計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)與實(shí)踐PPT課件

1、計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)與實(shí)踐第第4 4章：使用章：使用DHCPDHCP管理管理IPIP地址地址阮曉/ http:/河南中醫(yī)學(xué)院管理信息工程學(xué)科河南中醫(yī)學(xué)院網(wǎng)絡(luò)信息中心2015.91 1河南中醫(yī)學(xué)院 / 阮曉龍 // http:/本章主要內(nèi)容pDHCP概述p工作原理p實(shí)訓(xùn)：在Windows Server上實(shí)現(xiàn)DHCPp實(shí)訓(xùn)：在Linux上實(shí)現(xiàn)DHCPp實(shí)訓(xùn)：配置DHCP客戶端pDHCP安全管理p案例：基于GNS3在局域網(wǎng)中構(gòu)建DHCP 服務(wù)2 2河南中醫(yī)學(xué)院 / 阮曉龍 // http:/1.DHCP概述p在計(jì)算機(jī)網(wǎng)絡(luò)中，

2、IP地址就相當(dāng)于計(jì)算機(jī)的門(mén)牌號(hào)，標(biāo)識(shí)著計(jì)算機(jī)在網(wǎng)絡(luò)中的位置，因此每臺(tái)計(jì)算機(jī)都需要配置至少一個(gè)IP地址。p當(dāng)網(wǎng)絡(luò)中只有少數(shù)幾臺(tái)計(jì)算機(jī)時(shí)，只需要通過(guò)手動(dòng)的方式為每臺(tái)計(jì)算機(jī)配置IP地址。但如果網(wǎng)絡(luò)中有成千上萬(wàn)臺(tái)計(jì)算機(jī)，顯然用手動(dòng)方式為每一臺(tái)計(jì)算機(jī)配置IP地址就不可行，此時(shí)就需要使用DHCP服務(wù)。3 31.1簡(jiǎn)介河南中醫(yī)學(xué)院 / 阮曉龍 // http:/1.DHCP概述pDHCP（Dynamic Host Configuration Protocol，動(dòng)態(tài)主機(jī)配置協(xié)議）是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要有兩個(gè)用途：n給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動(dòng)分配IP地址。

3、n給用戶或者內(nèi)部網(wǎng)絡(luò)管理員作為對(duì)所有計(jì)算機(jī)進(jìn)行中央管理的手段。4 41.1簡(jiǎn)介河南中醫(yī)學(xué)院 / 阮曉龍 // http:/1.DHCP概述p通過(guò)DHCP服務(wù)，DHCP服務(wù)器可以為網(wǎng)絡(luò)中安裝了DHCP客戶端程序的計(jì)算機(jī)自動(dòng)分配IP地址和其他相關(guān)配置（DNS，網(wǎng)關(guān)等），而不需要管理員對(duì)每個(gè)主機(jī)進(jìn)行逐一配置，極大的降低了管理成本。5 51.1簡(jiǎn)介河南中醫(yī)學(xué)院 / 阮曉龍 // http:/1.DHCP概述p在管理基于TCP/IP的網(wǎng)絡(luò)中，使用DHCP有以下好處：n減少配置和管理的工作量，提高效率。n配置更加可靠。n便于管理。n節(jié)約IP資源。6 61

4、.2優(yōu)點(diǎn)河南中醫(yī)學(xué)院 / 阮曉龍 // http:/1.DHCP概述pDHCP也存在一些缺點(diǎn)。如果DHCP服務(wù)器設(shè)置有誤或出現(xiàn)故障，尤其是當(dāng)網(wǎng)絡(luò)中只有一臺(tái)DHCP服務(wù)器時(shí)，就會(huì)導(dǎo)致網(wǎng)絡(luò)中所有DHCP客戶端無(wú)法正常獲取IP地址，影響網(wǎng)絡(luò)通信。p通常在一個(gè)網(wǎng)絡(luò)中配置兩臺(tái)以上的DHCP服務(wù)器，當(dāng)其中一臺(tái)DHCP服務(wù)器失效時(shí)，由另一臺(tái)（或幾臺(tái)）DHCP服務(wù)器提供服務(wù)，不影響網(wǎng)絡(luò)的正常運(yùn)行。7 71.3缺點(diǎn)河南中醫(yī)學(xué)院 / 阮曉龍 // http:/1.DHCP概述pDHCP一般情況下用于以下場(chǎng)景中：n網(wǎng)絡(luò)規(guī)模較大，手工配置需要很大的工作量，并難以對(duì)整

