路由器安全技术

1、 民族 安全 创新 服务 路由器安全技术技术基础课程系列 民族 安全 创新 服务课程内容网络地址转换NAT4身份认证技术1防火墙技术2动态主机配置协议DHCP3多机冗余热备VRRP 5 民族 安全 创新 服务路由器身份认证体制看是否有配置line AAA认证用户登录 进入Shell 未配置line未配置AAA已配置line已配置AAA看是否有配置AAA line认证 民族 安全 创新 服务用户及级别设置设置用户及相关属性使用user命令来配置本地用户和相关用户权限属性。 命令描述配置模式user user-name password 0 password设置用户及密码。configuser u

2、ser-name nopassword设置用户在登录时无需密码验证。configuser user-name privilege 0-15设置用户的授权级别。config用户分015级，15最高；只有高级别用户才能对低级别用户操作；设置用户密码时的参数0代表以明文输入，而不是以密文输入。 民族 安全 创新 服务用户及级别设置修改命令的级别 在迈普路由器IOS中的每个shell命令都有一个默认的级别，但是可以通过命令privilege来修改其默认级别。 保证只有相应级别及以上的用户才有配置、查看相应命令的权限。命令描述配置模式privilege MODE level 0-15 all | com

3、mand LINE修改命令的级别config设置enable密码 设置进入各个用户级别的本地enable密码。也可以只设置一个共通的密码。若没有配置enable密码，则非console用户不能进入特权模式。命令描述配置模式enable password level 1-15 0 password指定级别和密码，密码为明文。config 民族 安全 创新 服务用户及级别设置设置line属性 路由器支持一个console口用户最多16个telnet用户和16个ssh用户同时登录到设备上，line命令可以为这些登录设置不同的认证、授权等属性。命令描述配置模式line con 0进入console口l

4、ine配置模式configline vty 0-15 0-15进入telnet用户的line配置模式configline ssh-vty 0-15 0-15进入SSH用户的line配置模式configprivilege level 0-15配置登录用户被授权的级别，默认级别为1。config-linepassword 0 password配置line密码。（0代表输入明文）config-linelogin local | authencation配置登录认证方式，其中login CR 使用line密码认证，login local 使用本地用户数据库认证，login authentication

5、 使用AAA认证。no login表示不需要认证就可以登录。config-line 民族 安全 创新 服务AAA技术概念lAAA是认证、授权和统计（Authentication, Authorization and Accounting）的简称。l它提供了一个用来对这三种安全功能进行配置的一致性框架。AAA的配置实际上是对网络安全的一种管理。l这里的网络安全主要指访问控制。包括： 哪些用户可以访问网络服务器？ 具有访问权的用户可以得到哪些服务？ 如何对正在使用网络资源的用户进行记账？ 民族 安全 创新 服务AAA基本原理NAS：网络接入服务器（Network Access Server）。在路

6、由器上启动AAA安全服务作为NAS。当用户想要登录NAS或与 NAS建立连接（比如拨号连接）从而获得访问其他网络的权限时，NAS起到了验证用户的作用RADIUS：远程身份认证拨入用户服务（Remote Authentication Dial In User Service） Tacacs：Tacacs是终端访问控制系统（Terminal Access Controller Access Control System）的简称 民族 安全 创新 服务AAA认证相关配置AAA认证简单设置命令 命令描述配置模式aaa new-model*启动AAAconfigaaa authentication lo

7、gin*配置AAA登陆认证configaaa authentication enable*配置进入特权模式认证config配置范例router(config-if)# aaa new-model启动AAA功能router(config-if)# aaa authentication login default local对登陆用户根据本地用户数据库进行身份认证 民族 安全 创新 服务Dot1x接入认证体系802.1X lIEEE802 LAN/WAN 委员会为解决无线局域网网络安全问题，提出了802.1X协议。后来，802.1X协议作为局域网端口的一个普通接入控制机制在以太网中被广泛应用，主要

