HCNP之DHCP学习笔记

　　一、DHCP概念
　　DHCP（DynamicHostConfigurationProtocol动态主机配置协议）通常应用于中大型的局域网环境中，使网络环境中的主机动态获取IP地址、网关、dns服务器地址等信息。它减少了网络管理人员的工作量，避免了因人工配置网络参数而导致的地址冲突等问题。
　　二、DHCP报文
　　DHCP报文总共分为8类
　　1、DHCPDISCOVER
　　由客户端（例如：PC机）发出广播来查找可用的DHCP服务器
　　2、DHCPOFFER
　　DHCP服务器响应客户端的DHCPDISCOVER报文，指定了各种配置信息。这个报文只是告诉客户端可提供的IP地址，但最终还是需要由客户端的ARP检测来确定IP地址是否重复
　　3、DHCPREQUEST
　　1）客户端发送广播来请求DHCP服务器希望获得配置信息
　　2）客户端请求确认原先的配置
　　3）客户端若已绑定IP，可以通过此报文来延长IP地址租期
　　4、DHCPACK
　　由DHCP服务器发送给客户端的最终配置信息，这时才能真正获取IP地址等相关信息
　　5、DHCPDECLINE
　　当客户端发现IP地址已经被使用，通过此报文来通知DHCP服务器，并请求服务器重新分配一个地址
　　6、DHCPINFORM
　　客户端已获取IP地址时，通过此报文来请求DHCP服务器其他配置参数（网关、DNS服务器地址等）
　　7、DHCPNAK
　　DHCP服务器发送给客户端的报文，用来表明客户端的地址请求不正确或者租期已过期。客户端收到此报文，需要重新开始DHCP流程（DISCOVER报文开始）
　　8、DHCPRELEASE
　　客户端主动释放地址时用来通知DHCP服务器的报文，当DHCP服务器收到此报文后，会将此IP地址信息分配给其他客户端
　　三、DHCP的租期与续租
　　DHCP租期的作用是为了更加合理有效的使用IP地址
　　当租期时间到达50时，客户端会向DHCP服务器发送单播DHCPREQUEST报文用于续租，如果DHCP服务器有回应，发送了ACK报文并且客户端接收到该报文，那么说明续租成功。如果DHCP服务器因为某些原因没有发送ACK报文或者客户端没有接收到ACK报文，那么此时客户端依旧可以使用此IP地址
　　当租期时间到达87。5时，客户端会发送广播DHCPREQUEST报文，同样如果客户端收到来自DHCP服务器的ACK报文说明续租成功，如果还是未接收到ACK报文，那么此时客户端还能使用该IP地址
　　当租期时间到达100时，客户端会自动放弃使用该IP地址，重新开始DHCP过程（从DISCOVER报文开始）
　　四、DHCP模式
　　DHCP总共有3种模式：全局模式、接口模式、中继模式
　　1、全局模式
　　全局模式的特点：需要创建地址池并在该地址池下配置IP地址网段、网关、DNS服务器等
　　全局模式的好处：使用范围比接口模式广泛
　　【全局模式实验】
　　实验拓扑：
　　实验要求：
　　1）PC1属于vlan10，网关为192。168。1。25424；PC2属于vlan20，网关为192。168。2。25424
　　2）Core核心交换机为DHCP服务器
　　3）Core核心交换机和SW二层交换机之间使用trunk链路
　　4）最终目的：PC1和PC2都能通过DHCP全局模式自动获取IP地址等信息
　　实验配置：
　　1）PC1和PC2都设置为DHCP自动获取
　　2）在SW上配置端口，将PC1划入vlan10，PC2划入vlan20，上行端口配置为trunkvlanbatch1020interfaceEthernet002portlinktypeaccessportdefaultvlan10interfaceEthernet003portlinktypeaccessportdefaultvlan20interfaceEthernet001portlinktypetrunkundoporttrunkallowpassvlan1porttrunkallowpassvlan1020
　　3）Core核心交换机上配置trunk端口vlanbatch1020interfaceGigabitEthernet001portlinktypetrunkundoporttrunkallowpassvlan1porttrunkallowpassvlan1020
　　4）Core核心交换机配置vlan10和vlan20的网关interfaceVlanif10ipaddress192。168。1。254255。255。255。0interfaceVlanif20ipaddress192。168。2。254255。255。255。0
　　5）Core核心交换机配置DHCPdhcpenable开启DHCP功能ippoolpvlan10创建vlan10的地址池gatewaylist192。168。1。254配置网关network192。168。1。0mask255。255。255。0配置IP地址网段dnslist8。8。8。8114。114。114。114配置DNS服务器ippoolpvlan20创建vlan20的地址池gatewaylist192。168。2。254network192。168。2。0mask255。255。255。0dnslist8。8。8。8114。114。114。114interfaceVlanif10dhcpselectglobalDHCP全局模式interfaceVlanif20dhcpselectglobal
