计算机网络技术-项目七之任务三：DHCP协议的配置应用课件

计算机网络与通信项目七：常用网络技术的研究任务三：DHCP协议的配置应用通过本章的学习，你可以获得以下收获：了解DHCP的概念及其作用了解DHCP的工作原理和过程教学目标目录DHCP的基本概念及其作用DHCP的工作原理DHCP概述DHCP(DynamicHostConfigureProtocol)动态主机配置协议作用：动态配置IP地址，整个配置过程自动实现，终端无需设置；所有配置信息统一管理，不仅能够分配IP地址，还可以配置其他信息（DNS服务器、缺省网关等）。优点：提高网络配置效率，减少配置工作量，减少IP冲突的可能性。DHCP体系架构DHCP采用客户端/服务器体系架构DHCPserver集中存放配置信息，响应客户端的请求与之交互并完成主机配置信息的分配。DHCPclient需要向服务器端发起请求来获取IP地址等信息完成网络参数的配置。DHCP协议应用的组网方式DHCPServer和Client处于同一子网中DHCPServer和Client处于不同子网中IP网CLIENTDHCPSERVERCLIENTDHCPSERVER子网A子网BDHCPRELAYAGENT目录DHCP的基本概念及其作用DHCP的工作原理DHCPServer工作方式DHCPServer的行为完全由DHCPClient来驱动，只需根据收到的DHCPClient的各种请求报文，响应不同的DHCP响应报文即可。

DHCPServer还可实现地址池管理功能。DHCPClient工作方式主动向DHCPServer请求IP地址等配置信息使用ipconfig/renew来发起获取IP地址的过程使用ipconfig/release来释放IP地址DHCPRelay当DHCPClient和DHCPServer处于不同网段时，需要有DHCPRelay。DHCPRelay负责转发DHCPClient的数据包给DHCPServer。同时负责将DHCPServer的回应转发给DHCPClient。CLIENTDHCPSERVER子网A子网BDHCPRELAYAGENTDHCP协议报文封装格式链路层头：广播形式IP包头：SrcIP为全0，因为终端没有IP地址。DHCP报文：知名端口号，Client为68，Server为67,Server的响应报文一般也是广播封装。DHCP协议报文封装格式DHCP协议报文类型（1）DHCP-DISCOVER，此报文是Client开始DHCP过程的第一个报文DHCP-OFFER，此报文是Server对DHCP-DISCOVER报文的响应DHCP-REQUEST，此报文是Client开始DHCP过程中对server的DHCP-OFFER报文的回应，或者是Client续延IP地址租期时发出的报文DHCP-ACK，Server对Client的DHCP-REQUEST报文的确认响应报文，Client收到此报文后，才真正获得了IP地址和相关的配置信息DHCP协议报文类型（2）DHCP-DECLINE，当Client发现Server分配给它的IP地址无法使用，例如IP地址冲突时，将发出此报文，通知Server拒绝使用此IP地址DHCP-NAK，Server对Client的DHCP-REQUEST报文的拒绝响应报文，Client收到此报文后，一般会重新开始新的DHCP过程DHCP-RELEASE，Client主动释放Server分配给它的IP地址的报文，当Server收到此报文后，就可以回收这个IP地址，这个IP就能再分给其他的ClientDHCPServer与Client的标准交互过程－获取IP地址(1)喂，帮个忙吧，我想要IP地址源IP目的IP0.0.0.0255.255.255.255DHCPDiscover(广播)用这个IP地址吧10.1.1.3DHCPOffer(1)源IP目的IP服务器IP255.255.255.255DHCPOffer(2)DHCPClientDHCPServerDHCPServer与Client的标准交互过程－获取IP地址(2)我就接受第一个offer了，通知一下大家源IP目的IP0.0.0.0255.255.255.255DHCPRequest(广播)好的，我知道了DHCPACK源IP目的IP服务器IP255.255.255.255DHCP报文包括接受的租约中的IP地址、提供此租约的DHCP服务器地址等

