架设DHCP服务器

1、应用服务器规划（一）：DHCP服务器规划部门/姓名文档类型: 文档密级: 主送对象: 抄送对象: 文档编号: 审 核 人:学习目标掌握DHCP工作原理掌握DHCP中继工作原理掌握DHCP服务器部署的各种方式掌握DHCP相关的安全设计掌握利用Windows Server 2003架设DHCP服务器 场景描述接入层、汇聚层、核心层都已经架设完接入层、汇聚层、核心层都已经架设完毕，网络连通性已经实现毕，网络连通性已经实现校园网用户如何接入校园网呢？校园网用户如何接入校园网呢？场景描述校园网用户（学生或老师）的PC需要指定一个IP地址场景描述如何为校园网用户（学生或老师）的PC分配一个IP地址？使用手

2、动配置IP地址的方式不是所有的校园网用户清楚地知道如何正确的配置IP地址网络中心维护人员要花费时间和精力来指导这部分用户配置IP地址网络中心维护人员制作一份IP地址配置指导文档供用户自己阅读使用。但仍有用户会来询问配置问题场景描述使用手动配置IP地址的方式会存在什么问题？即使所有用户都很清楚地知道如何手动配置IP网络中心维护人员仍然需要制定一张IP分配表，来规定哪个用户使用哪个IP地址用户很有可能由于误配置设置成相同的IP地址，导致IP地址冲突有没有一种方式可以做到 1.降低用户配置IP地址的难度 2.减轻网络中心维护人员的工作量 3.避免由于误配置导致的IP地址冲突课程内容第一章第一章 DH

3、CP工作原理工作原理第二章 DHCP中继工作原理第三章 DHCP服务器部署方式第四章 DHCP相关安全设计第五章 Windows Server 2003架设DHCP服务器第一章 DHCP工作原理DHCP简介DHCP（Dynamic Host Configuration Protocol），动态主机配置协议在RFC2131中定义， C/S架构，为主机提供IP相关参数（IP地址、子网掩码、网关、DNS等）的自动配置。DHCP报文格式和BootP（RFC951、RFC1542）报文兼容，保证了互操作DHCP优点减少对上网IP地址的需求量减少客户机的配置复杂度减少手工配置IP地址导致的错误集中管理，减

4、少网络管理的工作量第一章 DHCP工作原理DHCP系统组成DHCP客户机（client）： 普通用户PC，通过DHCP来获得网络配置参数 DHCP服务器（server）： 提供网络设置参数给DHCP客户DHCP中继代理（relay）： 在DHCP客户机和服务器之间转发DHCP消息的网关设备第一章 DHCP工作原理PC上的DHCP设置第一章 DHCP工作原理PC上的DHCP设置释放通过DHCP方式获取到的IP地址第一章 DHCP工作原理PC上的DHCP设置重新通过DHCP方式获取IP地址第一章 DHCP工作原理DHCP工作过程PCDHCP服务器网关路由器DHCP DiscoverDHCP Off

5、erDHCP RequestDHCP ACK 常见的DHCP报文交互过程包含4个报文4个报文中会携带什么信息，才能够使主机可以动态获得个报文中会携带什么信息，才能够使主机可以动态获得IP地址等参数？地址等参数？第一章 DHCP工作原理DHCP报文介绍DHCP Discover 该报文为PC发出的第一个请求报文，为广播报文，主要作用是用来发现DHCP服务器，但PC并不知道DHCP的IP地址，因此目的MAC和目的IP地址都为广播第一章 DHCP工作原理DHCP报文介绍DHCP Offer 该报文为DHCP服务器返回的第一个报文，当网络中存在多台DHCP服务器时，PC只会保留先收到的DHCP Off

6、er。DHCP Offer中包含DHCP服务器可以为PC分配的IP地址、网关IP、DNS参数等配置信息第一章 DHCP工作原理DHCP报文介绍DHCP Request PC发出的第二条请求报文，PC根据服务器返回的Offer中的信息，发起正式申请。第一章 DHCP工作原理DHCP报文介绍DHCP ACK 服务器收到PC的请求报文后，从地址池中分配相应的IP地址返回给PC第一章 DHCP工作原理知识点回顾DHCP报文的目的IP和目的MAC是多少？DHCP报文是基于UDP还是基于TCP？DHCP服务器返回的报文中都包含什么信息？问题当PC与DHCP服务器在同一LAN（网段）时，DHCP服务器的IP