8、解决以太网内认证和安全方面的问题。 l802.1X协议是一种基于端口的网络接入控制协议（port based network acce ss control protocol）。“基于端口的网络接入控制”是指在局域网接入设备的端口这一级对所接入的用户设备进行认证和控制。连接在端口上的用户设备如果能通过认证，就可以访问局域网中的资源；如果不能通过认证，则无法访问局域网中的资源。l802.1X系统为典型的Client/Server 结构，如图 所示，包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Server ） 民族 安全 创新 服务802.1X的认证方式 l802.1

9、X认证系统使用EAP （Extensible Authentication Protocol ，可扩展认证协议），来实现客户端、设备端和认证服务器之间认证信息的交换。 l在客户端与设备端之间，EAP协议报文使用 EAPOL封装格式，直接承载于LAN 环境中。 l在设备端与RADIUS 服务器之间，可以使用两种方式来交换信息：EAP 协议报文由设备端进行中继，使用EAPOR（EAP over RADIUS）封装格式承载于RADIUS 协议中EAP 协议报文由设备端进行终结，采用包含 PAP（Password Authentication Protocol ，密码验证协议）或CHAP （Chall

10、enge Handshake Authentication Protocal，质询握手验证协议）属性的报文与RADIUS 服务器进行认证交互 民族 安全 创新 服务802.1X认证流程 民族 安全 创新 服务802.1X认证相关配置命令描述配置模式dot1x eap-relay enable|disable全局启用/关闭EAP中继configdot1x timeout re-authperiod 5-3600配置重认证定时器参数configdot1x port-control enable|disable端口启用/关闭802.1Xconfig-port-/,config-port-ranged

11、ot1x eapol-relay enable|disable启用/关闭802.1X EAPOL报文透传configdot1x port-method portbased|macbased配置端口认证模式config-port-/,config-port-rangeno dot1x port-control端口关闭802.1xconfig-port-/,config-port-range 民族 安全 创新 服务802.1X认证常用命令dot1x eap-relay该命令配置端口的EAP模式，EAP中继或者EAP终结。相关的no命令恢复配置缺省值。dot1x eap-relay enable|d

12、isable; no dot1x eap-relaydot1x port-control该命令在端口启用或者关闭802.1X功能。相关的no命令恢复配置缺省值。dot1x port-control enable|disableno dot1x port-controldot1x port-method该命令配置端口802.1X的认证模式，基于端口 认证模式或者基于用户认证模式。相关的no命令恢复配置缺省值。dot1x port-method portbased|macbasedno dot1x port-method备注:Portbased:基于端口 的认证模式 macbased:基于用户的认

13、证模式 民族 安全 创新 服务课程内容网络地址转换NAT4身份认证技术1防火墙技术2动态主机配置协议DHCP3多机冗余热备VRRP 5 民族 安全 创新 服务l 内联网通常采用一定的安全措施与企业或机构外部的Internet用户相隔离，这个安全措施就是防火墙（firewall）。防火墙技术一般分为两类: 网络级防火墙:主要是用来防止整个网络出现外来非法的入侵。属于这类的有包过滤（packet filtering）和授权服务器（authorization server）。 应用级防火墙:从应用程序来进行存取控制。通常使用应用网关或委托服务器（proxy server）来区分各种应用。例如，可以只

14、允许通过万维网的应用，而阻止FTP应用的通过。 民族 安全 创新 服务访问控制列表（ACL）技术v 迈普路由器采用的是包过滤式的防火墙技术；v 包过滤式防火墙的核心就是通过访问控制列表来控制流入流出路由器的数据；v 访问控制列表以IP包信息为基础，对IP源地址、IP目标地址、协议类型及各协议的字段（如：TCP、UDP的端口号，ICMP的类型、代码，IGMP的类型等）进行筛选；v 访问列表根据过滤的内容可以分成2类，标准访问列表和扩展访问列表； 民族 安全 创新 服务标准访问列表配置实例命令描述router(config)# access-list 2 permit host

