華為路由器dhcp簡單配置實例_第1頁
華為路由器dhcp簡單配置實例_第2頁
華為路由器dhcp簡單配置實例_第3頁
華為路由器dhcp簡單配置實例_第4頁
華為路由器dhcp簡單配置實例_第5頁
已閱讀5頁,還剩1頁未讀 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、華為路由器dhcp簡單配置實例session 1 DHCP的工作原理       DHCP(Dynamic Host Configuration Protocol,動態(tài)主機配置協(xié)議)是一個局域網(wǎng)的網(wǎng)絡協(xié)議,使用UDP協(xié)議工作, 主要有兩個用途:給內部網(wǎng)絡或網(wǎng)絡服務供應商自動分配IP地址,給用戶或者內部網(wǎng)絡管理員作為對所有計算機作中央管理的手段,在RFC 2131中有詳細的描述。DHCP有3個端口,其中UDP67和UDP68為正常的DHCP服務端口,分別作為DHCP Server和DHCP Client的服務端口;546號端口用于DHCPv6 Client

2、,而不用于DHCPv4,是為DHCP failover服務,這是需要特別開啟的服務,DHCP failover是用來做“雙機熱備”的。       DHCP協(xié)議采用UDP作為傳輸協(xié)議,主機發(fā)送請求消息到DHCP服務器的67號端口,DHCP服務器回應應答消息給主機的68號端口,DHCP的IP地址自動獲取工作原理及詳細步驟如下:1、DHCP Client以廣播的方式發(fā)出DHCP Discover報文。2、所有的DHCP Server都能夠接收到DHCP Client發(fā)送的DHCP Discover報文,所有的DHCP Server都會給出響應,向DHCP C

3、lient發(fā)送一個DHCP Offer報文。DHCP Offer報文中“Your(Client) IP Address”字段就是DHCP Server能夠提供給DHCP Client使用的IP地址,且DHCP Server會將自己的IP地址放在“option”字段中以便DHCP Client區(qū)分不同的DHCP Server。DHCP Server在發(fā)出此報文后會存在一個已分配IP地址的紀錄。3、DHCP Client只能處理其中的一個DHCP Offer報文,一般的原則是DHCP Client處理最先收到的DHCP Offer報文。DHCP Client會發(fā)出一個廣播的DHCP Request

4、報文,在選項字段中會加入選中的DHCP Server的IP地址和需要的IP地址。4、DHCP Server收到DHCP Request報文后,判斷選項字段中的IP地址是否與自己的地址相同。如果不相同,DHCP Server不做任何處理只清除相應IP地址分配記錄;如果相同,DHCP Server就會向DHCP Client響應一個DHCP ACK報文,并在選項字段中增加IP地址的使用租期信息。5、DHCP Client接收到DHCP ACK報文后,檢查DHCP Server分配的IP地址是否能夠使用。如果可以使用,則DHCP Client成功獲得IP地址并根據(jù)IP地址使用租期自動啟動續(xù)延過程;如

5、果DHCP Client發(fā)現(xiàn)分配的IP地址已經(jīng)被使用,則DHCP Client向DHCPServer發(fā)出DHCP Decline報文,通知DHCP Server禁用這個IP地址,然后DHCP Client開始新的地址申請過程。6、DHCP Client在成功獲取IP地址后,隨時可以通過發(fā)送DHCP Release報文釋放自己的IP地址,DHCP Server收到DHCP Release報文后,會回收相應的IP地址并重新分配。session 2 dhcp的中繼代理和snooping一、dhcp中繼代理的作用就是:在一個L3層網(wǎng)絡中,如果dhcp服務器和客戶端不在同一個網(wǎng)段時,客戶端發(fā)送的dhcp

6、-discovery廣播包將會被網(wǎng)關設備丟棄(L3層隔離廣播特性)。dhcp中繼就是在網(wǎng)關接口上配置一種能讓網(wǎng)關識別客戶端發(fā)送的dhcp-discovery廣播包,當網(wǎng)關收到該包后不做丟棄處理,而是以單播形式代理客戶端來向dhcp服務器請求ip地址,然后再將dhcp回應的offer包轉發(fā)給客戶端,幫助客戶端完成ip地址的獲取過程。只需要再L3網(wǎng)關的接口上配置中繼代理:二、為了防止網(wǎng)絡中非法dhcp向用戶提供dhcp服務,可以使用dhcp snooping(dhcp探測功能)。       DHCP Snooping技術是DHCP安全特性,通過建立和維護D

7、HCP Snooping綁定表過濾不可信任的DHCP信息,這些信息是指來自不信任區(qū)域的DHCP信息(也就是非法dhcp服務器)。DHCP Snooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN-ID 接口等信息,該技術在接口上設置是否信任該接口上連接的dhcp服務器(如果有)。       當交換機開啟了 DHCP-Snooping后,交換機所有端口會對自己接受來的DHCP報文進行偵聽,并可以從接收到的DHCP Request或DHCP Ack報文中提取并記錄IP地址和MAC地址信息。另外,DHCP-Snooping允許將某個物

8、理端口設置為信任端口或不信任端口。信任端口可以正常接收并轉發(fā)DHCP Offer報文,而不信任端口會將接收到的DHCP Offer報文丟棄。這樣,可以完成交換機對假冒DHCP Server的屏蔽作用,確??蛻舳藦暮戏ǖ腄HCP Server獲取IP地址。       默認情況下開啟了DHCP Snooping后,交換機所有接口都被設置為不信任狀態(tài),就是任何一個端口收到dhcp服務器的offer響應包后都會丟棄,可以手動配置合法dhcp所在的端口為信任端口,不丟棄dhcp服務器向外發(fā)送的offer包,來實現(xiàn)dhcp的安全。    

