vlan basic.doc

802.1Q协议，即Virtual Bridged Local Area Networks协议，主要规定了VLAN的实现，下面我们首先讲述一下有关VLAN的基本观念。 Switch management address configuiration: (ip of the SW)Examples：switch(config)#int vlan 1switch(config-if)#ip add 192.168.1.254 255.255.255.0switch(config-if)#ip default-gateway 192.168.0.254switch(config-if)#no shuton Catalyst 1900, which does not have vlan function:swithch(config)#:ip add 192.168.1.254 255.255.255.0switch(config-if)#ip default-gateway 192.168.0.254notice:vlan 1 is the management vlan,the managable switches are usually assigend into this vlanWHNY_BGL_4507_0.247#sh run int vlan1Building configuration.Current configuration : 61 bytes!interface Vlan1 ip address 10.30.0.247 255.255.252.0endWHNY_ZHL6509A#sh run int vlan 1!interface Vlan1 ip address 10.30.0.252 255.255.252.0 ip flow ingress standby 1 ip 10.30.0.254 standby 1 timers 1 3 standby 1 priority 120 standby 1 preemptend-VLAN中继协议（VLANTrunkingProtocol，VTP）VTP是使用二层的trunk帧在一个共同的域里管理vlan的添加、修改和维护，并在域里维护vlan一致性。VTP提供的一些好处：1在网络中所有的交换机上实现VLAN配置的一致性。2允许VLAN在混合式网络上进行中继3VLAN的精确跟踪和监控4将所添加的VLAN动态地报告给VTP域中的所有交换机5添加VLAN时即插即用VTP的模式1.服务器(Server)服务器模式的交换机可以添加、修改、删除vlan，并可以修改vlan的参数。在VTP域中，至少需要一台服务器，以便在整个域中传播VLAN信息。2.客户机(Client)在客户机模式下，交换机从VTP服务器接收信息，他们也发送和接收更新，但他们不能对vlan数据库做修改。3.透明(Transparent)在透明模式下，交换机不参与VTP域，但他们仍然将通过任何已经配置好的中继链路转发VTP通告。VTP修剪pruneVTP提供了一种方式来保留带宽，就是通过配置它来减小广播、组播和其他单播包的数量，这种方式就称为修剪。VTP configuration：examples：switch# : vlan database 进入vlan编辑模式switch(vlan)# : vtp v2-mode 选择vtp versionswitch(vlan)# : vtp domain cisco 设置vtp 域名switch(vlan)# : vtp password 1234 设置域名下的密码switch(vlan)# : vtp server/client/transparent 设置交换机vtp模式vtp 域名和密码一致的交换机之间才可以交换vtp信息MD5 digist：当我们在vtp域里设置了密码是，交换机之间会在广告中加入该密钥。如果交换机之间的密钥不匹配，vlan的修改信息会被忽略vlan revision 修订号，vlan每做一次修改，此号码就会加一。高修订号的交换机vlan信息会被广播并写入低版本号的交换机中，并同步其修订号。show vlan name vlan2 查看名为vlan2的vlan的信息show vlan id 2 按照vlan id号查看vlan信息WHNY_ZHL6509A#sh vtp statusVTP Version : 2Configuration Revision : 472Maximum VLANs supported locally : 1005Number of existing VLANs : 204VTP Operating Mode : ServerVTP Domain Name : VTP_HBWKYVTP Pruning Mode : EnabledVTP V2 Mode : EnabledVTP Traps Generation : EnabledMD5 digest : 0x0A 0xFA 0xFE 0x28 0x3D 0xCF 0xFB 0x2C-WHNY_BGL_4507_0.247#sh vtp statusVTP Version : 2Configuration Revision : 472Maximum VLANs supported locally : 1005Number of existing VLANs : 204VTP Operating Mode : ServerVTP Domain Name : VTP_HBWKYVTP Pruning Mode : EnabledVTP V2 Mode : EnabledVTP Traps Generation : EnabledMD5 digest : 0x0A 0xFA 0xFE 0x28 0x3D 0xCF 0xFB 0x2C-WHNY_XXZX_WlB_2940_0.10#sh vtp statusVTP Version : 2Configuration Revision : 0Maximum VLANs supported locally : 128Number of existing VLANs : 124VTP Operating Mode : TransparentVTP Domain Name : VTP_HBWKYVTP Pruning Mode : EnabledVTP V2 Mode : EnabledVTP Traps Generation : EnabledMD5 digest : 0x9B 0x59 0xEA 0xE5 0x5B 0x9E 0xE5 0x37Vlan creationswitch#vlan databaseswitch（vlan）# vlan 1 name test1switch（vlan）# vlan 2 name test2VLAN之间的路由VLAN中的主机处在自己的广播域内，并且可以自由通信。VLAN在OSI模型的第二层创建网络分段，并分割数据流。如果想让主机或任何其他IP设备在VLAN之间通信，就绝对需要第三层设备。config t(config)#interface vlan 10 (config-if)#ip address 172.16.58.1 255.255.255.0 VLAN10接口IP (config-if)#ip helper-address 172.16.1.11 DHCP Server IP 配置vlan10的dhcp server*：vlan1配置的是交换机自己的管理地址，其他普通vlan里配置的是vlan的网关，既在终端电脑上填入的网关WHNY_ZHL6509A#sh run int vlan 1interface Vlan1 ip address 10.30.0.252 255.255.252.0 ip flow ingress standby 1 ip 10.30.0.254 standby 1 timers 1 3 standby 1 priority 120 standby 1 preemptendWHNY_ZHL6509A#sh run int vlan 4interface Vlan4 description XLF_GongYu_Manage_VLAN ip vrf forwarding GongYu ip address 10.30.4.252 255.255.255.0 ip access-group deny_gongyu_telnet in standby 4 ip 10.30.4.254 standby 4 timers 1 3 standby 4 priority 120 standby 4 preemptend-WHNY_ZHL6509A#sh run int vlan 138interface Vlan138 description WHNY_XXZX_Office ip address 10.30.138.252 255.255.255.0 ip helper-address 10.30.132.2 ip helper-address 10.30.132.1 ip flow ingress standby 138 ip 10.30.138.254 HSRP 技术 standby 138 timers 1 3 standby 138 priority 120 standby 138 preemptend-WHNY_XXZX_WlB_2940_0.10#sh run int vlan 1interface Vlan1 ip address 10.30.0.10 255.255.252.0 no ip route-cacheend实际上，VLAN成员的定义可以分为4种: Description：Commands：1， 根据端口划分VLAN这种划分VLAN的方法是根据以太网交换机的端口来划分，比如S2403的14端口为VLAN A，517为VLAN B，1824为VLAN C，当然，这些属于同一VLAN的端口可以不连续，如何配置，由管理员决定，如果有多个交换机的话，例如，可以指定交换机 1 的16端口和交换机 2 的14端口为同一VLAN，即同一VLAN可以跨越数个以太网交换机，根据端口划分是目前定义VLAN的最常用的方法，IEEE 802.1Q协议规定的就是如何根据交换机的端口来划分VLAN。