15、 允许子网上的主机IP地址为发来的包通过router(config)# access-list 2 permit 55允许子网上所有机器发来的包 router(config)# access-list 2 deny any拒绝接收其它的包router(config)# interface ethernet 0router(config-if-ethernet)# ip access-group 2 in 将列表2应用于以太接口0入方向 实例实现目标 建立标准访问列表2，定义了三条规则; 将标准访问列表2

16、应用于以太接口0; 从以太接口0来的包中，只允许子网上的主机IP地址为发来的包通过，允许子网上所有机器发来的包，拒绝接收其它的包。 民族 安全 创新 服务扩展访问列表配置命令定义扩展访问控制列表 定义一个扩展访问列表，可以用数字命名，也可以是用户自定义名称，该命令将进入扩展访问列表配置模式。no格式是删掉某个访问列表，包含它下面的所有规则。 no ip access-list extended access-list-number | access-list-name 语法描述extended指定这样定义的是扩展访问列表access-lis

17、t-number扩展访问列表编号，范围access-list-name用字符串名字来表示访问列表规则定义 配置一条permit（或deny）扩展访问列表规则，no格式是删除指定的规则。no sequence permit protocol source source-wildcard operator source-port source-port destination destination-wildcard icmp-type igmp-type operator destination-port destination-port ack / fin / established / ps

18、h / rst / syn / urg precedence precedence tos tos log audit time-range time-range-name 民族 安全 创新 服务扩展访问列表规则参数 语法描述sequence规则序列号permit配置一条允许通过的扩展访问列表规则protocol匹配的协议类型source 包来自的网络或主机，也即包的源地址。source-wildcard应用到源地址的通配符。注意用反掩码。destination包的目的网络或主机，也即包的目的地址。destination-wildcard应用到目的地址的通配符。注意用反掩码。precedenc

19、e包的优先级。它可以是0到7之间的一个数。tos 服务类型。log 日志（可选项）operator端口比较。可以选择以下组合之一：eq 匹配端口、gt 匹配大于端口、lt 匹配下于端口、neq 匹配不等于端口、range 匹配端口范围、wildcard 通配符匹配 民族 安全 创新 服务扩展访问列表规则参数语法描述source-port指定源端口。可以是一个具体值，也可以是一个常用端口别名字符串。destination-port指定目的端口号。可以是一个具体值，也可以是一个常用端口别名字符串。ack / fin / psh / rst / syn / urg用于匹配TCP的标志位。分别是：确认

20、标志、结束标志、立即发送标志、复位标志、同步标志、紧急标志。（可选项）established是TCP建立连接的标志。如果TCP包有ACK或RST位置位，就会匹配。只有初始建立连接的包不会匹配。（可选项）audit是否对规则匹配的报文的源地址进行审计。time-range指定规则生效的时间域time-range-name需要绑定的时间域名字。时间域的配置参考time-range命令remark配置一条注释。注释规则，不会参与规则的匹配，仅仅起到规则的注释和分隔作用。comment注释内容 民族 安全 创新 服务扩展访问列表配置命令在接口上应用访问控制列表 对于往内的访问列表，如果允许这个包，路由

21、器软件继续处理这个包；如果拒绝这个包，防火墙软件就会扔掉这个包，并向源地址发送ICMP管理状态不可达的包。 对于往出的访问列表，收到并路由一个包到接口后，防火墙软件根据访问列表检测包。如果允许这个包，路由器软件就会转发这个包；如果拒绝这个包，防火墙软件就会扔掉这个包，并向源地址发送ICMP管理状态不可达的包。no ip access-group access-list-number | access-list-name in | out 语法描述access-list-number访问列表的编号。它可以是一个从1到2000之间的数。access-list-name访问列表的名称。in过滤往内的