7、地址是否需要与地址池在同一网段？本章所描述的DHCP应用是在同一个LAN（网段）中，但在校园网中网段非常多，为每一个网段配置一台单独的DHCP服务器是不现实的？如何解决这个问题DHCP服务器如何搭建？课程内容第一章 DHCP工作原理第二章第二章 DHCP中继工作原理中继工作原理第三章 DHCP服务器部署方式第四章 DHCP相关安全设计第五章 Windows Server 2003架设DHCP服务器第一章 DHCP中继工作原理DHCP中继产生的背景当用户PC与DHCP服务器不在同一个网段时，即PC所发出的DHCP Discover广播报文无法到达DHCP服务器时三层网关交换机三层网关交换机PCD

8、HCP服务器服务器DHCP DiscoverBroadcast三层交换机不转发广播报文，那么如何把PC的DHCP请求发给DHCP服务器呢？DHCP中继功能中继功能第一章 DHCP中继工作原理DHCP中继工作过程将网关交换机开启DHCP中继功能，在PC和DHCP之间起到“代理”作用三层网关交换机三层网关交换机PCDHCP服务器服务器DHCP DiscoverBroadcastDHCP中继功能中继功能DHCP DiscoverunicastDHCP OfferunicastDHCP OfferBroadcastDHCP RequestBroadcastDHCP RequestunicastDHCP

9、 ACKunicastDHCP ACKBroadcast对对PC而言，而言，DHCP中继承当了中继承当了DHCP服务器的角色服务器的角色第一章 DHCP中继工作原理DHCP中继工作过程如果存在多个网段，那么DHCP服务器如何区分不同的请求，从而为不同网段的PC分配不同的IP地址？PCDHCP服务器服务器PCVLAN 10VLAN 20interface vlan 10 ip address 172.16.10.1 255.255.255.0interface vlan 20 ip address 172.16.20.1 255.255.255.0在DHCP服务器上配置了两个地址池172.16.

10、10.0/24 172.16.20.0/24DHCP Discoverunicast通常是网关SVI接口IP地址服务器收到DHCP请求报文后，将这个字段的IP地址与服务器所配置的地址池网段进行比较，如果网段匹配，则为该DHCP请求分配该地址池里的IP地址信息第一章 DHCP中继工作原理DHCP中继工作过程如果存在多个网段，那么DHCP服务器如何区分不同的请求，从而为不同网段的PC分配不同的IP地址？ 不同的网段内的DHCP请求广播报文被网关交换机的SVI接口接收到后，会对DHCP报文进行中继（单播方式发送给DHCP服务器），同时将本SVI地址填充在Relay agent IP address字

11、段。DHCP服务器收到后将这个字段的IP地址与地址池网段进行匹配，如果匹配成功，则为该DHCP请求从该地址池中分配相应的IP地址第一章 DHCP中继工作原理知识点回顾DHCP中继和DHCP服务器之间的DHCP报文时单播还是广播？DHCP服务器如何为不同网段的DHCP请求分配IP地址？问题经过中继后的DHCP报文与不经过中继的DHCP报文有区别吗？DHCP服务器本身的IP地址该如何配置？课程内容第一章 DHCP工作原理第二章 DHCP中继工作原理第三章第三章 DHCP服务器部署方式服务器部署方式第四章 DHCP相关安全设计第五章 Windows Server 2003架设DHCP服务器第三章 D

12、HCP服务器部署方式如何在用户数量、设备数量庞大的校园如何在用户数量、设备数量庞大的校园网中部署网中部署DHCP服务呢？服务呢？第三章 DHCP服务器部署方式校园网中常见的DHCP服务部署方式网关交换机作为DHCP服务器将汇聚网关交换机配置为其下联主机的DHCP服务器第三章 DHCP服务器部署方式校园网中常见的DHCP服务部署方式网关交换机作为DHCP服务器 每台汇聚网关交换机上都为其下联用户PC网段配置DHCP地址池汇聚网关交换机的DHCP地址池配置service dhcpip dhcp pool VLAN10_POOL network 172.16.10.0 255.255.255.0 d

