動(dòng)態(tài)主機(jī)配置協(xié)議DHCPIP分配從手動(dòng)到自動(dòng)的變革壹、DHCP協(xié)議介紹貳、DHCP工作原理叁、DHCP中繼肆、DHCP擴(kuò)展目錄/Contents

DHCP協(xié)議介紹隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大、網(wǎng)絡(luò)復(fù)雜度的不斷提高，網(wǎng)絡(luò)配置也變得越來(lái)越復(fù)雜，在計(jì)算機(jī)經(jīng)常移動(dòng)（如便攜機(jī)或無(wú)線網(wǎng)絡(luò)）和計(jì)算機(jī)的數(shù)量超過(guò)可分配的IP地址等情況下，原有針對(duì)靜態(tài)主機(jī)配置的方法已經(jīng)越來(lái)越不能滿足實(shí)際要求。為了方便用用戶快速接入和退出網(wǎng)絡(luò)、提高IP地址的利用率，設(shè)計(jì)了DHCP協(xié)議01

通過(guò)IP地址租期管理，提高IP地址的使用效率減少對(duì)上網(wǎng)IP地址的需求量客戶端無(wú)需配置即可獲得IP地址及相關(guān)參數(shù)，簡(jiǎn)化客戶端網(wǎng)絡(luò)配置，降低維護(hù)成本減少客戶機(jī)的配置復(fù)雜度IP由dhcp服務(wù)器分配，減少了人工分配導(dǎo)致的IP重復(fù)，錯(cuò)誤減少手工配置IP導(dǎo)致的錯(cuò)誤所有IP地址及相關(guān)信息統(tǒng)一管理，統(tǒng)一分配集中管理，減少網(wǎng)絡(luò)管理的工作量通過(guò)使用DHCP中繼，可使處于不同子網(wǎng)中的客戶端和DHCP服務(wù)器之間實(shí)現(xiàn)協(xié)議報(bào)文交互可跨網(wǎng)段使用1.1DHCP優(yōu)動(dòng)分配為連接到網(wǎng)絡(luò)的某些主機(jī)分配IP地址，該地址將長(zhǎng)期由該主機(jī)使用動(dòng)態(tài)分配主機(jī)申請(qǐng)IP地址最常用的方法。DHCP服務(wù)器為客戶端指定一個(gè)IP地址，同時(shí)為此地址規(guī)定了一個(gè)租用期限，如果租用時(shí)間到期，客戶端必須重新申請(qǐng)IP地址手動(dòng)分配根據(jù)需求，網(wǎng)絡(luò)管理員為某些少數(shù)特定的主機(jī)(如DNS服務(wù)器、打印機(jī))綁定固定的IP地址，其地址不會(huì)過(guò)期1.2DHCP的IP分配方式DHCP工作原理為了動(dòng)態(tài)獲取并使用一個(gè)合法的IP地址，需要經(jīng)歷以下幾個(gè)階段：(1)發(fā)現(xiàn)階段：即DHCP客戶端尋找DHCP服務(wù)器的階段。(2)提供階段：即DHCP服務(wù)器提供IP地址的階段。(3)選擇階段：即DHCP客戶端選擇某臺(tái)DHCP服務(wù)器提供的IP地址的階段。(4)確認(rèn)階段：即DHCP服務(wù)器確認(rèn)所提供的IP地址的階段。02由于在IP地址動(dòng)態(tài)獲取過(guò)程中采用廣播方式發(fā)送報(bào)文，因此要求DHCP客戶端和服務(wù)器位于同一個(gè)網(wǎng)段內(nèi)。如果DHCP客戶端和DHCP服務(wù)器位于不同的網(wǎng)段，則需要通過(guò)DHCP中繼來(lái)中繼轉(zhuǎn)發(fā)DHCP報(bào)文。2.1DHCP工作過(guò)程DHCP服務(wù)器1DHCP客戶端UDP端口：68DHCP服務(wù)器2UDP：67UDP：67DHCPDiscoverDHCPDiscover源IP:0.0.0.0源IP:0.0.0.0目的IP:255.255.255.255目的IP:255.255.255.255客戶端的mac地址客戶端的mac地址DHCPOfferDHCPOffer源IP:DHCP服務(wù)器1源IP:DHCP服務(wù)器2目的IP:255.255.255.255目的IP:255.255.255.255配置信息：