22、包。out过滤往出的包 民族 安全 创新 服务课程内容网络地址转换NAT4身份认证技术1防火墙技术2动态主机配置协议DHCP3多机冗余热备VRRP 5 民族 安全 创新 服务NAT的概念l网络地址转换（NAT）主要用来完成局部地址与全局地址之间的转换。NAT解决了Internet地址耗竭问题，企业内部网只需少量的全局地址就可达到与INTERNET的互连。 lNAT使一个组织在多个域内重用注册过的IP地址，只要离开该域以前将那些重用地址转换为全局的唯一注册IP地址即可。 民族 安全 创新 服务NAT的相关术语l内部本地地址：分配给内部网络中的主机的IP地址。这个地址可能不是由网络信息中心（NIC

23、）或服务提供商（ISP）分配的合法的IP地址。l内部全局地址：合法的IP地址（由NIC或ISP分配的），用于向外部世界表示一个或多个内部本地IP地址。l外部本地地址：分配给外部网络中的主机的IP地址。这个地址可能不是由网络信息中心（NIC）或服务提供商（ISP）分配的合法的IP地址。l外部全局地址：合法的外部IP地址（由NIC或ISP分配的），internet上实际存在的地址。l静态转换：在内部本地地址与内部全局地址之间建立一个一对一的映射。当一个固定的地址必须从外界访问一个内部主机时静态转换是有用的。l动态转换：在一个内部本地地址与一个全局地址池之间建立一个映射。 民族 安全 创新 服务NA

24、T的分类应用l你想接入Internet，但你的主机并不都具有全球唯一的IP地址 通常情况下，内部本地地址通常采用127、192等保留网段作为内部本地地址。而这些地址相对外网来说不可达。为了要使得内部网络访问外部的某些地址，就需要使用内部源NAT地址转换。为了节省内部全局地址池中的地址，可以重载内部全局地址，允许路由器将多个本地地址映像为一个全局地址。 l你想进行基本的TCP信息流负载分配 如果内部网络中有多台提供同样服务的主机（如Web Server），它们拥有连续的几个内部IP地址，通过配置内部目的地址NAT转换可以实现简单的TCP负载分担，而通过一个或几个全局IP地址对外提供服务。l你希望

25、只有部分外网段才能访问内网服务器 可以在与外界通信时，使用外部源NAT地址转换，把外部全局IP地址转换成外部本地IP地址。 民族 安全 创新 服务静态转换内部源地址l 在与外界通信时，使用转换内部源地址把你自己的IP地址转换成全局唯一的IP地址。可以选择配置静态或动态转换。l 在本例中，建立到静态转换，然后将以太接口f0配置为内部接口，串口s0/0配置为外部接口。 民族 安全 创新 服务静态转换内部源地址命令描述router(config)#ip nat inside source static 建立1

26、到静态转换router(config)#interface f0 指定接口f0router(config-if-fastethernet0)#ip nat inside 标记为与内部连接的接口router(config-if-fastethernet0)#exitrouter(config)#interface s0/0 指定接口s0/0router(config-if-serial0/0)#ip nat outside 标记为与外部连接的接口router 配置 命令描述router(config)#ip nat inside source stati

27、c network 建立网段到网段的静态转换如果分配的外部地址足够多，也可将内部整个网段映射到外部网段 民族 安全 创新 服务动态转换内部源地址 民族 安全 创新 服务动态转换内部源地址命令描述router(config)#ip nat pool pl-1 0 netmask 建立一个名为pl-l的全局地址池，这个池包括20个全局地址router(config)#access-list 1 permit

28、 55建立访问列表1允许 55网段地址被转换router(config)#ip nat inside source list 1 pool pl-1 列表1与pool-1进行地址转换router(config)#interface f0 指定f0接口router(config-if-fastethernet0)#ip nat inside 标记为与内部连接的接口router(config)#interface s0/0 指定s0/0接口router(config-if-serial0/0)#ip nat outside 标

