華為路由器dhcp簡(jiǎn)單配置實(shí)例_第1頁(yè)
華為路由器dhcp簡(jiǎn)單配置實(shí)例_第2頁(yè)
華為路由器dhcp簡(jiǎn)單配置實(shí)例_第3頁(yè)
華為路由器dhcp簡(jiǎn)單配置實(shí)例_第4頁(yè)
華為路由器dhcp簡(jiǎn)單配置實(shí)例_第5頁(yè)
已閱讀5頁(yè),還剩1頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、華為路由器dhcp簡(jiǎn)單配置實(shí)例session 1 DHCP的工作原理       DHCP(Dynamic Host Configuration Protocol,動(dòng)態(tài)主機(jī)配置協(xié)議)是一個(gè)局域網(wǎng)的網(wǎng)絡(luò)協(xié)議,使用UDP協(xié)議工作, 主要有兩個(gè)用途:給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動(dòng)分配IP地址,給用戶或者內(nèi)部網(wǎng)絡(luò)管理員作為對(duì)所有計(jì)算機(jī)作中央管理的手段,在RFC 2131中有詳細(xì)的描述。DHCP有3個(gè)端口,其中UDP67和UDP68為正常的DHCP服務(wù)端口,分別作為DHCP Server和DHCP Client的服務(wù)端口;546號(hào)端口用于DHCPv6 Client

2、,而不用于DHCPv4,是為DHCP failover服務(wù),這是需要特別開(kāi)啟的服務(wù),DHCP failover是用來(lái)做“雙機(jī)熱備”的。       DHCP協(xié)議采用UDP作為傳輸協(xié)議,主機(jī)發(fā)送請(qǐng)求消息到DHCP服務(wù)器的67號(hào)端口,DHCP服務(wù)器回應(yīng)應(yīng)答消息給主機(jī)的68號(hào)端口,DHCP的IP地址自動(dòng)獲取工作原理及詳細(xì)步驟如下:1、DHCP Client以廣播的方式發(fā)出DHCP Discover報(bào)文。2、所有的DHCP Server都能夠接收到DHCP Client發(fā)送的DHCP Discover報(bào)文,所有的DHCP Server都會(huì)給出響應(yīng),向DHCP C

3、lient發(fā)送一個(gè)DHCP Offer報(bào)文。DHCP Offer報(bào)文中“Your(Client) IP Address”字段就是DHCP Server能夠提供給DHCP Client使用的IP地址,且DHCP Server會(huì)將自己的IP地址放在“option”字段中以便DHCP Client區(qū)分不同的DHCP Server。DHCP Server在發(fā)出此報(bào)文后會(huì)存在一個(gè)已分配IP地址的紀(jì)錄。3、DHCP Client只能處理其中的一個(gè)DHCP Offer報(bào)文,一般的原則是DHCP Client處理最先收到的DHCP Offer報(bào)文。DHCP Client會(huì)發(fā)出一個(gè)廣播的DHCP Request

4、報(bào)文,在選項(xiàng)字段中會(huì)加入選中的DHCP Server的IP地址和需要的IP地址。4、DHCP Server收到DHCP Request報(bào)文后,判斷選項(xiàng)字段中的IP地址是否與自己的地址相同。如果不相同,DHCP Server不做任何處理只清除相應(yīng)IP地址分配記錄;如果相同,DHCP Server就會(huì)向DHCP Client響應(yīng)一個(gè)DHCP ACK報(bào)文,并在選項(xiàng)字段中增加IP地址的使用租期信息。5、DHCP Client接收到DHCP ACK報(bào)文后,檢查DHCP Server分配的IP地址是否能夠使用。如果可以使用,則DHCP Client成功獲得IP地址并根據(jù)IP地址使用租期自動(dòng)啟動(dòng)續(xù)延過(guò)程;如

5、果DHCP Client發(fā)現(xiàn)分配的IP地址已經(jīng)被使用,則DHCP Client向DHCPServer發(fā)出DHCP Decline報(bào)文,通知DHCP Server禁用這個(gè)IP地址,然后DHCP Client開(kāi)始新的地址申請(qǐng)過(guò)程。6、DHCP Client在成功獲取IP地址后,隨時(shí)可以通過(guò)發(fā)送DHCP Release報(bào)文釋放自己的IP地址,DHCP Server收到DHCP Release報(bào)文后,會(huì)回收相應(yīng)的IP地址并重新分配。session 2 dhcp的中繼代理和snooping一、dhcp中繼代理的作用就是:在一個(gè)L3層網(wǎng)絡(luò)中,如果dhcp服務(wù)器和客戶端不在同一個(gè)網(wǎng)段時(shí),客戶端發(fā)送的dhcp

