DHCP中繼實驗(cisco)

1、最近看到大家經(jīng)常由于DHCP的問題犯愁.為了讓大家更明白的了解DHCP并且會配置，特 此發(fā)這個貼 相信大家認證看完對DHCP就會了如指掌 DHCP Server 1. 配置 DHCP Server 開啟DHCP功能 r2 (confi g)#serv i ce dhcp (2) 配置DHCP地址池 r2(config)#ip dhcp pool cciel 地址池名為 cciel r2(dhcp-config)network 10. 1. 1. 0 255. 255. 255. 0 可供客戶端使用的地址段 r2(dhcp-conf ig) Sdefault-router 10. 1. 1. 1

2、 網(wǎng)關(guān) r2(dhcp-conf ig)#dns-server 10. 1. 1. 1 10. 1. 1. 2 DNS r2(dhcp-config)#1 ease 1 1 1 租期為1天1小時1分(默認為一 天) r2(config)#ip dhcp pool ccie2 地址池名為 cciel r2(dhcp-config)#network 20. 1. 1.0 255. 255. 255. 0 可供客戶端使用的地址段 r2 (dhcp-config) Sdefau 1 t-router 20. 1. 1. 1 網(wǎng)關(guān) r2 (dhcp-conf ig)#dns-server 20. 1.

3、1. 1 20. 1. 1. 2 DNS r2(dhcp-config)#lease 1 1 1 租期為1天1小時1分(默認一天) (3) 去掉不提供給客戶端的地址 注：因為某些IP地址不希望提供給客戶端，比如網(wǎng)關(guān)地址，所以我們要將這些地址 從地址池中移除，這樣服務(wù)器就不會將這些地址發(fā)紿客戶端使用。 r2(config)#ip dhcp excluded-address 10. 1. 1. 1 10. 1. 1. 10 移除 10. 1. L 1 到 10. 1. 1. 10 r2(config)#ip dhcp excluded-address 20. 1. 1. 1 20. 1. 1. 1

4、0 移除 20. 1. 1. 1 到 20. L 1. 10 2. 配置 DHCP Client DHCP 10.1.1.1/24 FWO DHCP Client (1) 配置接口使用DHCP rl(config)#int f0/l rl(config-if)#ip address dhcp 3. 查看命令： (1在服務(wù)器上查看哪些地址分配給了哪些主機： R2#Show ip dhcp binding 4. 查看結(jié)果 查看DHCP Client 會看到接口 F0/0 的IP 地址為 10. 1. 1. 11 并且產(chǎn)生一條指向 10. 1. 1. 1的默認路由(換成PC就會變成網(wǎng)關(guān)是10.1.1

5、.1),路由器并不需要得到DNS。 在這里，DHCP Server上明明配了兩個地址池，網(wǎng)段分別為 10. 1. 1. 0/24 和 20. 1. 1.0/24,為什么客戶端向服務(wù)器請求地址的時候，服務(wù)器就偏偏會把10.1. 1.0/24 網(wǎng)段的地址發(fā)給客戶，而不會錯把20. 1.1. 0/24網(wǎng)段的地址發(fā)給客戶呢。這是因為服 務(wù)器從哪個接口收到DHCP請求，就只能向客戶端發(fā)送地址段和接收接口地址相同 的網(wǎng)段，如果不存在相同網(wǎng)段，就會丟棄請求數(shù)據(jù)包。圖中接收接口地址為10. 1. 1. 1, 而地址池cciel 中的網(wǎng)段10.1.1.0/24正好和接收接口是相同網(wǎng)段，所以向客戶端發(fā) 送了 IP

6、 地址 10. 1. 1. llo DHCP中繼F0/0 DHCP Client 4.1.1.3 34.1. FO/1 F0/1 F0/0 FO/ff DHCP Server 如圖中所示，當R1 的接口配置為DHCP荻得地址后，那么將從F0/0發(fā)出目的 地為255. 255. 255. 255 的廣播請求包，如果R2為DHCP服務(wù)器，便會響應(yīng)客戶端， 但它不是DHCP 服務(wù)器，因此R2 收到此廣播包后便默認丟棄該請求包。而真正的 DHCP服務(wù)器是R4, R1 的廣播包又如何能到達R4這臺服務(wù)器呢，R4又如何向R1 客戶端發(fā)送正確的IP地址呢。 路由器是不能夠轉(zhuǎn)發(fā)廣播的，因此，除非能夠讓R2將客