，其他服务器收回分配的IP地址。DHCPClientDHCPServer有地址了！看看网上有没有别人在用ARP请求这个地址是我在用啊！ARP应答网络DHCPDecline又要重新申请地址了DHCPServer与Client的标准交互过程－获取IP地址(3)DHCPClientDHCPServerDHCPServer与Client的标准交互过程－IP地址续用IP地址已经用了一半时间了，续租一下源IP目的IP客户机IP服务器IPDHCPRequest(单播)好的，再给你定个时间DHCPACK（单播）源IP目的IP服务器IP客户机IPDHCPClientDHCPServerIP地址已经用了一半时间了，续租一下源IP目的IP客户机IP服务器IPDHCPRequest(单播)没有响应啊，那先用着吧DHCPRequest(广播)时间已经过了87.5%了，再续租一次DHCPACK（单播）收到了，再约定一个使用时间吧DHCPServer与Client的标准交互过程－IP地址续用(2)DHCPClientDHCPServerIP地址已经用了一半时间了，续租一下源IP目的IP客户机IP服务器IPDHCPRequest(单播)没有响应啊，那先用着吧DHCPRequest(广播)时间已经过了87.5%了，再续租一次还是没有响应啊，那就用到过期吧DHCPServer与Client的标准交互过程－IP地址续用(3)DHCPClientDHCPServerDHCPServer与Client的标准交互过程－释放IP地址IP地址已经不需要了，还给你吧DHCPRelease(单播)好的，这个地址可以分给别人使用了DHCPClientDHCPServer通过DHCPRelay获取IP地址的交互过程－获取IP地址DHCPRelayDHCPDiscover(广播)DHCPDiscover(单播)DHCPOfferDHCPOfferDHCPRequest(广播)DHCPRequest(单播)DHCPAckDHCPAckDHCPClientDHCPServer通过DHCPRelay获取IP地址的交互过程－IP地址续租DHCPRequest(单播)DHCPrequest(单播)DHCPAckDHCPAckDHCPRequest(广播)DHCPRequest(单播)DHCPAckDHCPAck时间已经过了87.5%了，再续租一次IP地址已经用了一半时间了，续租一下可以继续使用IP地址了DHCPRelayDHCPClientDHCPServer内容回顾DHCP工作过程DHCPServer作用DHCPRelay作用思考题为什么要采用DHCP？DHCP有几种组网方式，它们的工作过程是怎样的？G系列路由交换机DHCP特性及配置经过本章的学习，你可以获得以下收获：在G系列路由交换机上配置DHCP作为DHCPServer作为DHCPrelay在G系列路由交换机上配置DHCPSnooping目录DHCPServer配置DHCPRelay配置DHCPSnooping配置DHCP

Server配置步骤启用DHCP进程（缺省关闭）ZXR10(config)#ipdhcpenable创建IP地址池，配置地址池的范围ZXR10(config)#iplocalpool<pool-name><begin_ip_addr><last_ip_addr><ip_mask>创建DHCP地址池，绑定指定的IPpool到DHCPpool；配置缺省路由，DNS，租期，设置MAC和IP地址之间的绑定表ZXR10(config)#ipdhcppool<dhcp_pool-name>ZXR10(config-dhcp-pool)#ip-pool<ip_pool_name>ZXR10(config-dhcp-pool)#default-router<ip_addr>[<ip_addr>][<ip_addr>]ZXR10(config-dhcp-pool)#dns-server<ip_addr>[<ip_addr>][<ip_addr>]ZXR10(config)#lease-time[[infinite]|[<days><hours><minutes>]]ZXR10(config-dhcp-pool)#binding<mac_addr><ip_addr>租期缺省是60分钟DHCP