29、记为与外部连接的接口router 配置 注意：访问列表必须只允许那些将被转换的地址。一个允许太多地址的访问列表会导致不可预期的结果。 民族 安全 创新 服务重载一个内部全局地址为了节省内部全局地址池中的地址，可以允许路由器将多个本地地址映像为一个全局地址。当多个本地地址映像到一个全局地址时，则用每个内部主机的TCP或UDP端口号来区分这些本地地址。 民族 安全 创新 服务重载一个内部全局地址命令描述router(config)# ip nat pool pl-2 netmask 建立一个名为pl-2的全局地址池，这个池包

30、括 到范围的5个全局地址router(config)# access-list 1 permit 55访问列表1允许内部网上的所有主机进行地址转换router(config)# ip nat inside source list 1 pool pl-2 overload指定访问列表1和地址池pl-2建立动态源转换router(config)# interface f0 指定接口f0router(config-if-fastethernet0)# ip nat inside标志为内部接口router(config-

31、if-fastethernet0)# exitrouter(config)# interface s0/0 指定接口s0/0 router(config-if-serial0/0)# ip nat outside 标志为外部接口 router 配置 民族 安全 创新 服务转换内部目的地址如果内部网络中有多台提供同样服务的主机（如多台Web Server，它们拥有连续的几个内部IP地址），通过配置内部目的地址的NAT转换可以实现简单的TCP负载分担，而通过一个或几个全局IP地址对外提供服务。 民族 安全 创新 服务转换内部目的地址命令描述router(config)# ip nat pool p

32、l-de netmask type rotary建立一个名为pl-de的全局地址池，这个池包括 到范围的2个内部地址router (config)# access-list 1001 permit ip any host 访问列表1001允许的目的地址进行地址转换router (config)# ip nat inside destination list 1001 pool pl-de指定访问列表1和地址池pl-2建立动态源转换

33、router (config)# interface f0 指定接口f0router (config-if- fastethernet0)# ip nat inside标志为内部接口router (config-if- fastethernet1)# exitrouter (config)# interface s0/0 指定接口s0/0 router (config-if-serial0/0)# ip nat outside 标志为外部接口 访问列表必须只允许那些将被转换的地址；如果内部主机只有一个就不再需要进行TCP负载分担，不需要使用此配置 router 配置 民族 安全 创新 服务静态

34、转换外部源地址 在与外界通信时，使用转换外部原地址把外部全局IP地址转换成外部本地IP地址。可以配置静态或动态转换。 民族 安全 创新 服务静态转换外部源地址router 配置 命令描述router(config)#ip nat outside source static network 建立网段到网段的静态转换如果分配的地址足够多，也可以同时将外部整个网段映射到内部网段 命令描述router (config)#ip nat outside source static 0

35、0建立0到0的静态转换router (config)#interface g0指定接口g0router(config-if-gigaethernet0)#ip nat inside标记为与内部连接的接口router(config-if-gigaethernet0)#exitrouter (config)#interface s0/0指定接口s0/0router (config-if- serial0/0)#ip nat outside标记为与外部连接的接口 民族 安全 创新 服务动态转换外部源地址首先由外部主机向内部主机发

36、起连接，报文为-经过路由器后，使用地址池中的地址0替换源地址，报文变为0-主机收到请求后，响应请求，报文为-0响应报文经过路由器后，使用外部地址替换目的地址，报文变为-，并根据目的地址转发给主机 民族 安全 创新 服务动态转换外部源地址router 配置 命令描述router (config)#ip nat pool pl-1 netmask 255.255.

37、255.0建立一个名为pl-l的本地地址池，这个池包括到范围的8个全局地址router (config)#access-list 1 permit 55建立访问列表1允许 55网段地址被转换router (config)#ip nat outside source list 1 pool pl-1列表1与pool-1进行地址转换router (config)#interface g0指定g0接口router(config-if-gigaethernet0)#ip nat inside标记为与内

38、部连接的接口router(config-if-gigaethernet0)#exitrouter (config)#interface s0/0指定s0/0接口router (config-if- serial0/0)#ip nat outside标记为与外部连接的接口 民族 安全 创新 服务NAT配置注意事项p全局地址和本地地址不能交迭。p配置时静态的地址不能与动态的地址池中的地址交迭。p作为连接问题的一个解决方案，只有当一个内部网中有相对少量的主机同时与这个域的外界通信时，NAT才是实用的。在这种情况下，在必须与外界通信时，这个域的IP地址中只有一个很小的子集必须被转换成全球唯一的IP地址