7、戶端的廣播包單播發(fā)向 R4這臺服務(wù)器。我們的做法就是讓R2將廣播包通過單播繼續(xù)前轉(zhuǎn)到R4這臺服務(wù) 器，稱為DHCP中繼，通過IP help-address功能來實現(xiàn)。 1. R2配置 (1) 配置將DHCP廣播前轉(zhuǎn)到34. 1. 1.4 注：IP help-address功能默認能夠前轉(zhuǎn)DIICP協(xié)議，所以無需額外添加。 R2(config)#int f0/0 R2(config-if)#ip helper-address 34. 1. 1. 4 2. 配置 DHCP Server： F0/0 (1) 開啟DHCP功能 R4 (config)#service dhcp (2) 配置DHCP地址

8、池 R4(config)#ip dhcp pool cciel 地址池名為 cciel R4(dhcp-config)Network 10. 1. 1.0 255. 255. 255. 0 可供客戶端使用的地址段 R4 (dhcp-conf i g) ftdefau 1 trou ter 10. 1. 1. 1 網(wǎng)關(guān) R4(config)#ip dhcp pool ccie2 地址池名為 cciel R4(dhcp-config)network 34. 1. 1. 0 255. 255. 255. 0 可供客戶端使用的地址段 R4(dhcp-config)#defau 1 trouter 34

9、. 1. 1. 4 網(wǎng)關(guān) (3) 去掉不提供給客戶端的地址 R4 (config)ttip dhcp excluded-address 10. 1. 1. 1 10. 1. 1. 10 移除 10. 1. 1. 1 到 10. L 1 10 R4(config)#ip dhcp excluded-address 34. 1. 1. 1 34. 1. 1. 10 移除 20. L 1. 1 到 20. L 1. 10 (4) 配置正確地址池的路由 R4 (config)#ip route 10. 1. 1. 0 255. 255. 255. 0 34. 1. 1. 3 注：R3無需做任何配置！

10、3. 查看結(jié)果 查看DHCP Client會看到接口 F0/0的IP地址為10. 1. 1. 11,那么DHCP服務(wù)器R4 又是根據(jù)什么來判斷出客戶端需要的是哪個網(wǎng)段的IP地址呢，為什么還是沒有錯把 34. 1. 1. 0/24網(wǎng)段的地址發(fā)給客戶呢。不是說服務(wù)器從哪個接口收到請求，就把這個 接口相同網(wǎng)段的地址發(fā)給客戶端嗎？按照之前的理論，應(yīng)該是發(fā)送34.1.1.0/24的地 址給客戶啊。 在這里， 能夠指導服務(wù)器發(fā)送正確IP地址給客戶端， 是因為有一個被 稱為option 82的選項，這個選項只要DHCP請求數(shù)據(jù)包被中繼后便會自動添加，此 選項，中繼路由券會在里面的giaddr位置寫上參數(shù)，這

11、個參數(shù)，就是告訴服務(wù)器，客 戶端需要哪個網(wǎng)段的IP地址才能正常工作。中繼路由器從哪個接口收到客戶的DHCP 請求， 就在option 82的giaddr位置寫上該接收接口的IP地址， 然后服務(wù)器根據(jù)giaddr 位置上的IP地址，從地址池中選擇一個與該IP地址相同網(wǎng)段的地址給客戶，如果 沒有相應(yīng)地址池，則放棄響應(yīng)，所以，服務(wù)器R4能夠正確發(fā)送10.1.1.0/24 的地址 給客戶，正是因為R2在由于IP help-address的影響下，將giaddr 的參數(shù)改成了自 己 接收接口的地址，即將giaddr參數(shù)改成了 10.1.1.1,通過debug會看到如下過程： Mar 100： 28： 3