IP地址、

子網(wǎng)掩碼、

地址租期、

默認(rèn)網(wǎng)關(guān) Dns服務(wù)器配置信息：

IP地址、

子網(wǎng)掩碼、

地址租期、

默認(rèn)網(wǎng)關(guān) Dns服務(wù)器DHCP服務(wù)器為客戶端分配IP地址的優(yōu)先次序如下：(1)與客戶端MAC地址或客戶端ID靜態(tài)綁定的IP地址；(2)DHCP服務(wù)器記錄的曾經(jīng)分配給客戶端的IP地址；(3)客戶端發(fā)送的DHCP-DISCOVER報(bào)文中Option50字段指定的IP地址；(4)在DHCP地址池中，順序查找可供分配的IP地址，最先找到的IP地址；(5)如果未找到可用的IP地址，則依次查詢租約過(guò)期、曾經(jīng)發(fā)生過(guò)沖突的IP地址，如果找到則進(jìn)行分配，否則將不予處理。IP地址DHCP服務(wù)器會(huì)使用ARP確保所選的IP地址未被網(wǎng)絡(luò)中其他主機(jī)占用IP地址DHCPRequestDHCPRequest源IP:0.0.0.0源IP:0.0.0.0目的IP:255.255.255.255目的IP:255.255.255.255客戶端的mac地址客戶端的mac地址DHCPACK源IP:DHCP服務(wù)器1目的IP:255.255.255.255接受的租約中的IP地址接受的租約中的IP地址提供此租約的DHCP服務(wù)器端的IP地址提供此租約的DHCP服務(wù)器端的IP地址主機(jī)會(huì)在使用該IP地址前使用ARP檢測(cè)所分配到的IP地址是否已被網(wǎng)絡(luò)中的其他主機(jī)占用：

如果被占用：給服務(wù)器發(fā)送DHCPDECLINE報(bào)文(謝絕報(bào)文)撤銷IP地址租約，并重新發(fā)送DHCPDiscover報(bào)文

