DHCP中繼實驗(cisco).docx

最近看到大家經(jīng)常由于DHCP的問題犯愁， 為了讓大家更明白的了解DHCP并且會配置，特此發(fā)這個貼 相信大家認證看完對DHCP就會了如指掌1.png (30.57 KB)2010-11-26 14:411配置DHCP Server （1）開啟DHCP 功能 r2(config)#service dhcp （2）配置DHCP 地址池 r2(config)#ip dhcp pool ccie1 地址池名為ccie1 r2(dhcp-config)#network 10.1.1.0 255.255.255.0 可供客戶端使用的地址段 r2(dhcp-config)#default-router 10.1.1.1 網(wǎng)關(guān) r2(dhcp-config)#dns-server 10.1.1.1 10.1.1.2 DNS r2(dhcp-config)#lease 1 1 1 租期為1 天1 小時1 分（默認為一天） r2(config)#ip dhcp pool ccie2 地址池名為ccie1 r2(dhcp-config)#network 20.1.1.0 255.255.255.0 可供客戶端使用的地址段 r2(dhcp-config)#default-router 20.1.1.1 網(wǎng)關(guān) r2(dhcp-config)#dns-server 20.1.1.1 20.1.1.2 DNS r2(dhcp-config)#lease 1 1 1 租期為1 天1 小時1 分（默認一天） （3）去掉不提供給客戶端的地址 注：因為某些IP 地址不希望提供給客戶端，比如網(wǎng)關(guān)地址，所以我們要將這些地址 從地址池中移除，這樣服務(wù)器就不會將這些地址發(fā)給客戶端使用。 r2(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1 到10.1.1.10 r2(config)#ip dhcp excluded-address 20.1.1.1 20.1.1.10 移除20.1.1.1 到20.1.1.10 2配置DHCP Client （1）配置接口使用DHCP r1(config)#int f0/1 r1(config-if)#ip address dhcp 3查看命令： （1）在服務(wù)器上查看哪些地址分配給了哪些主機： R2#Show ip dhcp binding 4查看結(jié)果 查看DHCP Client會看到接口 F0/0 的IP地址為10.1.1.11并且產(chǎn)生一條指向 10.1.1.1 的默認路由（換成PC 就會變成網(wǎng)關(guān)是10.1.1.1），路由器并不需要得到DNS。 在這里，DHCP Server 上明明配了兩個地址池，網(wǎng)段分別為 10.1.1.0/24 和 20.1.1.0/24,為什么客戶端向服務(wù)器請求地址的時候，服務(wù)器就偏偏會把10.1.1.0/24 網(wǎng)段的地址發(fā)給客戶，而不會錯把20.1.1.0/24 網(wǎng)段的地址發(fā)給客戶呢。這是因為服 務(wù)器從哪個接口收到DHCP 請求，就只能向客戶端發(fā)送地址段和接收接口地址相同 的網(wǎng)段，如果不存在相同網(wǎng)段，就會丟棄請求數(shù)據(jù)包。圖中接收接口地址為10.1.1.1， 而地址池ccie1中的網(wǎng)段10.1.1.0/24 正好和接收接口是相同網(wǎng)段，所以向客戶端發(fā) 送了IP 地址10.1.1.11。 DHCP 中繼 2.png (47.99 KB)2010-11-26 14:41如圖中所示，當(dāng)R1的接口配置為DHCP 獲得地址后，那么將從F0/0 發(fā)出目的 地為255.255.255.255的廣播請求包，如果R2 為DHCP 服務(wù)器，便會響應(yīng)客戶端， 但它不是DHCP服務(wù)器，因此R2收到此廣播包后便默認丟棄該請求包。而真正的 DHCP 服務(wù)器是R4，R1的廣播包又如何能到達R4 這臺服務(wù)器呢，R4 又如何向R1 客戶端發(fā)送正確的IP 地址呢。 路由器是不能夠轉(zhuǎn)發(fā)廣播的，因此，除非能夠讓R2 將客戶端的廣播包單播發(fā)向 R4 這臺服務(wù)器。我們的做法就是讓R2 將廣播包通過單播繼續(xù)前轉(zhuǎn)到R4 這臺服務(wù) 器，稱為DHCP 中繼，通過IP help-address 功能來實現(xiàn)。 1R2 配置 （1）配置將DHCP 廣播前轉(zhuǎn)到34.1.1.4 注：IP help-address 功能默認能夠前轉(zhuǎn)DHCP 協(xié)議，所以無需額外添加。 