5、個(gè)網(wǎng)絡(luò)進(jìn)行集中管理，而服務(wù)器、網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)等使用靜態(tài)IP地址管理，這樣才能保證網(wǎng)絡(luò)暢通，且服務(wù)器能夠被正常訪問(wèn)。n網(wǎng)絡(luò)中主機(jī)數(shù)目大于該網(wǎng)絡(luò)支持的IP地址數(shù)量，無(wú)法給每個(gè)主機(jī)分配一個(gè)固定的IP地址。例如，Internet接入服務(wù)提供商，限制同時(shí)接入網(wǎng)絡(luò)的用戶數(shù)目，大量用戶必須動(dòng)態(tài)獲得自己的IP地址。n網(wǎng)絡(luò)中只有少數(shù)主機(jī)需要固定的IP地址，大多數(shù)主機(jī)沒(méi)有固定IP地址的需求。8 81.4應(yīng)用場(chǎng)景河南中醫(yī)學(xué)院 / 阮曉龍 // http:/1.DHCP概述pDHCP服務(wù)不僅提供簡(jiǎn)單的IP地址自動(dòng)分配的功能，還具有以下功能：n通過(guò)IP地址與MAC地址綁定，實(shí)現(xiàn)靜態(tài)IP地址的分配

6、。n可以自動(dòng)配置客戶端的DNS服務(wù)器、WINS服務(wù)器（僅限于Windows操作系統(tǒng)中的DHCP服務(wù)器）和默認(rèn)網(wǎng)關(guān)。n利用IP地址排除功能，使靜態(tài)分配給其他主機(jī)的IP地址不再分配給另外的DHCP客戶端。n通過(guò)DHCP中繼功能，一個(gè)DHCP服務(wù)器可以為多個(gè)網(wǎng)段（或VLAN）中的DHCP客戶端分配不同地址池中的IP地址。9 91.5主要功能河南中醫(yī)學(xué)院 / 阮曉龍 // http:/1.DHCP概述pDHCP作用域是本地邏輯子網(wǎng)中可以使用的IP地址的集合，例如-54。DHCP服務(wù)器只能使用作用域中定義的IP地址來(lái)分配給DHCP客戶

7、端。p超級(jí)作用域是DHCP服務(wù)中的一種管理功能。使用超級(jí)作用域，可以將多個(gè)作用域組合為單個(gè)管理實(shí)體。在多網(wǎng)配置中，可以使用DHCP超級(jí)作用域來(lái)組合網(wǎng)絡(luò)上使用的單獨(dú)作用域范圍。通過(guò)這種方式，DHCP服務(wù)器可為單個(gè)物理網(wǎng)絡(luò)上的客戶端激活并提供來(lái)自多個(gè)作用域的租約。10101.6作用域河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理p整個(gè)DHCP服務(wù)一共有以下8種類型的報(bào)文：DHCP DISCOVER（請(qǐng)求報(bào)文）：用來(lái)發(fā)現(xiàn)網(wǎng)絡(luò)中的DHCP服務(wù)器。DHCP OFFER（應(yīng)答報(bào)文）：用來(lái)告知客戶端本服務(wù)器可以為其提供IP地址。DHCP REQUEST（請(qǐng)求報(bào)文）：告知D

8、HCP服務(wù)器，希望獲得分配的IP地址。DHCP ACK（應(yīng)答報(bào)文）：通知用戶可以使用分配的IP地址。DHCP NAK（應(yīng)答報(bào)文）：通知客戶端無(wú)法分配合適的IP地址。DHCP RELEASE（請(qǐng)求報(bào)文）：請(qǐng)求釋放相應(yīng)的IP地址。DHCP DECLINE（請(qǐng)求報(bào)文）：告知服務(wù)器分配的IP地址不可用，希望獲取 新的IP地址。11112.1報(bào)文分析河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pDHCP報(bào)文類型雖然多，但每種報(bào)文的格式基本相同。只是某些字段的取值不一樣。12122.1報(bào)文分析DHCP報(bào)文格式河南中醫(yī)學(xué)院 / 阮曉龍 // h

9、ttp:/2.工作原理pDHCP報(bào)文格式分析 nOP：Option，指定報(bào)文的操作類型，占8位。請(qǐng)求報(bào)文置1，應(yīng)答報(bào)文置2。nHtype、Hlen：分別指定客戶端的MAC地址類型及長(zhǎng)度，各占8位。nHops：DHCP報(bào)文經(jīng)過(guò)的DHCP中繼的數(shù)目，占8位。13132.1報(bào)文分析河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pDHCP報(bào)文格式分析 nXid：客戶端通過(guò)DHCP DISCOVER報(bào)文發(fā)起一次IP地址請(qǐng)求時(shí)所選擇的隨機(jī)數(shù)，相當(dāng)于請(qǐng)求標(biāo)識(shí)，占32位。nSecs：表示DHCP客戶端從獲取到IP地址或續(xù)租過(guò)程開(kāi)始到現(xiàn)在所消耗的時(shí)間，以秒為單位，占16位。1

