e63. 3638. 302d. 4661. 302f. 30 forwarded to 34. 1. 1. 4. 從上面debug信息可以看到R2是將giaddr 改成10. 1. 1. 1 后發(fā)中繼發(fā)向34. 1. 1.4 的，需要知道的是，經(jīng)過中繼后發(fā)來的DHCP請求包如果giaddr位置不是某個(gè)IP地 址而是0. 0. 0. 0的

13、話，服務(wù)器是丟棄該請求而不提供IP地址的。 注：當(dāng)服務(wù)器上存在10.1.1.0/24網(wǎng)段的地址池時(shí)，服務(wù)器要將該地址池發(fā)送給客戶， 就必須存在到達(dá)10. 1. 1.0網(wǎng)段的路由（默認(rèn)路由也行），并且客戶端必須位于該路由的 方向，如果方向不對(duì)，該地址池也是不能夠發(fā)給客戶使用的。 不同VLAN分配不同地址 F0/3 30.1.1.1 如圖3中所示，兩個(gè)DHCP客戶端分別位于交換機(jī)上兩個(gè)不同的VLA7,交換機(jī) 上的VLAN接口將作為他們的網(wǎng)關(guān)，R3是DHCP服務(wù)器，這兩個(gè)客戶端必須得到不 同網(wǎng)段的地址，否則無法與外網(wǎng)通信，在這種情況下，服務(wù)器R3也必須正確為R1 分配10. 1. 1.0/24網(wǎng)段的

14、地址，必須為R2分配20. 1. 1.0/24的地址，配置如下： 1. 配置 DHCP ServerDHCP Client DHCP Client sw(config-if)#ip address 10. 1. 1. 1 255. 255. 255. 0 (1) 開啟DHCP功能 R3 (config)#service dhcp (2) 配置DHCP地址池 R3(config)#ip dhcp pool cciel 地址池名為 cciel R3(dhcp-config)#network 10. 1. 1.0 255. 255. 255. 0 可供客戶端使用的地址 段 R3 (dhcp-conf

15、 ig) itdefau 1 t-router 10. 1. 1. 1 網(wǎng)關(guān) R3(config)#ip dhcp pool ccie2 地址池名為 cciel R3(dhcp-config)#network 20. 1. 1.0 255. 255. 255. 0 可供客戶端使用的地址 段 R3(dhcp-config)#default-router 20. 1. 1. 1 網(wǎng)關(guān) (3) 去掉不提供給客戶端的地址 R3(config)#ip dhcp excluded-address 10. 1. 1. 1 10. 1. 1. 10 移除 10. 1. 1. 1 到 10. 1. 1. 10

16、R3(config)#ip dhcp exc 1 uded-address 20. 1. 1. 1 20. 1. 1. 10 移 除 20. 1. 1. 1 到 20. 1. 1. 10 (4) 配置正確地址池的路由 R3(config)iiip route 10. 1. 1. 0 255. 255. 255. 0 30. 1. 1. 1 R3(conf ig)#ip route 20. 1. 1. 0 255. 255. 255. 0 30. 1. 1. 1 2. 配置交換機(jī) (1)配置相應(yīng)接口信息 sw(config)#vlan 10 sw(config-vlan)#exit sw(con

17、fig)#vlan 20 sw(config-vlan)#exit sw(config)#int f0/l sw(config-i f)#swi tchport mode access sw(config-if)iiswitchport access vian 10 sw(config-if)#exit sw(config)#int fO/2 sw(config-i f)#swi tchport mode access sw(conf i g-if)#switchport sw(config-if)#exit sw(config)#int vlan 10access vian 20 sw(co

18、nfig-if)#ip helper-address 30. 1. 1. 3 單播前轉(zhuǎn) DHCP 廣播 到 30. 1. 1.3 sw(config-if)#exit sw(config)#int vlan 20 sw(config-if)#ip address 20. 1. 1. 1 255. 255. 255. 0 sw(config-if)#ip helper-address 30. 1. 1. 3 單播前轉(zhuǎn) DHCP 廣播 到 30. 1. 1.3 3. 配置 DHCP Client (1) 配置R1 rl(config)#int fO/1 rl(config-if)#ip addre

19、ss dhcp (2) 配置R2 r2 (config)#int fO/1 rl (config-if)iiip address dhcp 4. 查看結(jié)果： 按上述配置完之后，客戶端Rl的F0/0便能夠收到地址10.1.1.11,客戶端R2便 能夠收到地址20.1.1.11,然后就可以全網(wǎng)通信。在上述的情況下，服務(wù)器R3 能夠 正確為R1分配10. L 1.0/24網(wǎng)段的地址，能夠正確為R2分配20. 1. 1.0/24網(wǎng)段的地址， 同樣也是因?yàn)榻粨Q機(jī)在收到R1的DHCP廣播包后，將giaddr的參數(shù)改成了 10.1.1.1, 收到R2的廣播包后，將giaddr 的參數(shù)改成了 20. 1.1.

