CISCO DHCP技術(shù)應(yīng)用大全-

1、CISCO DHCP技術(shù)應(yīng)用大全 07年8月整理，搜集了網(wǎng)路上相關(guān)技術(shù)要點(diǎn) 譽(yù)天小吳 windecember 整理 DHCP基本知識(shí)點(diǎn) 1 DHCP協(xié)議在RFC2131種定義，使用udp協(xié)議進(jìn)行數(shù)據(jù)報(bào)傳遞，使用的端口是67以及68。 2 DHCP最常見的應(yīng)用是，自動(dòng)給終端設(shè)備分配ip地址，掩碼，默認(rèn)網(wǎng)關(guān)，但是DHCP也同樣可以給終端設(shè)備自動(dòng)配置其他options，比如DNS server, 域名（比如 ）,time zones, NTP servers 以及其他的配置內(nèi)容，更有些廠家，利用自己開發(fā)的第3放軟件，把自己的一些配置信息，利用dhcp協(xié)議來實(shí)現(xiàn)對(duì)終端設(shè)備的自動(dòng)配置。 3 DHCP服務(wù)

2、的系統(tǒng)最基本的構(gòu)架是 client/server模式，并且如果client 和server不再同一個(gè)2層網(wǎng)絡(luò)內(nèi)（即廣播可以到達(dá)的網(wǎng)絡(luò)范圍），則必須要有能夠透過廣播報(bào)文的中繼設(shè)備，或者能把廣播報(bào)文轉(zhuǎn)化成單播報(bào)文的設(shè)備（cisco的ios就引經(jīng)了這種功能） There are three distinct element types in a DHCP network. There must be a client and a server. If these two elements are not on the same Layer 2 network, there also must be

3、a proxy, which usually runs on the router. The proxy is needed because the client device initially doesn't know its own IP address, so it must send out a Layer 2 broadcast to find a server that has this information. The router must relay these broadcasts to the DHCP server, then forward the resp

4、onses back to the correct Layer 2 address so that the right end device gets the right configuration information. 4 CISCO的路由器（IOS12.0 T1以后），可以配置為dhcp的中繼設(shè)備，DHCP的客戶端設(shè)備，也可以配置為DHCP的服務(wù)器。 5 同一個(gè)網(wǎng)段DHCP服務(wù)器可以有多個(gè)，這不會(huì)影響終端設(shè)備從服務(wù)器獲取配置信息，終端設(shè)備以接受到的第一組配置信息為準(zhǔn)。以后又服務(wù)器段返回的DHCP配置信息被拋棄。 . Most DHCP networks of any size incl

5、ude two or more DHCP servers for redundancy. The end devices typically just need to talk to a DHCP server at startup time, but they will not work at all without it. So redundancy is important. This also means that it is not unusual for an end device to see several responses to a DHCP request. It wil

6、l generally just use the first response. However, this also underscores the importance of ensuring that all of the DHCP servers distribute the same information. Their databases of end device configuration parameters must be synchronized. 6 DHCP 服務(wù)器往往遵守先來先服務(wù)的規(guī)則（first-come, first-served），或者說他能夠建立一個(gè)IP地

7、址和終端設(shè)備MAC地址之間的映射表（或者叫做database）,由此可以保證特定的終端（也就是特定的MAC）每次開機(jī)后都能夠獲得此相同的ip地址。 .The server can allocate IP addresses from a pool on a first-come, first-served basis, or it can associate IP addresses with end device MAC addresses to ensure that 進(jìn)行綁定，防止私自更改地址。 Dynamic ARP Inspection功能還有一個(gè)好處是可以防范在2層網(wǎng)絡(luò)的中間人攻擊