R2(config)#int f0/0 R2(config-if)#ip helper-address 34.1.1.4 2配置DHCP Server: （1）開啟DHCP 功能 R4(config)#service dhcp （2）配置DHCP 地址池 R4(config)#ip dhcp pool ccie1 地址池名為ccie1 R4(dhcp-config)#network 10.1.1.0 255.255.255.0 可供客戶端使用的地址段 R4(dhcp-config)#default-router 10.1.1.1 網(wǎng)關(guān) R4(config)#ip dhcp pool ccie2 地址池名為ccie1 R4(dhcp-config)#network 34.1.1.0 255.255.255.0 可供客戶端使用的地址段 R4(dhcp-config)#default-router 34.1.1.4 網(wǎng)關(guān) （3）去掉不提供給客戶端的地址 R4(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1 到10.1.1.10 R4(config)#ipdhcpexcluded-address34.1.1.134.1.1.10 移除 20.1.1.1 到 20.1.1.10 （4）配置正確地址池的路由 R4(config)#ip route 10.1.1.0 255.255.255.0 34.1.1.3 注： R3 無需做任何配置！ 3查看結(jié)果 查看DHCP Client 會看到接口F0/0 的IP 地址為10.1.1.11，那么DHCP 服務(wù)器R4 又是根據(jù)什么來判斷出客戶端需要的是哪個網(wǎng)段的IP 地址呢，為什么還是沒有錯把 34.1.1.0/24 網(wǎng)段的地址發(fā)給客戶呢。不是說服務(wù)器從哪個接口收到請求，就把這個 接口相同網(wǎng)段的地址發(fā)給客戶端嗎？按照之前的理論，應(yīng)該是發(fā)送34.1.1.0/24 的地 址給客戶啊。在這里，能夠指導(dǎo)服務(wù)器發(fā)送正確IP 地址給客戶端，是因為有一個被 稱為option 82 的選項，這個選項只要DHCP 請求數(shù)據(jù)包被中繼后便會自動添加，此 選項,中繼路由器會在里面的giaddr 位置寫上參數(shù)，這個參數(shù)，就是告訴服務(wù)器，客 戶端需要哪個網(wǎng)段的IP地址才能正常工作。中繼路由器從哪個接口收到客戶的DHCP 請求，就在option 82 的giaddr 位置寫上該接收接口的IP 地址，然后服務(wù)器根據(jù)giaddr 位置上的IP 地址，從地址池中選擇一個與該IP 地址相同網(wǎng)段的地址給客戶，如果 沒有相應(yīng)地址池，則放棄響應(yīng)，所以，服務(wù)器R4 能夠正確發(fā)送10.1.1.0/24的地址 給客戶，正是因為R2 在由于IP help-address 的影響下，將giaddr的參數(shù)改成了自己 接收接口的地址，即將giaddr 參數(shù)改成了10.1.1.1，通過debug 會看到如下過程： *Mar100:28:36.666: DHCPD: setting giaddr to 10.1.1.1. *Mar100:28:36.666HCPD:BOOTREQUESTfrom0063.6973.636f.2d30.3031.322e. 6439.6639.2e63.3638.302d.4661.302f.30 forwarded to 34.1.1.4. 從上面debug 信息可以看到R2 是將giaddr 改成 10.1.1.1 后發(fā)中繼發(fā)向34.1.1.4 的，需要知道的是，經(jīng)過中繼后發(fā)來的DHCP 請求包如果giaddr 位置不是某個IP 地 址而是0.0.0.0 的話，服務(wù)器是丟棄該請求而不提供IP 地址的。 注：當(dāng)服務(wù)器上存在10.1.1.0/24 網(wǎng)段的地址池時，服務(wù)器要將該地址池發(fā)送給客戶， 就必須存在到達10.1.1.0 網(wǎng)段的路由(默認路由也行)，并且客戶端必須位于該路由的 方向，如果方向不對，該地址池也是不能夠發(fā)給客戶使用的。 不同VLAN 分配不同地址 3.png (69.93 KB)2010-11-26 14:41 如圖3 中所示，兩個DHCP 客戶端分別位于交換機上兩個不同的VLAN，交換機 上的VLAN 接口將作為他們的網(wǎng)關(guān)，R3 是DHCP 服務(wù)器，這兩個客戶端必須得到不 同網(wǎng)段的地址，否則無法與外網(wǎng)通信，在這種情況下，服務(wù)器R3 也必須正確為R1 分配10.1.1.0/24 網(wǎng)段的地址，必須為R2 分配20.1.1.0/24 的地址，配置如下： 1配置DHCP Server （1）開啟DHCP 功能 R3(config)#service dhcp （2）配置DHCP 地址池 R3(config)#ip dhcp pool ccie1 地址池名為ccie1 R3(dhcp-config)#network 10.1.1.0 255.255.255.0可供客戶端使用的地址段 R3(dhcp-config)#default-router 10.1.1.1 網(wǎng)關(guān) R3(config)#ip dhcp pool ccie2 地址池名為ccie1 R3(dhcp-config)#network 20.1.1.0 255.255.255.0可供客戶端使用的地址段 R3(dhcp-config)#default-router 20.1.1.1 