11 DHCP原理与配置

type

status

date

slug

summary

1.DHCP的中文全称是什么，其协议报文是基于什么方式进行交互的，其端口号是多少？

DHCP的中文全称是动态主机配置协议（Dynamic Host Configuration Protocol）。

其协议报文是基于UDP（用户数据报协议）方式进行交互的，使用的端口号如下：

67 端口：用于 DHCP 服务器

68 端口：用于 DHCP 客户端

2.DHCP中的协议报文都有哪些，请写出来。

DHCP中的协议报文类型共有八种，分别是：

DHCP DISCOVER：客户端发现DHCP服务器的报文。

DHCP OFFER：DHCP服务器提供网络配置信息的报文。

DHCP REQUEST：客户端请求指定的IP地址及相关配置信息的报文。

DHCP DECLINE：客户端拒绝服务器提供的IP地址的报文。

DHCP ACK：服务器确认并应答客户端请求的报文。

DHCP NAK：服务器拒绝客户端请求的报文。

DHCP RELEASE：客户端释放IP地址的报文。

DHCP INFORM：客户端请求除IP地址以外的配置信息的报文

3.请简答描述DHCP的大致工作原理。

发现阶段（DHCP DISCOVER）：客户端通过广播发送DHCP DISCOVER报文，寻找DHCP服务器。DHCP DISCOVER报文中携带了客户端的MAC地址、需要请求的参数列表选项、广播标志位等信息。

提供阶段（DHCP OFFER）：服务器接收到DHCP DISCOVER报文后，选择跟接收DHCP DISCOVER报文接口的IP地址处于同一网段的地址池，并且从中选择一个可用的IP地址，然后通过DHCP OFFER报文发送给DHCP客户端

选择阶段（DHCP REQUEST）：如果有多个DHCP服务器向DHCP客户端回应DHCP OFFER报文，则DHCP客户端一般只接收第一个收到的DHCP OFFER报文，然后以广播方式发送DHCP REQUEST报文，该报文中包含客户端想选择的DHCP服务器标识符和客户端IP地址。

确认阶段（DHCP ACK）：DHCP服务器通过单播发送DHCP ACK报文，确认IP地址的分配。客户端在收到DHCP ACK后，会广播发送免费ARP，检测该IP地址在本网络中是否被其他终端占用

4.请简单描述DHCP地址续租的大致过程。

DHCP地址续租的大致过程如下：

租期达到50%（T1）时：客户端通过单播发送DHCP REQUEST报文，请求续租IP地址。如果服务器回应DHCP ACK报文，续租成功，租期更新。

租期达到87.5%（T2）时：如果未收到服务器回应，客户端会通过广播再次发送DHCP REQUEST报文，请求续租。如果服务器回应DHCP ACK报文，续租成功。

租期到期时：如果客户端仍未收到服务器的回应，客户端停止使用当前IP地址，并重新发送DHCP DISCOVER报文，开始获取新的IP地址

5.请简单描述DHCP的配置步骤。

在DHCP配置中，相关的命令主要是在路由器或交换机的不同视图下进行。以下是具体配置步骤以及每步所在的配置视图说明：

启用DHCP功能：

在全局视图下（即<Huawei>提示符）执行命令：

创建地址池：

仍然在全局视图下创建地址池：

配置网关地址：

进入地址池视图后，配置网关地址：

配置IP地址范围：

在地址池视图下配置可分配的IP地址范围：

排除特定IP地址：

在地址池视图中，配置不参与分配的IP地址范围：

配置地址租期：

设置IP地址的租期：

为客户端绑定固定IP地址（可选）：

仍然在地址池视图下，绑定客户端的固定IP地址与MAC地址：

通过这些配置步骤，你可以在设备的全局视图和地址池视图中完成DHCP的配置。

6.请简单描述DHCP relay的大致工作原理。

发现阶段：DHCP中继接收到DHCP客户端广播发送的DHCP DISCOVER报文后，通过路由转发将DHCP报文单播发送到DHCP服务器或下一跳中继。

提供阶段：DHCP服务器根据DHCP DISCOVER报文中的Giaddr字段选择地址池为客户端分配相关网络参数，DHCP中继收到DHCP OFFER报文后，以单播或广播方式发送给DHCP 客户端。

选择阶段：中继接收到来自客户端的DHCP REQUEST报文后，通过路由转发将DHCP报文单播发送到DHCP服务器或下一跳中继。

确认阶段：中继接收到来自服务器的DHCP ACK报文后，以单播或广播方式发送给DHCP 客户端。

总结：DHCP Relay通过在不同网络之间转发客户端和服务器的报文，使得跨网段的DHCP客户端也能从DHCP服务器获取IP地址

7.请简单描述DHCP relay的大致配置步骤。

启用DHCP中继功能：

在接口视图下，启用DHCP中继功能：

配置DHCP服务器的IP地址：

在接口视图下，指定DHCP服务器的IP地址：

创建DHCP服务器组（可选）：

在全局视图下，创建一个DHCP服务器组：

在服务器组中添加DHCP服务器：

应用服务器组（可选）：

在接口视图下，将接口与指定的DHCP服务器组关联：

验证配置：

使用命令查看DHCP中继的运行状态和统计信息：

通过以上配置步骤，DHCP Relay就能在不同网络之间中继客户端的请求，确保DHCP服务器可以为跨网段的客户端分配IP地址

8.针对DHCP的攻击主要有哪几种，如何进行解决。

针对DHCP的攻击主要有以下三种类型：

DHCP饿死攻击：

攻击原理：攻击者不断向DHCP服务器发送大量的IP地址请求，直至服务器的地址池耗尽，导致正常用户无法获得IP地址。

解决方案：可以使用DHCP Snooping技术，通过对DHCP Request报文的源MAC地址和CHADDR字段进行一致性检查，丢弃不一致的恶意报文，从而防止IP地址池被耗尽。

仿冒DHCP服务器攻击：

攻击原理：攻击者仿冒合法的DHCP服务器，向客户端分配错误的IP地址、网关或DNS，导致客户端无法正常访问网络。

解决方案：部署DHCP Snooping，将合法的DHCP服务器端口设置为Trusted，只允许从这些端口发送的DHCP响应报文，而丢弃从Untrusted端口接收到的仿冒报文。

DHCP中间人攻击：

攻击原理：攻击者通过篡改客户端与服务器之间的通信，伪造中间人身份进行攻击，劫持网络流量。

解决方案：同样可以通过DHCP Snooping结合IP Source Guard (IPSG) 技术，通过验证绑定表中的MAC地址和IP地址匹配情况，阻止恶意报文的发送。

这些安全防护措施主要依赖于在网络设备（如交换机）上部署的DHCP Snooping技术，确保DHCP服务器和客户端之间的通信安全

什么是DHCP，适用于什么场景

DHCP（动态主机配置协议，Dynamic Host Configuration Protocol）是一种网络协议，用于自动为终端设备（如电脑、手机等）分配IP地址、网关、DNS等网络参数，简化了手动配置网络的复杂性。DHCP基于客户端/服务器模式，客户端请求配置，服务器自动分配地址和相关参数。

💡

适用场景：

（学校、中小企业、商场、地铁、银行）

大规模网络：在有大量设备的网络中，手动分配IP地址效率低下，DHCP能够自动完成这项任务。移动终端：如手机、笔记本电脑等频繁更换网络的设备，DHCP能动态分配IP地址，确保设备在不同网络环境中都能顺利连接。家庭与企业网络：通过DHCP，无需用户手动配置设备的网络参数，适用于家庭路由器、办公网络等环境

🧑‍💻11 DHCP原理与配置