DHCP
DHCP的配置?
动态主机配置协议,是Server/Client,为客户端自动动态的分配IP地址。
节约IP地址、减少IP地址的配置错误。(手动配置可能会撞)
哪些设备可以做DHCP服务器?
三层设备(三层交换器、路由器)、服务器、(PC机也可以)
❤DHCP的工作原理❤:(会自己描述)
用户端 服务器端
udp/ Port 68 Port 67
搜索DHCP服务器->(discover)
broadcast
<-DHCP提供参数
unicast
DHCP参数选择->
broadcast
<-DHCP服务确认
unicast
参考网站:(里面有些内容必须记住)添加链接描述
添加链接描述
DHCP的配置?
服务器上至少要提供:
1.IP地址池(包含了多个IP地址的网段)
2.网关
3.DNS
拓扑图:
三层交换机:
MSW1(config)#ip dhcp pool vlan10新建一个IP地址池,名字叫做vlan10
MSW1(dhcp-config)#?
租约时间:时间到了会回收IP
MSW1((dhcp-config)#network 192.168.10.0 255.255.255.0 地址池包含的地址范围
MSW1((dhcp-config)#default-router 192.168.10.254 分配的网关地址
MSW1((dhcp-config)#dns-server 61.139.2.69分配的DNS地址
排除地址(不分配的地址))(有特定用途的地址)
MSW1(config)#ip dhcp excluded-address 192.168.10.1 192.168.10.10 排除地址(不分配的IP地址)
MSW1(config)#int vlan 10
MSW1(config-vlan)#ip address 192.168.10.254 255.255.255.0
MSW1(config)#ip routing
设置vlan10网段的PC机IP获取方式为DHCP
vlan20配置方式同vlan10
PC端命令:ipconfig 查看网卡的基本信息
ipconfig /all 查看网卡的详细信息
ipconfig /release 释放IP地址信息
ipconfig /renew 重新获取IP地址
IP地址信息正常上不了网,可能是与别的IP信息冲突,可以释放IP地址信息再重新获取
DHCP的安全隐患:
耗尽攻击(可以配置端口安全)
MSW1(config)#ip dhcp snooping 开启snooping功能
MSW1(config)#ip dhcp snooping vlan 10(开启snooping默认情况下都为非信任端口) (vlan 10为作用域)
Switch(config)#ip dhcp snoopiing verify mac-address //非信任端口收到的DHCP请求报文的源MAC和CHADDR字段是否相同,以防止DHCP耗竭,该功能默认即为开启。
SW1(config)#ip dhcp snooping 开启snooping功能
SW1(config)#ip dhcp snooping vlan 10(开启snooping默认情况下都为非信任端口) (vlan 10为作用域)
设置端口不接受ICMP
信任端口/非信任端口
只有信任的端口才能发送信息
非信任端口无法DHCP获取IP地址信息
PC机->IP DHCP获取失败
MSW1(config)#int f0/22
MSW1(config)#ip dhcp snooping trust
SW1(config)#int f0/22
SW1(config)#ip dhcp snooping trust
SW1(config)#int f0/1
SW1(config-if)#ip dhcp snooping trust
(如果是Server做DHCP,Server连接在二层交换机,直接设置二层接口就好了)
参考网站:添加链接描述
三层交换机是高速转发的网络,不建议直接设置DHCP服务,三层交换机转发给DHCP服务器让它操作。
MSW1删除所有的DHCP配置信息,单独做一台服务器,单独划分一个vlan
(删除
MSW1(config)#no dhcp pool vlan10
MSW1(config)#no dhcp snooping
MSW1(config)#no ip dhcp snooping vlan 10
SW1(config)#no ip dhcp snooping 关闭snooping功能
SW1(config)#no ip dhcp snooping vlan 10
MSW1(config)#int f0/22
MSW1(config)#no ip dhcp snooping trust
SW1(config)#int f0/22
SW1(config)#no ip dhcp snooping trust
SW1(config)#int f0/1
SW1(config-if)#no ip dhcp snooping trust
)
MSW1(config)#vlan 100
MSW1(config)#int vlan 100
MSW1(config-if)#ip add 192.168.100.254 255.255.255.0
MSW1(config)#int f0/1
MSW1(config-if)#sw mo acc
MSW1(config-if)#sw acc vlan 100
SW1(config)#vlan 100
Server0:
Services->DHCP
Default Gateway设置要和交换机中设置的vlan IP地址一致(int vlan 10->ip dd)
vlan 20同vlan10配置
给Server0设置IP地址信息
PC机ping 192.168.100.1能通信
这时三层交换机做DHCP中继服务器:
转发DHCP给服务端
DHCP中继的配置:在网关接口上配置中继
MSW1(config)#int vlan 10
MSW1(config-if)#ip helper-address 192.168.100.1转发给服务器(这时处于vlan10网段的PC机能DHCP获取IP信息)
设置路由器某一的端口能自动获取ip地址:
R1(config)#int f0/0
R1(config)#ip address dhcp
华为配置可参考11-9 HCDP-Enterprise实验指导书HCDP-Enterprise-IESN v1.5。
一、三层交换机实现vlan间通信,网关接口是SVI虚拟接口
二、单臂路由实现vlan间通信,网关接口是子接口(在子接口上配置转发)
三、路由器做网关 f0/0
1.STP
解决二层环路,备份链路
2.HSRP/VRRP
VLAN:虚拟局域网(做广播隔离,减少广播风暴,确保数据安全)
交换机的原理:所有端口都在一个网络
配置步骤:划分vlan、将端口设置为ACCESS并加入vlan、配置trunk端口
实现不同设备间同一vlan通信
trunk是用来标记vlan的(打标签)(trunk的封装标准802.1q)
access只接受和发送它所在vlan的数据
不同vlan间通信:必须要用到三层设备
方法一:使用三层交换机实现通信
划vlan、开启对应的SVI虚拟接口、ip routing开启路由功能、trunk端口
方法二:使用路由器实现通信(单臂路由)