12、6. 666： DHCPD： setting giaddr to 10. 1. 1. 1. Mar100：28：36. 666HCPD：B00TREQUESTfrom0063. 6973. 636f.2d30. 3031.322e. 6439. 6639. 2e63. 3638. 302d. 4661. 302f. 30 forwarded to 34. 1. 1. 4. 從上面debug信息可以看到R2是將giaddr 改成10. 1. 1. 1 后發(fā)中繼發(fā)向34. 1. 1.4 的，需要知道的是，經(jīng)過中繼后發(fā)來的DHCP請求包如果giaddr位置不是某個IP地 址而是0. 0. 0. 0的

13、話，服務(wù)器是丟棄該請求而不提供IP地址的。 注：當服務(wù)器上存在10.1.1.0/24網(wǎng)段的地址池時，服務(wù)器要將該地址池發(fā)送給客戶， 就必須存在到達10. 1. 1.0網(wǎng)段的路由（默認路由也行），并且客戶端必須位于該路由的 方向，如果方向不對，該地址池也是不能夠發(fā)給客戶使用的。 不同VLAN分配不同地址 F0/3 30.1.1.1 如圖3中所示，兩個DHCP客戶端分別位于交換機上兩個不同的VLA7,交換機 上的VLAN接口將作為他們的網(wǎng)關(guān)，R3是DHCP服務(wù)器，這兩個客戶端必須得到不 同網(wǎng)段的地址，否則無法與外網(wǎng)通信，在這種情況下，服務(wù)器R3也必須正確為R1 分配10. 1. 1.0/24網(wǎng)段的

14、地址，必須為R2分配20. 1. 1.0/24的地址，配置如下： 1. 配置 DHCP ServerDHCP Client DHCP Client sw(config-if)#ip address 10. 1. 1. 1 255. 255. 255. 0 (1) 開啟DHCP功能 R3 (config)#service dhcp (2) 配置DHCP地址池 R3(config)#ip dhcp pool cciel 地址池名為 cciel R3(dhcp-config)#network 10. 1. 1.0 255. 255. 255. 0 可供客戶端使用的地址 段 R3 (dhcp-conf

15、 ig) itdefau 1 t-router 10. 1. 1. 1 網(wǎng)關(guān) R3(config)#ip dhcp pool ccie2 地址池名為 cciel R3(dhcp-config)#network 20. 1. 1.0 255. 255. 255. 0 可供客戶端使用的地址 段 R3(dhcp-config)#default-router 20. 1. 1. 1 網(wǎng)關(guān) (3) 去掉不提供給客戶端的地址 R3(config)#ip dhcp excluded-address 10. 1. 1. 1 10. 1. 1. 10 移除 10. 1. 1. 1 到 10. 1. 1. 10

16、R3(config)#ip dhcp exc 1 uded-address 20. 1. 1. 1 20. 1. 1. 10 移 除 20. 1. 1. 1 到 20. 1. 1. 10 (4) 配置正確地址池的路由 R3(config)iiip route 10. 1. 1. 0 255. 255. 255. 0 30. 1. 1. 1 R3(conf ig)#ip route 20. 1. 1. 0 255. 255. 255. 0 30. 1. 1. 1 2. 配置交換機 (1)配置相應(yīng)接口信息 sw(config)#vlan 10 sw(config-vlan)#exit sw(con

17、fig)#vlan 20 sw(config-vlan)#exit sw(config)#int f0/l sw(config-i f)#swi tchport mode access sw(config-if)iiswitchport access vian 10 sw(config-if)#exit sw(config)#int fO/2 sw(config-i f)#swi tchport mode access sw(conf i g-if)#switchport sw(config-if)#exit sw(config)#int vlan 10access vian 20 sw(co

18、nfig-if)#ip helper-address 30. 1. 1. 3 單播前轉(zhuǎn) DHCP 廣播 到 30. 1. 1.3 sw(config-if)#exit sw(config)#int vlan 20 sw(config-if)#ip address 20. 1. 1. 1 255. 255. 255. 0 sw(config-if)#ip helper-address 30. 1. 1. 3 單播前轉(zhuǎn) DHCP 廣播 到 30. 1. 1.3 3. 配置 DHCP Client (1) 配置R1 rl(config)#int fO/1 rl(config-if)#ip addre