39、。当不再使用时，这些地址还能被重新使用。p当应用程序中嵌入IP地址或端口时，NAT对端用户来说就成为不透明的，故NAT也不能用于此种情况，在应用程序中嵌入了IP地址和端口的应用协议中，现在只支持FTP，MMS，OICQ，TFTP。p路由信息只能向内不能向外传播。p需设定NAT与ISP的路由器之间的静态路由配置。pIP OPTION 不能正常的支持。p当有多个接口时，要使用同样的NAT表。 民族 安全 创新 服务NAT的监控命令命令描述配置模式show ip nat translations显示激活的NAT的转换表项enableshow ip nat translations proxy-ses

40、sion显示激活的NAT代理表项enableshow ip nat translations static显示激活的静态NAT表项enableshow ip nat statistics verbose 显示NAT的统计数据enableshow running-config ip nat显示所有的NAT配置enableshow ip nat collision显示NAT记录的冲突情况enableshow ip nat fragment显示NAT分片记录表项enableshow ip nat pool显示所有的NAT的地址池enableshow local config显示localstat的配

41、置enableshow local stat显示当前用户的统计信息enableshow local source显示当前用户的流量信息和连接数信息enable 民族 安全 创新 服务NAT的监控命令NAT监控信息实例描述与分析：Type：NAT转换记录的类型Pro：IP协议类型Inside global：内部全局地址和端口Inside local：内部局部地址和端口Outside local：外部局部地址和端口Outside global：外部全局地址和端口Age：记录余下的生命期（秒）括号中的内容：当前的TCP状态 router# show ip nat translationsType P

42、ro Inside global Inside local Outside local Outside global AgeNAT ICMP 41:1024 00:1024 - 25:1024 50NAT TCP 41:1916 00:1916 - :80 1785 (NORMAL:0)NAT TCP 41:1882 00:1882 - :80 1785 (NORMAL:0)该显示结果表明内部局部地址

43、00分别向外部地址25发送了ICMP报文，向外部地址的80端口发起了两条TCP连接。 民族 安全 创新 服务NAT的监控命令show ip nat statistics信息分析（1）显示结果描述与分析NAT version: 3.1.1NAT的版本号为3.1.1Translations count 7 (create:54, expire:47, kill:0, clear:0)当前存在转换条目: 7总共创建： 54， 老化：47 被强制删除： 0 命令清除： 0Packet count (hit:223, create:54,

44、no_memory:0, cant create:0)转换条目复用： 223 包 创建条目：54 达到内存上限： 0 创建条目失败： 0Fragment track disable, fragment count:0, fragment drops:0分片跟踪功能关闭 分片记录：0无法转发的分片报文：0Max entries: 53000, Max icmp entries: 1000, Current hash value: 65536最大转换条目：53000 最大icmp转换数：1000当前hash桶大小：65536NAT redirect disable, Support ftp, Su

45、pport tftpUDP重定向功能关闭支持FTP代理 ,支持TFTP代理Outside interfaces: gigaethernet1外部端口：g1Inside interfaces: gigaethernet0内部端口：g0 民族 安全 创新 服务NAT的监控命令显示结果描述与分析list 1应用的访问列表 ：list 1pool p1应用的地址池: p1Total extended proxy napt: 0, Max extended proxy napt: 4000NAT达到max_entries以后创建的代理进程数量，以及可以创建的代理进程的最大值Ftp proxy sessi

46、on: Totals: 0 Counter: 0 No-memorys: 0经过NAT代理的ftp数据包MMS proxy session: Totals: 0 Counter: 0 No-memorys: 0经过NAT代理的MMS数据包show ip nat statistics信息分析（2） 民族 安全 创新 服务NAT的监控命令show running-config ip nat信息分析显示结果：ip nat pool pp 40 41 netmask ip nat inside source list 1 poo

