1. 程式人生 > >華為路由器dhcp簡單配置例項

華為路由器dhcp簡單配置例項

session 1 DHCP的工作原理

       DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)是一個區域網的網路協議,使用UDP協議工作, 主要有兩個用途:給內部網路或網路服務供應商自動分配IP地址,給使用者或者內部網路管理員作為對所有計算機作中央管理的手段,在RFC 2131中有詳細的描述。DHCP有3個埠,其中UDP67和UDP68為正常的DHCP服務埠,分別作為DHCP Server和DHCP Client的服務埠;546號埠用於DHCPv6 Client,而不用於DHCPv4,是為DHCP failover服務,這是需要特別開啟的服務,DHCP failover是用來做“雙機熱備”的。

       DHCP協議採用UDP作為傳輸協議,主機發送請求訊息到DHCP伺服器的67號埠,DHCP伺服器迴應應答訊息給主機的68號埠,DHCP的IP地址自動獲取工作原理及詳細步驟如下:

1、DHCP Client以廣播的方式發出DHCP Discover報文。

2、所有的DHCP Server都能夠接收到DHCP Client傳送的DHCP Discover報文,所有的DHCP Server都會給出響應,向DHCP Client傳送一個DHCP Offer報文。DHCP Offer報文中“Your(Client) IP Address”欄位就是DHCP Server能夠提供給DHCP Client使用的IP地址,且DHCP Server會將自己的IP地址放在“option”欄位中以便DHCP Client區分不同的DHCP Server。DHCP Server在發出此報文後會存在一個已分配IP地址的紀錄。

3、DHCP Client只能處理其中的一個DHCP Offer報文,一般的原則是DHCP Client處理最先收到的DHCP Offer報文。DHCP Client會發出一個廣播的DHCP Request報文,在選項欄位中會加入選中的DHCP Server的IP地址和需要的IP地址。

4、DHCP Server收到DHCP Request報文後,判斷選項欄位中的IP地址是否與自己的地址相同。如果不相同,DHCP Server不做任何處理只清除相應IP地址分配記錄;如果相同,DHCP Server就會向DHCP Client響應一個DHCP ACK報文,並在選項欄位中增加IP地址的使用租期資訊。

5、DHCP Client接收到DHCP ACK報文後,檢查DHCP Server分配的IP地址是否能夠使用。如果可以使用,則DHCP Client成功獲得IP地址並根據IP地址使用租期自動啟動續延過程;如果DHCP Client發現分配的IP地址已經被使用,則DHCP Client向DHCPServer發出DHCP Decline報文,通知DHCP Server禁用這個IP地址,然後DHCP Client開始新的地址申請過程。

6、DHCP Client在成功獲取IP地址後,隨時可以通過傳送DHCP Release報文釋放自己的IP地址,DHCP Server收到DHCP Release報文後,會回收相應的IP地址並重新分配。


session 2 dhcp的中繼代理和snooping

一、dhcp中繼代理的作用就是:在一個L3層網路中,如果dhcp伺服器和客戶端不在同一個網段時,客戶端傳送的dhcp-discovery廣播包將會被閘道器裝置丟棄(L3層隔離廣播特性)。dhcp中繼就是在閘道器介面上配置一種能讓閘道器識別客戶端傳送的dhcp-discovery廣播包,當閘道器收到該包後不做丟棄處理,而是以單播形式代理客戶端來向dhcp伺服器請求ip地址,然後再將dhcp迴應的offer包轉發給客戶端,幫助客戶端完成ip地址的獲取過程。
只需要再L3閘道器的介面上配置中繼代理:

