CISCO DHCP技術(shù)應(yīng)用大全-

1、CISCO DHCP技術(shù)應(yīng)用大全 07年8月整理，搜集了網(wǎng)路上相關(guān)技術(shù)要點 譽天小吳 windecember 整理 DHCP基本知識點 1 DHCP協(xié)議在RFC2131種定義，使用udp協(xié)議進行數(shù)據(jù)報傳遞，使用的端口是67以及68。 2 DHCP最常見的應(yīng)用是，自動給終端設(shè)備分配ip地址，掩碼，默認網(wǎng)關(guān)，但是DHCP也同樣可以給終端設(shè)備自動配置其他options，比如DNS server, 域名（比如 ）,time zones, NTP servers 以及其他的配置內(nèi)容，更有些廠家，利用自己開發(fā)的第3放軟件，把自己的一些配置信息，利用dhcp協(xié)議來實現(xiàn)對終端設(shè)備的自動配置。 3 DHCP服務(wù)

2、的系統(tǒng)最基本的構(gòu)架是 client/server模式，并且如果client 和server不再同一個2層網(wǎng)絡(luò)內(nèi)（即廣播可以到達的網(wǎng)絡(luò)范圍），則必須要有能夠透過廣播報文的中繼設(shè)備，或者能把廣播報文轉(zhuǎn)化成單播報文的設(shè)備（cisco的ios就引經(jīng)了這種功能） There are three distinct element types in a DHCP network. There must be a client and a server. If these two elements are not on the same Layer 2 network, there also must be

3、a proxy, which usually runs on the router. The proxy is needed because the client device initially doesn't know its own IP address, so it must send out a Layer 2 broadcast to find a server that has this information. The router must relay these broadcasts to the DHCP server, then forward the resp

4、onses back to the correct Layer 2 address so that the right end device gets the right configuration information. 4 CISCO的路由器（IOS12.0 T1以后），可以配置為dhcp的中繼設(shè)備，DHCP的客戶端設(shè)備，也可以配置為DHCP的服務(wù)器。 5 同一個網(wǎng)段DHCP服務(wù)器可以有多個，這不會影響終端設(shè)備從服務(wù)器獲取配置信息，終端設(shè)備以接受到的第一組配置信息為準。以后又服務(wù)器段返回的DHCP配置信息被拋棄。 . Most DHCP networks of any size incl

5、ude two or more DHCP servers for redundancy. The end devices typically just need to talk to a DHCP server at startup time, but they will not work at all without it. So redundancy is important. This also means that it is not unusual for an end device to see several responses to a DHCP request. It wil

6、l generally just use the first response. However, this also underscores the importance of ensuring that all of the DHCP servers distribute the same information. Their databases of end device configuration parameters must be synchronized. 6 DHCP 服務(wù)器往往遵守先來先服務(wù)的規(guī)則（first-come, first-served），或者說他能夠建立一個IP地

7、址和終端設(shè)備MAC地址之間的映射表（或者叫做database）,由此可以保證特定的終端（也就是特定的MAC）每次開機后都能夠獲得此相同的ip地址。 .The server can allocate IP addresses from a pool on a first-come, first-served basis, or it can associate IP addresses with end device MAC addresses to ensure that 進行綁定，防止私自更改地址。 Dynamic ARP Inspection功能還有一個好處是可以防范在2層網(wǎng)絡(luò)的中間人攻擊

8、（見圖4）。 思科在DHCP Snooping上還做了一些非常有益的擴展功能，比如Catalyst 3560交換機可以限制端口通過的DHCP數(shù)據(jù)包的速率，粒度是pps，這樣可以防止對DHCP服務(wù)器的進行地址請求的DoS攻擊。另外Catalyst 3560交換機還支持DHCP Tracker，在DHCP請求中插入交換機端口的ID，從而限制每個端口申請的IP地址數(shù)目，防止黑客程序?qū)HCP服務(wù)器進行目的為耗盡IP地址池的攻擊。華碩雖然不能調(diào)整速率，但是也會限制DHCP請求的數(shù)量。 DHCP（動態(tài)主機配置協(xié)議）是一種簡化主機IP地址配置管理的TCP/IP標準。該標準為DHCP服務(wù)器的使用提供了一種有

