2022.1.30 The important thing in ife isn't the destination.lt's the journey--人生重要的不是目的,而是过程。
• DHCP 协议在 RFC2131 中定义,使用 UDP 协议进行数据包的封装,使用的是 67 、 68 端口。 DHCP 前身是 BOOTP(bootstrap protocol) 。 • DHCP 最常见的应用是,自动给终端分配 IP 地址,掩码,网关,但是 DHCP 也同样可以给终端设备自动配置其他 options 。更有些厂家,利用自己开发的第三方软件,把自己的一些配置信息,利用 DHCP 协议来推送。 • DHCP 的服务系统架构是 client/server 模式。 Client 向 server 发送请求获取 IP 地址。 DHCP 命令 • #show dhcp lease 查看 dhcp 的租约 • #show dhcp server 查看租用的服务 • Router(config )#ip dhcp pool NAME
设置一个要分配给客户机的地址池
• Router(dhcp-config)# network 10.1.1.0 255.255.255.0分配给客户端的网段
• Router(dhcp-config )# default-router 10.1.1.1分配给客户端的网关
• Router(dhcp-config )# dns-server 8.8.8.8分配给客户端的dns服务器
• Router(config)#ip dhcp excluded-address 10.1.1.1刨除的地址
DHCP监听的原理
• DHCP 监听( DHCP Snooping )保证客户端能够从正确的DHCP服务器获得IP地址
避免DHCP服务器欺骗和DHCP地址耗尽
限制客户端发送DHCP请求的速度,从而减缓DHCP资源耗尽攻击
• DHCP 监听将交换机端口分为两种非信任端口
连接终端设备的端口,该端口客户端只能发送DHCP请求报文,而丢弃来自该端口的其他所有DHCP报文(DHCP offer等)
信任端口
连接合法的DHCP服务器或者汇聚接口,能够转发和接收所有DHCP报文
总结
DHCP中继
1.配置的helper地址是DHCP服务器的地址
2.由于中继的关系,discover报文的源IP地址会变成中继接口IP地址,所以DHCP服务器必须有可达的路由。
DHCP监听
配置在接入层交换机的
限制住了DHCP四种报文的交互方向,从而解决了DHCP的中间人攻击问题。
非授信端口:接终端,限制报文访问方向
授信端口:面向内网,不做限制。
IP源防护
配置在DHCP snooping 的非信任接口上的。
根据DHCP snooping的绑定表进行源IP地址的校验工作的。
两个前置条件:
1.必须启用DHCP snooping
2.snooping必须启用82选项
verify source 表
从snooping表取数,存放动态信息
source binding 表
从snooping表取数,也记录静态绑定,存放动静信息