10、4142.1報(bào)文分析河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pDHCP報(bào)文格式分析 nFlags：標(biāo)識(shí)位，占16位，第一位為廣播應(yīng)答標(biāo)識(shí)位，用來(lái)標(biāo)識(shí)DHCP應(yīng)答報(bào)文是用單播還是廣播發(fā)送的，置0表示單播，置1表示廣播。nCiaddr：指示DHCP客戶端的IP地址，占32位。nYiaddr：指示DHCP服務(wù)器分配給客戶端的IP地址，占32位。15152.1報(bào)文分析河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pDHCP報(bào)文格式分析 nSiaddr：指示下一個(gè)為DHCP客戶端分配IP地址的DHCP服務(wù)器IP地址。nGiad

11、dr：指示DHCP客戶端分配的MAC地址，占128位。nSname：指示為DHCP客戶端分配IP地址的DHCP服務(wù)器名稱（域名，占512位。16162.1報(bào)文分析河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pDHCP報(bào)文格式分析 nFile：指示DHCP服務(wù)器為DHCP客戶端指定的啟動(dòng)配置文件名稱及路徑信息，占1024位。nOptions：字段中包含了DHCP客戶端自動(dòng)獲取IP地址時(shí)的具體配置信息，長(zhǎng)度可變。配置信息包括（報(bào)文類型、租約期限、續(xù)約時(shí)間、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、域名稱、WINS服務(wù)器）17172.1報(bào)文分析河南中醫(yī)學(xué)院 / 阮曉龍 / 13938

12、213680 / http:/2.工作原理pDHCP客戶端從DHCP服務(wù)器獲得IP地址信息的整個(gè)分配過(guò)程分為以下4個(gè)階段：nIP租用請(qǐng)求nIP租用提供nIP租用選擇nIP租用確認(rèn)18182.2工作流程河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理19192.2工作流程DHCP工作流程河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pIP租用請(qǐng)求n當(dāng)DHCP客戶端第一次啟動(dòng)網(wǎng)絡(luò)組件時(shí)，如果客戶端發(fā)現(xiàn)本機(jī)上沒(méi)有任何IP地址等相關(guān)參數(shù)時(shí)，就會(huì)向它所處的網(wǎng)絡(luò)內(nèi)廣播一個(gè)DHCP DISCOVER數(shù)據(jù)包，請(qǐng)求獲取IP配置信息。n當(dāng)客戶端

13、將第一個(gè)DHCP DISCOVER包發(fā)送出去之后，在1秒內(nèi)如果沒(méi)有得到回應(yīng)，就會(huì)進(jìn)行第二次DHCP DISCOVER廣播。如果一直得不到回應(yīng)，客戶端將在16秒之內(nèi)廣播4次DHCP DISCOVER。如果都沒(méi)有得到DHCP服務(wù)器的響應(yīng)，客戶端則會(huì)顯示錯(cuò)誤信息，宣告DHCP DISCOVER失敗。n以后系統(tǒng)會(huì)每5分鐘嘗試與外界的DHCP服務(wù)器進(jìn)行聯(lián)系，重復(fù)上述的廣播過(guò)程。20202.2工作流程河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pIP租用提供n當(dāng)網(wǎng)絡(luò)中的任何一個(gè)DHCP服務(wù)器收到客戶端發(fā)出的DHCP DISCOVER廣播后，它會(huì)從可用地址中選擇最前面的

14、IP，連同其他TCP/IP設(shè)定（包括子網(wǎng)掩碼、網(wǎng)關(guān)地址、DNS地址、WINS服務(wù)器地址等參數(shù)），回應(yīng)給客戶端一個(gè)DHCP OFFER包。21212.2工作流程河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pIP租用選擇n如果客戶端收到網(wǎng)絡(luò)上多臺(tái)DHCP服務(wù)器的回應(yīng)，則會(huì)從中選擇一個(gè)DHCP OFFER（通常是最先到達(dá)的那個(gè)），并且會(huì)向網(wǎng)絡(luò)上發(fā)送一個(gè)DHCP REQUEST廣播數(shù)據(jù)包，告訴所有DHCP服務(wù)器它將指定哪一臺(tái)服務(wù)器提供的IP地址。n同時(shí)，客戶端還會(huì)向網(wǎng)絡(luò)上發(fā)送一個(gè)ARP（Address Resolution Protocol，地址解析協(xié)議）包，查詢

