HCNP之DHCP学习笔记

一、DHCP概念

DHCP（Dynamic Host Configuration Protocol 动态主机配置协议）通常应用于中大型的局域网环境中，使网络环境中的主机动态获取IP地址、网关、dns服务器地址等信息。它减少了网络管理人员的工作量，避免了因人工配置网络参数而导致的地址冲突等问题。

二、DHCP报文

DHCP报文总共分为8类

1、DHCP DISCOVER

由客户端（例如：PC机）发出广播来查找可用的DHCP服务器

2、DHCP OFFER

DHCP服务器响应客户端的DHCP DISCOVER报文，指定了各种配置信息。这个报文只是告诉客户端可提供的IP地址，但最终还是需要由客户端的ARP检测来确定IP地址是否重复

3、DHCP REQUEST

1）客户端发送广播来请求DHCP服务器希望获得配置信息

2）客户端请求确认原先的配置

3）客户端若已绑定IP，可以通过此报文来延长IP地址租期

4、DHCP ACK

由DHCP服务器发送给客户端的最终配置信息，这时才能真正获取IP地址等相关信息

5、DHCP DECLINE

当客户端发现IP地址已经被使用，通过此报文来通知DHCP服务器，并请求服务器重新分配一个地址

6、DHCP INFORM

客户端已获取IP地址时，通过此报文来请求DHCP服务器其他配置参数（网关、DNS服务器地址等）

7、DHCP NAK

DHCP服务器发送给客户端的报文，用来表明客户端的地址请求不正确或者租期已过期。客户端收到此报文，需要重新开始DHCP流程（DISCOVER报文开始）

8、DHCP RELEASE

客户端主动释放地址时用来通知DHCP服务器的报文，当DHCP服务器收到此报文后，会将此IP地址信息分配给其他客户端

三、DHCP的租期与续租

DHCP租期的作用是为了更加合理有效的使用IP地址

当租期时间到达50%时，客户端会向DHCP服务器发送单播DHCP REQUEST报文用于续租，如果DHCP服务器有回应，发送了ACK报文并且客户端接收到该报文，那么说明续租成功。如果DHCP服务器因为某些原因没有发送ACK报文或者客户端没有接收到ACK报文，那么此时客户端依旧可以使用此IP地址

当租期时间到达87.5%时，客户端会发送广播DHCP REQUEST报文，同样如果客户端收到来自DHCP服务器的ACK报文说明续租成功，如果还是未接收到ACK报文，那么此时客户端还能使用该IP地址

当租期时间到达100%时，客户端会自动放弃使用该IP地址，重新开始DHCP过程（从DISCOVER报文开始）

四、DHCP模式

DHCP总共有3种模式：全局模式、接口模式、中继模式

1、全局模式

全局模式的特点：需要创建地址池并在该地址池下配置IP地址网段、网关、DNS服务器等

全局模式的好处：使用范围比接口模式广泛

【全局模式实验】

实验拓扑：

实验要求：

1）PC1属于vlan10，网关为192.168.1.254/24；PC2属于vlan20，网关为192.168.2.254/24

2）Core核心交换机为DHCP服务器

3）Core核心交换机和SW二层交换机之间使用trunk链路

4）最终目的：PC1和PC2都能通过DHCP全局模式自动获取IP地址等信息

实验配置：

1）PC1和PC2都设置为DHCP自动获取

2）在SW上配置端口，将PC1划入vlan10，PC2划入vlan20，上行端口配置为trunk

vlan batch 10 20

interface Ethernet0/0/2
  port link-type access
  port default vlan 10

interface Ethernet0/0/3
  port link-type access
  port default vlan 20

interface Ethernet0/0/1
  port link-type trunk
  undo port trunk allow-pass vlan 1
  port trunk allow-pass vlan 10 20

3）Core核心交换机上配置trunk端口

vlan batch 10 20

interface GigabitEthernet0/0/1
  port link-type trunk
  undo port trunk allow-pass vlan 1
  port trunk allow-pass vlan 10 20

4）Core核心交换机配置vlan10和vlan20的网关

interface Vlanif10
  ip address 192.168.1.254 255.255.255.0
interface Vlanif20
  ip address 192.168.2.254 255.255.255.0

