思科DHCP全攻略

1、思科DHCP全攻略1配置DHCP Server （1）開啟DHCP 功能 r2(config)#service dhcp （2）配置DHCP 地址池 r2(config)#ip dhcp pool ccie1 地址池名為ccie1 r2(dhcp-config)#network 10.1.1.0 255.255.255.0 可供客戶端使用的地址段 r2(dhcp-config)#default-router 10.1.1.1 網(wǎng)關(guān) r2(dhcp-config)#dns-server 10.1.1.1 10.1.1.2 DNS r2(dhcp-config)#lease 1 1 1 租期為1

2、天1 小時(shí)1 分（默認(rèn)為一天） r2(config)#ip dhcp pool ccie2 地址池名為ccie1 r2(dhcp-config)#network 20.1.1.0 255.255.255.0 可供客戶端使用的地址段 r2(dhcp-config)#default-router 20.1.1.1 網(wǎng)關(guān) r2(dhcp-config)#dns-server 20.1.1.1 20.1.1.2 DNS r2(dhcp-config)#lease 1 1 1 租期為1 天1 小時(shí)1 分（默認(rèn)一天） （3）去掉不提供給客戶端的地址 注：因?yàn)槟承㊣P 地址不希望提供給客戶端，比如網(wǎng)關(guān)地址，

3、所以我們要將這些地址 從地址池中移除，這樣服務(wù)器就不會(huì)將這些地址發(fā)給客戶端使用。 r2(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1 到10.1.1.10 r2(config)#ip dhcp excluded-address 20.1.1.1 20.1.1.10 移除20.1.1.1 到20.1.1.10 2配置DHCP Client （1）配置接口使用DHCP r1(config)#int f0/1 r1(config-if)#ip address dhcp 3查看命令： （1）在服務(wù)器上查看哪些地址分配給了哪

4、些主機(jī)： R2#Show ip dhcp binding 4查看結(jié)果 查看DHCP Client 會(huì)看到接口 F0/0 的IP 地址為10.1.1.11 并且產(chǎn)生一條指向 10.1.1.1 的默認(rèn)路由（換成PC 就會(huì)變成網(wǎng)關(guān)是10.1.1.1），路由器并不需要得到DNS。在這里,DHCP Server 上明明配了兩個(gè)地址池，網(wǎng)段分別為 10.1.1.0/24 和 20.1.1.0/24,為什么客戶端向服務(wù)器請(qǐng)求地址的時(shí)候，服務(wù)器就偏偏會(huì)把10.1.1.0/24 網(wǎng)段的地址發(fā)給客戶，而不會(huì)錯(cuò)把20.1.1.0/24 網(wǎng)段的地址發(fā)給客戶呢。這是因?yàn)榉?務(wù)器從哪個(gè)接口收到DHCP 請(qǐng)求，就只能向客戶

5、端發(fā)送地址段和接收接口地址相同 的網(wǎng)段，如果不存在相同網(wǎng)段，就會(huì)丟棄請(qǐng)求數(shù)據(jù)包。圖中接收接口地址為10.1.1.1， 而地址池ccie1 中的網(wǎng)段10.1.1.0/24 正好和接收接口是相同網(wǎng)段，所以向客戶端發(fā) 送了IP 地址10.1.1.11。 DHCP 中繼 如圖中所示，當(dāng)R1的接口配置為DHCP 獲得地址后，那么將從F0/0 發(fā)出目的 地為255.255.255.255 的廣播請(qǐng)求包，如果R2 為DHCP 服務(wù)器，便會(huì)響應(yīng)客戶端， 但它不是DHCP服務(wù)器，因此R2收到此廣播包后便默認(rèn)丟棄該請(qǐng)求包。而真正的 DHCP 服務(wù)器是R4，R1的廣播包又如何能到達(dá)R4 這臺(tái)服務(wù)器呢，R4 又如何向