47、l pp overload描述与分析: 配置了一个地址池内地址为40-41的地址池 pp，并将该地址池地址与access-list 1绑定，并采用端口重载方式show ip nat pool信息分析显示结果描述与分析Address pool : pp 地址池的名字start : 40地址池的起始地址end : 41地址池的结束地址netmask : 地址池的网络掩码type : GENERIC地址池类型 民族 安全 创新 服务NAT的监控命令描述与分析：source：地址信

48、息 rcv_pkts/s：每秒接收的报文数rcv_bits/s：每秒接收的bit数 send_pkts/s： 每秒平均的发送报文数send_bits/s： 每秒平均的发送bits数tcp/udp/other： 当前的用户的TCP/UDP/OTHER的分别的连接数show local stat信息分析source rcv_pkts/s rcv_bits/s send_pkts/s send_bits/s tcp/udp/other : 5 42720 2 720 1 /1 /0 04: 22 7140 416 3416580 2164/2615

49、/0 all: 27 49860 418 3417300 4323/2616/0 民族 安全 创新 服务NAT的调试命令命令描述clear ip nat statistics重置NAT统计值clear ip nat translation all |icmp | inside | tcp | udp 清空NAT的转换记录debug ip nat packets | drop 参看NAT的调试信息 民族 安全 创新 服务课程内容网络地址转换NAT4身份认证技术1防火墙技术2动态主机配置协议DHCP3多机冗余热备VRRP 5 民族 安全 创新 服务DHCP协议简介l当网络规模达到一定程度，它就开始

50、变得难以管理。特别在手工分发IP地址的网络环境中为了减轻管理员跟踪记录手工分配I P地址的负担。 IETF为此设计了动态主机配置协议（Dynamic Host Configuration Protocol，DHCP）。lDHCP采用客户端/服务器模式，从一个地址池中把I P地址分配给请求主机，它提供一种机制，允许计算机不必手工参与即可加入新的网络和获取IP地址，这个概念术语称作即插即用网络（ plug-and-play networking）。lDHCP也能提供其他信息，如网关IP、DNS服务器、缺省域和网络范围内HOSTS文件的位置。 民族 安全 创新 服务DHCP消息格式 民族 安全 创新

51、 服务DHCP的报文类型lDHCPDISCOVER：客户端用于地址申请的广播报文。lDHCPOFFER：服务器端对客户端DHCPDISCOVER报文的回复，包含了所提供的IP地址和网络配置信息。lDHCPREQUEST：在不同的状态下，用途不同：(a) 在请求状态时，请求服务器同意开始使用所提供的IP地址。(b) 在更新状态，请求提供IP地址的服务器更新IP地址租用时间。(c) 在重绑定状态，广播请求子网中的服务器，是否允许继续使用当前的IP地址。lDHCPACK：服务器端对客户端请求的同意报文。lDHCPNAK：服务器端对客户端请求的否定报文。客户端必须重新开始申请。lDHCPRELEASE

52、：客户端主动终止IP地址的使用，用于释放IP地址报文。lDHCPDECLINE：由于地址已经被使用，客户端对服务器提供的地址表示拒绝。lDHCPINFORM：客户端要求服务器提供最新的网络配置信息。 民族 安全 创新 服务DHCP简单工作流程l客户机通过DHCPDISCOVER广播提出请求。也可直接请求租用的永久地址。l服务器收到请求，返回附有一个可用地址的DHCPOFFER报文。l客户机若收到多个DHCPOFFER报文，选择第一个的地址或其所请求的那个。l客户机广播含有服务器标识的DHCPREQUEST报文并等待。l服务器检查收到的DHCPREQUEST报文，当其中的标识与服务器相符，发回D