19、ss dhcp (2) 配置R2 r2 (config)#int fO/1 rl (config-if)iiip address dhcp 4. 查看結(jié)果： 按上述配置完之后，客戶端Rl的F0/0便能夠收到地址10.1.1.11,客戶端R2便 能夠收到地址20.1.1.11,然后就可以全網(wǎng)通信。在上述的情況下，服務(wù)器R3 能夠 正確為R1分配10. L 1.0/24網(wǎng)段的地址，能夠正確為R2分配20. 1. 1.0/24網(wǎng)段的地址， 同樣也是因為交換機在收到R1的DHCP廣播包后，將giaddr的參數(shù)改成了 10.1.1.1, 收到R2的廣播包后，將giaddr 的參數(shù)改成了 20. 1.1.

20、1,所以最后服務(wù)器R3能夠根 據(jù)giaddr=10. 1. 1. 1的包分配10. 1. 1. 0/24 的地址，根據(jù) giaddr=20. L 1. 1 的包分配 20. L L 0/24 的地址。 IP與MAC地址綁定 在配置DHCP時，地址池中除了移除掉的IP地址之外，所有的地址都會按順序 分配給客戶，所以客戶機得到的IP 地址是無法固定的，有時需要每次固定為某些 PC分配相同的IP地址，那么這時就可以配置DHCP服務(wù)器以靜態(tài)將IP地址和某些 MAC綁定，只有相應(yīng)的MAC地址才能獲得相應(yīng)的IP地址。在Cisco設(shè)備上靜態(tài)將 IP與MAC綁定的方法為，需要將某個IP地址綁定給MAC地址，就

21、為該IP地址單獨 創(chuàng)建地址池， 稱為host pool,地址池中需要注明IP地址和掩碼位數(shù)， 并且附上一個 MAC地址，以后這個IP地址就只分配給這個MAC地址，所以host pool只能有一個 IP地址和一個加C地址，如果需要為多個客戶綁定IP和MAC,就必須得單獨為每 個客戶都配置各自的host pool,還要注意的是，在host pool中，MAC地址的表 示 方法和平常不一樣，比如一個主機網(wǎng)卡的MAC地址為aabb.ccdd.eeff,在地址池中， 需要在前面加上01 (01表示為以太網(wǎng)類型)，結(jié)果為Olaa. bbcc. ddee. ff 1. 配置 host pool： (1) 配

22、置pool名 rl (config)#ip dhcp poo ccie (2) 配置IP地址 rl (dhcp-conf ig)#host 10. 1. 1. 100 /24 (3) 配置與該IP地址對應(yīng)的MAC地址 rl(dhcp-config)#c1ient-identifier Olaa bbcc ddee ff 2. 查看配置結(jié)果： (1)查看服務(wù)器地址分配狀態(tài) rl#sh ip dhcp binding Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Typ

23、e Hardware address/ User name 10. 1. 1. 100 Olaa. bbcc. ddee. ff Infinite Manual rl# 說明：從以上結(jié)果可以看出，IP地址10. 1. 1. 100已經(jīng)手工與MAC地址aabb. ccdd. eeff 做了綁定，以后只要MAC地址為aabb. ccdd. eeff的客戶端請求IP地址時，才能獲得 IP 地址 10. 1. 1. 100。 廠“ DHCP FO/O 10.1.1.2 DHCP Client Cisco設(shè)計的DHCP安全ARP也許不是絕對的安全，但也起到了 一定的作用，原 本設(shè)計為一個需要計費的公共熱