6、R1 客戶端發(fā)送正確的IP 地址呢。 路由器是不能夠轉(zhuǎn)發(fā)廣播的，因此，除非能夠讓R2 將客戶端的廣播包單播發(fā)向 R4 這臺(tái)服務(wù)器。我們的做法就是讓R2 將廣播包通過單播繼續(xù)前轉(zhuǎn)到R4 這臺(tái)服務(wù) 器，稱為DHCP 中繼，通過IP help-address 功能來實(shí)現(xiàn)。 1R2 配置 （1）配置將DHCP 廣播前轉(zhuǎn)到34.1.1.4 注：IP help-address 功能默認(rèn)能夠前轉(zhuǎn)DHCP 協(xié)議，所以無需額外添加。 R2(config)#int f0/0 R2(config-if)#ip helper-address 34.1.1.4 2配置DHCP Server: （1）開啟DHCP 功能

7、R4(config)#service dhcp （2）配置DHCP 地址池 R4(config)#ip dhcp pool ccie1 地址池名為ccie1 R4(dhcp-config)#network 10.1.1.0 255.255.255.0 可供客戶端使用的地址段 R4(dhcp-config)#default-router 10.1.1.1 網(wǎng)關(guān) R4(config)#ip dhcp pool ccie2 地址池名為ccie1 R4(dhcp-config)#network 34.1.1.0 255.255.255.0 可供客戶端使用的地址段 R4(dhcp-config)#def

8、ault-router 34.1.1.4 網(wǎng)關(guān) （3）去掉不提供給客戶端的地址 R4(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1 到10.1.1.10 R4(config)#ip dhcp excluded-address 34.1.1.1 34.1.1.10 移除 20.1.1.1 到 20.1.1.10 （4）配置正確地址池的路由 R4(config)#ip route 10.1.1.0 255.255.255.0 34.1.1.3 注： R3 無需做任何配置！ 3查看結(jié)果 查看DHCP Client 會(huì)看到

9、接口F0/0 的IP 地址為10.1.1.11，那么DHCP 服務(wù)器R4 又是根據(jù)什么來判斷出客戶端需要的是哪個(gè)網(wǎng)段的IP 地址呢，為什么還是沒有錯(cuò)把 34.1.1.0/24 網(wǎng)段的地址發(fā)給客戶呢。不是說服務(wù)器從哪個(gè)接口收到請(qǐng)求，就把這個(gè) 接口相同網(wǎng)段的地址發(fā)給客戶端嗎？按照之前的理論，應(yīng)該是發(fā)送34.1.1.0/24 的地 址給客戶啊。在這里，能夠指導(dǎo)服務(wù)器發(fā)送正確IP 地址給客戶端，是因?yàn)橛幸粋€(gè)被 稱為option 82 的選項(xiàng)，這個(gè)選項(xiàng)只要DHCP 請(qǐng)求數(shù)據(jù)包被中繼后便會(huì)自動(dòng)添加，此 選項(xiàng),中繼路由器會(huì)在里面的giaddr 位置寫上參數(shù)，這個(gè)參數(shù)，就是告訴服務(wù)器，客 戶端需要哪個(gè)網(wǎng)段的I

10、P地址才能正常工作。中繼路由器從哪個(gè)接口收到客戶的DHCP 請(qǐng)求，就在option 82 的giaddr 位置寫上該接收接口的IP 地址，然后服務(wù)器根據(jù)giaddr 位置上的IP 地址，從地址池中選擇一個(gè)與該IP 地址相同網(wǎng)段的地址給客戶，如果 沒有相應(yīng)地址池，則放棄響應(yīng)，所以，服務(wù)器R4 能夠正確發(fā)送10.1.1.0/24 的地址 給客戶，正是因?yàn)镽2 在由于IP help-address 的影響下，將giaddr 的參數(shù)改成了自己 接收接口的地址，即將giaddr 參數(shù)改成了10.1.1.1，通過debug 會(huì)看到如下過程： *Mar100:28:36.666: DHCPD: settin

11、g giaddr to 10.1.1.1. *Mar100:28:36.666HCPD:BOOTREQUESTfrom0063.6973.636f.2d30.3031.322e. 6439.6639.2e63.3638.302d.4661.302f.30 forwarded to 34.1.1.4. 從上面debug 信息可以看到R2 是將giaddr 改成 10.1.1.1 后發(fā)中繼發(fā)向34.1.1.4 的，需要知道的是，經(jīng)過中繼后發(fā)來的DHCP 請(qǐng)求包如果giaddr 位置不是某個(gè)IP 地 址而是0.0.0.0 的話，服務(wù)器是丟棄該請(qǐng)求而不提供IP 地址的。 注：當(dāng)服務(wù)器上存在10.1.1

