A011 - 基础 - dhcp

已于 2023-09-23 12:20:21 修改
阅读量151 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: HCIE-DATACOM 文章标签: 网络
于 2023-09-23 12:17:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38662859/article/details/133202882
本文详细介绍了DHCP协议的工作原理,包括报文类型、选项、工作流程,以及华为设备上的DHCP配置和安全特性如DHCPSnooping。涵盖了地址分配、续租、Relay机制和防御策略等内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一. 概述

DHCP - Dynamic Host Config Protocol 在 IPv4 中实现了 Client 网络属性(IP 与 Options) 的配置自动化;

DHCP 是 CS 架构,基于 UDP 67(Server监听) 和 UDP 68(Client 监听);

二.原理

2.1 基本概念

报文:

  • DHCP 报头有两种类型,Op=1 是请求, Op=2 是响应;
  • 更详细的类型在 Option 53 中,包含 DISCOVER/OFFER/REQUEST/DECLINE/ACK/NAK/RELEASE/INFORM

选项:

  • 增强 DHCP 功能,支持额外信息的交互;
  • 常用的扩展 - 为 Client 分配网关/DNS/启动盘路径等;
  • option 43 为厂商定制选项,可用于在 WLAN 组网中,携带 AC 的地址,协助创建 CAPWAP 隧道;
  • option 82 中继代理信息选项,中继处理 Client 请求后添加,用于告知 Server Client 一些信息;

2.2 工作过程

Client 三层广播 DISCOVER:

  • 报文的源地址为 0.0.0.0/接口MAC, 目的为 255.255.255.255/FFFF-FFFF-FFF

  • 报文携带客户端的 MAC 地址与请求的属性信息;

  • 如果 Client 非首次连接至网络,会携带原地址;

Server 三层广播/单播 OFFER:

  • Server 基于 Client 的 MAC 和收到该报文接口的 IP 地址段,从 pool 中选取合适地址分配给 Client;
  • Server 选定 IP 后,可能会在网内进行重复地址探测,可能得方式有 Ping 和 ARP,无重复后发出;
  • OFFER 报文是广播和单播的选择,基于 DISCOVER 报文中的 Flag 第一位,0 - unicat,1 - brocast;

Client 三层广播 REQUEST:

  • 告知该广播域下的其他 Clients,该地址已占用;

Server 三层单播 ACK:

  • Client 收到该报文后,在配置并使用该地址钱,会进行一次 ARP 探测,如果发现重复,会告知 Server;

续租:

  • 在租约过了 T1 - 50% 时,可能会单播发送 Request 报文,刷新租约;
  • 在租约过了 T2 - 87.5% 时,可能会广播发送 Request 报文,刷新租约;
  • 在租约到期后,发送 DISCOVER 报文,重新获取;
  • 地址分配优先级: MAC静态 > DISCOVER 携带 > 空闲 IP > 超过租约的 IP > 产生过冲突的 IP;

Relay:

  • 让 DHCP 报文可以跨三层传输;
  • 额外添加 Hops 属性,该属性每经过一个 Relay 加 1 ,最大 16;
  • 额外添加 Giaddr 属性,告知服务器,DICOVER 报文来自哪个网段;

2.3 Feature

DHCP Snooping

  • 将接口划分为信任端口和非信任端口,防止 DHCP 仿冒者攻击;
  • 依据 DHCP Snooping 绑定表生成接口静态 MAC 表项,MAC 不再自动学习,限制静态 IP 的接入;
  • 限制单位时间内上送 DHCP Server 的报文数量,防止 DHCP 泛洪攻击;
  • 依据 DHCP Snooping 绑定表,检查 Request 报文和 Release 报文是否合法,防止 DHCP 仿冒攻击;
  • DHCP Snooping 额外检查报文中的 CHADDR 字段与报文二层的 Src MAC 字段,防止地址耗尽攻击;

三. DHCP 配置

3.1 基础配置

# 全局使能 dhcp
] dhcp enable

# 地址池配置
] ip pool ip-pool-name 
pool] gateway-list ip-address
pool] network ip-address [ mask { mask | mask-length } ]
pool] excluded-ip-address start-ip-address [ end-ip-address ] 
pool] lease { day day [ hour hour [ minute minute ] ] | unlimited } 
pool] static-bind ip-address ip-address mac-address mac-address [ option-template template-name | description description ]