9、效的方法：即管理網(wǎng)絡(luò)中客戶機IP地址的動態(tài)分配以及啟用網(wǎng)絡(luò)上DHCP客戶機的其它相關(guān)配置信息。 在基于TCPIP協(xié)議的網(wǎng)絡(luò)中，每臺計算機都必須有唯一的IP地址才能訪問網(wǎng)絡(luò)上的資源，網(wǎng)絡(luò)中計算機之間的通信是通過IP地址來實現(xiàn)的，并且通過IP地址和子網(wǎng)掩碼來標識主計算機及其所連接的子網(wǎng)。在局域網(wǎng)中如果計算機的數(shù)量比較少，當然可以手動設(shè)置其IP地址，但是如果在計算機的數(shù)量較多并且劃分了多個子網(wǎng)的情況下，為計算機配置IP地址所涉及的管理員工作量和復(fù)雜性就會相當繁重，而且容易出錯，如在實際使用過程中，我們經(jīng)常會遇到因IP地址沖突、網(wǎng)關(guān)或DNS服務(wù)器地址的設(shè)置錯誤導(dǎo)致無法訪問網(wǎng)絡(luò)、機器經(jīng)常變動位置而不得不

10、頻繁地更換IP地址等問題。 DHCP則很好地解決了上述的問題，通過在網(wǎng)絡(luò)上安裝和配置DHCP服務(wù)器，啟用了DHCP的客戶機可在每次啟動并加入網(wǎng)絡(luò)時自動地獲得其上網(wǎng)所需的IP地址和相關(guān)的配置參數(shù)。從而減少了配置管理，提供了安全而可靠的配置。 配置DHCP服務(wù)的服務(wù)器可以為每一個網(wǎng)絡(luò)客戶提供一個IP地址、子網(wǎng)掩碼、缺省網(wǎng)關(guān)，以及DNS服務(wù)器的地址。DHCP避免了因手工設(shè)置IP地址及子網(wǎng)掩碼所產(chǎn)生的錯誤，也避免了把一個IP地址分配給多臺主機所造成的地址沖突。降低了IP地址管理員的設(shè)置負擔，使用DHCP服務(wù)器可以大大地縮短配置網(wǎng)絡(luò)中主機所花費的時間。 但是，隨著DHCP服務(wù)的廣泛應(yīng)用，也產(chǎn)生了一些問題

11、。首先，DHCP服務(wù)允許在一個子網(wǎng)內(nèi)存在多臺DHCP服務(wù)器，這就意味著管理員無法保證客戶端只能從管理員所設(shè)置的DHCP服務(wù)器中獲取合法的IP地址，而不從一些用戶自建的非法DHCP服務(wù)器中取得IP地址；其次，在部署DHCP服務(wù)的子網(wǎng)中，指定了合法的IP地址、掩碼和網(wǎng)關(guān)的主機也可以正常地訪問網(wǎng)絡(luò)，而DHCP服務(wù)器卻仍然會有可能將該地址分配給其他主機，這樣就會造 攻擊，從而將端口自動errdisable，造成通信中斷。為了解決這個問題，我們需要加入命令errdisable recovery cause arp-inspection。 由于Cisco 3750交換機能力有限，因此我們建議在使用Cisc

12、o 3750交換機配置上述命令時應(yīng)逐級增大port limit rate。 六、小結(jié) DHCP服務(wù)在網(wǎng)絡(luò)中的廣泛應(yīng)用，極大地減輕了網(wǎng)絡(luò)管理員的負擔，方便了用戶使用網(wǎng)絡(luò)。但是由于有些用戶私自指定IP地址，造成了IP地址自動分配時引起的IP地址沖突，進而影響其他用戶的使用。我們經(jīng)過實際測試，給出了上述解決方案，本方法不僅適合于Cisco的3750交換機，也適用于Cisco的65系列交換機。 DHCP防指定IP地址的方法在我校已經(jīng)得到了成功的應(yīng)用，經(jīng)過實踐檢驗，我們認為這是一個非常實用的功能。在系統(tǒng)設(shè)置好以后，網(wǎng)絡(luò)中的用戶只有設(shè)置為自動獲取IP地址才能上網(wǎng)，否則將無法上網(wǎng)。從而解決了在使用DHCP的

13、網(wǎng)絡(luò)中，用戶私自指定IP地址而帶來的IP地址沖突問題。 如果公司內(nèi)網(wǎng)由于用戶自行安裝了Windows Server版本的操作系統(tǒng)而小心啟用了DHCP服務(wù)，或其他因素在內(nèi)網(wǎng)中出現(xiàn)了非授權(quán)的DHCP服務(wù)器，會給網(wǎng)絡(luò)造成什么樣的影響呢？ DHCP server可以自動為用戶設(shè)置網(wǎng)絡(luò)IP地址、掩碼、網(wǎng)關(guān)、DNS、WINS 等網(wǎng)絡(luò)參數(shù)，簡化了用戶網(wǎng)絡(luò)設(shè)置，提高了管理效率。但是，此時如果服務(wù)器和客戶端沒有認證機制，網(wǎng)絡(luò)上存在的非法的DHCP服務(wù)器將會給部分主機的地址分配、網(wǎng)關(guān)及DNS參數(shù)照成混亂，導(dǎo)致主機無法連接到外部網(wǎng)絡(luò)。出現(xiàn)這種情況，如何解決這些問題呢？ 作為客戶端計算機來說，可以嘗試使用ipconf