8、（見圖4）。 思科在DHCP Snooping上還做了一些非常有益的擴(kuò)展功能，比如Catalyst 3560交換機(jī)可以限制端口通過的DHCP數(shù)據(jù)包的速率，粒度是pps，這樣可以防止對(duì)DHCP服務(wù)器的進(jìn)行地址請(qǐng)求的DoS攻擊。另外Catalyst 3560交換機(jī)還支持DHCP Tracker，在DHCP請(qǐng)求中插入交換機(jī)端口的ID，從而限制每個(gè)端口申請(qǐng)的IP地址數(shù)目，防止黑客程序?qū)HCP服務(wù)器進(jìn)行目的為耗盡IP地址池的攻擊。華碩雖然不能調(diào)整速率，但是也會(huì)限制DHCP請(qǐng)求的數(shù)量。 DHCP（動(dòng)態(tài)主機(jī)配置協(xié)議）是一種簡化主機(jī)IP地址配置管理的TCP/IP標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)為DHCP服務(wù)器的使用提供了一種有

9、效的方法：即管理網(wǎng)絡(luò)中客戶機(jī)IP地址的動(dòng)態(tài)分配以及啟用網(wǎng)絡(luò)上DHCP客戶機(jī)的其它相關(guān)配置信息。 在基于TCPIP協(xié)議的網(wǎng)絡(luò)中，每臺(tái)計(jì)算機(jī)都必須有唯一的IP地址才能訪問網(wǎng)絡(luò)上的資源，網(wǎng)絡(luò)中計(jì)算機(jī)之間的通信是通過IP地址來實(shí)現(xiàn)的，并且通過IP地址和子網(wǎng)掩碼來標(biāo)識(shí)主計(jì)算機(jī)及其所連接的子網(wǎng)。在局域網(wǎng)中如果計(jì)算機(jī)的數(shù)量比較少，當(dāng)然可以手動(dòng)設(shè)置其IP地址，但是如果在計(jì)算機(jī)的數(shù)量較多并且劃分了多個(gè)子網(wǎng)的情況下，為計(jì)算機(jī)配置IP地址所涉及的管理員工作量和復(fù)雜性就會(huì)相當(dāng)繁重，而且容易出錯(cuò)，如在實(shí)際使用過程中，我們經(jīng)常會(huì)遇到因IP地址沖突、網(wǎng)關(guān)或DNS服務(wù)器地址的設(shè)置錯(cuò)誤導(dǎo)致無法訪問網(wǎng)絡(luò)、機(jī)器經(jīng)常變動(dòng)位置而不得不

10、頻繁地更換IP地址等問題。 DHCP則很好地解決了上述的問題，通過在網(wǎng)絡(luò)上安裝和配置DHCP服務(wù)器，啟用了DHCP的客戶機(jī)可在每次啟動(dòng)并加入網(wǎng)絡(luò)時(shí)自動(dòng)地獲得其上網(wǎng)所需的IP地址和相關(guān)的配置參數(shù)。從而減少了配置管理，提供了安全而可靠的配置。 配置DHCP服務(wù)的服務(wù)器可以為每一個(gè)網(wǎng)絡(luò)客戶提供一個(gè)IP地址、子網(wǎng)掩碼、缺省網(wǎng)關(guān)，以及DNS服務(wù)器的地址。DHCP避免了因手工設(shè)置IP地址及子網(wǎng)掩碼所產(chǎn)生的錯(cuò)誤，也避免了把一個(gè)IP地址分配給多臺(tái)主機(jī)所造成的地址沖突。降低了IP地址管理員的設(shè)置負(fù)擔(dān)，使用DHCP服務(wù)器可以大大地縮短配置網(wǎng)絡(luò)中主機(jī)所花費(fèi)的時(shí)間。 但是，隨著DHCP服務(wù)的廣泛應(yīng)用，也產(chǎn)生了一些問題