6、-discovery廣播包將會(huì)被網(wǎng)關(guān)設(shè)備丟棄(L3層隔離廣播特性)。dhcp中繼就是在網(wǎng)關(guān)接口上配置一種能讓網(wǎng)關(guān)識(shí)別客戶端發(fā)送的dhcp-discovery廣播包,當(dāng)網(wǎng)關(guān)收到該包后不做丟棄處理,而是以單播形式代理客戶端來(lái)向dhcp服務(wù)器請(qǐng)求ip地址,然后再將dhcp回應(yīng)的offer包轉(zhuǎn)發(fā)給客戶端,幫助客戶端完成ip地址的獲取過(guò)程。只需要再L3網(wǎng)關(guān)的接口上配置中繼代理:二、為了防止網(wǎng)絡(luò)中非法dhcp向用戶提供dhcp服務(wù),可以使用dhcp snooping(dhcp探測(cè)功能)。       DHCP Snooping技術(shù)是DHCP安全特性,通過(guò)建立和維護(hù)D

7、HCP Snooping綁定表過(guò)濾不可信任的DHCP信息,這些信息是指來(lái)自不信任區(qū)域的DHCP信息(也就是非法dhcp服務(wù)器)。DHCP Snooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID 接口等信息,該技術(shù)在接口上設(shè)置是否信任該接口上連接的dhcp服務(wù)器(如果有)。       當(dāng)交換機(jī)開(kāi)啟了 DHCP-Snooping后,交換機(jī)所有端口會(huì)對(duì)自己接受來(lái)的DHCP報(bào)文進(jìn)行偵聽(tīng),并可以從接收到的DHCP Request或DHCP Ack報(bào)文中提取并記錄IP地址和MAC地址信息。另外,DHCP-Snooping允許將某個(gè)物

8、理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP Offer報(bào)文,而不信任端口會(huì)將接收到的DHCP Offer報(bào)文丟棄。這樣,可以完成交換機(jī)對(duì)假冒DHCP Server的屏蔽作用,確??蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。       默認(rèn)情況下開(kāi)啟了DHCP Snooping后,交換機(jī)所有接口都被設(shè)置為不信任狀態(tài),就是任何一個(gè)端口收到dhcp服務(wù)器的offer響應(yīng)包后都會(huì)丟棄,可以手動(dòng)配置合法dhcp所在的端口為信任端口,不丟棄dhcp服務(wù)器向外發(fā)送的offer包,來(lái)實(shí)現(xiàn)dhcp的安全。    

9、60;  一般所有交換機(jī)都開(kāi)啟dhcp snooping功能,信任接口一般都是sw之間相連的接口(如果是匯聚層交換機(jī)的話需要在該交換機(jī)連接上游核心sw和下游接入sw的接口上都開(kāi)啟dhcp trust才可以,核心L3層交換機(jī)作為dhcp服務(wù)器的話),非信任接口都是sw連接PC的接口。session 3 dhcp的配置實(shí)例拓?fù)淙缦拢?#160;     根據(jù)拓?fù)渑渲?,要求PC1和PC2分別在不同的vlan中獲取AR2這臺(tái)DHCP分配的ip地址,并且在LSW2和AR2上開(kāi)啟dhcp snpooping功能防止非法dhcp服務(wù)器接入網(wǎng)絡(luò)和非法用戶對(duì)于AR2的dhcp泛紅攻

10、擊,在LSW2上開(kāi)啟中繼代理功能為PC1和P2代理dhcp服務(wù)器的ip地址。具體配置如下:一、將AR2配置成dhcp服務(wù)器Huaweiinterface g0/0/0Huawei-GigabitEthernet0/0/0 quitHuaweiHuawei ip pool net1                                              