14、ig /release釋放獲得的網(wǎng)絡(luò)參數(shù)后，然后用ipconfig /renew重新嘗試獲取正確的DHCP服務(wù)器配置服務(wù)，但這種方法很被動，往往要十幾次甚至幾十次才偶爾有可能成功一次，不能從根本解決問題。 另外一個解決辦法，在windows系統(tǒng)組建的網(wǎng)絡(luò)中，如果非法DHCP服務(wù)器也是用Windows系統(tǒng)建立的話我們可以通過“域”的方式對非法DHCP服務(wù)器進行過濾。將合法的DHCP服務(wù)器添加到活動目錄（Active Directory）中，通過這種認證方式就可以有效的制止非法DHCP服務(wù)器了。原理就是沒有加入域中的DHCP Server在相應(yīng)請求前，會向網(wǎng)絡(luò)中的其他DHCP Server發(fā)送DH

15、CPINFORM查詢包，如果其他DHCP Server有響應(yīng)，那么這個DHCP Server就不能對客戶的要求作相應(yīng)，也就是說網(wǎng)絡(luò)中加入域的DHCP服務(wù)器的優(yōu)先級比沒有加入域的DHCP服務(wù)器要高。這樣當合法DHCP存在時非法的就不起任何作用了。 授權(quán)合法DHCP的過程如下： 第一步：開始->程序->管理工具->DHCP 第二步：選擇DHCP root, 用鼠標右鍵單擊，然后瀏覽選擇需要認證的服務(wù)器。 第三步：點“添 加”按鈕, 輸入要認證的DHCP服務(wù)器IP地址, 完成授權(quán)操作。 但是該方法只適用于非法DHCP服務(wù)器是windows系統(tǒng)，需要用到域和活動目錄，配置較復(fù)雜，另外

16、對于非Windows的操作系統(tǒng),就顯得力不從心了。 還有更好的方法，就是利用交換機的DHCP監(jiān)聽，通過建立和維護DHCP Snooping綁定表過濾不可信任的DHCP信息，也就是過濾掉非法DHCP服務(wù)器向網(wǎng)絡(luò)上發(fā)送的數(shù)據(jù)包。首先定義交換機上的信任端口和不信任端口，將DHCP服務(wù)器所連接的端口定義為信任端口，其它連接到普通客戶端的端口全部定義為不信任端口，對于不信任端口的DHCP報文進行截獲和嗅探，drop掉來自這些端口的非正常 DHCP 報文，從而達到過濾非法DHCP服務(wù)器的目的。 基本配置示例： switch(config#ip dhcp snooping vlan 100,200 /* 定

17、義哪些 VLAN 啟用 DHCP 嗅探 switch(config#ip dhcp snooping switch(config#int fa4/10 /* dhcp服務(wù)器所在端口 switch(config-if#ip dhcp snooping trust switch(config#int range fa3/1 - 48 /* 其它端口 switch(config-if#no ip dhcp snooping trust (Default switch(config-if#ip dhcp snooping limit rate 10 (pps /* 一定程度上防止 DHCP 拒絕服 /

18、* 務(wù)攻擊 二、DHCP Snooping技術(shù) DHCP Snooping是一種通過建立DHCP Snooping Binding數(shù)據(jù)庫，過濾非信任的DHCP消息，從而保證網(wǎng)絡(luò)安全的特性。DHCP Snooping就像是非信任的主機和DHCP服務(wù)器之間的防火墻。通過DHCP Snooping來區(qū)分連接到末端客戶的非信任接口和連接到DHCP服務(wù)器或者其他交換機的受信任接口。 DHCP Snooping Binding數(shù)據(jù)庫包括如下信息：MAC地址、IP地址、租約時間、binding類型、VLAN ID以及來自本地非信任端口的接口信息，但不包含通過受信任端口互相連接的接口信息。在啟用了DHCP Snooping的VLAN中，如果交換機收到來自非信任端口的DHCP包，交換機將對目的MAC地址和DHCP客戶端的地址進行對比，如果符合則該包可以通過，否則將被丟棄掉。 在下述情況中，DHCP包將同樣被丟棄： 來自外網(wǎng)或者防火墻的DHCP服務(wù)器，包括DHCPOFFER、DHCPACK、DHCPNAK、DHCPLEASEQUERY。 來自非信任端口，且目的MAC地址和DHCP客戶端的硬件地址不匹配。 交換機