11、。首先，DHCP服務(wù)允許在一個(gè)子網(wǎng)內(nèi)存在多臺(tái)DHCP服務(wù)器，這就意味著管理員無法保證客戶端只能從管理員所設(shè)置的DHCP服務(wù)器中獲取合法的IP地址，而不從一些用戶自建的非法DHCP服務(wù)器中取得IP地址；其次，在部署DHCP服務(wù)的子網(wǎng)中，指定了合法的IP地址、掩碼和網(wǎng)關(guān)的主機(jī)也可以正常地訪問網(wǎng)絡(luò)，而DHCP服務(wù)器卻仍然會(huì)有可能將該地址分配給其他主機(jī)，這樣就會(huì)造 攻擊，從而將端口自動(dòng)errdisable，造成通信中斷。為了解決這個(gè)問題，我們需要加入命令errdisable recovery cause arp-inspection。 由于Cisco 3750交換機(jī)能力有限，因此我們建議在使用Cisc

12、o 3750交換機(jī)配置上述命令時(shí)應(yīng)逐級(jí)增大port limit rate。 六、小結(jié) DHCP服務(wù)在網(wǎng)絡(luò)中的廣泛應(yīng)用，極大地減輕了網(wǎng)絡(luò)管理員的負(fù)擔(dān)，方便了用戶使用網(wǎng)絡(luò)。但是由于有些用戶私自指定IP地址，造成了IP地址自動(dòng)分配時(shí)引起的IP地址沖突，進(jìn)而影響其他用戶的使用。我們經(jīng)過實(shí)際測試，給出了上述解決方案，本方法不僅適合于Cisco的3750交換機(jī)，也適用于Cisco的65系列交換機(jī)。 DHCP防指定IP地址的方法在我校已經(jīng)得到了成功的應(yīng)用，經(jīng)過實(shí)踐檢驗(yàn)，我們認(rèn)為這是一個(gè)非常實(shí)用的功能。在系統(tǒng)設(shè)置好以后，網(wǎng)絡(luò)中的用戶只有設(shè)置為自動(dòng)獲取IP地址才能上網(wǎng)，否則將無法上網(wǎng)。從而解決了在使用DHCP的

13、網(wǎng)絡(luò)中，用戶私自指定IP地址而帶來的IP地址沖突問題。 如果公司內(nèi)網(wǎng)由于用戶自行安裝了Windows Server版本的操作系統(tǒng)而小心啟用了DHCP服務(wù)，或其他因素在內(nèi)網(wǎng)中出現(xiàn)了非授權(quán)的DHCP服務(wù)器，會(huì)給網(wǎng)絡(luò)造成什么樣的影響呢？ DHCP server可以自動(dòng)為用戶設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS、WINS 等網(wǎng)絡(luò)參數(shù)，簡化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但是，此時(shí)如果服務(wù)器和客戶端沒有認(rèn)證機(jī)制，網(wǎng)絡(luò)上存在的非法的DHCP服務(wù)器將會(huì)給部分主機(jī)的地址分配、網(wǎng)關(guān)及DNS參數(shù)照成混亂，導(dǎo)致主機(jī)無法連接到外部網(wǎng)絡(luò)。出現(xiàn)這種情況，如何解決這些問題呢？ 作為客戶端計(jì)算機(jī)來說，可以嘗試使用ipconf

14、ig /release釋放獲得的網(wǎng)絡(luò)參數(shù)后，然后用ipconfig /renew重新嘗試獲取正確的DHCP服務(wù)器配置服務(wù)，但這種方法很被動(dòng)，往往要十幾次甚至幾十次才偶爾有可能成功一次，不能從根本解決問題。 另外一個(gè)解決辦法，在windows系統(tǒng)組建的網(wǎng)絡(luò)中，如果非法DHCP服務(wù)器也是用Windows系統(tǒng)建立的話我們可以通過“域”的方式對(duì)非法DHCP服務(wù)器進(jìn)行過濾。將合法的DHCP服務(wù)器添加到活動(dòng)目錄（Active Directory）中，通過這種認(rèn)證方式就可以有效的制止非法DHCP服務(wù)器了。原理就是沒有加入域中的DHCP Server在相應(yīng)請(qǐng)求前，會(huì)向網(wǎng)絡(luò)中的其他DHCP Server發(fā)送DH