網(wǎng)關(guān) （3）去掉不提供給客戶端的地址 R3(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1 到10.1.1.10 R3(config)#ipdhcpexcluded-address20.1.1.120.1.1.10 移除 20.1.1.1到 20.1.1.10 （4）配置正確地址池的路由 R3(config)#ip route 10.1.1.0 255.255.255.0 30.1.1.1 R3(config)#ip route 20.1.1.0 255.255.255.0 30.1.1.1 2配置交換機 （1）配置相應(yīng)接口信息 sw(config)#vlan 10 sw(config-vlan)#exit sw(config)#vlan 20 sw(config-vlan)#exit sw(config)#int f0/1 sw(config-if)#switchport mode access sw(config-if)#switchport access vlan 10 sw(config-if)#exit sw(config)#int f0/2 sw(config-if)#switchport mode access sw(config-if)#switchport access vlan 20 sw(config-if)#exit sw(config)#int vlan 10 sw(config-if)#ip address 10.1.1.1 255.255.255.0 sw(config-if)#ip helper-address 30.1.1.3 單播前轉(zhuǎn)DHCP 廣播到30.1.1.3 sw(config-if)#exit sw(config)#int vlan 20 sw(config-if)#ip address 20.1.1.1 255.255.255.0 sw(config-if)#ip helper-address 30.1.1.3 單播前轉(zhuǎn)DHCP 廣播到30.1.1.3 3配置DHCP Client （1）配置R1 r1(config)#int f0/1 r1(config-if)#ip address dhcp (2)配置R2 r2(config)#int f0/1 r1(config-if)#ip address dhcp 4查看結(jié)果： 按上述配置完之后，客戶端R1 的F0/0 便能夠收到地址10.1.1.11,客戶端R2 便 能夠收到地址20.1.1.11，然后就可以全網(wǎng)通信。在上述的情況下，服務(wù)器R3能夠 正確為R1 分配10.1.1.0/24 網(wǎng)段的地址，能夠正確為R2 分配20.1.1.0/24 網(wǎng)段的地址， 同樣也是因為交換機在收到R1 的DHCP 廣播包后，將giaddr 的參數(shù)改成了10.1.1.1， 收到R2 的廣播包后，將giaddr的參數(shù)改成了20.1.1.1，所以最后服務(wù)器R3 能夠根 據(jù) giaddr=10.1.1.1 的包分配10.1.1.0/24 的地址，根據(jù)giaddr=20.1.1.1 的包分配 20.1.1.0/24 的地址。 IP 與MAC 地址綁定 在配置DHCP 時，地址池中除了移除掉的IP 地址之外，所有的地址都會按順序 分配給客戶，所以客戶機得到的 IP地址是無法固定的，有時需要每次固定為某些 PC 分配相同的IP 地址，那么這時就可以配置DHCP 服務(wù)器以靜態(tài)將IP 地址和某些 MAC 綁定，只有相應(yīng)的MAC 地址才能獲得相應(yīng)的IP 地址。在Cisco 設(shè)備上靜態(tài)將 IP 與MAC 綁定的方法為，需要將某個IP 地址綁定給MAC 地址，就為該IP 地址單獨 創(chuàng)建地址池，稱為host pool，地址池中需要注明IP 地址和掩碼位數(shù)，并且附上一個 MAC 地址，以后這個IP 地址就只分配給這個MAC 地址，所以host pool 只能有一個 IP 地址和一個MAC 地址，如果需要為多個客戶綁定IP 和MAC，就必須得單獨為每 個客戶都配置各自的host pool，還要注意的是，在host pool 中，MAC 地址的表示 方法和平常不一樣，比如一個主機網(wǎng)卡的MAC 地址為aabb.ccdd.eeff，在地址池中， 需要在前面加上01 （01 表示為以太網(wǎng)類型），結(jié)果為01aa.bbcc.ddee.ff 1配置host pool: （1）配置pool 名 r1(config)#ip dhcp poo ccie （2）配置IP 地址 r1(dhcp-config)#host 10.1.1.100 /24 （3）配置與該IP 地址對應(yīng)的MAC 地址 r1(dhcp-config)#client-identifier 01aa.bbcc.ddee.ff 2查看配置結(jié)果： （1）查看服務(wù)器地址分配狀態(tài) r1#sh ip dhcp binding Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Type Hardware address/ User name 10.1.1.100 01aa.bbcc.ddee.ff Infinite Manual r1# 說明：從以上結(jié)果可以看出，IP 地址10.1.1.100 已經(jīng)手工與MAC 地址aabb.ccdd.eeff 做了綁定，以后只要MAC 地址為aabb.ccdd.eeff 的客戶端請求IP 地址時，才能獲得 IP 地址10.1.1.100。 