20、1,所以最后服務(wù)器R3能夠根 據(jù)giaddr=10. 1. 1. 1的包分配10. 1. 1. 0/24 的地址，根據(jù) giaddr=20. L 1. 1 的包分配 20. L L 0/24 的地址。 IP與MAC地址綁定 在配置DHCP時(shí)，地址池中除了移除掉的IP地址之外，所有的地址都會(huì)按順序 分配給客戶，所以客戶機(jī)得到的IP 地址是無法固定的，有時(shí)需要每次固定為某些 PC分配相同的IP地址，那么這時(shí)就可以配置DHCP服務(wù)器以靜態(tài)將IP地址和某些 MAC綁定，只有相應(yīng)的MAC地址才能獲得相應(yīng)的IP地址。在Cisco設(shè)備上靜態(tài)將 IP與MAC綁定的方法為，需要將某個(gè)IP地址綁定給MAC地址，就

21、為該IP地址單獨(dú) 創(chuàng)建地址池， 稱為host pool,地址池中需要注明IP地址和掩碼位數(shù)， 并且附上一個(gè) MAC地址，以后這個(gè)IP地址就只分配給這個(gè)MAC地址，所以host pool只能有一個(gè) IP地址和一個(gè)加C地址，如果需要為多個(gè)客戶綁定IP和MAC,就必須得單獨(dú)為每 個(gè)客戶都配置各自的host pool,還要注意的是，在host pool中，MAC地址的表 示 方法和平常不一樣，比如一個(gè)主機(jī)網(wǎng)卡的MAC地址為aabb.ccdd.eeff,在地址池中， 需要在前面加上01 (01表示為以太網(wǎng)類型)，結(jié)果為Olaa. bbcc. ddee. ff 1. 配置 host pool： (1) 配

22、置pool名 rl (config)#ip dhcp poo ccie (2) 配置IP地址 rl (dhcp-conf ig)#host 10. 1. 1. 100 /24 (3) 配置與該IP地址對(duì)應(yīng)的MAC地址 rl(dhcp-config)#c1ient-identifier Olaa bbcc ddee ff 2. 查看配置結(jié)果： (1)查看服務(wù)器地址分配狀態(tài) rl#sh ip dhcp binding Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Typ

23、e Hardware address/ User name 10. 1. 1. 100 Olaa. bbcc. ddee. ff Infinite Manual rl# 說明：從以上結(jié)果可以看出，IP地址10. 1. 1. 100已經(jīng)手工與MAC地址aabb. ccdd. eeff 做了綁定，以后只要MAC地址為aabb. ccdd. eeff的客戶端請求IP地址時(shí)，才能獲得 IP 地址 10. 1. 1. 100。 廠“ DHCP FO/O 10.1.1.2 DHCP Client Cisco設(shè)計(jì)的DHCP安全ARP也許不是絕對(duì)的安全，但也起到了 一定的作用，原 本設(shè)計(jì)為一個(gè)需要計(jì)費(fèi)的公共熱

24、點(diǎn)PVLAN （公共無線場 所），如圖4 中所示，R3為 DHCP服務(wù)器，為付費(fèi)的R1提供正確IP地址以提供網(wǎng)絡(luò)服務(wù)，當(dāng)服務(wù)器R3為客戶 端R1提供IP地址10.1.1.2之后，就已經(jīng)記住了它的MAC地址，在正常情況下，如 果R1退出，服務(wù)器是不知道的，并且當(dāng)網(wǎng)絡(luò)中有欺騙者接入后，也可昌充10.1. 1.2 這個(gè)地址進(jìn)行上網(wǎng)，當(dāng)然R1和R2 的MAC地址肯定是不一樣的，如果這時(shí)服務(wù)器 R3由于自動(dòng)更新ARP表的MAC地址，就能夠順利讓R2上網(wǎng)。 基于上述原因， 需要在服務(wù)器R3和客戶端RI之間提供某種安全機(jī)制， 即服務(wù)器 定期ARP訊問10. 1.1.2是否還存在，在訊問時(shí)，只有R1能夠回答。