24、點PVLAN （公共無線場 所），如圖4 中所示，R3為 DHCP服務(wù)器，為付費的R1提供正確IP地址以提供網(wǎng)絡(luò)服務(wù)，當服務(wù)器R3為客戶 端R1提供IP地址10.1.1.2之后，就已經(jīng)記住了它的MAC地址，在正常情況下，如 果R1退出，服務(wù)器是不知道的，并且當網(wǎng)絡(luò)中有欺騙者接入后，也可昌充10.1. 1.2 這個地址進行上網(wǎng)，當然R1和R2 的MAC地址肯定是不一樣的，如果這時服務(wù)器 R3由于自動更新ARP表的MAC地址，就能夠順利讓R2上網(wǎng)。 基于上述原因， 需要在服務(wù)器R3和客戶端RI之間提供某種安全機制， 即服務(wù)器 定期ARP訊問10. 1.1.2是否還存在，在訊問時，只有R1能夠回答。

25、 DHCP 安全 ARP DHCP Server 在完成這種機制，需要兩個feature來支持，第一個是 Update Arpt在地址池模 式下開啟.這個feature 便是定期訊問網(wǎng)絡(luò)中DHCP 客戶端的；第二個是Authorized ARP (ARP授權(quán))，只能在以太網(wǎng)接口下開啟，功能是禁止該接口下通過 ARP 自動更 新和學習MAC地址，這樣一來，接口下將不能有手動配置IP的設(shè)備接入，因為手 工配置IP接入后，服務(wù)器不會更新自己的ARP 表，也就無法完成到新設(shè)備的二層 MAC地址封裝，也就無法和新設(shè)備進行通信，只有合法的DHCP客戶端才能正常通 信，所以，如果為遠程客戶端分配IP地址，就

26、無法做這樣的保護，并且到遠程客戶 端的下一跳必須是自己的客戶端，因為如果不是，是無法通信的，因為ARP不存在 到它的條目。 1. 配置安全ARP： (1) 開啟DUCP功能 R3(config)#service dhcp (2) 配置DHCP地址池 R3(config)#ip dhcp pool cciel 地址池名為 cciel R3(dhcp-config)network 10. 1. 1.0 255. 255. 255. 0 可供客戶端使用的地址段 R3 (dhcp-conf i g) #def au 1 t-rou ter 10. 1. 1. 1 網(wǎng)關(guān) R3(dhcp-conf ig)

27、tfupdate arp 開啟定期 ARP 訊問 (3) 去掉不提供給客戶端的地址 R3(config)#ip dhcp excluded-address 10. 1. 1. 1 10. 1. 1. 10 移除 10. 1. 1. 1 到 10. L 1. 10 (4) 在接口 下開啟 Authorized ARP R3(config)#int f0/0 R3(conf ig-if)#Router (config-if)# arp authorized 禁止動態(tài)更新 ARP R3(config-if)# arp timeout 60 60秒客戶無應(yīng)答則刪除ARP條 目 說明：通過以上配置之后，

28、當DHCP客戶端從服務(wù)器獲得IP地址后，服務(wù)器便會定 期查訊該IP地址，如果60秒沒有回答，便從ARP表中刪除該條目。 冒充 DHCP Server 如圖5 中所示，客戶端R1只有正確從服務(wù)器R3 中獲得10. 1. 1. 0/24 網(wǎng)段的IP 地址才能夠正確上網(wǎng)，如果當網(wǎng)絡(luò)中出現(xiàn)另外一臺錯誤的DHCP服務(wù)器(圖中R2), R2向客戶端R1發(fā)出20. 1. 1.0/24 的地址，那么將導致R1網(wǎng)絡(luò)中斷，在這樣的情況下， 就需要禁止不合法的DHCP服務(wù)器向網(wǎng)絡(luò)中提供DHCP服務(wù)，這就需要DHCP監(jiān)聽 (DHCP Snooping) o DHCP Snooping是在交換機上完成的，如上圖中，只要告訴交換 機，只有F0/3發(fā)來的DHCP應(yīng)答地址才轉(zhuǎn)發(fā)給客戶端，其它接口發(fā)來的應(yīng)答地址統(tǒng) 統(tǒng)被丟棄。要做到這一點，就要告訴交換機，F(xiàn)0/3接口是它可能信任的DHCP地址， 其它接口都是不可信的，不能提供DHCP應(yīng)答，那么在實現(xiàn)這個功能時，就需要將 交換機上的接口分為可信任接口和不可信任接口兩種，默認交換機全為不可信任接 口，也就是說交換機