DHCP 安全ARP 4.png (61.55 KB)2010-11-26 14:41Cisco 設(shè)計的DHCP 安全ARP 也許不是絕對的安全，但也起到了一定的作用，原 本設(shè)計為一個需要計費的公共熱點PVLAN （公共無線場所），如圖4中所示，R3 為 DHCP 服務(wù)器，為付費的R1 提供正確IP 地址以提供網(wǎng)絡(luò)服務(wù)，當(dāng)服務(wù)器R3 為客戶 端R1 提供IP 地址 10.1.1.2 之后，就已經(jīng)記住了它的MAC 地址，在正常情況下，如 果R1 退出，服務(wù)器是不知道的，并且當(dāng)網(wǎng)絡(luò)中有欺騙者接入后，也可冒充10.1.1.2 這個地址進行上網(wǎng)，當(dāng)然R1 和R2的MAC 地址肯定是不一樣的，如果這時服務(wù)器 R3 由于自動更新ARP 表的MAC 地址，就能夠順利讓R2 上網(wǎng)。 基于上述原因，需要在服務(wù)器R3 和客戶端R1 之間提供某種安全機制，即服務(wù)器 定期ARP 訊問10.1.1.2 是否還存在，在訊問時，只有R1 能夠回答。 在完成這種機制，需要兩個feature 來支持，第一個是Update Arp，在地址池模 式下開啟，這個feature便是定期訊問網(wǎng)絡(luò)中DHCP客戶端的;第二個是Authorized ARP（ARP 授權(quán)）,只能在以太網(wǎng)接口下開啟，功能是禁止該接口下通過ARP 自動更 新和學(xué)習(xí)MAC 地址，這樣一來，接口下將不能有手動配置IP 的設(shè)備接入，因為手 工配置IP 接入后，服務(wù)器不會更新自己的ARP表，也就無法完成到新設(shè)備的二層 MAC 地址封裝，也就無法和新設(shè)備進行通信，只有合法的DHCP 客戶端才能正常通 信，所以，如果為遠程客戶端分配IP 地址，就無法做這樣的保護，并且到遠程客戶 端的下一跳必須是自己的客戶端，因為如果不是，是無法通信的，因為ARP 不存在 到它的條目。 1配置安全ARP： （1）開啟DHCP 功能 R3(config)#service dhcp （2）配置DHCP 地址池 R3(config)#ip dhcp pool ccie1 地址池名為ccie1 R3(dhcp-config)#network 10.1.1.0 255.255.255.0 可供客戶端使用的地址段 R3(dhcp-config)#default-router 10.1.1.1 網(wǎng)關(guān) R3(dhcp-config)#update arp 開啟定期ARP 訊問 （3）去掉不提供給客戶端的地址 R3(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1 到10.1.1.10 （4）在接口下開啟Authorized ARP R3(config)#int f0/0 R3(config-if)#Router(config-if)# arp authorized 禁止動態(tài)更新ARP R3(config-if)# arp timeout 60 60 秒客戶無應(yīng)答則刪除ARP 條 目 說明：通過以上配置之后，當(dāng)DHCP 客戶端從服務(wù)器獲得IP 地址后，服務(wù)器便會定 期查訊該IP 地址，如果60 秒沒有回答，便從ARP 表中刪除該條目。 DHCP 監(jiān)聽 5.png (61.6 KB)2010-11-26 14:41如圖5中所示，客戶端R1 只有正確從服務(wù)器R3中獲得10.1.1.0/24網(wǎng)段的IP 地址才能夠正確上網(wǎng)，如果當(dāng)網(wǎng)絡(luò)中出現(xiàn)另外一臺錯誤的DHCP 服務(wù)器（圖中R2）， R2 向客戶端R1 發(fā)出20.1.1.0/24的地址，那么將導(dǎo)致R1 網(wǎng)絡(luò)中斷，在這樣的情況下， 就需要禁止不合法的DHCP 服務(wù)器向網(wǎng)絡(luò)中提供DHCP 服務(wù)，這就需要DHCP 監(jiān)聽 （DHCP Snooping）。DHCP Snooping 是在交換機上完成的，如上圖中，只要告訴交換 機，只有F0/3 發(fā)來的DHCP 應(yīng)答地址才轉(zhuǎn)發(fā)給客戶端，其它接口發(fā)來的應(yīng)答地址統(tǒng) 統(tǒng)被丟棄。要做到這一點，就要告訴交換機，F(xiàn)0/3 接口是它可能信任的DHCP 地址， 其它接口都是不可信的，不能提供DHCP 應(yīng)答，那么在實現(xiàn)這個功能時，就需要將 交換機上的接口分為可信任接口和不可信任接口兩種，默認交換機全為不可信任接 口，也就是說交換機開啟DHCP Snooping 之后，沒有任何一