实验6 动态主机配置协议(DHCP)【实验目的】1.掌握基于DHCP Sever方式实现地址自动分配的配置方法。
2.掌握基于DHCP Relay方式实现地址自动分配的配置方法,利用DHCP Relay 的地址合法性检查功能实现对DHCP Client的安全控制。
3.掌握通过DHCP Snooping方式实现DHCP Sever合法性检查功能。
【实验环境】H3C S3600交换机1台、H3C MSR20-20路由器1台、PC2台、网线若干【实验内容】一、DHCP技术原理1、基本概念DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)采用“客户端/服务器”通信模式,由客户端向服务器提出配置申请,服务器返回为客户端分配的IP地址等配置信息,以实现网络资源的动态配置。
DHCP Server: 通常是一台服务器或网络设备,负责提供网络设置参数给DHCP Client。
DHCP Client: 通过DHCP协议来获得网络配置参数,通常是一台主机或网络设备。
DHCP Relay: 在DHCP Server和DHCP Client间转发跨网段DHCP消息的设备,通常是网络设备(交换机或路由器)。
2、DHCP中的IP地址分配模式(1)手工分配地址:由管理员为少数特定客户端(如WWW服务器等)静态绑定IP地址。
通过DHCP将配置的固定IP地址发给客户端。
(2)自动分配地址:DHCP为客户端分配租期为无限长的IP地址。
(3)动态分配地址:DHCP为客户端分配具有一定有效期限的IP地址,当使用期限到期后,客户端需要重新申请地址。
绝大多数客户端得到的都是这种动态分配的地址。
3、IP地址动态获取过程DHCP客户端从DHCP服务器动态获取IP地址,主要通过四个阶段进行:(1) 发现阶段,即DHCP客户端寻找DHCP服务器的阶段。
客户端以广播方式发送DHCP-DISCOVER报文。
(2) 提供阶段,即DHCP服务器提供IP地址的阶段。
DHCP服务器接收到客户端的DHCP-DISCOVER报文后,根据IP地址分配的优先次序选出一个IP 地址,与其他参数一起通过DHCP-OFFER报文发送给客户端。
(3) 选择阶段,即DHCP客户端选择IP地址的阶段。
如果有多台DHCP服务器向该客户端发来DHCP-OFFER报文,客户端只接受第一个收到的DHCP-OFFER报文,然后以广播方式发送DHCP-REQUEST报文,该报文中包含DHCP服务器在DHCP-OFFER报文中分配的IP地址。
(4) 确认阶段,即DHCP服务器确认IP地址的阶段。
DHCP服务器收到DHCP客户端发来的DHCP-REQUEST报文后,只有DHCP客户端选择的服务器会进行如下操作:如果确认地址分配给该客户端,则返回DHCP-ACK报文;否则将返回DHCP-NAK报文,表明地址不能分配给该客户端。
客户端收到服务器返回的DHCP-ACK确认报文后,会以广播的方式发送ARP报文(目的地址是被分配到的地址)进行地址探测,如果在规定的时间内没有收到回应,客户端才使用此地址。
4、IP地址的租约更新如果采用动态地址分配策略,则DHCP服务器分配给客户端的IP地址有一定的租借期限,当租借期满后服务器会收回该IP地址。
如果DHCP客户端希望继续使用该地址,需要更新IP地址租约。
在DHCP客户端的IP地址租约期限达到一半时间时,DHCP客户端会向DHCP服务器单播发送DHCP-REQUEST报文,以进行IP租约的更新。
如果此IP地址有效,则DHCP服务器单播回应DHCP-ACK报文,通知DHCP客户端已经获得新IP租约;如果此IP地址不可以再分配给该客户端,则DHCP服务器回应DHCP-NAK报文,通知DHCP客户端不能获得新的租约。
如果在租约的一半时间进行的续约操作失败,DHCP客户端会在租约期限达到7/8时,再次广播发送DHCP-REQUEST报文进行续约。
5、DHCP Relay当DHCP Client同DHCP Server不在同一个子网的时候,我们可以通过DHCP Relay技术实现局域网内的DHCP Client与其他子网的DHCP Server通信,最终取得合法的IP地址。
这样,多个网络上的DHCP Client可以使用同一个DHCP Server,既节省了成本,又便于进行集中管理。
DHCP Relay为不能通过路由器的DHCP广播消息提供转发功能,使得DHCP Server可以为不在其物理子网的DHCP Client提供服务。
二、DHCP相关安全特性1、DHCP Relay地址合法性检查为了满足网上合法固定IP用户的上网需求,DHCP Relay的安全特性提供配置固定IP用户的功能,以保证固定IP用户可以上网。
同时对固定IP用户进行保护,保证其在交换机的安全特性表的IP表项不被动态IP用户覆盖。
当动态用户申请的IP地址与这些静态配置的IP用户有冲突时,动态用户要更换新的IP 地址,这个更换的处理由DHCP Relay来负责。
这个安全特性要求作为DHCP Relay的设备必须是相应子网的默认网关,否则该安全特性不会生效。
2、DHCP Snooping出于安全性的考虑,可能需要记录用户上网时所用的IP地址,确认用户主机从DHCP Server获取的IP地址与其MAC地址的对应关系。