# 接口 DHCP 配置
] interface interface-type interface-number [subinterface-number ]
接口] ip address ip-address { mask | mask-length }
接口] DHCP server gateway-list ip-address
接口] DHCP server static-bind ip-address ip-address mac-address mac-address [ description description ]
接口] DHCP server excluded-ip-address start-ip-address [ end-ip-address]
接口] DHCP server lease { day day [ hour hour [ minute minute ] ] | unlimited }

# 接口 Relay 配置 - 方式一
接口] DHCP select relay  
接口] DHCP relay server-ip  ip-address

# 接口 Relay 配置 - 方式二
] DHCP server group group-name
group] DHCP-server ip-address [ ip-address-index ]
接口] DHCP relay server-select group-name 
接口] ip address DHCP-alloc

3.2 Feature 配置

# 全局/vlan/接口下使能 dhcp snooping
dhcp snooping enable
vlan] dhcp snooping enable [ interface interface-type interface-number ]
接口] dhcp snooping enable

# 配置 dhcp snooping 信任接口
vlan] dhcp snooping trusted [ interface interface-type interface-number ]
接口] dhcp snooping trusted

# 依据 binding 表检查报文
vlan] dhcp snooping check { arp | ip } enable [ interface interface-type interface-number ]
接口] dhcp snooping check { arp | ip } enable

# 配置静态 binding 表项
vlan] dhcp snooping bind-table static ip-address ip-address [ mac-address mac-address ] [ interface interface-type interface-number [ ce-vlan ce-vlan-id ] ]
接口] dhcp snooping bind-table static ip-address ip-address [ mac-address mac-address ] [ vlan vlan-id [ ce-vlan ce-vlan-id ] ]

# 备份 binding 表,防止重启后失效
] dhcp snooping bind-table autosave filename

# 让报文中携带更多的 Client 信息 - 配置 Option82
vlan] dhcp option82 insert/rebuild enable [ interface interface-type interface-number ]

# 配置 CHADDR 检查功能
vlan] dhcp check chaddr enable [ interface interface-type interface-number ]
接口] dhcp check chaddr enable

# 配置续约检查
vlan] dhcp snooping check dhcp-request enable [ interface interface-type interface-number ]
接口] dhcp snooping check dhcp-request enable

# 配置最大用户数限制
vlan] dhcp snooping max-user-number max-user-number [ interface interface-type interface-number ]
接口] dhcp snooping max-user-number max-user-number

# 配置 dhcp-snooping 白名单功能
] dhcp snooping packet whitelist whitelist-name
] dhcp packet-rule ruleid { source-ip source-ip-address { source-ip-mask | source-ip-mask-length } | destination-ip destination-ip-address { destination-ip-mask | destination-ip-mask-length } } * [ source-port { bootpc | bootps } ] [ destination-port { bootpc | bootps } ]

参考:

To 华为 DHCP-Snooping 配置指南

ovn metadata (by quqi99)
技术并艺术着
08-25 1733
3, neutron-ovn-metadata-agent与unix socket(/var/lib/neutron/metadata_proxy)相连,它再将请求发给本机上nova-api-metadata(DVR模式下每个计算节点都会有自己的nova-api-metadata)2, 计算节点上运行一个neutron-ovn-metadata-agent, 同时neutron-ovn-metadata-agent为每个network创建一个ovnmeta-xxx并启动haproxy实例..........
Linux网络配置
qq_40016884的博客
01-23 189
###############################Linux网络配置################################ 1、常用网络协议 ip基础知识: ipv4:2进制32位 11111110.11111110.11111110.11111110 == 254.254.254.254 172.25.0.10/255.255.255.0:              ...
Shell编程实战范例
Janus
05-16 2733
前言: 本部分主要参考此博客: https://www.w3cschool.cn/shellbook/uglqdozt.html 数值运算: 进制转换: 其他进制转换为10进制, 可以使用Shell内置的进制转换 如将8进制的11转换为10进制: echo "8to10 $[8#11]" 直接使用bc计算器, 能直接指定源&目标进制, 方便转换 由于bc是交互式的计算器, 所以这里没法直接使用参数的形式进行, 而是采用echo一个用分号分割的多条语句组成的字符串给bc, 其将自动打印结果 ec
小E开发板wifi音箱一实现PC通过wifi传数据到开发板进行播放
热门推荐
挖到尽头
01-05 3万+
在之前的文章(http://blog.csdn.net/chengdong1314/article/details/53700742)中有提到小E开发板播放音乐的形式是wifi负责把数据拷贝到flash中,然后DMA模块负责把数据拷贝到I2S中,所以首先要做的是把数据拷贝到flash中。      在上面的文章中我们知道,微信发送过来的数据最终通过write_flash_callbac来把数据烧
深度学习乐园项目案例分享:A011-BertForSequenceClassification模型实现微博文本情感三分类提升
01-12
在具体实现中,项目使用了预训练的BERT基础模型作为文本表示学习的核心,结合PyTorch深度学习框架来搭建模型,并使用数据清洗、分词处理、模型训练、评估等完整流程,旨在为中文情感分类提供一个高效的解决方案,...
a011-201303.丰富色_罗列式_适用于应届生_1页式_无内容_无封面.zip
11-18
本次提供的简历模板名为“a011-201303.丰富色_罗列式_适用于应届生_1页式_无内容_无封面”,虽然没有具体的内容和封面,但是它的设计理念和格式结构为我们提供了制作简历时的重要参考。 首先,从标题“a011-201303....
SY7.820-A011-A0.zip_DSP 逆变器_DSP逆变器_Dsp inverter pcb_逆变器 dsp_逆变器
07-15
资料包括24V,1KW的离网逆变器DSP和AD硬件原理图的设计和PCB板的制作,同时该模块还可以应用于不同的新能源场合。希望对大家有帮助
CNAS-CL01-A011:2018《检测和校准实验室能力认可准则在金属材料检测领域的应用说明》.pdf
04-21
CNAS-CL01-A011:2018《检测和校准实验室能力认可准则在金属材料检测领域的应用说明》.pdf
CNAS-CL01-A011:2018《实验室能力认可准则在金属材料检测领域的应用说明》.pdf
05-09
### CNAS-CL01-A011:2018《实验室能力认可准则在金属材料检测...通过以上内容可以看出,CNAS-CL01-A011不仅强调了金属材料检测领域的特殊要求,还注重实验室整体能力的提升,为该领域的可持续发展奠定了坚实的基础
Java中的URI与URL对象及网络编程
静水深流
07-12 368
本文介绍了Java中URI与URL的处理及网络编程基础概念。Java通过java.net包提供URI/URL对象化表示,包括URI类(RFC 2396标准)、URL类及其编解码工具。URI类提供语法校验和解析功能,URL类则具备网络操作能力。文章还对比了两者差异,并详细说明URL编解码规范。 在网络基础方面,文章按地理范围划分网络类型(LAN/CAN/MAN/WAN),阐述协议栈分层设计(TCP/UDP/IP/HTTP等)。重点讲解UDP编程,包括无连接特性、DatagramSocket/Packet类的使
车载以太网-TC8测试-UT(Upper Tester)
天赐好车的博客
07-08 449
车载以太网-TC8测试-UT(Upper Tester)