12、.0/24 網(wǎng)段的地址池時(shí)，服務(wù)器要將該地址池發(fā)送給客戶， 就必須存在到達(dá)10.1.1.0 網(wǎng)段的路由(默認(rèn)路由也行)，并且客戶端必須位于該路由的 方向，如果方向不對(duì)，該地址池也是不能夠發(fā)給客戶使用的。 不同VLAN 分配不同地址 如圖3 中所示，兩個(gè)DHCP 客戶端分別位于交換機(jī)上兩個(gè)不同的VLAN，交換機(jī) 上的VLAN 接口將作為他們的網(wǎng)關(guān)，R3 是DHCP 服務(wù)器，這兩個(gè)客戶端必須得到不 同網(wǎng)段的地址，否則無法與外網(wǎng)通信，在這種情況下，服務(wù)器R3 也必須正確為R1 分配10.1.1.0/24 網(wǎng)段的地址，必須為R2 分配20.1.1.0/24 的地址，配置如下： 1配置DHCP Serv

13、er （1）開啟DHCP 功能 R3(config)#service dhcp （2）配置DHCP 地址池 R3(config)#ip dhcp pool ccie1 地址池名為ccie1 R3(dhcp-config)#network 10.1.1.0 255.255.255.0 可供客戶端使用的地址段 R3(dhcp-config)#default-router 10.1.1.1 網(wǎng)關(guān) R3(config)#ip dhcp pool ccie2 地址池名為ccie1 R3(dhcp-config)#network 20.1.1.0 255.255.255.0 可供客戶端使用的地址段 R3(

14、dhcp-config)#default-router 20.1.1.1 網(wǎng)關(guān) （3）去掉不提供給客戶端的地址 R3(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1 到10.1.1.10 R3(config)#ip dhcp excluded-address 20.1.1.1 20.1.1.10 移除 20.1.1.1 到 20.1.1.10 （4）配置正確地址池的路由 R3(config)#ip route 10.1.1.0 255.255.255.0 30.1.1.1 R3(config)#ip route 20

15、.1.1.0 255.255.255.0 30.1.1.1 2配置交換機(jī) （1）配置相應(yīng)接口信息 sw(config)#vlan 10 sw(config-vlan)#exit sw(config)#vlan 20 sw(config-vlan)#exit sw(config)#int f0/1 sw(config-if)#switchport mode access sw(config-if)#switchport access vlan 10 sw(config-if)#exit sw(config)#int f0/2 sw(config-if)#switchport mode acces

16、s sw(config-if)#switchport access vlan 20 sw(config-if)#exit sw(config)#int vlan 10 sw(config-if)#ip address 10.1.1.1 255.255.255.0 sw(config-if)#ip helper-address 30.1.1.3 單播前轉(zhuǎn)DHCP 廣播到30.1.1.3 sw(config-if)#exit sw(config)#int vlan 20 sw(config-if)#ip address 20.1.1.1 255.255.255.0 sw(config-if)#ip

17、 helper-address 30.1.1.3 單播前轉(zhuǎn)DHCP 廣播到30.1.1.3 3配置DHCP Client （1）配置R1 r1(config)#int f0/1 r1(config-if)#ip address dhcp (2)配置R2 r2(config)#int f0/1 r1(config-if)#ip address dhcp 4查看結(jié)果： 按上述配置完之后，客戶端R1 的F0/0 便能夠收到地址10.1.1.11,客戶端R2 便 能夠收到地址20.1.1.11，然后就可以全網(wǎng)通信。在上述的情況下，服務(wù)器R3 能夠 正確為R1 分配10.1.1.0/24 網(wǎng)段的地址，能