二层交换机可以通过DHCP Snooping功能监听DHCPREQUEST和DHCPACK广播消息,获得用户从DHCP Server获取的IP地址和用户MAC地址信息。
另外,在网络中如果有私自架设的DHCP Server,将可能导致用户得到错误的IP地址。
为了使用户能通过合法的DHCP Server获取IP地址,DHCP Snooping 安全机制允许将端口设置为信任端口与不信任端口。
信任端口连接DHCP Server或其他交换机的端口;不信任端口连接用户或网络。
从不信任端口方向发来的DHCPACK和DHCPOFFER消息将被丢弃;而从信任端口方向发来的DHCP消息将被正常转发。
只要把合法的DHCP Server连接在信任端口,就可以确保用户都从正确的DHCP Server获得IP地址。
三、具体配置1、启动DHCP服务[H3C] dhcp enable在进行DHCP配置之前,必须先使能DHCP服务。
该配置对于DHCP服务器和DHCP中继都是必须的。
2、配置DHCP地址池DHCP服务器的地址池有两种:全局地址池及接口地址池。
DHCP服务器的接口可以工作在全局地址池或接口地址池模式。
如果DHCP服务器的接口工作在接口地址池模式,则会优先从接口地址池中分配地址;如果接口地址池中没有可供分配的地址,则会再从包含该接口地址池网段的全局地址池中进行分配。
(1)创建全局地址池[H3C] dhcp server ip-pool pool-name(2)创建接口地址池[H3C-Ethernet1/0/1]dhcp select interface3、DHCP地址分配(1)采用静态绑定方式进行地址分配,静态绑定IP地址与MAC地址。
[H3C-dhcp-pool-0] static-bind ip-address ip-address[mask-length|mask mask][H3C-dhcp-pool-0] static-bind mac-address mac-address#举例[H3C-dhcp-pool-0] static-bind ip-address 10.1.1.1 mask 255.255.255.0 [H3C-dhcp-pool-0] static-bind mac-address 0000-e03f-0305(2)采用动态分配方式进行地址分配[H3C-dhcp-pool-0]network ip-address [ mask mask ]4、配置DHCP客户端的网关地址[H3C-dhcp-pool-0]gateway-list ip-address5、配置接口工作在DHCP Relay模式当接口收到DHCP Client发来的DHCP消息时,可以配置接口将消息转发给外部DHCP Server,由外部DHCP Server分配地址。
为了提高可靠性,可以在一个网络中设置多个DHCP Server,构成一个DHCP Server组。
四、上机操作实验一配置DHCP Server1、实验拓扑图2、实验步骤(1)配置S3600①开启DHCP服务[H3C] dhcp enable②创建vlan300,并把端口Ethernet1/0/1加入vlan300。
③配置vlan300的接口IP地址为3.3.3.254 255.255.255.0④创建全局地址池ip-pool 1,并采用动态分配方式进行地址分配[H3C] dhcp server ip-pool 1[H3C-dhcp-pool-1]network 3.3.3.0 mask 255.255.255.0⑤配置DHCP客户端的网关地址为3.3.3.254[H3C-dhcp-pool-1]gateway-list 3.3.3.254(2)验证实验结果在PC1在ipconfig命令查看IP地址分配情况,用ping命令检查与网关的连通性,把实验结果记录在实验报告中。
实验二DHCP Relay1、实验拓扑图2、实验步骤(1)配置S3600①创建vlan200,把Ethernet1/0/3加入vlan200,并把vlan200接口的ip 地址设置为2.2.2.1 255.255.255.0②创建vlan300,把Ethernet1/0/1、Ethernet1/0/2加入vlan300,并把vlan300接口的ip地址设置为3.3.3.254 255.255.255.0③在系统视图下创建DHCP服务器组中DHCP服务器地址,配置vlan300接口与服务器组的归属关系。
[H3C] dhcp-server 1 ip 2.2.2.2[H3C] interface vlan-interface300[H3C-vlan-interface300]dhcp-server 1(2)配置MSR2020①开启DHCP服务[H3C] dhcp enable②配置以太网接口Ethernet0/0的IP地址为2.2.2.2 255.255.255.0③配置DHCP服务器[H3C] dhcp server ip-pool 1[H3C-dhcp-pool-1]network 3.3.3.0 mask 255.255.255.0 [H3C-dhcp-pool-1]gateway-list 3.3.3.254④配置静态路由,保证路由可达[H3C]ip route-static 3.3.3.0 255.255.255.0 2.2.2.1(3)在PC1在ipconfig命令查看IP地址分配情况,用ping命令检查与网关的连通性。