二、為了防止網路中非法dhcp向用戶提供dhcp服務,可以使用dhcp snooping(dhcp探測功能)。
       DHCP Snooping技術是DHCP安全特性,通過建立和維護DHCP Snooping繫結表過濾不可信任的DHCP資訊,這些資訊是指來自不信任區域的DHCP資訊(也就是非法dhcp伺服器)。DHCP Snooping繫結表包含不信任區域的使用者MAC地址、IP地址、租用期、VLAN-ID 介面等資訊,該技術在介面上設定是否信任該介面上連線的dhcp伺服器(如果有)。
       當交換機開啟了 DHCP-Snooping後,交換機所有埠會對自己接受來的DHCP報文進行偵聽,並可以從接收到的DHCP Request或DHCP Ack報文中提取並記錄IP地址和MAC地址資訊。另外,DHCP-Snooping允許將某個物理埠設定為信任埠或不信任埠。信任埠可以正常接收並轉發DHCP Offer報文,而不信任埠會將接收到的DHCP Offer報文丟棄。這樣,可以完成交換機對假冒DHCP Server的遮蔽作用,確保客戶端從合法的DHCP Server獲取IP地址。
       預設情況下開啟了DHCP Snooping後,交換機所有介面都被設定為不信任狀態,就是任何一個埠收到dhcp伺服器的offer響應包後都會丟棄,可以手動配置合法dhcp所在的埠為信任埠,不丟棄dhcp伺服器向外傳送的offer包,來實現dhcp的安全。
       一般所有交換機都開啟dhcp snooping功能,信任介面一般都是sw之間相連的介面(如果是匯聚層交換機的話需要在該交換機連線上游核心sw和下游接入sw的介面上都開啟dhcp trust才可以,核心L3層交換機作為dhcp伺服器的話),非信任介面都是sw連線PC的介面。

session 3 dhcp的配置例項

拓撲如下:


      根據拓撲配置,要求PC1和PC2分別在不同的vlan中獲取AR2這臺DHCP分配的ip地址,並且在LSW2和AR2上開啟dhcp snpooping功能防止非法dhcp伺服器接入網路和非法使用者對於AR2的dhcp泛紅攻擊,在LSW2上開啟中繼代理功能為PC1和P2代理dhcp伺服器的ip地址。

具體配置如下:

一、將AR2配置成dhcp伺服器

[Huawei]interface g0/0/0

[Huawei-GigabitEthernet0/0/0] ip address 12.1.1.2 255.255.255.0

[Huawei-GigabitEthernet0/0/0] quit

[Huawei]

[Huawei] ip pool net1                                                                         配置為vlan2分配IP地址的地址池,名為net1

[Huawei-ip-pool-net1] network 192.168.1.0 mask 255.255.255.0          分配的ip是192.168.1.0/24

[Huawei-ip-pool-net1] gateway-list 192.168.1.1

[Huawei-ip-pool-net1] dns-list 218.30.19.40 61.134.1.4

[Huawei-ip-pool-net1] static-bind ip-address 192.168.1.10 mac-address 0000-1111-2222        為固定mac分配固定ip

[Huawei-ip-pool-net1] excluded-ip-address 192.168.1.2                      不分配的ip地址

[Huawei-ip-pool-net1] quit

[Huawei]

[Huawei] ip pool net2                                                                          配置為vlan2分配IP地址的地址池,名為net1

[Huawei-ip-pool-net2] network 192.168.2.0 mask 255.255.255.0           分配的ip是192.168.1.0/24

[Huawei-ip-pool-net2] gateway-list 192.168.2.1

[Huawei-ip-pool-net2] dns-list 218.30.19.40 61.134.1.4

[Huawei-ip-pool-net2] static-bind ip-address 192.168.2.10 mac-address 0001-1111-2222        為固定mac分配固定ip

[Huawei-ip-pool-net2] excluded-ip-address 192.168.2.2                       不分配的ip地址

[Huawei-ip-pool-net2] quit

[Huawei]

[Huawei]interface g0/0/0

[Huawei-GigabitEthernet0/0/0] ip address 12.1.1.2 255.255.255.0            

[Huawei-GigabitEthernet0/0/0] dhcp select global                                介面下開啟器全域性DHCP分配功能

[Huawei-GigabitEthernet0/0/0] quit                                                     

[Huawei]dhcp server ping packet 10 timeout 100                                 配置dhcp伺服器分配某個ip之前先探測該ip是否已被網路中pc使用的功能,dhcp伺服器會向該ip地址發10個包且每次100ms,無應答才會分配該ip地址給客戶端

[Huawei]dhcp check dhcp-rate enable                                                 開啟dhcp的速率檢測功能開關
[Huawei]dhcp check dhcp-rate 90                       檢測收到dhcp請求包的速率最大為90個/s,預設100個/s,防止dhcp泛紅攻擊

[Huawei] quit

[Huawei] ip route-static 0.0.0.0 0.0.0.0 12.1.1.1                                       配置一條能夠到達客戶端網路的預設路由


二、配置SW成為dhcp中繼代理為vlan2和vlan3中的客戶端提供對應的dhcp中繼代理服務,並配置dhcp-snooping功能防止非法的dhcp伺服器分配ip地址給客戶端