9、60;  一般所有交換機都開啟dhcp snooping功能,信任接口一般都是sw之間相連的接口(如果是匯聚層交換機的話需要在該交換機連接上游核心sw和下游接入sw的接口上都開啟dhcp trust才可以,核心L3層交換機作為dhcp服務器的話),非信任接口都是sw連接PC的接口。session 3 dhcp的配置實例拓撲如下:      根據(jù)拓撲配置,要求PC1和PC2分別在不同的vlan中獲取AR2這臺DHCP分配的ip地址,并且在LSW2和AR2上開啟dhcp snpooping功能防止非法dhcp服務器接入網(wǎng)絡和非法用戶對于AR2的dhcp泛紅攻

10、擊,在LSW2上開啟中繼代理功能為PC1和P2代理dhcp服務器的ip地址。具體配置如下:一、將AR2配置成dhcp服務器Huaweiinterface g0/0/0Huawei-GigabitEthernet0/0/0 ip address 12.1.1.2 255.255.255.0Huawei-GigabitEthernet0/0/0 quitHuaweiHuawei ip pool net1                            

11、                                            配置為vlan2分配IP地址的地址池,名為net1Huawei-ip-pool-net1 network 192.168.1.0 mask 255.255.255.0          分配的ip是192.168.1.0/24Hua

12、wei-ip-pool-net1 gateway-list 192.168.1.1Huawei-ip-pool-net1 dns-list 218.30.19.40 61.134.1.4Huawei-ip-pool-net1 static-bind ip-address 192.168.1.10 mac-address 0000-1111-2222        為固定mac分配固定ipHuawei-ip-pool-net1 excluded-ip-address 192.168.1.2    

13、                  不分配的ip地址Huawei-ip-pool-net1 quitHuaweiHuawei ip pool net2                                              配置為vlan2分配IP地址的地址池,

14、名為net1Huawei-ip-pool-net2 network 192.168.2.0 mask 255.255.255.0           分配的ip是192.168.1.0/24Huawei-ip-pool-net2 gateway-list 192.168.2.1Huawei-ip-pool-net2 dns-list 218.30.19.40 61.134.1.4Huawei-ip-pool-net2 static-bind ip-address 192.168.2.10 mac-addr

15、ess 0001-1111-2222        為固定mac分配固定ipHuawei-ip-pool-net2 excluded-ip-address 192.168.2.2                       不分配的ip地址Huawei-ip-pool-net2 quitHuaweiHuaweiinterface g0/0/0Huawei-GigabitEthernet0/0/0 ip address 12.1.1.2

16、255.255.255.0            Huawei-GigabitEthernet0/0/0 dhcp select global                                接口下開啟器全局DHCP分配功能Huawei-GigabitEthernet0/0/0 quit          

17、;                                           Huaweidhcp server ping packet 10 timeout 100                             

18、60;   配置dhcp服務器分配某個ip之前先探測該ip是否已被網(wǎng)絡中pc使用的功能,dhcp服務器會向該ip地址發(fā)10個包且每次100ms,無應答才會分配該ip地址給客戶端Huaweidhcp check dhcp-rate enable                                                 開啟dhc

19、p的速率檢測功能開關Huaweidhcp check dhcp-rate 90                       檢測收到dhcp請求包的速率最大為90個/s,默認100個/s,防止dhcp泛紅攻擊Huawei quitHuawei ip route-static 0.0.0.0 0.0.0.0 12.1.1.1                      

20、                配置一條能夠到達客戶端網(wǎng)絡的默認路由二、配置SW成為dhcp中繼代理為vlan2和vlan3中的客戶端提供對應的dhcp中繼代理服務,并配置dhcp-snooping功能防止非法的dhcp服務器分配ip地址給客戶端Huaweiinterface Vlanif 1Huawei-Vlanif1ip address 12.1.1.1 255.255.255.0Huawei-Vlanif1quitHuaweiHuaweivlan 2         &

21、#160;                                                      創(chuàng)建vlan2、3Huawei-vlan2quitHuaweivlan 3 Huawei-vlan3quitHuaweiHuawei interface vlan 2Huawei-Vlanif2 ip

22、address 192.168.1.1 255.255.255.0Huawei-Vlanif2dhcp select relay Huawei-Vlanif2 dhcp relay server-ip 12.1.1.2                      在vlan2中開啟dhcp中繼功能Huawei-Vlanif2 quitHuaweiHuawei interface vlan 3Huawei-Vlanif3 ip address 192.168.2.1 255.25

23、5.255.0Huawei-Vlanif3dhcp select relay 在vlan3中開啟dhcp中繼功能Huawei-Vlanif3 dhcp relay server-ip 12.1.1.2                       dhcp選擇中繼服務器IP地址Huawei-Vlanif3 quitHuaweiHuaweiinterface g0/0/1                

24、;                                       配置接口g0/0/1和g/0/2為access接口Huawei-GigabitEthernet0/0/1port link-type access Huawei-GigabitEthernet0/0/1quitHuaweiHuaweiinterface g0/0/2Huawei-GigabitEthernet0/0/1

25、port link-type access Huawei-GigabitEthernet0/0/1quitHuaweiHuaweivlan 2                                                                      將g/0/1接口加入vlan2,g/0/2加入vlan3Huawei-vlan2port g0/0/1Huawei-vlan2quitHuaweiHuaweivlan 3 Huawei-vlan3port g0/0/2Huawei-vlan3quitHuaweiHuaweiip route-static 0.0.0.0 0.0.0.0 12.1.1.2                       配置能

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論