13、efault-router 172.16.10.1 dns-server 202.106.0.20 211.0.23.32 ip dhcp pool VLAN20_POOL network 172.16.20.0 255.255.255.0 default-router 172.16.20.1 dns-server 202.106.0.20 211.0.23.32 interface vlan 10 ip address 172.16.10.1 255.255.255.0interface vlan 20 ip address 172.16.20.1 255.255.255.0VLAN10内用

14、户的DHCP地址池信息VLAN20内用户的DHCP地址池信息Show ip dhcp binding查看DHCP地址池中已分配出去的地址第三章 DHCP服务器部署方式校园网中常见的DHCP服务部署方式网关交换机作为DHCP中继，在服务器区部署一台专用的DHCP服务器DHCP服务器服务器第三章 DHCP服务器部署方式校园网中常见的DHCP服务部署方式网关交换机作为DHCP中继，在服务器区部署一台专用的DHCP服务器 要保证作为DHCP中继的汇聚网关交换机与DHCP服务器之间IP可达汇聚网关交换机的DHCP中继配置service dhcpip helper-address 服务器IP地址第三章 D

15、HCP服务器部署方式校园网中常见的DHCP服务部署方式网关交换机作为DHCP服务器 优势：节省一台服务器资源 劣势：地址池配置分散在网络中多台汇聚网关交换机上，无法集中管理网关交换机作为DHCP中继，在服务器区部署一台专用的DHCP服务器 优势：集中管理 劣势：需要占用一台服务器资源第三章 DHCP服务器部署方式知识点回顾将汇聚网关交换机配置为DHCP中继的两条命令？在汇聚网关交换机配置DHCP地址池的关键命令？汇聚网关交换机的DHCP地址池配置service dhcpip dhcp pool VLAN10_POOL network 172.16.10.0 255.255.255.0 defa

16、ult-router 172.16.10.1 dns-server 202.106.0.20 211.0.23.32 没有在汇聚网关交换机上配置interface vlan 10，还能否为VLAN10内的用户分配IP地址呢？课程内容第一章 DHCP工作原理第二章 DHCP中继工作原理第三章 DHCP服务器部署方式第四章第四章 DHCP相关安全设计相关安全设计第五章 Windows Server 2003架设DHCP服务器第四章 DHCP相关安全设计DHCP应用服务在校园网运营过程中可能存在的问题？用户架设非法DHCP服务器 如果存在恶意用户私自架设了一台DHCP服务器，那么将会使用户获取到错误

17、的IP地址，导致无法接入进校园网用户使用静态IP地址接入 部分用户手动配置IP地址，但DHCP服务器是不知道的，因此在为DHCP用户分配IP地址的时候，用户通过DHCP获取到的IP地址，在网络中是已经使用的，导致了IP地址冲突。第四章 DHCP相关安全设计DHCP应用服务在校园网运营过程中可能存在的问题？手动配置了172.16.10.2 通过DCHP获取到172.16.10.2IP地址冲突，都无法正常接入网络第四章 DHCP相关安全设计DHCP应用服务在校园网运营过程中可能存在的问题？非法非法DHCP服务器服务器地址池地址池:13.0.0.0.0/24 获得错误的13.0.0.1地址DHCP服

18、务器服务器地址池地址池:172.16.10.0/24校园网校园网第四章 DHCP相关安全设计如何解决上面描述的两个DHCP应用的安全问题？在接入交换机上使用DHCP Snooping相关功能，可以实现 1.防止下联用户架设非法DHCP服务器校园网校园网DHCP服务器服务器汇聚交换机汇聚交换机接入交换机接入交换机PC非法非法DHCP服务器服务器DHCP DiscoverDHCP Discover非法非法DHCP Offer合法合法DHCP OfferDHCP RequestDHCP Ack问题的关键就是在从连接用户的下联端口问题的关键就是在从连接用户的下联端口接收并转发了非法的接收并转发了非法的

