1-DHCP知识点总结及故障排除思路
DHCP 协议:
(01)作用:快速 动态的下发IP地址。
(02)优点:1.减少配置量 2.避免出错
(03)DHCP的前身:
1、RARP 反向ARP 主机有MAC没有IP,可以通过主机跟服务器同时配置策略使得主机能够通过服务器获取IP。(只能在本网段使用,不能跨网段)
2、Bootstrap:使用UDP封装。跟RARP 类似的运作方式。跟RARP的区别:允许跨网段运作。
3、DHCP是基于bootstrap,跟bootstrap和RARP的运作区别在于不需要主机做任何配置。只需主机支持DHCP协议就可以。使用UDP封装 ,SERVER端口67 CLIENT端口:68
(04)DHCP配置命令
全局模式下:
Ip dhcp pool ccie----创建地址池
Network 10.1.1.0 /24 ---地址池可下发的IP地址+掩码
Default-route 10.1.1.1 ---指定默认网关(一般是连接PC端路由器接口IP)
Dns-server 8.8.8.8 ----指定DNSserver IP (可选)
Lease 0 0 1 ----指定租期 第一个0为天 第二个0为时 第三个为分钟(可选)
ip dhcp excluded-address 10.1.1.1 10.1.1.10---排除地址池下发的IP段 1到10不下发
(05)注释:疑问1:为什么我们创建的DHCP有没有被调用,但是R2或R3获取到的IP一定是100.1.1.0/24而不是200.1.1.0/24? C2 获取到的IP 一定是200.1.1.0/24而不是100.1.1.0/24?
(06)解释:SERVER收到discover请求消息,查看收到discover的接口IP,根据此接口IP去匹配IP地址池。因为收到R2的discover请求消息的IP地址为100.1.1.1。匹配到的地址池就是100.1.1.0/24.所以此接口下发的IP 就是100.1.1.0/24 .
(07)DHCP 3个租期时间:
- 默认租期 100%的租期时间
- Renew租期 50%续租----request 单播
- Re-binding租期 87.5 续租----request 广播
注释:默认情况下 租期到达一半的时候,客户端会向服务器发起单播的request进行续租。(为什么是单播:客户端已经知道服务器的IP).只要服务器收到request的续租,都会进行响应。只要服务器有响应的情况下,是不会发出广播的续租的。但是如果客户端发出的单播续租,得不到响应。在到达租期的87.5%的时候,就会发出广播的request续租报文,去查找有没有其他的服务器能为我提供续租服务。如果有,那就继续续租。如果没有。到达100%的租期时间。该IP必须被释放release。然后重新再次发送discover获取IP。
(08)静态DHCP绑定
Ip dhcp pool aa----单独为某个设备创建地址池
Host 10.1.1.100 /24 池里只发1个IP
Client-id -------情况1 如果是普通非思科设备 那么只需要将设备接口的MAC前面加01
例:某设备mac为aaaa.bbbb.cccc 那么client-identi 01aa.aabb.bbcc.cc
情况2 如果是思科设备的接口要进行绑定 那么需要获取到其client-id 散列值
如何获取思科设备client-id
做法:1.现在DHCP SERVER 开启debug ip dhcp server packt
2.在DHCP 客户端上的接口 打上 ip address DHCP 并且 shutdown NO shutdown 如何就可以在 DHCP server 看到该DHCP 客户端的client-id
Client-id 636973636F2D633230322E316230302 303030302D4661302F3
跨网段DHCP—IP HELP-ADDRESS
对于现行企业来说 一般更喜欢把所有的DHCP服务器做统一管理。(把所有的DHCP都部署在同一台服务器)。因为默认情况下 主机发的discover报文是一个广播包。不能穿透R1路由器接口,也就是没办法把discover报文发送到SERVER。服务器只要没接收到discover是不会下发offer的。解决方案:R1是能够到达server的,此时我们把R1从F0/1接口收到的来自主机的discover的广播报文转换成单播发给服务器。服务器只要收到discover报文就能够下发IP地址。注意:对于使用DHCP代理的网络,我们的服务器接收到的discover报文的源就是做代理的那个接口IP。此时server只需要使用该源IP去匹配地址池进行下发。
命令:
在接收到discover广播报文的接口打上一条命令: (只需在收到广播discover的接口做)
R1: F0/1接口:ip help-address 100.1.1.2
(09)DHCP 安全 --DHCP snooping
作用:解决伪冒DHCP 服务器***
在交换机上 针对某个VLAN 开启 DHCP SNOOPING
命令:全局模式下 ip dhcp snooping vlan 10 ---开启此命令后 VLAN10 的所有接口都被设置为非信任端口 不接受 DHCP OFFER 报文
在接口模式下 针对真正连接服务器的端口 开启 TRUST
接口模式下命令:ip dhcp snooping trust
如果服务器为CISCO的路由器或交换机充当 那么还必须在连接CISCO DHCP服务器的接口上 敲上:ip dhcp relay information trusted 非CISCO DHCP服务器不需要
sw1#erase startup-config
sw1#delete flash:vlan.dat
reload
System configuration has been modified. Save? [yes/no]: n
来源:51CTO
作者:jacking520
链接:https://blog.51cto.com/jinchengzheng/2485051