18、夠正確為R2 分配20.1.1.0/24 網(wǎng)段的地址， 同樣也是因?yàn)榻粨Q機(jī)在收到R1 的DHCP 廣播包后，將giaddr 的參數(shù)改成了10.1.1.1， 收到R2 的廣播包后，將giaddr 的參數(shù)改成了20.1.1.1，所以最后服務(wù)器R3 能夠根 據(jù) giaddr=10.1.1.1 的包分配10.1.1.0/24 的地址，根據(jù)giaddr=20.1.1.1 的包分配 20.1.1.0/24 的地址。 IP 與MAC 地址綁定 在配置DHCP 時(shí)，地址池中除了移除掉的IP 地址之外，所有的地址都會(huì)按順序 分配給客戶，所以客戶機(jī)得到的 IP 地址是無法固定的，有時(shí)需要每次固定為某些 PC 分配

19、相同的IP 地址，那么這時(shí)就可以配置DHCP 服務(wù)器以靜態(tài)將IP 地址和某些 MAC 綁定，只有相應(yīng)的MAC 地址才能獲得相應(yīng)的IP 地址。在Cisco 設(shè)備上靜態(tài)將 IP 與MAC 綁定的方法為，需要將某個(gè)IP 地址綁定給MAC 地址，就為該IP 地址單獨(dú) 創(chuàng)建地址池，稱為host pool，地址池中需要注明IP 地址和掩碼位數(shù)，并且附上一個(gè) MAC 地址，以后這個(gè)IP 地址就只分配給這個(gè)MAC 地址，所以host pool 只能有一個(gè) IP 地址和一個(gè)MAC 地址，如果需要為多個(gè)客戶綁定IP 和MAC，就必須得單獨(dú)為每 個(gè)客戶都配置各自的host pool，還要注意的是，在host poo

20、l 中，MAC 地址的表示 方法和平常不一樣，比如一個(gè)主機(jī)網(wǎng)卡的MAC 地址為aabb.ccdd.eeff，在地址池中， 需要在前面加上01（01 表示為以太網(wǎng)類型），結(jié)果為01aa.bbcc.ddee.ff 1配置host pool: （1）配置pool 名 r1(config)#ip dhcp poo ccie （2）配置IP 地址 r1(dhcp-config)#host 10.1.1.100 /24 （3）配置與該IP 地址對(duì)應(yīng)的MAC 地址 r1(dhcp-config)#client-identifier 01aa.bbcc.ddee.ff 2查看配置結(jié)果： （1）查看服務(wù)器地址分

21、配狀態(tài) r1#sh ip dhcp binding Bindings from all pools not associated with VRF: IP address Client-ID/ Lease expiration Type Hardware address/ User name 10.1.1.100 01aa.bbcc.ddee.ff Infinite Manual r1# 說明：從以上結(jié)果可以看出，IP 地址10.1.1.100 已經(jīng)手工與MAC 地址aabb.ccdd.eeff 做了綁定，以后只要MAC 地址為aabb.ccdd.eeff 的客戶端請(qǐng)求IP 地址時(shí)，才能獲得

22、IP 地址10.1.1.100。 DHCP 安全ARP Cisco 設(shè)計(jì)的DHCP 安全ARP 也許不是絕對(duì)的安全，但也起到了一定的作用，原 本設(shè)計(jì)為一個(gè)需要計(jì)費(fèi)的公共熱點(diǎn)PVLAN （公共無線場(chǎng)所），如圖4 中所示，R3 為 DHCP 服務(wù)器，為付費(fèi)的R1 提供正確IP 地址以提供網(wǎng)絡(luò)服務(wù)，當(dāng)服務(wù)器R3 為客戶 端R1 提供IP 地址 10.1.1.2 之后，就已經(jīng)記住了它的MAC 地址，在正常情況下，如 果R1 退出，服務(wù)器是不知道的，并且當(dāng)網(wǎng)絡(luò)中有欺騙者接入后，也可冒充10.1.1.2 這個(gè)地址進(jìn)行上網(wǎng)，當(dāng)然R1 和R2 的MAC 地址肯定是不一樣的，如果這時(shí)服務(wù)器 R3 由于自動(dòng)更新A