15、網(wǎng)絡(luò)上有沒(méi)有其他機(jī)器使用該IP地址；如果發(fā)現(xiàn)該IP地址已被占用，客戶端則會(huì)發(fā)送一個(gè)DHCP DECLINE數(shù)據(jù)包給DHCP服務(wù)器，拒絕接受其DHCP OFFER包，并重新發(fā)送DHCP DISCOVER信息。22222.2工作流程河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pIP租用確認(rèn)n當(dāng)DHCP服務(wù)器接收到客戶端的DHCP REQUEST廣播數(shù)據(jù)包后，會(huì)向客戶端發(fā)出DHCP ACK回應(yīng)，以確認(rèn)IP租約的正式生效，也就結(jié)束了一個(gè)完整的DHCP工作過(guò)程。23232.2工作流程河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理p

16、當(dāng)DHCP客戶端租到IP地址后，不能長(zhǎng)期占用，而是有一個(gè)使用期限，即租期。IP地址的續(xù)租的過(guò)程如下：n當(dāng)IP地址使用時(shí)間到達(dá)租期的一半時(shí)，將向DHCP服務(wù)器發(fā)送一個(gè)新的DHCP請(qǐng)求，以續(xù)租該IP地址。如果續(xù)租成功，則DHCP客戶端將開(kāi)始一個(gè)新的租用周期。n當(dāng)IP地址使用時(shí)間到達(dá)租期的一半時(shí)，如果續(xù)租失敗，DHCP客戶端仍然繼續(xù)使用原來(lái)的IP地址及其配置，在租期達(dá)到87.5%時(shí)，DHCP客戶端會(huì)再次利發(fā)送一個(gè)DHCP請(qǐng)求信息，如果續(xù)租成功，則重新開(kāi)始一個(gè)新的租用周期。24242.3 IP租約的更新與續(xù)租河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理n租期達(dá)到8

17、7.5%時(shí)，如果仍續(xù)租失敗，則該DHCP客戶端會(huì)立即放棄正在使用的IP地址，以便重新向DHCP服務(wù)器獲得一個(gè)新的IP地址。n當(dāng)DHCP客戶端重啟后，不管IP地址的租期有沒(méi)有到期，都會(huì)重新請(qǐng)求使用原來(lái)的IP地址信息。如果沒(méi)有DHCP服務(wù)器對(duì)此請(qǐng)求應(yīng)答，并且原來(lái)的租期還沒(méi)到期，則DHCP客戶端將繼續(xù)使用該IP地址。25252.3 IP租約的更新與續(xù)租河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理p在DHCP客戶端初次從DHCP服務(wù)器獲取地址過(guò)程中，所有從DHCP客戶端發(fā)出的請(qǐng)求報(bào)文和所有DHCP服務(wù)器返回的應(yīng)答報(bào)文均是以廣播的方式進(jìn)行發(fā)送的，因此，DHCP服務(wù)只

18、適用于DHCP客戶端和DHCP服務(wù)器處于同一個(gè)子網(wǎng)的情況。pDHCP中繼代理很好的解決了這一問(wèn)題，使得DHCP服務(wù)能夠跨網(wǎng)絡(luò)使用。p通過(guò)DHCP中繼代理服務(wù)，與DHCP服務(wù)器不在同一子網(wǎng)的DHCP客戶端可以通過(guò)DHCP中繼代理（通常是三層交換機(jī)或路由器）與其他網(wǎng)段的DHCP服務(wù)器通信，使得DHCP客戶端能夠自動(dòng)獲取到IP地址。26262.4中繼代理河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2727DHCP中繼代理河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pDHCP客戶端通過(guò)DHCP中繼代理從DHCP服務(wù)器自動(dòng)獲取IP地址的過(guò)程

19、與不通過(guò)DHCP中繼代理從DHCP服務(wù)器自動(dòng)獲取IP地址的過(guò)程相類似，都需要經(jīng)歷發(fā)現(xiàn)、提供、選擇和確認(rèn)四個(gè)階段。p中繼代理只是充當(dāng)一個(gè)中介代理角色，負(fù)責(zé)轉(zhuǎn)發(fā)DHCP客戶端與DHCP服務(wù)器之間交互的請(qǐng)求和應(yīng)答報(bào)文。28282.4中繼代理河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2929中級(jí)代理工作流程河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理nDHCP客戶端以廣播方式向本網(wǎng)段發(fā)送DHCP DISCOVER或DHCP REQUEST請(qǐng)求報(bào)文。此時(shí)只有網(wǎng)絡(luò)中的DHCP中繼代理設(shè)備會(huì)接收該DHCP請(qǐng)求報(bào)文。nDHCP中繼代理設(shè)備在接收