25、 DHCP 安全 ARP DHCP Server 在完成這種機(jī)制，需要兩個(gè)feature來支持，第一個(gè)是 Update Arpt在地址池模 式下開啟.這個(gè)feature 便是定期訊問網(wǎng)絡(luò)中DHCP 客戶端的；第二個(gè)是Authorized ARP (ARP授權(quán))，只能在以太網(wǎng)接口下開啟，功能是禁止該接口下通過 ARP 自動(dòng)更 新和學(xué)習(xí)MAC地址，這樣一來，接口下將不能有手動(dòng)配置IP的設(shè)備接入，因?yàn)槭?工配置IP接入后，服務(wù)器不會(huì)更新自己的ARP 表，也就無法完成到新設(shè)備的二層 MAC地址封裝，也就無法和新設(shè)備進(jìn)行通信，只有合法的DHCP客戶端才能正常通 信，所以，如果為遠(yuǎn)程客戶端分配IP地址，就

26、無法做這樣的保護(hù)，并且到遠(yuǎn)程客戶 端的下一跳必須是自己的客戶端，因?yàn)槿绻皇牵菬o法通信的，因?yàn)锳RP不存在 到它的條目。 1. 配置安全ARP： (1) 開啟DUCP功能 R3(config)#service dhcp (2) 配置DHCP地址池 R3(config)#ip dhcp pool cciel 地址池名為 cciel R3(dhcp-config)network 10. 1. 1.0 255. 255. 255. 0 可供客戶端使用的地址段 R3 (dhcp-conf i g) #def au 1 t-rou ter 10. 1. 1. 1 網(wǎng)關(guān) R3(dhcp-conf ig)

27、tfupdate arp 開啟定期 ARP 訊問 (3) 去掉不提供給客戶端的地址 R3(config)#ip dhcp excluded-address 10. 1. 1. 1 10. 1. 1. 10 移除 10. 1. 1. 1 到 10. L 1. 10 (4) 在接口 下開啟 Authorized ARP R3(config)#int f0/0 R3(conf ig-if)#Router (config-if)# arp authorized 禁止動(dòng)態(tài)更新 ARP R3(config-if)# arp timeout 60 60秒客戶無應(yīng)答則刪除ARP條 目 說明：通過以上配置之后，

28、當(dāng)DHCP客戶端從服務(wù)器獲得IP地址后，服務(wù)器便會(huì)定 期查訊該IP地址，如果60秒沒有回答，便從ARP表中刪除該條目。 冒充 DHCP Server 如圖5 中所示，客戶端R1只有正確從服務(wù)器R3 中獲得10. 1. 1. 0/24 網(wǎng)段的IP 地址才能夠正確上網(wǎng)，如果當(dāng)網(wǎng)絡(luò)中出現(xiàn)另外一臺(tái)錯(cuò)誤的DHCP服務(wù)器(圖中R2), R2向客戶端R1發(fā)出20. 1. 1.0/24 的地址，那么將導(dǎo)致R1網(wǎng)絡(luò)中斷，在這樣的情況下， 就需要禁止不合法的DHCP服務(wù)器向網(wǎng)絡(luò)中提供DHCP服務(wù)，這就需要DHCP監(jiān)聽 (DHCP Snooping) o DHCP Snooping是在交換機(jī)上完成的，如上圖中，只要告訴交換 機(jī)，只有F0/3發(fā)來的DHCP應(yīng)答地址才轉(zhuǎn)發(fā)給客戶端，其它接口發(fā)來的應(yīng)答地址統(tǒng) 統(tǒng)被丟棄。要做到這一點(diǎn)，就要告訴交換機(jī)，F(xiàn)0/3接口是它可能信任的DHCP地址， 其它接口都是不可信的，不能提供DHCP應(yīng)答，那么在實(shí)現(xiàn)這個(gè)功能時(shí)，就需要將 交換機(jī)上的接口分為可信任接口和不可信任接口兩種，默認(rèn)交換機(jī)全為不可信任接 口，也就是說交換機(jī)