BUZZ-Notes🧑💻11 DHCP原理与配置
type
status
date
slug
summary
tags
category
icon
password
1.DHCP的中文全称是什么,其协议报文是基于什么方式进行交互的,其端口号是多少?
DHCP的中文全称是动态主机配置协议(Dynamic Host Configuration Protocol)。
其协议报文是基于UDP(用户数据报协议)方式进行交互的,使用的端口号如下:
- 67 端口:用于 DHCP 服务器
- 68 端口:用于 DHCP 客户端
2.DHCP中的协议报文都有哪些,请写出来。
DHCP中的协议报文类型共有八种,分别是:
- DHCP DISCOVER:客户端发现DHCP服务器的报文。
- DHCP OFFER:DHCP服务器提供网络配置信息的报文。
- DHCP REQUEST:客户端请求指定的IP地址及相关配置信息的报文。
- DHCP DECLINE:客户端拒绝服务器提供的IP地址的报文。
- DHCP ACK:服务器确认并应答客户端请求的报文。
- DHCP NAK:服务器拒绝客户端请求的报文。
- DHCP RELEASE:客户端释放IP地址的报文。
- DHCP INFORM:客户端请求除IP地址以外的配置信息的报文
3.请简答描述DHCP的大致工作原理。
- 发现阶段(DHCP DISCOVER):客户端通过广播发送DHCP DISCOVER报文,寻找DHCP服务器。DHCP DISCOVER报文中携带了客户端的MAC地址、需要请求的参数列表选项、广播标志位等信息。
- 提供阶段(DHCP OFFER):服务器接收到DHCP DISCOVER报文后,选择跟接收DHCP DISCOVER报文接口的IP地址处于同一网段的地址池,并且从中选择一个可用的IP地址,然后通过DHCP OFFER报文发送给DHCP客户端
- 选择阶段(DHCP REQUEST):如果有多个DHCP服务器向DHCP客户端回应DHCP OFFER报文,则DHCP客户端一般只接收第一个收到的DHCP OFFER报文,然后以广播方式发送DHCP REQUEST报文,该报文中包含客户端想选择的DHCP服务器标识符和客户端IP地址。
- 确认阶段(DHCP ACK):DHCP服务器通过单播发送DHCP ACK报文,确认IP地址的分配。客户端在收到DHCP ACK后,会广播发送免费ARP,检测该IP地址在本网络中是否被其他终端占用
4.请简单描述DHCP地址续租的大致过程。
DHCP地址续租的大致过程如下:
- 租期达到50%(T1)时:客户端通过单播发送DHCP REQUEST报文,请求续租IP地址。如果服务器回应DHCP ACK报文,续租成功,租期更新。
- 租期达到87.5%(T2)时:如果未收到服务器回应,客户端会通过广播再次发送DHCP REQUEST报文,请求续租。如果服务器回应DHCP ACK报文,续租成功。
- 租期到期时:如果客户端仍未收到服务器的回应,客户端停止使用当前IP地址,并重新发送DHCP DISCOVER报文,开始获取新的IP地址
5.请简单描述DHCP的配置步骤。
在DHCP配置中,相关的命令主要是在路由器或交换机的不同视图下进行。以下是具体配置步骤以及每步所在的配置视图说明:
- 启用DHCP功能:
- 在全局视图下(即
<Huawei>提示符)执行命令:
- 创建地址池:
- 仍然在全局视图下创建地址池:
- 配置网关地址:
- 进入地址池视图后,配置网关地址:
- 配置IP地址范围:
- 在地址池视图下配置可分配的IP地址范围:
- 排除特定IP地址:
- 在地址池视图中,配置不参与分配的IP地址范围:
- 配置地址租期:
- 设置IP地址的租期:
- 为客户端绑定固定IP地址(可选):
- 仍然在地址池视图下,绑定客户端的固定IP地址与MAC地址:
通过这些配置步骤,你可以在设备的全局视图和地址池视图中完成DHCP的配置。
6.请简单描述DHCP relay的大致工作原理。
- 发现阶段:DHCP中继接收到DHCP客户端广播发送的DHCP DISCOVER报文后,通过路由转发将DHCP报文单播发送到DHCP服务器或下一跳中继。
- 提供阶段:DHCP服务器根据DHCP DISCOVER报文中的Giaddr字段选择地址池为客户端分配相关网络参数,DHCP中继收到DHCP OFFER报文后,以单播或广播方式发送给DHCP 客户端。
- 选择阶段:中继接收到来自客户端的DHCP REQUEST报文后,通过路由转发将DHCP报文单播发送到DHCP服务器或下一跳中继。
- 确认阶段:中继接收到来自服务器的DHCP ACK报文后,以单播或广播方式发送给DHCP 客户端。
总结:DHCP Relay通过在不同网络之间转发客户端和服务器的报文,使得跨网段的DHCP客户端也能从DHCP服务器获取IP地址
7.请简单描述DHCP relay的大致配置步骤。
- 启用DHCP中继功能:
- 在接口视图下,启用DHCP中继功能:
- 配置DHCP服务器的IP地址:
- 在接口视图下,指定DHCP服务器的IP地址:
- 创建DHCP服务器组(可选):
- 在全局视图下,创建一个DHCP服务器组:
- 在服务器组中添加DHCP服务器:
- 应用服务器组(可选):
- 在接口视图下,将接口与指定的DHCP服务器组关联:
- 验证配置:
- 使用命令查看DHCP中继的运行状态和统计信息:
通过以上配置步骤,DHCP Relay就能在不同网络之间中继客户端的请求,确保DHCP服务器可以为跨网段的客户端分配IP地址
8.针对DHCP的攻击主要有哪几种,如何进行解决。
针对DHCP的攻击主要有以下三种类型:
- DHCP饿死攻击:
- 攻击原理:攻击者不断向DHCP服务器发送大量的IP地址请求,直至服务器的地址池耗尽,导致正常用户无法获得IP地址。
- 解决方案:可以使用DHCP Snooping技术,通过对DHCP Request报文的源MAC地址和CHADDR字段进行一致性检查,丢弃不一致的恶意报文,从而防止IP地址池被耗尽。
- 仿冒DHCP服务器攻击:
- 攻击原理:攻击者仿冒合法的DHCP服务器,向客户端分配错误的IP地址、网关或DNS,导致客户端无法正常访问网络。
- 解决方案:部署DHCP Snooping,将合法的DHCP服务器端口设置为Trusted,只允许从这些端口发送的DHCP响应报文,而丢弃从Untrusted端口接收到的仿冒报文。
- DHCP中间人攻击:
- 攻击原理:攻击者通过篡改客户端与服务器之间的通信,伪造中间人身份进行攻击,劫持网络流量。
- 解决方案:同样可以通过DHCP Snooping结合IP Source Guard (IPSG) 技术,通过验证绑定表中的MAC地址和IP地址匹配情况,阻止恶意报文的发送。
这些安全防护措施主要依赖于在网络设备(如交换机)上部署的DHCP Snooping技术,确保DHCP服务器和客户端之间的通信安全
DHCP Snooping配置:
什么是DHCP,适用于什么场景
DHCP(动态主机配置协议,Dynamic Host Configuration Protocol)是一种网络协议,用于自动为终端设备(如电脑、手机等)分配IP地址、网关、DNS等网络参数,简化了手动配置网络的复杂性。DHCP基于客户端/服务器模式,客户端请求配置,服务器自动分配地址和相关参数。
上一篇
9 交换机堆叠与集群
下一篇
12 策略路由(PBR)
Loading...