　　6）PC1和PC2成功分配到IP地址等信息并且能相互ping通对方
　　2、接口模式
　　接口模式的特点：直接配置在某接口下，而接口地址即为网关
　　接口模式的好处：简单易配置
　　【接口模式实验】
　　实验拓扑：
　　实验要求：
　　1）PC1和PC3属于Vlan10，网关为192。168。1。254；PC2属于Vlan20，网关为192。168。2。254
　　2）Core核心交换机为DHCP服务器
　　3）Core核心交换机和SW二层交换机之间使用trunk链路
　　4）DHCP分配给PC3的IP地址为固定IP：192。168。1。524
　　5）DHCP保留192。168。2。252和192。168。2。253地址不分配
　　6）DHCP租期为12小时
　　7）采用DHCP接口模式进行配置
　　实验配置：
　　1）PC1、PC2和PC3都设置为DHCP自动获取
　　2）在SW上配置端口，将PC1、PC3划入vlan10，PC2划入vlan20，上行端口配置为trunkvlanbatch1020interfaceEthernet002portlinktypeaccessportdefaultvlan10interfaceEthernet003portlinktypeaccessportdefaultvlan20interfaceEthernet004portlinktypeaccessportdefaultvlan10interfaceEthernet001portlinktypetrunkundoporttrunkallowpassvlan1porttrunkallowpassvlan1020
　　3）Core核心交换机配置trunk和vlan10、vlan20的网关vlanbatch1020interfaceVlanif10ipaddress192。168。1。254255。255。255。0interfaceVlanif20ipaddress192。168。2。254255。255。255。0interfaceGigabitEthernet001portlinktypetrunkundoporttrunkallowpassvlan1porttrunkallowpassvlan1020
　　4）Core核心交换机配置DHCP，使用接口模式
　　DHCP分配给PC3的IP地址为固定IP：192。168。1。524
　　DHCP保留192。168。2。252和192。168。2。253地址不分配
　　DHCP租期为12小时dhcpenable开启DHCPinterfaceVlanif10dhcpselectinterface接口模式dhcpserverstaticbindipaddress192。168。1。5macaddress548998cd7c8f将IP与MAC进行绑定，这样PC3能获取到固定IPdhcpserverleaseday0hour12minute0租期设置为12小时dhcpserverdnslist8。8。8。8114。114。114。114配置DNS服务器interfaceVlanif20dhcpselectinterfacedhcpserverexcludedipaddress192。168。2。252192。168。2。253排除192。168。2。252和253两个地址dhcpserverleaseday0hour12minute0dhcpserverdnslist8。8。8。8114。114。114。114
　　注意：
　　在进行IP与MAC绑定时，如果跳Error：ThestaticMACisexistinthisIPpool。那么PC3上使用ipconfigrelease进行IP地址释放后再配置命令，配置完毕后PC3上使用ipconfigrenew重新获取IP地址。正式环境客户端网卡直接禁用再启用即可
　　5）最终完成结果如下：
　　PC1获取到的IP地址
　　PC2获取到的IP地址（排除了192。168。2。252和2。253两个IP地址）
　　PC3获取到的IP地址（分配到了192。168。1。5）
　　3、中继模式
　　当企业使用戴尔、HP的服务器来做DHCPServer时，因为无法跨Vlan进行DHCP地址分发，所以就有了DHCP中继模式，让其他Vlan下的客户端也能够接收到DHCPServer分发的IP地址
　　【中继模式实验】
　　实验拓扑：
　　实验要求：
　　1）PC1属于Vlan10，网关为192。168。1。254；PC2属于Vlan20，网关为192。168。2。254
　　2）DHCPServer路由器为DHCP服务器
　　3）Core核心交换机和SW二层交换机之间使用trunk链路
　　4）使用DHCP中继模式让PC1和PC2能够正常通信
　　实验配置：
　　1）PC1和PC2都设置为DHCP自动获取