20、到DHCP客戶端發(fā)來(lái)的DHCP DISCOVER或DHCP REQUEST請(qǐng)求報(bào)文后，將請(qǐng)求報(bào)文以單播方式轉(zhuǎn)發(fā)給DHCP服務(wù)器。nDHCP服務(wù)器在收到由DHCP中繼代理設(shè)備轉(zhuǎn)發(fā)的DHCP DISCOVER或DHCP REQUEST請(qǐng)求報(bào)文后，以單播方式向DHCP中繼代理返回對(duì)應(yīng)的DHCP OFFER或DHCP ACK應(yīng)答報(bào)文。nDHCP中繼設(shè)備在收到DHCP服務(wù)器應(yīng)答報(bào)文后，以廣播方式將帶有DHCP配置信息的對(duì)應(yīng)應(yīng)答報(bào)文轉(zhuǎn)發(fā)給DHCP客戶端，完成對(duì)客戶端的動(dòng)態(tài)配置。30302.4中繼代理河南中醫(yī)學(xué)院 / 阮曉龍 // http:/3.在Windows Server上實(shí)

21、現(xiàn)DHCPp在Windows Server操作系統(tǒng)已經(jīng)內(nèi)置了DHCP服務(wù)，只需要通過(guò)簡(jiǎn)單的安裝配置，即可通過(guò)Windows Server實(shí)現(xiàn)DHCP服務(wù)。31313.1安裝DHCP服務(wù)河南中醫(yī)學(xué)院 / 阮曉龍 // http:/3232現(xiàn)場(chǎng)演示：n Windows Server 2012平臺(tái)上安裝DHCP服務(wù)組件。n DHCP服務(wù)的管理：?jiǎn)?dòng)、暫停、重啟、停止。河南中醫(yī)學(xué)院 / 阮曉龍 // http:/3.在Windows Server上實(shí)現(xiàn)DHCPpDHCP服務(wù)安裝部署后，設(shè)置DHCP服務(wù)的基本流程如下。n新建作用域n設(shè)置排斥地址n設(shè)置默

22、認(rèn)租期n設(shè)置默認(rèn)網(wǎng)關(guān)n設(shè)置DNS服務(wù)器n設(shè)置WINS服務(wù)器n激活作用域33333.2設(shè)置DHCP服務(wù)河南中醫(yī)學(xué)院 / 阮曉龍 // http:/3434現(xiàn)場(chǎng)演示：n 在Windows Server 2012平臺(tái)上實(shí)現(xiàn)DHCP服務(wù)。n DHCP服務(wù)的作用域創(chuàng)建。n DHCP服務(wù)的排斥地址、默認(rèn)租期、網(wǎng)關(guān)、DNS服務(wù)器、WINS服務(wù)器設(shè)置。n DHCP服務(wù)中激活作用域。河南中醫(yī)學(xué)院 / 阮曉龍 // http:/3.在Windows Server上實(shí)現(xiàn)DHCPp保留IP地址在網(wǎng)絡(luò)中，某些計(jì)算機(jī)需要每次都獲得相同的IP地址，就需要用到保留地址。設(shè)置

23、保留地址是將一個(gè)IP與某個(gè)DHCP客戶端網(wǎng)卡的MAC地址進(jìn)行綁定。pDHCP篩選器利用篩選器，可以設(shè)置允許和拒接規(guī)則，從而實(shí)現(xiàn)只為網(wǎng)絡(luò)中特定的計(jì)算機(jī)分配IP地址，或者拒絕為某些計(jì)算機(jī)分配地址。篩選器也同樣是通過(guò)MAC地址來(lái)識(shí)別計(jì)算機(jī)的p新建超級(jí)作用域添加超級(jí)作用域，可以用來(lái)擴(kuò)充網(wǎng)絡(luò)中可以使用的IP地址。35353.3.設(shè)置保留IP地址河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4.在Linux上實(shí)現(xiàn)DHCPpLinux系統(tǒng)平臺(tái)上使用DHCP服務(wù)，需要通過(guò)DHCP軟件。pDHCP服務(wù)由DHCP軟件提供。36364.1安裝DHCP服務(wù)+ DHCP河南中醫(yī)學(xué)院 / 阮曉龍

24、// http:/4.在Linux上實(shí)現(xiàn)DHCPp在CentOS 7上安裝DHCP服務(wù)命令如下所示。37374.1安裝DHCP服務(wù)河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4.在Linux上實(shí)現(xiàn)DHCPp輸入以下命令，查看dhcp.conf的內(nèi)容。38384.2DHCP配置文件河南中醫(yī)學(xué)院 / 阮曉龍 // http:/3939河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4040河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4141河南中醫(yī)學(xué)院 / 阮曉龍 / 13