这种划分的方法的优点是定义VLAN成员时非常简单，只要将所有的端口都指定义一下就可以了。它的缺点是如果VLAN A的用户离开了原来的端口，到了一个新的交换机的某个端口，那么就必须重新定义。 config tint fa0/3switchport mode accessswitchport access vlan 128no shutdown2、 根据MAC地址划分VLAN 这种划分VLAN的方法是根据每个主机的MAC地址来划分，即对每个MAC地址的主机都配置他属于哪个组。这种划分VLAN的方法的最大优点就是当用户物理位置移动时，即从一个交换机换到其他的交换机时，VLAN不用重新配置，所以，可以认为这种根据MAC地址的划分方法是基于用户的VLAN，这种方法的缺点是初始化时，所有的用户都必须进行配置，如果有几百个甚至上千个用户的话，配置是非常累的。而且这种划分的方法也导致了交换机执行效率的降低，因为在每一个交换机的端口都可能存在很多个VLAN组的成员，这样就无法限制广播包了。另外，对于使用笔记本电脑的用户来说，他们的网卡可能经常更换，这样，VLAN就必须不停的配置。动态VLAN能够自动决定一个节点的VLAN分配。通过使用智能化的管理软件，就可以启用MAC地址、协议甚至应用程序来创建动态VLAN。 3， 根据网络层划分VLAN 这种划分VLAN的方法是根据每个主机的网络层（2层）地址或协议类型(如果支持多协议)划分的，虽然这种划分方法可能是根据网络地址，比如IP地址，但它不是路由，不要与网络层的路由混淆。它虽然查看每个数据包的IP地址，但由于不是路由，所以，没有RIP，OSPF等路由协议，而是根据生成树算法进行桥交换， 这种方法的优点是用户的物理位置改变了，不需要重新配置他所属的VLAN，而且可以根据协议类型来划分VLAN，这对网络管理者来说很重要，还有，这种方法不需要附加的桢标签来识别VLAN，这样可以减少网络的通信量。 这种方法的缺点是效率，因为检查每一个数据包的网络层地址是很费时的(相对于前面两种方法)，一般的交换机芯片都可以自动检查网络上数据包的以太网桢头，但要让芯片能检查IP桢头，需要更高的技术，同时也更费时。当然，这也跟各个厂商的实现方法有关。 4， IP组播作为VLAN IP 组播实际上也是一种VLAN的定义，即认为一个组播组就是一个VLAN，这种划分的方法将VLAN扩大到了广域网，因此这种方法具有更大的灵活性，而且也很容易通过路由器进行扩展，当然这种方法不适合局域网，主要是效率不高，对于局域网的组播，有二层组播协议GMRP。 通过上面可以看出，各种不同的VLAN定义方法有各自的优缺点，所以，很多厂商的交换机都实现了不只一种方法，这样，网络管理者可以根据自己的实际需要进行选择，另外，许多厂商在实现VLAN的时候，考虑到VLAN配置的复杂性，还提供了一定程度的自动配置和方便的网络管理工具。 以前，各个厂商都声称他们的交换机实现了VLAN，但各个厂商实现的方法都不相同，所以彼此是无法互连，这样，用户一旦买了某个厂商的交换机，就没法买其他厂商的了。而现在，VLAN的标准是IEEE 提出的802.1Q协议，只有支持相同的开放标准才能保证网络的互连互通，以及保护网络设备投资。 5.私有Vlan，也叫专用Vlan专用VALN将端口分为混杂端口、隔离端口和群体端口三类，只有混杂端口能够和路由器或三层交换机连接。对应混杂端口的VLAN称为Primary VLAN，它可以和映射到混杂端口的所有隔离VLAN（Isolated VLAN）的端口及群体VLAN（Community VLAN）的端口通信。Community VLAN的端口除了可以和Primary VLAN通信外，内部端口间也可以相互通信。Isolated VLAN内的端口只能和Primary VLAN的端口通信外，内部端口间是互相隔离的。下面讲述一下VLAN的优点: 1， 减少移动和改变的代价，即所说的动态管理网络，也就是当一个用户从一个位置移动到另一个位置是，他的网络属性不需要重新配置，而是动态的完成，这种动态管理网络给网络管理者和使用者都带来了极大的好处，一个用户，无论他到哪里，他都能不做任何修改地接入网络，这种前景是非常美好的。 当然，并不是所有的VLAN定义方法都能做到这一点。 2， 虚拟工作组，VLAN的最具雄心的目标就是建立虚拟工作组模型，例如，在校园网中，同一个系的就好象在同一个LAN上一样，很容易的互相访问，交流信息，同时，所有的广播包也都限制在该虚拟LAN上，而不影响其他VLAN的人，一个人如果从一个办公地点换到另外一个地点，而他仍然在该系，那么，他的配置无须改变，同时，如果一个人虽然办公地点没有变，但他换了一个系，那么，只需网络管理者那配置一下就行了。