若未被占用：則可以使用租約中的IP地址2.2DHCP工作過(guò)程DHCP服務(wù)器1DHCP客戶端UDP端口：68UDP：67租到IP之后DHCPRequest源IP:之前租到的地址目的IP:服務(wù)器1的地址DHCPACK源IP:DHCP服務(wù)器1目的IP:之前租到的地址0.5倍租期DHCPNAK源IP:DHCP服務(wù)器1目的IP:之前租到的地址得到新的租期客戶端停止使用該IP重新發(fā)送DHCP發(fā)現(xiàn)報(bào)文情況1情況3情況20.875倍租期不做響應(yīng)DHCPRequest源IP:之前租到的地址目的IP:255.255.255.255```租期到期如還未響應(yīng)則立即停止租用的IP地址并重新發(fā)送DHCP發(fā)現(xiàn)報(bào)文DHCPRelease源IP:0.0.0.0目的IP:255.255.255.255客戶端的mac地址DHCPRelease源IP:0.0.0.0目的IP:255.255.255.255客戶端的mac地址DHCP服務(wù)器2UDP：67DHCP中繼在網(wǎng)絡(luò)中并不是每個(gè)網(wǎng)段上都會(huì)部署一個(gè)DHCP服務(wù)器，DHCP服務(wù)器的數(shù)量太多，浪費(fèi)大量的資源，還需要人工去維護(hù)DHCP中繼的引入解決了這一問(wèn)題，它在處于不同網(wǎng)段間的DHCP客戶端和服務(wù)器之間承擔(dān)中繼服務(wù)，將DHCP協(xié)議報(bào)文跨網(wǎng)段中繼到目的DHCP服務(wù)器，于是不同網(wǎng)絡(luò)上的DHCP客戶端可以共同使用一個(gè)DHCP服務(wù)器。033.1DHCP中繼工作原理不能！?。∧芊裢ㄟ^(guò)DHCP獲取IP地址？DHCPDiscover丟棄給該路由器配置DHCP服務(wù)器的IP地址使之成為DHCP中繼代理單播DHCPDiscover可以?。?！路由器轉(zhuǎn)發(fā)時(shí)將其中代理IP改成自己的IP，DHCP服務(wù)器根據(jù)這點(diǎn)來(lái)區(qū)分不同網(wǎng)段，并從不同網(wǎng)段的地址池分配IP，路由器到服務(wù)器=>單播，路由器到客戶端=>廣播010203自動(dòng)分配為連接到網(wǎng)絡(luò)的某些主機(jī)分配IP地址，該地址將長(zhǎng)期由該主機(jī)使用動(dòng)態(tài)分配主機(jī)申請(qǐng)IP地址最常用的方法。DHCP服務(wù)器為客戶端指定一個(gè)IP地址，同時(shí)為此地址規(guī)定了一個(gè)租用期限，如果租用時(shí)間到期，客戶端必須重新申請(qǐng)IP地址手動(dòng)分配根據(jù)需求，網(wǎng)絡(luò)管理員為某些少數(shù)特定的主機(jī)(如DNS服務(wù)器、打印機(jī))綁定固定的IP地址，其地址不會(huì)過(guò)期1.2DHCP的IP分配方式DHCP擴(kuò)展用戶使用靜態(tài)IP地址接入部分用戶手動(dòng)配置IP地址，但DHCP服務(wù)器是不知道的，因此在為DHCP用戶分配IP地址的時(shí)候，用戶通過(guò)DHCP獲取到的IP地址，在網(wǎng)絡(luò)中是已經(jīng)使用的，導(dǎo)致了IP地址沖突。用戶架設(shè)非法DHCP服務(wù)器在同一VLAN中，如果存在惡意用戶私自架設(shè)了一臺(tái)DHCP服務(wù)器，那么將會(huì)使該VLAN內(nèi)的用戶獲取到錯(cuò)誤的IP地址，導(dǎo)致無(wú)法接入進(jìn)網(wǎng)絡(luò)04·DHCPSnooping即DHCP服務(wù)的二層監(jiān)聽(tīng)功能，開(kāi)啟DHCPSnooping功能后，設(shè)備就可以從接收到DHCP-ACK和DHCP-REQUEST報(bào)文中提取并記錄IP地址和MAC地址信息。·出于安全性的考慮，安全部門需要記錄用戶上網(wǎng)時(shí)所用的IP地址，確認(rèn)用戶申請(qǐng)的IP地址和用戶使用的主機(jī)的MAC地址的對(duì)應(yīng)關(guān)系?？梢酝ㄟ^(guò)DHCPSnooping功能監(jiān)聽(tīng)DHCP-REQUEST報(bào)文和DHCP-ACK報(bào)文，并記錄用戶獲取的IP地址信息。

DHCPSnooping的信任功能，可以為用戶提供進(jìn)一步的安全性保證DHCPSnooping信任功能可以控制DHCP服務(wù)器應(yīng)答報(bào)文的來(lái)源，以防止網(wǎng)絡(luò)中可能存在的偽造或非法DHCP服務(wù)器為其他主機(jī)分配IP地址及其他配置信息。DHCPSnooping信任功能將端口分為信任端口和不信任端口：信任端口是與合法的DHCP服務(wù)器直接或間接連接的端口。信任端口對(duì)接收到的DHCP報(bào)文正常轉(zhuǎn)發(fā)，從而保證了DHCP客戶端獲取正確的IP地址。不信任端口是不與合法的DHCP服務(wù)器連接的端口。從不信任端口接收到DHCP服務(wù)器響應(yīng)的DHCP-ACK、DHCP-NAK和DHCP-OFFER報(bào)文會(huì)被丟棄，從而防止了DHCP客戶端獲得錯(cuò)誤的IP地址。4.1DHCPSnooping基本監(jiān)聽(tīng)功能信任功能添加標(biāo)題添加標(biāo)題添加標(biāo)題添加標(biāo)題1324您的內(nèi)容打在這里，或者通過(guò)復(fù)制您的文本后，在此框中選擇粘貼，并選擇只保留文字，您的內(nèi)容打在這里或者粘貼您的內(nèi)容打在這里，或者通過(guò)復(fù)