01扩展架设DHCP服务器

1、运用效力器规划一：DHCP效力器规划部门/姓名文档类型: 文档密级: 主送对象: 抄送对象: 文档编号: 审 核 人:学习目的掌握DHCP任务原理掌握DHCP中继任务原理掌握DHCP效力器部署的各种方式掌握DHCP相关的平安设计掌握利用Windows Server 2003架设DHCP效力器 2.场景描画接入层、会聚层、中心层都曾经架设终了，网络连通性曾经实现校园网用户如何接入校园网呢？.场景描画校园网用户学生或教师的PC需求指定一个IP地址.场景描画如何为校园网用户学生或教师的PC分配一个IP地址？运用手动配置IP地址的方式不是一切的校园网用户清楚地知道如何正确的配置IP地址网络中心维护人员

2、要破费时间和精神来指点这部分用户配置IP地址网络中心维护人员制造一份IP地址配置指点文档供用户本人阅读运用。但仍有用户会来讯问配置问题.场景描画运用手动配置IP地址的方式会存在什么问题？即使一切用户都很清楚地知道如何手动配置IP网络中心维护人员依然需求制定一张IP分配表，来规定哪个用户运用哪个IP地址用户很有能够由于误配置设置成一样的IP地址，导致IP地址冲突有没有一种方式可以做到 1.降低用户配置IP地址的难度 2.减轻网络中心维护人员的任务量 3.防止由于误配置导致的IP地址冲突.课程内容第一章 DHCP任务原理第二章 DHCP中继任务原理第三章 DHCP效力器部署方式第四章 DHCP相关

3、平安设计第五章 Windows Server 2003架设DHCP效力器7.第一章 DHCP任务原理DHCP简介DHCPDynamic Host Configuration Protocol，动态主机配置协议在RFC2131中定义， C/S架构，为主机提供IP相关参数IP地址、子网掩码、网关、DNS等的自动配置。DHCP报文格式和BootPRFC951、RFC1542报文兼容，保证了互操作DHCP优点减少对上网IP地址的需求量减少客户机的配置复杂度减少手工配置IP地址导致的错误集中管理，减少网络管理的任务量.第一章 DHCP任务原理DHCP系统组成DHCP客户机client：普通用户PC，经过

4、DHCP来获得网络配置参数 DHCP效力器server：提供网络设置参数给DHCP客户DHCP中继代理relay：在DHCP客户机和效力器之间转发DHCP音讯的网关设备.第一章 DHCP任务原理PC上的DHCP设置.第一章 DHCP任务原理PC上的DHCP设置释放经过DHCP方式获取到的IP地址.第一章 DHCP任务原理PC上的DHCP设置重新经过DHCP方式获取IP地址.第一章 DHCP任务原理DHCP任务过程PCDHCP效力器网关路由器DHCP DiscoverDHCP OfferDHCP RequestDHCP ACK 常见的DHCP报文交互过程包含4个报文4个报文中会携带什么信息，才可

5、以使主机可以动态获得IP地址等参数？.第一章 DHCP任务原理DHCP报文引见DHCP Discover该报文为PC发出的第一个恳求报文，为广播报文，主要作用是用来发现DHCP效力器，但PC并不知道DHCP的IP地址，因此目的MAC和目的IP地址都为广播.第一章 DHCP任务原理DHCP报文引见DHCP Offer该报文为DHCP效力器前往的第一个报文，当网络中存在多台DHCP效力器时，PC只会保管先收到的DHCP Offer。DHCP Offer中包含DHCP效力器可以为PC分配的IP地址、网关IP、DNS参数等配置信息.第一章 DHCP任务原理DHCP报文引见DHCP RequestPC发

6、出的第二条恳求报文，PC根据效力器前往的Offer中的信息，发起正式恳求。.第一章 DHCP任务原理DHCP报文引见DHCP ACK效力器收到PC的恳求报文后，从地址池中分配相应的IP地址前往给PC.第一章 DHCP任务原理知识点回想DHCP报文的目的IP和目的MAC是多少？DHCP报文是基于UDP还是基于TCP？DHCP效力器前往的报文中都包含什么信息？问题当PC与DHCP效力器在同一LAN网段时，DHCP效力器的IP地址能否需求与地址池在同一网段？本章所描画的DHCP运用是在同一个LAN网段中，但在校园网中网段非常多，为每一个网段配置一台单独的DHCP效力器是不现实的？如何处理这个问题DH

7、CP效力器如何搭建？.课程内容第一章 DHCP任务原理第二章 DHCP中继任务原理第三章 DHCP效力器部署方式第四章 DHCP相关平安设计第五章 Windows Server 2003架设DHCP效力器19.第一章 DHCP中继任务原理DHCP中继产生的背景当用户PC与DHCP效力器不在同一个网段时，即PC所发出的DHCP Discover广播报文无法到达DHCP效力器时三层网关交换机PCDHCP效力器DHCP DiscoverBroadcast三层交换机不转发广播报文，那么如何把PC的DHCP恳求发给DHCP效力器呢？DHCP中继功能.第一章 DHCP中继任务原理DHCP中继任务过程将网关