[Huawei]interface Vlanif 1
[Huawei-Vlanif1]ip address 12.1.1.1 255.255.255.0

[Huawei-Vlanif1]quit
[Huawei]

[Huawei]vlan 2                                                                建立vlan2、3
[Huawei-vlan2]quit
[Huawei]vlan 3 
[Huawei-vlan3]quit
[Huawei]

[Huawei] interface vlan 2
[Huawei-Vlanif2] ip address 192.168.1.1 255.255.255.0

[Huawei-Vlanif2] dhcp relay server-ip 12.1.1.2                      在vlan2中開啟dhcp中繼功能

[Huawei-Vlanif2] quit
[Huawei]

[Huawei] interface vlan 3
[Huawei-Vlanif3] ip address 192.168.2.1 255.255.255.0

[Huawei-Vlanif3] dhcp relay server-ip 12.1.1.2                       在vlan3中開啟dhcp中繼功能

[Huawei-Vlanif3] quit
[Huawei]

[Huawei]interface g0/0/1                                                       配置介面g0/0/1和g/0/2為access介面

[Huawei-GigabitEthernet0/0/1]port link-type access 
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]

[Huawei]interface g0/0/2

[Huawei-GigabitEthernet0/0/1]port link-type access 
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]

[Huawei]vlan 2                                                                      將g/0/1介面加入vlan2,g/0/2加入vlan3
[Huawei-vlan2]port g0/0/1
[Huawei-vlan2]quit

[Huawei]

[Huawei]vlan 3 
[Huawei-vlan3]port g0/0/2

[Huawei-vlan3]quit

[Huawei]

[Huawei]ip route-static 0.0.0.0 0.0.0.0 12.1.1.2                       配置能夠到達dhcp伺服器的路由

[Huawei]

[Huawei]dhcp snooping enable                                            開啟全域性dhcp-snooping檢測功能

[Huawei]interface g0/0/3

[Huawei-GigabitEthernet0/0/3]dhcp snooping trusted          在連線dhcp伺服器的介面信任dhcp-offer報文
[Huawei-GigabitEthernet0/0/3]quit
[Huawei]

[Huawei]interface g0/0/1

[Huawei-GigabitEthernet0/0/1]dhcp snooping enable          在連線客戶端的介面不信任dhcp-offer報文,建議每個連線客戶端的介面都配置dhcp-snooping,防止非法dhcp伺服器提供ip地址
[Huawei-GigabitEthernet0/0/1]quit
[Huawei]

[Huawei]interface g0/0/2
[Huawei-GigabitEthernet0/0/2]dhcp snooping enable           在連線客戶端的介面不信任dhcp-offer報文,建議每個連線客戶端的介面都配置dhcp-snooping,防止非法dhcp伺服器提供ip地址
[Huawei-GigabitEthernet0/0/2]quit
[Huawei]

三、完成配置後,可以再客戶端pc1和pc2上使用ipconfig/renew來獲取ip地址

 


相關推薦

路由器dhcp簡單配置例項

session 1 DHCP的工作原理        DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)是一個區域網的網路協議,使用UDP協議工作, 主要有兩個用途:給內部網路或網路服務供應商自動分配IP地址,給使用者或者內

路由器RIP簡單配置

session 1 rip協議 rip是一種動態路由協議,使用跳數作為度量標準,是距離向量路由協議,是一種謠傳式的路由協議。 rip路由協議目前有2個版本,version 1 使用廣播收發rip報文,

MPLS-VPN簡單配置例項

session 1 mpls-vpn華為 配置步驟思路如下: 1、客戶CE網路配置路由協議並宣告內網 2、ISP的PE與P之間配置IGP路由協議保證路由連通 3、ISP的PE針對每一個客戶配置一個VRF虛擬路由器,在華為裡面叫做vpn instance例項 4、ISP的客戶

路由器BGP路由配置例項

session 1 BGP        bgp邊界閘道器協議,用於AS與AS之間的路由協議,bgp本身只負責控制路由,資料轉發依然靠靜態和IGP路由。        bgp分為同一個AS內的ibgp

路由器ACL簡單配置

ACL(Access Control List)訪問控制列表,是由一系列規則組成的集合。 先來看下拓撲圖吧~ lo0就是LoopBack0,路由器上的邏輯介面,可以模擬一臺主機 配置目的:

路由器接口配置和直連路由

fff 直連 查看 process ext tab jpg vpd cdc []sname R1 命名 []un in en 關閉信息中心 []interface e0/0/0 進入接口 []ip address 192.168.1.1 24 配

HCNA 路由器負載分擔配置和備份

0x1 負載分擔介紹 兩臺裝置中有兩條鏈路的情況下,我可以配置多條靜態路由。靜態路由支援到達同一目的地的等價負載分擔,兩條鏈路都可以走。 0x2 負載分擔配置 0x3 例項: 0x4 路由備份/浮動靜態路由 通過調整靜態路由優先順序,優先順序為60,等價路由

路由器NAT經典配置

NAT概述 NAT(Network Address Translation)又稱為網路地址轉換,用於實現私有網路和公有網路之間的互訪。 私有網路地址和公有網路地址 私有網路地址(以下簡稱私網地址)是指內部網路或主機的IP地址,公有網路地址(以下簡稱公網

路由器DHCP中繼

按照老師的例子搭了一個簡單的拓撲,包括一個終端,兩個路由器,如圖: 路由器AR2  g0埠作為閘道器,地址:192.168.1.1 子網掩碼:255.255.255.0 g1埠                  地址 :192.168.2.2 子網掩碼:255.255.2

路由器上的 DHCP 配置步驟:

http 客戶端 ip pool rgb face default title 表示 -o 華為路由器上的 DHCP 配置步驟: 1、確保客戶端與服務器之間的鏈路是互通的; #SW1 創建 VLAN 10

路由器交換機DHCP伺服器配置

基於埠舉例 要求:vlan10上自動獲取192.168.10.101到192.168.10.200的IP # 使能DHCP服務 dhcp enable # 配置vlan vlan10 quit # 配置邏輯埠 interface vlanif 10 ip address 192.168.10.1 24 #

路由器交換機DHCP服務器配置

work pre int res server 全局 serve code exclude 基於端口舉例 要求:vlan10上自動獲取192.168.10.101到192.168.10.200的IP # 使能DHCP服務 dhcp enable # 配置vlan vlan1

路由器配置OSPF例項

[Huawei]display ospf 1 lsdb OSPF Process 1 with Router ID 1.1.1.1Link State Database         Area: 0.0.0.0區域0的lsa  Type      LinkState ID    AdvRouter    

路由器簡單配置默認路由

images col text stat blog .com sha vpd img 1、使用eNSP建立如下拓撲2、AR1[AR1]ip route-static 0.0.0.0 0.0.0.0 192.168.2.2AR2[AR2]ip route-static 192

路由器配置 Telnet

華為路由器 最近比較黑仔,什麽事都不想幹,但又要找些事來自己,就亂搞。 Telnet 其實配置簡單,也就幾條命令,只是無聊,所以玩下吧了配置IP :[R1]int g0/0/0[R1-GigabitEthernet0/0/0]ip add 192.168.12.1 24--------------

路由器交換機配置命令大全

bug level code nvl cast inb tpc 網絡 wall 華為路由器交換機配置命令:計算機命令   PCAlogin:root;使用root用戶   password:linux;口令是linux   #shutdown-hnow;關機   #ini

史上最全路由器交換機配置命令大合集

uid info rtt duplex display telnet facet sna its 華為路由器交換機配置命令是大家使用時經常遇到的,顧名思義關於交換機的計算機命令,路由器命令,交換機命令和動靜態命令都將在文中提到。 【限時免費】年底最強一次雲計算大會,看傳

路由器及三層交換機做DHCP服務器

ddr gateway ima 完成 roc type 物理 ip地址 啟用 華為 三層交換機及路由器配置DHCP服務 路由器配置DHCP服務器實現自動獲取IP 首先要保證全網互通*小技巧 :想要確定是否全網互通可先手動配置一個靜態IP,去ping一下驗證然後在DHCP服務

路由器配置動態地址轉換

地址轉換 bsp alt img http inf TP 圖片 src 華為路由器配置動態地址轉換

路由器VVRP配置

簡單的VRRP配置實驗名稱:通過VRRP技術,實現路由備份環境要求:兩臺路由器,一臺交換機,一臺PC機。實驗驗證:驗證在主路由發生故障時,備份路由可以快速啟動連接網絡,且不需要PC機修改網關。實驗步驟:1、搭建網絡拓撲圖,如下:2、配置路由器,將AR1設為主設備,命令如下:路由器AR1配置:<Huawe