25、938213680 / http:/4.在Linux上實(shí)現(xiàn)DHCPp配置文件的語(yǔ)句說(shuō)明如表所示。42424.3配置DHCP河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4.在Linux上實(shí)現(xiàn)DHCP43434.3配置DHCP河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4444dhcp.conf配置示例-1河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4545dhcp.conf配置示例-2河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4646現(xiàn)場(chǎng)演示：n 在CentOS 7平臺(tái)上實(shí)現(xiàn)DHCP服務(wù)。n

26、 DHCP服務(wù)軟件的安裝、配置，創(chuàng)建作用域等。n DHCP服務(wù)的排斥地址、默認(rèn)租期、網(wǎng)關(guān)、DNS服務(wù)器設(shè)置。n DHCP服務(wù)的多作用域、超級(jí)作用域的配置。河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4.在Linux上實(shí)現(xiàn)DHCPp定義多個(gè)作用域和超級(jí)作用域的區(qū)別在于：n定義多個(gè)作用域可以通過(guò)中繼代理為不同網(wǎng)絡(luò)中的DHCP客戶端分配IP地址；n超級(jí)作用域盡管包含了多個(gè)作用域范圍，但只能算作一個(gè)作用域，只不過(guò)這個(gè)作用域包含了兩個(gè)網(wǎng)段的IP地址，且超級(jí)作用域也只能為一個(gè)網(wǎng)絡(luò)內(nèi)的DHCP客戶端分配IP地址，只有當(dāng)其中一個(gè)網(wǎng)段的IP地址分配完畢時(shí)，才會(huì)分配另一個(gè)網(wǎng)絡(luò)的IP地址。

27、47474.4多作用域IP地址分配河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4.在Linux上實(shí)現(xiàn)DHCPp如圖，PC1與DHCP服務(wù)器同屬于VALN 10，網(wǎng)關(guān)為，PC2屬于VLAN 20，網(wǎng)關(guān)為。pDHCP服務(wù)器地址為0，三層交換機(jī)開(kāi)啟中繼功能。48484.4多作用域IP地址分配河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4.在Linux上實(shí)現(xiàn)DHCPp假設(shè)DHCP服務(wù)器配置了兩個(gè)作用域，作用域1的范圍為00-00，作用域2的

28、范圍為00-00。p當(dāng)PC1和PC2向DHCP服務(wù)器發(fā)送請(qǐng)求后，若兩個(gè)作用域內(nèi)的IP地址都未分配完畢，則PC1會(huì)獲取到/24網(wǎng)段的IP地址，PC2會(huì)獲取到/24網(wǎng)段的IP地址。若對(duì)應(yīng)網(wǎng)段的IP地址已經(jīng)分配完畢，則PC1和PC2通過(guò)DHCP服務(wù)就獲取不到IP地址。49494.4多作用域IP地址分配河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4.在Linux上實(shí)現(xiàn)DHCPp如果DHCP服務(wù)器配置的是一個(gè)超級(jí)作用域，作用域范圍為00-00

29、，00-00。p當(dāng)PC1和PC2向DHCP發(fā)送請(qǐng)求后，若兩個(gè)網(wǎng)段的IP地址都未分配完畢，則PC1會(huì)獲取到/24網(wǎng)段的IP地址，而PC2獲取不到IP地址，因?yàn)镻C2（VLAN 20）與DHCP服務(wù)器（VLAN 10）不在同一個(gè)網(wǎng)絡(luò)內(nèi)，而超級(jí)作用域只能為一個(gè)網(wǎng)絡(luò)分配IP地址；若/24網(wǎng)段的IP地址已經(jīng)分配完畢，則PC1就會(huì)獲取到/24網(wǎng)段的IP地址，PC2仍獲取不到IP地址。50504.4多作用域IP地址分配河南中醫(yī)學(xué)院 / 阮曉龍 // http:/5.D

30、HCP客戶端的配置51515.1在Windows上配置DHCP在Windows上配置DHCP河南中醫(yī)學(xué)院 / 阮曉龍 // http:/5.DHCP客戶端的配置52525.2在Linux上配置DHCP在Linux上配置DHCP河南中醫(yī)學(xué)院 / 阮曉龍 // http:/5.DHCP客戶端的配置53535.3在Android上配置DHCP在Android上配置DHCP河南中醫(yī)學(xué)院 / 阮曉龍 // http:/5.DHCP客戶端的配置54545.4在IOS上配置DHCP在IOS上配置DHCP河南中醫(yī)學(xué)院 / 阮曉龍 /