【TCP/IP】13. 邮件传输协议
m0_72516377的博客
07-11 300
本章介绍了邮件传输协议相关内容。电子邮件系统由用户代理、邮件服务器及 SMTP(发送)、POP3/IMAP(接收)协议组成,工作流程为用户通过用户代理发送邮件,经客户端服务器中转至服务器端服务器,收件人再通过用户代理获取。电子邮件地址格式为 “邮箱名 @域名”,全网唯一。邮件内容含首部(关键字描述属性)和信体(正文)。SMTP 通过命令 - 响应机制分三阶段传输邮件;POP3 适用于离线下载邮件,IMAP4 支持在线管理邮件,功能更丰富;MIME 扩展 SMTP,支持非 ASCII 数据传输,核心是 mul
Overlay网络如何颠覆互联网规则?
weixin_45631123的博客
07-08 796
打开手机点外卖时——订单数据穿过3层Overlay隧道美团云VXLAN → 联通智能城域网 → 商户Wi-Fi的GRE隧道技术无声奔流,正如氧气之于呼吸”
WebSocket主从服务器架构完整教程
weixin_51040479的博客
07-11 612
WebSocket主从架构学习指南 摘要 本教程全面介绍了WebSocket主从架构的设计与实现,帮助开发者构建高扩展性的实时应用系统。 核心内容: 基础概念:讲解了WebSocket与HTTP的区别,主从架构的组成(主服务器、从服务器、客户端)及其通信流程 架构设计:详细阐述了主服务器负责负载均衡和从服务器管理,从服务器处理具体业务,客户端连接流程 技术实现:提供了完整的代码实现,包括: 主服务器的从服务器管理、负载均衡策略 从服务器的客户端管理、消息处理 客户端的自动重连机制 应用场景:特别适合在线游戏
网络安全之内网渗透实操
anquan2233的博客
07-07 1388
成功获取 shell 后,执行相关命令进行信息搜集,发现目标存在双网卡,这意味着目标可能处于多个网络环境,增加了内网渗透的复杂性与可能性。尝试使用常见的弱口令登录 weblogic 失败后,借助 weblogic 漏洞利用工具进行深入检测,发现目标存在 CVE-2020-2551 漏洞。通过 net user /domain 命令确认当前机器处于域环境内,再使用 net group "domain controllers" /domain 命令定位到域控,通常情况下,DNS 服务器即为域控。
https——TCP+TLS
dkmknjk的博客
07-11 285
设备与PC验证TLS会话复用。——附件附带wireshark抓包
UDP属于是一种什么服务器?
最新发布
wanhengidc的博客
07-12 76
UDP服务器还支持广播和组播功能,广播主要是将数据发送到网络中的所有主机的一种技术,组播则是将数据信息发送到特定租中所有成员中的一种技术,这让UDP服务器十分适用于需要将数据信息同时发送给多个主机或者是特定租的应用程序中,其中包括多人在线游戏和企业视频会议等场景当中。UDP是一种传输层协议,通常会被应用在计算机网络中,为企业与用户提供无连接的数据信息传输功能,与TCP协议相比较来说,UDP会更加的简单但是UDP在可靠性方面没有一定的保证,属于是一种基于UDP协议进行通信的服务器。
软考(软件设计师)计算机网络-物理层,数据链路层
weixin_37958272的博客
07-10 500
计算机网络性能与体系结构摘要 网络分类: LAN(建筑级):高速(Gbps)、低延迟,采用以太网/WiFi MAN(城市级):光纤/MPLS技术,中高速(Mbps~Gbps) WAN(广域):高延迟,依赖运营商(SDH/MPLS),成本高 性能指标: 速率/带宽(bit/s)、吞吐量(实际传输量) 时延=发送时延+传播时延+处理/排队时延 时延带宽积=传播时延×带宽(信道容量指标) 体系结构: 物理层:比特传输(双绞线/光纤/无线),定义802.3/802.11等协议 数据链路层:帧封装(首尾定界)、透明传
TCP 传输时 sk_buff 的 clone 和 unclone
TCP/IP
07-12 378
如果 skb 发到真实网卡,当网卡中断通知发送完成,该 skb 即可得到释放,但本地环回的 skb 生命周期可是要长得多,比如 loopback_xmit,直接用 tx 路径的 skb 调用 netif_rx 了。至于 skb_copy,pskb_copy,自然就不必说,理解 skb_clone,skb_unclone,kfree_skb 就够了。不管这世界多么无知和操蛋,只要给我一本历史书,给我一个 TCP 疑难问题,或带我到一座可以攀登的山脚下,我就马上元气爆满!
计算行列式a011……11a10……010a2……0……an-2……10……0an-1
01-20
首先,这个行列式的阶数为 n。 根据行列式的定义,我们可以求得这个行列式的表达式为: | a_0 1 1 1 ... 1 a_1 0 ......| 0 a_1 1 1 ... 1 0 a_2 ......| 0 0 a_2 1 ......| ......| ......| ......| 0 0 0 0 ......
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值