23、RP 表的MAC 地址，就能夠順利讓R2 上網(wǎng)。 基于上述原因，需要在服務(wù)器R3 和客戶端R1 之間提供某種安全機(jī)制，即服務(wù)器 定期ARP 訊問10.1.1.2 是否還存在，在訊問時(shí)，只有R1 能夠回答。 在完成這種機(jī)制，需要兩個(gè)feature 來支持，第一個(gè)是Update Arp，在地址池模 式下開啟，這個(gè)feature 便是定期訊問網(wǎng)絡(luò)中DHCP 客戶端的;第二個(gè)是Authorized ARP （ARP 授權(quán)）,只能在以太網(wǎng)接口下開啟，功能是禁止該接口下通過ARP自動(dòng)更 新和學(xué)習(xí)MAC 地址，這樣一來，接口下將不能有手動(dòng)配置IP 的設(shè)備接入，因?yàn)槭?工配置IP 接入后，服務(wù)器不會(huì)更新自己的

24、ARP 表，也就無法完成到新設(shè)備的二層 MAC 地址封裝，也就無法和新設(shè)備進(jìn)行通信，只有合法的DHCP 客戶端才能正常通 信，所以，如果為遠(yuǎn)程客戶端分配IP 地址，就無法做這樣的保護(hù)，并且到遠(yuǎn)程客戶 端的下一跳必須是自己的客戶端，因?yàn)槿绻皇?，是無法通信的，因?yàn)锳RP 不存在 到它的條目。 1配置安全ARP： （1）開啟DHCP 功能 R3(config)#service dhcp （2）配置DHCP 地址池 R3(config)#ip dhcp pool ccie1 地址池名為ccie1 R3(dhcp-config)#network 10.1.1.0 255.255.255.0 可供客戶端

25、使用的地址段 R3(dhcp-config)#default-router 10.1.1.1 網(wǎng)關(guān) R3(dhcp-config)#update arp 開啟定期ARP 訊問 （3）去掉不提供給客戶端的地址 R3(config)#ip dhcp excluded-address 10.1.1.1 10.1.1.10 移除10.1.1.1 到10.1.1.10 （4）在接口下開啟Authorized ARP R3(config)#int f0/0 R3(config-if)#Router(config-if)# arp authorized 禁止動(dòng)態(tài)更新ARP R3(config-if)# ar

26、p timeout 60 60 秒客戶無應(yīng)答則刪除ARP 條 目 說明：通過以上配置之后，當(dāng)DHCP 客戶端從服務(wù)器獲得IP 地址后，服務(wù)器便會(huì)定 期查訊該IP 地址，如果60 秒沒有回答，便從ARP 表中刪除該條目。 DHCP 監(jiān)聽 如圖5 中所示，客戶端R1 只有正確從服務(wù)器R3 中獲得10.1.1.0/24 網(wǎng)段的IP 地址才能夠正確上網(wǎng)，如果當(dāng)網(wǎng)絡(luò)中出現(xiàn)另外一臺(tái)錯(cuò)誤的DHCP 服務(wù)器（圖中R2）， R2 向客戶端R1 發(fā)出20.1.1.0/24 的地址，那么將導(dǎo)致R1 網(wǎng)絡(luò)中斷，在這樣的情況下， 就需要禁止不合法的DHCP 服務(wù)器向網(wǎng)絡(luò)中提供DHCP 服務(wù)，這就需要DHCP 監(jiān)聽 （DHCP Snooping）。DHCP Snooping 是在交換機(jī)上完成的，如上圖中，只要告訴交換 機(jī)，只有F0/3 發(fā)來的DHCP 應(yīng)答地址才轉(zhuǎn)發(fā)給客戶端，其它接口發(fā)來的應(yīng)答地址統(tǒng) 統(tǒng)被丟棄。要做到這一點(diǎn)，就要告訴交換機(jī)，F(xiàn)0/3 接口是它可能信任的DHCP 地址， 其它接口都是不可信的，不能提供DHCP 應(yīng)答，那么在實(shí)現(xiàn)這個(gè)功能時(shí)，就需要將 交換機(jī)上的接口分為可信任接口和不可信任接口兩種，默認(rèn)交換機(jī)全為不可信任接 口，也就是說交換機(jī)開啟DHCP Snooping 之后，沒有任何一個(gè)接口上的DHCP 服務(wù) 器能提供服