31、/ http:/6.DHCP安全管理5555pDHCP協(xié)議是在UDP和IP協(xié)議的基礎(chǔ)上運(yùn)行，有很多不安全因素。pDHCP服務(wù)安全問(wèn)題分為服務(wù)器與客戶端兩個(gè)部分。p服務(wù)器方面的主要安全問(wèn)題在于DHCP服務(wù)器的冒充，即DHCP欺騙；客戶端方面的主要安全問(wèn)題在于非法用戶采用手動(dòng)配置，非法入侵到網(wǎng)絡(luò)中，這時(shí)需要用到DHCP強(qiáng)制，強(qiáng)制計(jì)算機(jī)必須使用DHCP自動(dòng)獲取的IP才能夠上網(wǎng)。河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理56566.1 DHCP欺騙p客戶機(jī)是依據(jù)DHCP服務(wù)器響應(yīng)的快慢來(lái)決定選取為自己服務(wù)的DHCP服務(wù)器的。p如

32、果在某個(gè)子網(wǎng)內(nèi)存在一臺(tái)偽DHCP服務(wù)器，而這臺(tái)偽DHCP服務(wù)器的響應(yīng)速度要比需要中繼代理的真正DHCP服務(wù)器響應(yīng)快，那么客戶機(jī)就會(huì)從子網(wǎng)中的偽DHCP服務(wù)器獲取IP配置信息。也就是說(shuō)，使用DHCP服務(wù)時(shí)，無(wú)法保證客戶機(jī)只從管理員所設(shè)置的DHCP服務(wù)器中獲取合法的IP地址。p在網(wǎng)絡(luò)中存在偽服務(wù)器，對(duì)網(wǎng)絡(luò)的危害是巨大的，可導(dǎo)致整個(gè)網(wǎng)絡(luò)的癱瘓，還會(huì)造成信息的泄密。河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理57576.1 DHCP欺騙p解決DHCP欺騙問(wèn)題的方法有以下幾種。n通過(guò)域控制器對(duì)非法DHCP服務(wù)器進(jìn)行過(guò)濾通過(guò)將合法的DHCP服務(wù)器添加到活動(dòng)目錄

33、中，利用網(wǎng)絡(luò)中加入域的DHCP服務(wù)器比沒(méi)有加入域的DHCP服務(wù)器優(yōu)先級(jí)高的原則，可以有效的防范非法DHCP服務(wù)器。該方法只適用于非法DHCP服務(wù)器是Windows操作系統(tǒng)，且需要用到域和活動(dòng)目錄，配置較復(fù)雜。n通過(guò)訪問(wèn)控制列表屏蔽非法DHCP服務(wù)器在路由器或交換機(jī)上利用訪問(wèn)控制列表（ACL）來(lái)屏蔽合法DHCP服務(wù)器以外的所有DHCP應(yīng)答包（即屏蔽UDP 68號(hào)端口）。這種方法的不足在于ACL會(huì)影響路由交換設(shè)備的性能。河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理58586.1 DHCP欺騙p解決DHCP欺騙問(wèn)題的方法有以下幾種。nDHCP Snoop

34、ing技術(shù)pDHCP Snooping是一種通過(guò)在交換機(jī)上建立DHCP Snooping綁定表，過(guò)濾非信任的DHCP消息，從而保證網(wǎng)絡(luò)的安全。pDHCP Snooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN ID接口等信息。當(dāng)交換機(jī)開(kāi)啟了DHCP Snooping后，會(huì)對(duì)DHCP報(bào)文進(jìn)行偵聽(tīng)，并可以從接收到的DHCP REQUEST或DHCP ACK報(bào)文中提取并記錄IP地址和MAC地址信息。pDHCP Snooping允許將某個(gè)物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP OFFER報(bào)文，而不信任端口會(huì)將接收到的DHCP OFFER報(bào)文丟棄

35、。這樣可以完成交換機(jī)對(duì)假冒DHCP 服務(wù)器的屏蔽作用，確?？蛻舳藦暮戏ǖ腄HCP服務(wù)器獲取IP地址。河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理p一次DHCP欺騙案例分析。n如圖，PC1與PC2同屬于VLAN 10，DHCP服務(wù)器屬于VLAN 20，三層交換機(jī)開(kāi)啟DHCP中繼功能。nPC2是一個(gè)偽裝的DHCP服務(wù)器。59596.1 DHCP欺騙河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理p一次DHCP欺騙案例分析。nPC1希望通過(guò)DHCP服務(wù)來(lái)獲取IP地址及其他網(wǎng)絡(luò)配置信息，并接入網(wǎng)絡(luò)。于是PC1就會(huì)向