　　2）在SW上配置端口，将PC1划入vlan10，PC2划入vlan20，上行端口配置为trunkvlanbatch1020interfaceEthernet001portlinktypeaccessportdefaultvlan10interfaceEthernet002portlinktypeaccessportdefaultvlan20interfaceEthernet003portlinktypetrunkundoporttrunkallowpassvlan1porttrunkallowpassvlan1020
　　3）Core核心交换机上配置trunk和vlan10、vlan20、vlan900的网关，并且将vlan900划分进G002端口中vlanbatch1020900interfaceVlanif10ipaddress192。168。1。254255。255。255。0interfaceVlanif20ipaddress192。168。2。254255。255。255。0interfaceVlanif900ipaddress192。168。200。1255。255。255。0interfaceGigabitEthernet002portlinktypeaccessportdefaultvlan900interfaceGigabitEthernet001portlinktypetrunkundoporttrunkallowpassvlan1porttrunkallowpassvlan1020
　　4）配置DHCPServer路由器interfaceGigabitEthernet000ipaddress192。168。200。5255。255。255。0iproutestatic0。0。0。00192。168。200。1dhcpenable开启DHCP功能ippoolvlan10gatewaylist192。168。1。254network192。168。1。0mask255。255。255。0dnslist8。8。8。8114。114。114。114ippoolvlan20gatewaylist192。168。2。254network192。168。2。0mask255。255。255。0dnslist8。8。8。8114。114。114。114interfaceGigabitEthernet000dhcpselectglobal
　　5）Core核心交换机上配置中继模式dhcpenableinterfaceVlanif10dhcpselectrelay开启DHCP中继模式dhcprelayserverip192。168。200。5设置DHCP服务器为192。168。200。5路由器interfaceVlanif20dhcpselectrelaydhcprelayserverip192。168。200。5
　　6）检查PC1和PC2发现已经获取到了IP地址
　　五、DHCPSnooping
　　DHCPSnooping是一种安全技术，通常部署在交换机上，用来隔绝非法的DHCP服务器。客户端获取IP地址等信息只能通过信任接口获取，其他接口的DHCP发出的OFFER报文全部丢弃。
　　【DHCPSnooping实验】
　　实验拓扑：
　　实验要求：
　　1）PC1能获取到DHCPServer所分发的IP地址等信息
　　2）非法的DHCPServer无法分配IP地址给PC1
　　实验配置：
　　1）DHCPServer上进行DHCP配置interfaceGigabitEthernet000ipaddress192。168。1。254255。255。255。0dhcpenable开启DHCPinterfaceGigabitEthernet000ipaddress192。168。1。254255。255。255。0dhcpselectinterface使用接口模式dhcpserverdnslist8。8。8。8114。114。114。114配置DNS
　　配置完以后发现PC机已经能够获取到IP地址了
　　2）非法的DHCPServer上进行配置interfaceGigabitEthernet000ipaddress192。168。5。254255。255。255。0dhcpenableinterfaceGigabitEthernet000ipaddress192。168。5。254255。255。255。0dhcpselectinterfacedhcpserverdnslist8。8。8。8114。114。114。114
　　3）断开DHCPServer的连接，PC1使用ipconfigrelease和ipconfigrenew对IP地址进行重新获取，发现获取到了错误的IP地址
　　4）为了避免这类现象，就要使用DHCPSnooping功能
　　交换机SW上配置DHCPSnoopingdhcpenable开启DHCP服务dhcpsnoopingenable开启DHCPSnooping功能dhcpsnoopingenablevlan1因为没有配置vlan，所以这里使用vlan1interfaceEthernet002交换机上联接口作为信任口dhcpsnoopingtrusted添加为信任
　　PC重新获取IP地址后发现，IP已经更换为原来的192。168。1。253了
　　断开DHCPServer的连接，PC重新获取IP发现无法获取，说明DHCPSnooping配置生效
　　以上为DHCP学习笔记，主要以肖哥HCNP视频内容为主，如有错误，请各位大佬指正，谢谢