5）Core核心交换机配置DHCP

dhcp enable //开启DHCP功能

ip pool p_vlan10 //创建vlan10的地址池
  gateway-list 192.168.1.254 //配置网关
  network 192.168.1.0 mask 255.255.255.0 //配置IP地址网段
  dns-list 8.8.8.8 114.114.114.114 //配置DNS服务器

ip pool p_vlan20 //创建vlan20的地址池
  gateway-list 192.168.2.254
  network 192.168.2.0 mask 255.255.255.0
  dns-list 8.8.8.8 114.114.114.114

interface Vlanif10
  dhcp select global //DHCP全局模式

interface Vlanif20
  dhcp select global

6）PC1和PC2成功分配到IP地址等信息并且能相互ping通对方

2、接口模式

接口模式的特点：直接配置在某接口下，而接口地址即为网关

接口模式的好处：简单易配置

【接口模式实验】

实验拓扑：

实验要求：

1）PC1和PC3属于Vlan10，网关为192.168.1.254；PC2属于Vlan20，网关为192.168.2.254

2）Core核心交换机为DHCP服务器

3）Core核心交换机和SW二层交换机之间使用trunk链路

4）DHCP分配给PC3的IP地址为固定IP：192.168.1.5/24

5）DHCP保留192.168.2.252和192.168.2.253地址不分配

6）DHCP租期为12小时

7）采用DHCP接口模式进行配置

实验配置：

1）PC1、PC2和PC3都设置为DHCP自动获取

2）在SW上配置端口，将PC1、PC3划入vlan10，PC2划入vlan20，上行端口配置为trunk

vlan batch 10 20

interface Ethernet0/0/2
  port link-type access
  port default vlan 10

interface Ethernet0/0/3
  port link-type access
  port default vlan 20

interface Ethernet0/0/4
  port link-type access
  port default vlan 10

interface Ethernet0/0/1
  port link-type trunk
  undo port trunk allow-pass vlan 1
  port trunk allow-pass vlan 10 20

3）Core核心交换机配置trunk和vlan10、vlan20的网关

vlan batch 10 20

interface Vlanif10
  ip address 192.168.1.254 255.255.255.0

interface Vlanif20
  ip address 192.168.2.254 255.255.255.0

interface GigabitEthernet0/0/1
  port link-type trunk
  undo port trunk allow-pass vlan 1
  port trunk allow-pass vlan 10 20

4）Core核心交换机配置DHCP，使用接口模式

DHCP分配给PC3的IP地址为固定IP：192.168.1.5/24

DHCP保留192.168.2.252和192.168.2.253地址不分配

DHCP租期为12小时

dhcp enable //开启DHCP

interface Vlanif10
  dhcp select interface //接口模式
  dhcp server static-bind ip-address 192.168.1.5 mac-address 5489-98cd-7c8f //将IP与MAC进行绑定，这样PC3能获取到固定IP
  dhcp server lease day 0 hour 12 minute 0 //租期设置为12小时
  dhcp server dns-list 8.8.8.8 114.114.114.114 //配置DNS服务器

interface Vlanif20
  dhcp select interface
  dhcp server excluded-ip-address 192.168.2.252 192.168.2.253 //排除192.168.2.252和253两个地址
  dhcp server lease day 0 hour 12 minute 0
  dhcp server dns-list 8.8.8.8 114.114.114.114

注意：

在进行IP与MAC绑定时，如果跳Error:The static-MAC is exist in this IP-pool. 那么PC3上使用ipconfig /release进行IP地址释放后再配置命令，配置完毕后PC3上使用ipconfig /renew重新获取IP地址。正式环境客户端网卡直接禁用再启用即可

5）最终完成结果如下：

PC1获取到的IP地址

PC2获取到的IP地址（排除了192.168.2.252和2.253两个IP地址）

PC3获取到的IP地址（分配到了192.168.1.5）

3、中继模式

当企业使用戴尔、HP的服务器来做DHCP Server时，因为无法跨Vlan进行DHCP地址分发，所以就有了DHCP中继模式，让其他Vlan下的客户端也能够接收到DHCP Server分发的IP地址