15、CPINFORM查詢包，如果其他DHCP Server有響應(yīng)，那么這個(gè)DHCP Server就不能對(duì)客戶的要求作相應(yīng)，也就是說網(wǎng)絡(luò)中加入域的DHCP服務(wù)器的優(yōu)先級(jí)比沒有加入域的DHCP服務(wù)器要高。這樣當(dāng)合法DHCP存在時(shí)非法的就不起任何作用了。 授權(quán)合法DHCP的過程如下： 第一步：開始->程序->管理工具->DHCP 第二步：選擇DHCP root, 用鼠標(biāo)右鍵單擊，然后瀏覽選擇需要認(rèn)證的服務(wù)器。 第三步：點(diǎn)“添 加”按鈕, 輸入要認(rèn)證的DHCP服務(wù)器IP地址, 完成授權(quán)操作。 但是該方法只適用于非法DHCP服務(wù)器是windows系統(tǒng)，需要用到域和活動(dòng)目錄，配置較復(fù)雜，另外

16、對(duì)于非Windows的操作系統(tǒng),就顯得力不從心了。 還有更好的方法，就是利用交換機(jī)的DHCP監(jiān)聽，通過建立和維護(hù)DHCP Snooping綁定表過濾不可信任的DHCP信息，也就是過濾掉非法DHCP服務(wù)器向網(wǎng)絡(luò)上發(fā)送的數(shù)據(jù)包。首先定義交換機(jī)上的信任端口和不信任端口，將DHCP服務(wù)器所連接的端口定義為信任端口，其它連接到普通客戶端的端口全部定義為不信任端口，對(duì)于不信任端口的DHCP報(bào)文進(jìn)行截獲和嗅探，drop掉來自這些端口的非正常 DHCP 報(bào)文，從而達(dá)到過濾非法DHCP服務(wù)器的目的。 基本配置示例： switch(config#ip dhcp snooping vlan 100,200 /* 定

17、義哪些 VLAN 啟用 DHCP 嗅探 switch(config#ip dhcp snooping switch(config#int fa4/10 /* dhcp服務(wù)器所在端口 switch(config-if#ip dhcp snooping trust switch(config#int range fa3/1 - 48 /* 其它端口 switch(config-if#no ip dhcp snooping trust (Default switch(config-if#ip dhcp snooping limit rate 10 (pps /* 一定程度上防止 DHCP 拒絕服 /

18、* 務(wù)攻擊 二、DHCP Snooping技術(shù) DHCP Snooping是一種通過建立DHCP Snooping Binding數(shù)據(jù)庫，過濾非信任的DHCP消息，從而保證網(wǎng)絡(luò)安全的特性。DHCP Snooping就像是非信任的主機(jī)和DHCP服務(wù)器之間的防火墻。通過DHCP Snooping來區(qū)分連接到末端客戶的非信任接口和連接到DHCP服務(wù)器或者其他交換機(jī)的受信任接口。 DHCP Snooping Binding數(shù)據(jù)庫包括如下信息：MAC地址、IP地址、租約時(shí)間、binding類型、VLAN ID以及來自本地非信任端口的接口信息，但不包含通過受信任端口互相連接的接口信息。在啟用了DHCP Snooping的VLAN中，如果交換機(jī)收到來自非信任端口的DHCP包，交換機(jī)將對(duì)目的MAC地址和DHCP客戶端的地址進(jìn)行對(duì)比，如果符合則該包可以通過，否則將被丟棄掉。 在下述情況中，DHCP包將同樣被丟棄： 來自外網(wǎng)或者防火墻的DHCP服務(wù)器，包括DHCPOFFER、DHCPACK、DHCPNAK、DHCPLEASEQUERY。 來自非信任端口，且目的MAC地址和DHCP客戶端的硬件地址不匹配。 交換機(jī)