36、它所在的網(wǎng)絡(luò)發(fā)送DHCP請(qǐng)求的廣播包。正常情況下只有DHCP服務(wù)器會(huì)接收PC1發(fā)來(lái)的DHCP請(qǐng)求，并給予回應(yīng)。但是PC2處存在一個(gè)偽DHCP服務(wù)器，也會(huì)接收PC1發(fā)來(lái)的DHCP請(qǐng)求，并給予回應(yīng)。60606.1 DHCP欺騙河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理p一次DHCP欺騙案例分析。nPC2和DHCP服務(wù)器在接收到PC1發(fā)來(lái)的DHCP請(qǐng)求后，都會(huì)給予回應(yīng)。由于PC2域PC1同屬于一個(gè)子網(wǎng)，中間未經(jīng)過(guò)路由設(shè)備，所以PC2給予的DHCP欺騙回應(yīng)要比DHCP服務(wù)器通過(guò)中繼代理給予的回應(yīng)要快，于是PC1就會(huì)采用PC2所給的IP配置信息。61616

37、.1 DHCP欺騙河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理p一次DHCP欺騙案例分析。n為了解決上述問(wèn)題，使用DHCP Snooping功能。配置交換機(jī)，在VLAN 10內(nèi)的所有端口設(shè)置為非信任端口。這樣，所有的DHCP應(yīng)答報(bào)文，在非信任端口都會(huì)被過(guò)濾掉，PC1就只會(huì)接收到來(lái)自DHCP服務(wù)器的回應(yīng)。62626.1 DHCP欺騙河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理pDHCP服務(wù)能夠自動(dòng)為連接到網(wǎng)絡(luò)的計(jì)算機(jī)提供包括IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)地址以及DNS服務(wù)器地址等信息，通過(guò)DHCP服務(wù)分配IP地

38、址后DHCP客戶機(jī)可以順利上網(wǎng)。p在DHCP環(huán)境下，如果客戶機(jī)不將網(wǎng)絡(luò)參數(shù)設(shè)置為“自動(dòng)獲得地址”方式而是手工指定上述地址信息，且設(shè)置得和DHCP服務(wù)器分配一致并正確的話，客戶機(jī)依舊可以正常上網(wǎng)。63636.2 DHCP強(qiáng)制河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理p為了解決上述問(wèn)題，需要采用DHCP強(qiáng)制，強(qiáng)制客戶端計(jì)算機(jī)必須使用DHCP服務(wù)才能夠順利上網(wǎng)。p采用DHCP強(qiáng)制，需要使用DHCP Snooping技術(shù)，并在交換機(jī)進(jìn)行配置。眾多的網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商都提供了相應(yīng)的技術(shù)來(lái)實(shí)現(xiàn)DHCP強(qiáng)制，進(jìn)而提升DHCP的安全性。p以Cisco交換機(jī)為例，介

39、紹其實(shí)現(xiàn)DHCP強(qiáng)制的方法。64646.2 DHCP強(qiáng)制河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理pCisco的交換機(jī)在啟用DHCP Snooping后，每次客戶機(jī)通過(guò)DHCP服務(wù)獲取IP地址都會(huì)生成一個(gè)ip-mac-port綁定表，即IP地址、客戶機(jī)MAC地址、交換機(jī)端口號(hào)對(duì)應(yīng)關(guān)系表。p經(jīng)過(guò)ip-mac-port綁定后，客戶機(jī)必須使用ip-mac-port綁定表中的IP地址才能夠聯(lián)網(wǎng)。65656.2 DHCP強(qiáng)制河南中醫(yī)學(xué)院 / 阮曉龍 // http:/7.基于GNS3在局域網(wǎng)中構(gòu)建DHPC服務(wù)p在局域網(wǎng)中構(gòu)建DHC

40、P服務(wù)的具體流程如下：n構(gòu)建網(wǎng)絡(luò)拓?fù)鋘IP地址規(guī)劃n配置DHCP服務(wù)器n配置DHCP中級(jí)代理n啟用DHCP Snooping實(shí)現(xiàn)安全管理n配置多臺(tái)DHCP服務(wù)器6666河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6767局域網(wǎng)拓?fù)浜幽现嗅t(yī)學(xué)院 / 阮曉龍 // http:/6868河南中醫(yī)學(xué)院 / 阮曉龍 // http:/7.基于GNS3在局域網(wǎng)構(gòu)建DHPC服務(wù)p根據(jù)上表IP地址的規(guī)劃，DHCP服務(wù)器采用如下配置：n作用域1：作用域地址范圍：00-00 網(wǎng)關(guān)：54 DNS服務(wù)器地址：1