CCNP-DHCP

2022.1.30 The important thing in ife isn't the destination.lt's the journey--人生重要的不是目的，而是过程。

---

• DHCP 协议在 RFC2131 中定义，使用 UDP 协议进行数据包的封装，使用的是 67 、 68 端口。 DHCP 前身是 BOOTP(bootstrap protocol) 。

• DHCP 最常见的应用是，自动给终端分配 IP 地址，掩码，网关，但是 DHCP 也同样可以给终端设备自动配置其他 options 。更有些厂家，利用自己开发的第三方软件，把自己的一些配置信息，利用 DHCP 协议来推送。

• DHCP 的服务系统架构是 client/server 模式。 Client 向 server 发送请求获取 IP 地址。

DHCP 命令

• #show dhcp lease  查看 dhcp 的租约

• #show dhcp server  查看租用的服务

• Router(config )#ip dhcp pool NAME     

设置一个要分配给客户机的地址池  

• Router(dhcp-config)# network 10.1.1.0 255.255.255.0  

分配给客户端的网段

• Router(dhcp-config )# default-router 10.1.1.1 

分配给客户端的网关

• Router(dhcp-config )# dns-server 8.8.8.8

分配给客户端的dns服务器

• Router(config)#ip dhcp excluded-address 10.1.1.1

刨除的地址

DHCP监听的原理

• DHCP 监听（ DHCP Snooping ）

保证客户端能够从正确的DHCP服务器获得IP地址

避免DHCP服务器欺骗和DHCP地址耗尽

限制客户端发送DHCP请求的速度，从而减缓DHCP资源耗尽攻击

• DHCP 监听将交换机端口分为两种

非信任端口

连接终端设备的端口，该端口客户端只能发送DHCP请求报文，而丢弃来自该端口的其他所有DHCP报文（DHCP offer等）

信任端口

连接合法的DHCP服务器或者汇聚接口，能够转发和接收所有DHCP报文

 

---

 总结

DHCP中继
1.配置的helper地址是DHCP服务器的地址
2.由于中继的关系，discover报文的源IP地址会变成中继接口IP地址，所以DHCP服务器必须有可达的路由。

DHCP监听
配置在接入层交换机的
限制住了DHCP四种报文的交互方向，从而解决了DHCP的中间人攻击问题。

非授信端口：接终端，限制报文访问方向
授信端口：面向内网，不做限制。

IP源防护
配置在DHCP snooping 的非信任接口上的。
根据DHCP snooping的绑定表进行源IP地址的校验工作的。

两个前置条件：
1.必须启用DHCP snooping
2.snooping必须启用82选项

 verify source 表
从snooping表取数，存放动态信息
source binding 表
从snooping表取数，也记录静态绑定，存放动静信息