Server配置实例ZXR108905作为DHCP服务器使用，同时配置了用户VLAN网关；接入层交换机是ZXR102952，要求主机通过DHCP动态获取IP地址接入网络10.10.40.1DHCPServer配置实例--8905配置/*ConfigureVLANuseinformation*/ZXR10(config)#interfacevlan1ZXR10(config-if-vlan)#ipaddress10.10.40.1255.255.255.0ZXR10(config-if-vlan)#exitZXR10(config)#interfacegei_1/1ZXR10(config-if)#switchportmodetrunkZXR10(config-if)#exit/*ConfigureIPPool*/ZXR10(config)#ippoolZXR10ZXR10(config-ip-pool)#range10.10.40.210.10.40.250255.255.255.0ZXR10(config-ip-pool)#exit/*ConfigureIPDHCPPool*/ZXR10(config)#ipdhcppoolpool-dhcpZXR10(config)#ip-poolZXR10ZXR10(config-dhcp-pool)#lease-time0120ZXR10(config-dhcp-pool)#default-router10.10.40.1ZXR10(config-dhcp-pool)#dns-server10.10.40.254ZXR10(config-dhcp-pool)#exit/*ConfigureDHCPpolicy*/ZXR10(config)#ipdhcppolicytest1ZXR10(config-dhcp-policy)#dhcp-poolpool-dhcpZXR10(config-dhcp-policy)#exit/*EnableDHCPserviceonL3interface*/ZXR10(config)#interfacevlan1ZXR10(config-if-vlan)#ipdhcppolicytestZXR10(config-if-vlan)#ipdhcpmodeserverZXR10(config-if-vlan)#exit/*EnableDHCPfunctionglobally*/ZXR10(config)#ipdhcpenableDHCP

Server配置实例—配置验证在ZXR108905上查看DHCP的当前在线用户列表ZXR10#showipdhcpserveruserCurrentonlineusersare1.IndexMACaddrIPaddrStateVRFExpiration1001F.C674.15A810.10.40.2BOUND03:47:2111/12/2010在ZXR108905上查看DHCPPoolZXR10#showipdhcppoolPoolNameIpPoolLeaseTimeDnsNumRouterNumOptionNumBindNumpool-dhcpZXR1001201100在ZXR108905上查看DHCP策略ZXR10#showipdhcppolicyPolicyNamePriorityDhcpPoolRelayAgentVrf-instancetest1pool-dhcpTotal:1目录DHCPServer配置DHCPRelay配置DHCPSnooping配置DHCPRelay配置步骤启用DHCP进程（缺省关闭）ZXR10(config)#ipdhcpenable配置接口的DHCP代理IP地址ZXR10(config)#interface<interface-name>ZXR10(config-if)#ipdhcprelayagent<ip-address>配置接口的外部DHCPServer地址ZXR10(config-if)#ipdhcprelayserver<ip-address>{standard|security}DHCPRelay配置实例10.10.40.1ZXR10(config)#interfacevlan1ZXR10(config-if-vlan)#ipdhcpmoderelayZXR10(config-if-vlan)#ipaddress10.10.40.1255.255.255.0ZXR10(config-if-vlan)#ipdhcprelayagent10.10.40.1ZXR10(config-if-vlan)#ipdhcprelayserver10.10.2.2ZXR10(config-if-vlan)#exitZXR10(config)#ipdhcpenable用户与服务器不在同一VLAN中；需要在8905上配置DHCP中继。目录DHCPServer配置DHCPRelay配置DHCPSnooping配置DHCPSnoopingDHCPSnooping技术是DHCP安全特性，通过建立和维护DHCPSnooping绑定表过滤不可信任的DHCP信息。主要功能：通过配置非信任端口，隔绝非法的dhcpserver；建立和维护一张dhcp-snooping的绑定表，这张表一是通过dhcpack包中的ip和mac地址生成的，二是可以手工指定。

通过这张表来判定ip或者mac地址是否合法，来限制用户连接到网络的。DHCPSnooping配置步骤打开DHCPSnoopingZXR10(config)#ipdhcpsnoopingenable配置接DHCPServer的接口为信任接口ZXR10(config)#ipdhcpsnoopingtrust<interface-number>手动添加用户绑定条目到DHCPSnooping绑定数据库中ZXR10(config)#ipdhcpsnoopingbinding<mac>vllaan<vlan><ipaddress><interface-number>DHCPSnooping防虚假DHCPServer配置实例网络中有两台DHCPServer，一台是合法的DHCPServer10.10.2.2，一台是私设的DHCPServer，属于非法DHCP服务器。用户VLAN为VLAN10。需要在ZXR10

8905上启用DHCPSnooping功能，防止网络中设置虚