53、HCPACK报文，如果所请求的I P已被分配或者租期已满，发回DHCPNAK报文。l如果客户机收到DHCPACK报文，即开始使用IP地址。如它收到DHCPNAK，会重新开始整个过程。假如I P有问题，客户机会发送一个DHCPDECLINE报文给服务器并重新开始。HostAMaipu DHCP ServerDHCPDISCOVER(broadcast)DHCPOFFER(broadcast)DHCPREQUEST(broadcast)DHCPACK(broadcast) 民族 安全 创新 服务DHCP客户端变迁租用更新定时器重绑定定时器租用到期定时器定时器重置为0 民族 安全 创新 服务DHCP

54、常用配置命令命令描述配置模式ip dhcp pool*配置DHCP地址池configip dhcp excluded-address*排除DHCP地址池中部分地址configip dhcp arp-proxy-ipaddr*配置本网关所代理的远程客户的地址configip dhcp-server*配置DHCP中继地址confignetwork配置DHCP地址范围网络段dhcp-configrange*配置DHCP地址范围IP段dhcp-confighost配置DHCP地址范围主机dhcp-configip address dhcp*配置DHCP客户端config-if-default-rout

55、er*配置分配给客户端的默认路由dhcp-configdns-server*配置分配给客户端的DNS服务器地址dhcp-configlease配置分配给客户的IP地址的租期dhcp-configshow running-config ip dhcp查看DHCP的配置信息enable 民族 安全 创新 服务DHCP配置范例Swtichrouter B（DHCP Client）router A（DHCP Server）PC1PC2F0F0：范例说明：maipu路由器routerA的f0口通过一台二层交换机与两台PC以及routerB相连，routerA作为DHCP服务器端，两台P

56、C和routerB作为客户端。其中routerA的f0口ip地址为。 民族 安全 创新 服务DHCP配置范例命令描述routerA(config)#ip dhcp pool maipu定义一个DHCP地址池routerA(config)# ip dhcp excluded-address 55不能被分配routerA(config)#ip dhcp pool maipu 定义一个地址池routerA(dhcp-config)#range 1 0 定义一个ip地址段routerA

57、(dhcp-config)#dns-server 指定client 机的dns地址routerA(dhcp-config)#default-router 指定client 机默认网关routerA(dhcp-config)#lease 7 10 30分配地址租借期为7天10小时30分钟router A配置 router B配置 命令描述routerB(config-if-fastethernet0)#ip address dhcp通过dhcp服务器分配地址 民族 安全 创新 服务DHCP的中继代理 中继代理：能中继服务器和客户机之间的交互报文。这样可以使服

58、务器能处理不在该服务器所在子网的DHCP报文。这意味着不必为每一个子网设置一个服务器，为每一个子网设置一个服务器开销很大 中继代理工作原理：pDHCP客户机广播一个消息。p中继代理把收到报文的接口对应的IP地址放到消息的giaddr（中继IP地址）域中，然后单播至服务器。p服务器给中继代理返回应答(通过单播)。应答分配的IP地址与giaddr域地址相同。p中继代理会从giaddr域中I P地址对应的接口中广播应答。/24 租用DHCP消息 民族 安全 创新 服务DHCP中继代理配置范例Swtichrouter B（DHCP Relay）router A（DHCP Serv

59、er）PC1PC2F0：E0：F0：范例说明：如图所示，router A是一个dhcp的服务器，router B是一个dhcp中继，router A的f0口地址为，和router B的f0为 ，e0的ip地址为，所以router A的地址池，是一个跨网段的为pc1和pc2分配地址。 民族 安全 创新 服务DHCP中继代理配置范例 router A配置 命令描述routerA(config)#ip dhcp pool maipu定义一个DHCP地址池routerA(conf

60、ig)# ip dhcp excluded-address 55不能被分配routerA(config)#ip dhcp pool maipu 定义一个地址池routerA(dhcp-config)#range 1 0 定义一个ip地址段routerA(dhcp-config)#dns-server 指定client 机的dns地址routerA(dhcp-config)#default-router 指定client 机默认网关routerA(dhcp-c