【中继模式实验】

实验拓扑：

实验要求：

1）PC1属于Vlan10，网关为192.168.1.254；PC2属于Vlan20，网关为192.168.2.254

2）DHCP Server路由器为DHCP服务器

3）Core核心交换机和SW二层交换机之间使用trunk链路

4）使用DHCP中继模式让PC1和PC2能够正常通信

实验配置：

1）PC1和PC2都设置为DHCP自动获取

2）在SW上配置端口，将PC1划入vlan10，PC2划入vlan20，上行端口配置为trunk

 vlan batch 10 20

interface Ethernet0/0/1
  port link-type access
  port default vlan 10

interface Ethernet0/0/2
  port link-type access
  port default vlan 20

interface Ethernet0/0/3
  port link-type trunk
  undo port trunk allow-pass vlan 1
  port trunk allow-pass vlan 10 20

3）Core核心交换机上配置trunk和vlan10、vlan20、vlan900的网关，并且将vlan900划分进G0/0/2端口中

vlan batch 10 20 900

interface Vlanif10
  ip address 192.168.1.254 255.255.255.0

interface Vlanif20
  ip address 192.168.2.254 255.255.255.0

interface Vlanif900
  ip address 192.168.200.1 255.255.255.0

interface GigabitEthernet0/0/2
  port link-type access
  port default vlan 900

interface GigabitEthernet0/0/1
  port link-type trunk
  undo port trunk allow-pass vlan 1
  port trunk allow-pass vlan 10 20

4）配置DHCP Server路由器

interface GigabitEthernet0/0/0
  ip address 192.168.200.5 255.255.255.0

ip route-static 0.0.0.0 0 192.168.200.1

dhcp enable //开启DHCP功能

ip pool vlan10
  gateway-list 192.168.1.254
  network 192.168.1.0 mask 255.255.255.0
  dns-list 8.8.8.8 114.114.114.114

ip pool vlan20
  gateway-list 192.168.2.254
  network 192.168.2.0 mask 255.255.255.0
  dns-list 8.8.8.8 114.114.114.114

interface GigabitEthernet0/0/0
  dhcp select global

5）Core核心交换机上配置中继模式

dhcp enable

interface Vlanif10
  dhcp select relay //开启DHCP中继模式
  dhcp relay server-ip 192.168.200.5 //设置DHCP服务器为192.168.200.5路由器

interface Vlanif20
  dhcp select relay
  dhcp relay server-ip 192.168.200.5

6）检查PC1和PC2发现已经获取到了IP地址

五、DHCP Snooping

DHCP Snooping是一种安全技术，通常部署在交换机上，用来隔绝非法的DHCP服务器。客户端获取IP地址等信息只能通过信任接口获取，其他接口的DHCP发出的OFFER报文全部丢弃。

【DHCP Snooping实验】

实验拓扑：

实验要求：

1）PC1能获取到DHCP Server所分发的IP地址等信息

2）非法的DHCP Server无法分配IP地址给PC1

实验配置：

1）DHCP Server上进行DHCP配置

interface GigabitEthernet0/0/0
  ip address 192.168.1.254 255.255.255.0

dhcp enable //开启DHCP

interface GigabitEthernet0/0/0
  ip address 192.168.1.254 255.255.255.0
  dhcp select interface //使用接口模式
  dhcp server dns-list 8.8.8.8 114.114.114.114 //配置DNS

配置完以后发现PC机已经能够获取到IP地址了

2）非法的DHCP Server上进行配置

interface GigabitEthernet0/0/0
  ip address 192.168.5.254 255.255.255.0

dhcp enable

interface GigabitEthernet0/0/0
  ip address 192.168.5.254 255.255.255.0
  dhcp select interface
  dhcp server dns-list 8.8.8.8 114.114.114.114

3）断开DHCP Server的连接，PC1使用ipconfig /release和ipconfig /renew对IP地址进行重新获取，发现获取到了错误的IP地址

4）为了避免这类现象，就要使用DHCP Snooping功能

交换机SW上配置DHCP Snooping

dhcp enable //开启DHCP服务

dhcp snooping enable //开启DHCP Snooping功能

dhcp snooping enable vlan 1 //因为没有配置vlan，所以这里使用vlan1

interface Ethernet0/0/2 //交换机上联接口作为信任口
  dhcp snooping trusted //添加为信任

PC重新获取IP地址后发现，IP已经更换为原来的192.168.1.253了

断开DHCP Server的连接，PC重新获取IP发现无法获取，说明DHCP Snooping配置生效

以上为DHCP学习笔记，主要以肖哥HCNP视频内容为主，如有错误，请各位大佬指正，谢谢~