这个功能的目标就是建立一个动态的组织环境，当然，这只是一个远大的目标，要实现它，还需要一些其他包括管理等方面的支持。 3， 限制广播包，按照802.1D透明网桥的算法，如果一个数据包找不到路由，那么交换机就会将该数据包向所有的其他端口发送，这就是桥的广播方式的转发，这样的结果，毫无疑问极大的浪费了带宽，如果配置了VLAN，那么，当一个数据包没有路由时，交换机只会将此数据包发送到所有属于该VLAN的其他端口，而不是所有的交换机的端口，这样，就将数据包限制到了一个VLAN内。在一定程度上可以节省带宽。 4， 安全性，由于配置了VLAN后，一个VLAN的数据包不会发送到另一个VLAN，这样，其他VLAN的用户的网络上是收不到任何该VLAN的数据包，从而就确保了该VLAN的信息不会被其他VLAN的人窃听，从而实现了信息的保密。 理论上，VLAN可以扩展到WAN上，但是，这是不明智的做法，因为VLAN允许广播包发送出去，而且它没有很好的路由算法，经常是以广播的形式转发数据包，这样，毫无疑问，极大地浪费了WAN的宝贵的带宽，所以说，将基于端口的，MAC地址和网络地址的VLAN扩展到WAN，是不合理的，而基于多播的VLAN概念则可以灵活有效的扩展到WAN。一般的以太网交换机实现的都是基于端口的VLAN，个别的会实现基于MAC地址和网络层地址的VLAN，而路由器中可以通过IGMP多播协议实现所谓的组播形式的VLAN 。 802.1Q协议定义了基于端口的VLAN模型，这是使用得最多的一种方式。下面我们重点讲述一下交换机芯片是如何实现VLAN的，如果想了解更细节的内容，可以参考802.1Q协议，由于协议文本讲的非常抽象，所以，我们以TI公司的交换芯片为例来讲述，更便于理解。例子中的TNETX4090提供了8个100M以太网口和1个1G以太网口。 如图1所示，每一个支持802.1Q协议的主机，在发送数据包时，都在原来的以太网桢头中的源地址后增加了一个4字节的802.1Q桢头，之后接原来以太网的长度或类型域。10101010帧同步Start-of-Frame DelimiterDestination AddressSource AddressTPIDTCILength/TypeData0-1.5K字节PAD填充FCSCRC校验TPID 16bitUser Priority 3bitCFI 1bitVlan ID 12bit TCI 这4个字节的802.1Q标签头包含了2个字节的标签协议标识（TPID-Tag Protocol Identifier，它的值是8100），和2个字节的标签控制信息（TCI-Tag Control Information），包括3bit 的用户优先级UP(User Priority)、1bit的规范格式指示器CFI和12bit的VLAN ID。IEEE 802.1q协议标准中没有定义和使用优先级字段，而IEEE 802.1P中则定义了该字段。VLAN Identified( VLAN ID ): 这是一个12位的域，指明VLAN的ID，一共4096个，每个支持802.1Q协议的主机发送出来的数据包都会包含这个域，以指明自己属于哪一个VLAN，目前TNETX 3270只支持32个VLAN。 Canonical Format Indicator( cfi )：这一位主要用于总线型的以太网与FDDI、令牌环网交换数据时的桢格式，TNETX 3270忽略此位。 Priority：这3 位指明桢的优先级。一共有8种优先级，主要用于当交换机阻塞时，优先发送哪个数据包。TNETX 3270和TNETX 4090只支持一种优先级，所以这一位也没有用， 不难看出，802.1Q标签头的4 个字节是新增加的，目前我们使用的计算机并不支持802.1Q，即我们计算机发送出去的数据包的以太网桢头还不包含这4个字节，同时也无法识别这4个字节，将来会有软件和硬件支持802.1Q协议的。 对于交换机来说，如果它所连接的以太网段的所有主机都能识别和发送这种带802.1Q标签头的数据包，那么我们把这种端口称为Tag Aware 端口(trunk 端口汇聚)；相反，如果该交换机端口所连接的以太网段有只要有一台主机不支持这种以太网桢头，那么交换机的这个端口我们称为Access (switch port access)端口，此端口在转发帧给终端时会去掉tag字段,否则终端网卡的收到的帧的数据段将出现错误.从目前的情况可以看出，所有的交换机的端口都属于后一种。 那么，在现在的情况下，交换机是如何支持VLAN的呢？