11、;                           配置為vlan2分配IP地址的地址池,名為net1Huawei-ip-pool-net1 network 192.168.1.0 mask 255.255.255.0          Huawei-ip-pool-net1 Huawei-ip-pool-net1 Huawei-ip-pool-net1 static-bi

12、nd ip-address 192.168.1.10 mac-address 0000-1111-2222        為固定mac分配固定ipHuawei-ip-pool-net1 excluded-ip-address 192.168.1.2                      不分配的ip地址Huawei-ip-pool-net1 quitHuaweiHuawei ip pool net2     &#

13、160;                                        配置為vlan2分配IP地址的地址池,名為net1Huawei-ip-pool-net2 network 192.168.2.0 mask 255.255.255.0          Huawei-ip-pool-net2 Huawei-i

14、p-pool-net2 Huawei-ip-pool-net2 static-bind ip-address 192.168.2.10 mac-address 0001-1111-2222        為固定mac分配固定ipHuawei-ip-pool-net2 excluded-ip-address 192.168.2.2                       不分配的ip地址Huawei-ip-pool

15、-net2 quitHuaweiHuaweiinterface g0/0/0Huawei-GigabitEthernet0/0/0 ip address 12.1.1.2 255.255.255.0            Huawei-GigabitEthernet0/0/0 dhcp select global                                接

16、口下開(kāi)啟器全局DHCP分配功能Huawei-GigabitEthernet0/0/0 quit                                                     Huaweidhcp server ping packet 10 timeout 100     &

17、#160;                           配置dhcp服務(wù)器分配某個(gè)ip之前先探測(cè)該ip是否已被網(wǎng)絡(luò)中pc使用的功能,dhcp服務(wù)器會(huì)向該ip地址發(fā)10個(gè)包且每次100ms,無(wú)應(yīng)答才會(huì)分配該ip地址給客戶端Huaweidhcp check dhcp-rate enable                         

18、60;                       開(kāi)啟dhcp的速率檢測(cè)功能開(kāi)關(guān)Huaweidhcp check dhcp-rate 90                       檢測(cè)收到dhcp請(qǐng)求包的速率最大為90個(gè)/s,默認(rèn)100個(gè)/s,防止dhcp泛紅攻擊Huawei quitHuawei ip route-static 0.0.0.0 0.0.0.0

19、12.1.1.1                                       配置一條能夠到達(dá)客戶端網(wǎng)絡(luò)的默認(rèn)路由二、配置SW成為dhcp中繼代理為vlan2和vlan3中的客戶端提供對(duì)應(yīng)的dhcp中繼代理服務(wù),并配置dhcp-snooping功能防止非法的dhcp服務(wù)器分配ip地址給客戶端Huaweiinterface Vlanif 1Huawei-Vlanif1quitHuaweiHua

20、weivlan 2                                                                創(chuàng)建vlan2、3Huawei-vlan2quitHuaweivlan 3 Huawei-vlan3quitHuaweiHu

21、awei interface vlan 2Huawei-Vlanif2dhcp select relay Huawei-Vlanif2 dhcp relay server-ip 12.1.1.2                      在vlan2中開(kāi)啟dhcp中繼功能Huawei-Vlanif2 quitHuaweiHuawei interface vlan 3Huawei-Vlanif3dhcp select relay 在vlan3中開(kāi)啟dhcp中繼功能Huawei-

22、Vlanif3 dhcp relay server-ip 12.1.1.2                       dhcp選擇中繼服務(wù)器IP地址Huawei-Vlanif3 quitHuaweiHuaweiinterface g0/0/1                                  

23、;                     配置接口g0/0/1和g/0/2為access接口Huawei-GigabitEthernet0/0/1port link-type access Huawei-GigabitEthernet0/0/1quitHuaweiHuaweiinterface g0/0/2Huawei-GigabitEthernet0/0/1port link-type access Huawei-GigabitEthernet0/0/1quitHuawe

24、iHuaweivlan 2                                                                      將g/0/1接口加入vlan2,g/0/2加入vlan3Huawei-vlan2port g0/0/1Huawei-vlan2quitHuaweiHuaweivlan 3 Huawei-vlan3port g0/0/2Huawei-vlan3quitHuaweiHuaweiip route-static 0.0.0.0 0.0.0.0 12.1.1.2                       配置能夠到達(dá)dhcp服務(wù)器的路由HuaweiHuaweidhcp snoopi

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論