19、DHCP响应报文响应报文第四章 DHCP相关安全设计如何解决上面描述的两个DHCP应用的安全问题？在接入交换机上使用DHCP Snooping相关功能，可以实现 1.防止下联用户架设非法DHCP服务器校园网校园网DHCP服务器服务器汇聚交换机汇聚交换机接入交换机接入交换机PC非法非法DHCP服务器服务器DHCP Snooping Trust接口接口DHCP Snooping Untrust接口接口DHCP Offer/ACKip dhcp snoopinginterface f0/24ip dhcp snooping trustF0/第四章 DHCP相关安全设计如何解决上面描述的两个DHCP应

20、用的安全问题？使用DHCP Snooping相关功能，可以实现 2.防止下联用户使用静态IP地址接入网络（ip source guard功能）校园网校园网DHCP服务器服务器汇聚交换机汇聚交换机接入交换机接入交换机PC通过通过DHCP动态获取的动态获取的IP地址地址10.1.100.1/24手工配置静态手工配置静态IP地址地址10.1.100.1/24F0/24F0/1F0/2ip dhcp snoopinginterface f0/1ip verify source port-security interface f0/2ip verify source port-security 接入交换

21、机会窥探DHCP报文交互的过程，并从DHCP ACK报文中提取相关IP和MAC信息，将其绑定在硬件表项中，这样只有经过DHCP方式获取IP地址的主机，其IP和MAC才会被交换机所允许转发，而非DHCP方式设置IP地址，这样的报文会被交换机丢弃第四章 DHCP相关安全设计DHCP Snooping数据库DHCP-Snooping 记录合法DHCP 用户的信息（IP、MAC、所属VLAN、端口、租约时间等），形成DHCP-Snooping数据库。该数据库可以提供： IP 报文过滤提供依据； ARP报文过滤提供依据使用show ip dhcp snooping查看dhcp snooping数据库DH

22、CP-Snooping 数据库具有添加、更新和删除的功能。当客户端成功申请到 IP 地址后，会添加相关记录到 DHCP-Snooping 数据库中；当客户端成功续约后，会更新DHCP-Snooping数据库中的租约时间；当客户端发出 DHCP RELEASE 报文或者地址租约到期后，会删除对应的 DHCP-Snooping 数据库表项。DHCP-Snooping 数据库还允许进行手工添加和删除，配置静态绑定用户。 第四章 DHCP相关安全设计IP Source GuardIP Source Guard 维护一个 IP 源地址绑定数据库， IP Source Guard 可以在对应的接口上的主机

23、报文进行基于源 IP 、源 IP 加源 MAC 的报文过滤，从而保证只有 IP 源地址绑定数据库中的主机才能正常使用网络IP Source Guard 功能和 DHCP Snooping 结合的，基于接口的 IP Source Guard 仅仅在 DHCP Snooping 控制范围内的非信任口上生效 ， 在其他信任口或者非 DHCP Snooping 控制范围内的接口上配置该功能，功能将不生效；IP Source Guard 会自动将 DHCP Snooping 绑定数据库中的合法用户绑定同步到 IP Source Guard 的 IP 源地址绑定数据库 ， 这样 IP Source Gua

24、rd 就可以在打开 DHCP Snooping 设备上对客户端的进行严格过滤；使用show ip source binding查看IP源地址绑定数据库使用show ip verify source查看ip source guard过滤表项使用ip source binding mac地址 vlan lan号 ip地址 interface 接口号在源地址绑定数据库中添加静态表项第四章 DHCP相关安全设计知识点回顾DHCP应用中常见的两种安全问题是什么？课程内容第一章 DHCP工作原理第二章 DHCP中继工作原理第三章 DHCP服务器部署方式第四章 DHCP相关安全设计第五章第五章 Windows Server 2003架设架设DHCP服务器服务器第五章 Windows 2003 Server 架设DHCP服务器安装DHCP服务器第五章 Windows 2003 Server 架设DHCP服务器Windows 2003 Server中DHCP服务器的位置第五章 Windows 2003 Server 架设DHCP服务器配置DHCP服务步骤第五章 Windows 2003 Server 架设DHCP服务器配置DHCP服务步骤第五章 Windows 2003 Server 架设DHCP服务器配置DHCP服务步骤第五章