是这样的，比如交换机的14端口属于同一个VLAN，那么当 1 端口进来一个数据包是，交换机看到该数据包没有802.1Q标签头，那么，它会根据1号端口所属的VLAN组，自动给该数据包添加一个该VLAN的标签头，然后再将数据包交给数据库查询模块，数据库查询模块会根据数据包的目的地址和所属的VLAN进行路由，之后交给转发模块，转发模块看到这是一个包含标签头的数据包，而实际上发送的端口所连的以太网段的计算机不能识别这种数据包，所以，它会再将数据包进来是交换机给添加的标签头再去掉。如果计算机支持这种标签头，那么就不需要交换机添加或删除标签头了，至于到底是添加还是删除要看交换机所连的以太网段的主机是否识别这种数据包，即该交换机的端口是哪种类型的端口。当然，对于两个交换机互连的端口一般都是Tag Aware端口，这样，交换机和交换机之间交换数据包时是无须去掉标签头的。 交换机间链路（Inter-SwitchLink,ISL）协议这是一种以太网帧上显示地标志VLAN信息的方法。通过运行ISL，可以将多台交换机互联起来，并且当数据流在交换机之间的中继链路上传送时，仍然维持VLAN信息。处理流程包括3个步骤： 1、接收过程：该过程负责接收数据包，数据包可以是带标签头的，也可以不带标签头，如果不带，交换机会知道根据该端口所属的VLAN添加上相应的标签头。 2、查找/路由过程：该过程根据数据包的目的MAC地址、VLAN 标识已经数据库中注册的信息决定把数据包发送到哪个端口。 3、发送过程：将数据包发送到以太网段上，如果该网段的主机不能识别802.1Q标签头，那么就将该标签头去掉，如果是与其他交换机互连的端口，一般不去掉。 具体的接收、查询和发送过程可以参考TNETX 3270的相关资料，下面是一个无标签头的数据包的接收到发送的过程。 假如Chris 发送一个数据包给Jackie，那么，处理的过程如下： 1、Chris 发送一个数据包给Jackie。 2、数据包到达交换机1的端口9，这是一个无标签头的包，所以交换机1 给该数据包添加一个VLAN ID。 3、根据目的MAC地址和VLAN ID，查询数据库，知道该数据包需要发送到24（或25、26号端口，这3 个端口被捆绑到一起，对上层来说，这3 个端口就好象一个端口，实际上交换机会根据3 个端口的流量来决定是从哪个端口往外发送）。如果不知道，则该数据包还会被发送到端口6（广播），当然，在发送到端口6 的以太网段时，会先将标签头去掉，Altaf收到后会丢弃这个数据包，因为目的地址不是它。由于端口24是Tag Aware端口，所以，发送到24 好端口的数据包的标签头不去掉。 4、TNETX 4090交换机收到这个数据包后，根据VLANID和目的MAC 地址在它的数据库中查找路由，最后，它知道该数据包应该发送到端口4（5或6），标签头仍然不去掉。 5、交换机2收到后，根据VLAN ID和目的MAC地址，在它的数据库中查找路由，知道该数据包需要发送到端口2。于是将该数据包发送出去。注意，发送出去的数据包需要去掉标签头。 以上我们讨论了VLAN收发数据包的过程，它的具体实现已经由以太网交换机的交换芯片实现了，有兴趣者可参考交换芯片的技术资料。 二、802.1P协议 802.1p协议定义了优先级的概念，对于那些实时性要求很高的数据包，主机在发送时就在前面提到MAC桢头增加的3位优先级中指明该数据包优先级高，这样，当以太网交换机数据流量比较多时，它就会考虑优先转发这些优先级高的数据包。 目前部分以太网交换机所采用的交换芯片只支持2种优先级，也有一些能支持4个优先级。 802.1p协议还定义了GARP-Generic Attribute Registration Protocol。这里的Attribute是指组播MAC地址、端口过滤模式和VLAN等属性，GARP协议实际上可以定义很多交换机应该具有的特性，目前，它定义了GMRP-GARP Multicast Registration Protocol和GVRP-GARP VLAN Registration Protocol两个协议，以后会根据网络发展的需要定义其他的特性。GARP定义了以太网交换机之间交换这些特性信息的方法，如何发送数据包，接收的数据包如何处理等等。 GMRP协议是一个动态二层组播注册协议，它的很多方面跟IGMP（三层组播协议）类似，对于IP地址来说，D类IP地址是组播地址，实际上，对于每一个IP组播地址，都有一个组播MAC地址跟它对应，802.1p协议就是根据组播MAC地址来在以太网交换机上注册和取消组播成员身份的，而IGMP是根据组播IP来管理的。当然，如果以太网交换机没有实现GMRP协议，那么就只能通过静态配置来实现组播了。 关于为什么需要二层组播协议？我们在详细讨论一下。与协议IGMP一样，如果我们在自己的局域网内成立一个组播组，可能我们的局域网包含了很多交换机，如果这些交换机没有实现二层组播协议的话，那么，某个组员给其他组员发送数据包时，交换机就会将该数据包向所有的端口广播，因为交换机不知道哪个端口有人加入了该组播组，唯一的解决办法就是管理员配置交换机，这样，才能将这种广播转发数据包的发送方式限制住，而组播本身是动态的，所以，通过这种靠管理员的配置来实现组播的方式是不现实的。因此，就需要有一个二层组播协议来动态管理组员。这就是为什么需要二层组播协议的原因，目前，许多高档的交换机都把实现802.1p和802.1Q协议作为一个主要的性能指标。 GVRP是VLAN协议，由于它与GMRP都是基于GARP之上的，所以它们之间的关系很紧密，它们都要对交换机的数据库进行操作，这个协议的具体定义在802.1Q中。 简单的说，就是路由协议 一个是VLAN中继封装协议，一个是VLAN协议 计算机A从通信目标的IP地址（192.168.2.1）得出C与本机不属于同一个网段。因此会向设定的默认网关（Default Gateway，GW = Router）转发数据帧。在发送数据帧之前，需要先用ARP获取路由器的MAC地址。得到路由器的MAC地址R后，接下来就是按图中所示的步骤发送往C去的数据帧。的数据帧中，目标MAC地址是路由器的地址R、但内含的目标IP地址仍是最终要通信的对象C的地址。交换机在端口1上收到的数据帧后，检索MAC地址列表中与端口1同属一个VLAN的表项。由于汇聚链路会被看作属于所有的VLAN，因此这时交换机的端口6也属于被参照对象。这样交换机就知道往MAC地址R发送数据帧，需要经过端口6转发。从端口6发送数据帧时，由于它是汇聚链接，因此会被附加上VLAN识别信息。由于原先是来自红色VLAN的数据帧，因此如图中所示，会被加上红色VLAN的识别信息后进入汇聚链路。路由器收到的数据帧后，确认其VLAN识别信息，由于它是属于红色VLAN的数据帧，因此交由负责红色VLAN的子接口接收。接着，根据路由器内部的路由表，判断该向哪里中继。由于目标网络192.168.2.0/24是蓝色VLAN，且该网络通过子接口与路由器直连，因此只要从负责蓝色VLAN的子接口转发就可以了。这时，数据帧的目标MAC地址被改写成计算机C的目标地址；并且由于需要经过汇聚链路转发，因此被附加了属于蓝色VLAN的识别信息。这就是图中的数据帧。交换机收到的数据帧后，根据VLAN标识信息从MAC地址列表中检索属于蓝色VLAN的表项。由于通信目标计算机C连接在端口3上、且端口3为普通的访问链接，因此交换机会将数据帧除去VLAN识别信息后（数据帧）转发给端口3，最终计算机C才能成功地收到这个数据帧。进行VLAN间通信时，即使通信双方都连接在同一台交换机上，也必须经过： 发送方交换机路由器交换机接收方由于传统路由器是一种软件驱动型设备，所有的数据包交换、路由和特殊服务功能，包括处理多种底层技术和多种第三层协议几乎都由软件来实现，并可通过软件升级增强设备功能，因而具有良好的扩展性和灵活性。但它也具有配置复杂、价格高、相对较低的吞吐量和相对较高的吞吐量变化等缺点。第三层交换技术在很大程度上弥补了传统路由器这些缺点。在设计第三层交换产品时通常使用下面一些方法： 削减处理的协议数，常常只对IP；只完成交换和路由功能，限制特殊服务；使用专用集成电路（ASIC）构造更多功能，而不是采用RSIC处理器之上的软件运行这些功能。#第二层交换机在过滤时只读取帧，他们并不察看网络层的协议，而默认时交换机转发所有的广播。如果创建并实现了VLAN，本质上就可以在第二层创建更小的广播域。#交换机主动学习客户端的 MAC 地址，并建立和维护端口和 MAC 地址的对应表以此建立交换路径，这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的，不同的交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ，快速填满 CAM 表，交换机 CAM 表被填满后，交换机以广播方式处理通过交换机的报文，这时攻击者可以利用各种嗅探攻击获取网络信息DHCP服务的工作过程是这样的：1. 发现阶段DHCPdiscover即DHCP客户机寻找DHCP服务器的阶段。DHCP客户机以广播方式（因为DHCP服务器的IP地址对于客户机来说是未知的）发送DHCPdiscover发现信息来寻找DHCP服务器，即向地址255.255.255.255发送特定的广播信息。网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息，但只有DHCP服务器才会做出响应。2. 提供阶段DHCPoffer即DHCP服务器提供IP地址的阶段。在网络中接收到DHCPdiscover发现信息的DHCP服务器都会做出响应，它从尚未出租的IP地址中挑选一个分配给DHCP客户机，向DHCP客户机发送一个包含出租的IP地址和其他设置的DHCPoffer信息。3. 选择阶段DHCPrequest即DHCP客户机选择某台DHCP服务器提供的IP地址的阶段。如果有多台DHCP服务器向DHCP客户机发来的DHCPoffer提供信息，则DHCP客户机只接受第一个收到的DHCPoffer提供信息，然后它就以广播方式回答一个DHCPrequest请求信息，该信息中包含向它所选定的DHCP服务器请求IP地址的内容。之所以要以广播方式