8、交换机开启DHCP中继功能，在PC和DHCP之间起到“代理作用三层网关交换机PCDHCP效力器DHCP DiscoverBroadcastDHCP中继功能DHCP DiscoverunicastDHCP OfferunicastDHCP OfferBroadcastDHCP RequestBroadcastDHCP RequestunicastDHCP ACKunicastDHCP ACKBroadcast对PC而言，DHCP中承继当了DHCP效力器的角色.第一章 DHCP中继任务原理DHCP中继任务过程假设存在多个网段，那么DHCP效力器如何区分不同的恳求，从而为不同网段的PC分配不同的IP

9、地址？PCDHCP效力器PCVLAN 10VLAN 20interface vlan 10 ip address 172.16.10.1 255.255.255.0interface vlan 20 ip address 172.16.20.1 255.255.255.0在DHCP效力器上配置了两个地址池172.16.10.0/24 172.16.20.0/24DHCP Discoverunicast通常是网关SVI接口IP地址效力器收到DHCP恳求报文后，将这个字段的IP地址与效力器所配置的地址池网段进展比较，假设网段匹配，那么为该DHCP恳求分配该地址池里的IP地址信息.第一章 DHCP中

10、继任务原理DHCP中继任务过程假设存在多个网段，那么DHCP效力器如何区分不同的恳求，从而为不同网段的PC分配不同的IP地址？不同的网段内的DHCP恳求广播报文被网关交换机的SVI接口接纳到后，会对DHCP报文进展中继单播方式发送给DHCP效力器，同时将本SVI地址填充在Relay agent IP address字段。DHCP效力器收到后将这个字段的IP地址与地址池网段进展匹配，假设匹配胜利，那么为该DHCP恳求从该地址池中分配相应的IP地址.第一章 DHCP中继任务原理知识点回想DHCP中继和DHCP效力器之间的DHCP报文时单播还是广播？DHCP效力器如何为不同网段的DHCP恳求分配IP

11、地址？问题经过中继后的DHCP报文与不经过中继的DHCP报文有区别吗？DHCP效力器本身的IP地址该如何配置？.课程内容第一章 DHCP任务原理第二章 DHCP中继任务原理第三章 DHCP效力器部署方式第四章 DHCP相关平安设计第五章 Windows Server 2003架设DHCP效力器25.第三章 DHCP效力器部署方式如何在用户数量、设备数量庞大的校园网中部署DHCP效力呢？.第三章 DHCP效力器部署方式校园网中常见的DHCP效力部署方式网关交换机作为DHCP效力器将会聚网关交换机配置为其下联主机的DHCP效力器.第三章 DHCP效力器部署方式校园网中常见的DHCP效力部署方式网关

12、交换机作为DHCP效力器每台会聚网关交换机上都为其下联用户PC网段配置DHCP地址池会聚网关交换机的DHCP地址池配置service dhcpip dhcp pool VLAN10_POOL network 172.16.10.0 255.255.255.0 default-router 172.16.10.1 dns-server 202.106.0.20 211.0.23.32 ip dhcp pool VLAN20_POOL network 172.16.20.0 255.255.255.0 default-router 172.16.20.1 dns-server 202.106.0.

13、20 211.0.23.32 interface vlan 10 ip address 172.16.10.1 255.255.255.0interface vlan 20 ip address 172.16.20.1 255.255.255.0VLAN10内用户的DHCP地址池信息VLAN20内用户的DHCP地址池信息Show ip dhcp binding查看DHCP地址池中已分配出去的地址.第三章 DHCP效力器部署方式校园网中常见的DHCP效力部署方式网关交换机作为DHCP中继，在效力器区部署一台公用的DHCP效力器DHCP效力器.第三章 DHCP效力器部署方式校园网中常见的DHCP效

14、力部署方式网关交换机作为DHCP中继，在效力器区部署一台公用的DHCP效力器要保证作为DHCP中继的会聚网关交换机与DHCP效力器之间IP可达会聚网关交换机的DHCP中继配置service dhcpip helper-address 效力器IP地址.第三章 DHCP效力器部署方式校园网中常见的DHCP效力部署方式网关交换机作为DHCP效力器优势：节省一台效力器资源优势：地址池配置分散在网络中多台会聚网关交换机上，无法集中管理网关交换机作为DHCP中继，在效力器区部署一台公用的DHCP效力器优势：集中管理优势：需求占用一台效力器资源.第三章 DHCP效力器部署方式知识点回想将会聚网关交换机配置为

15、DHCP中继的两条命令？在会聚网关交换机配置DHCP地址池的关键命令？会聚网关交换机的DHCP地址池配置service dhcpip dhcp pool VLAN10_POOL network 172.16.10.0 255.255.255.0 default-router 172.16.10.1 dns-server 202.106.0.20 211.0.23.32 没有在会聚网关交换机上配置interface vlan 10，还能否为VLAN10内的用户分配IP地址呢？.课程内容第一章 DHCP任务原理第二章 DHCP中继任务原理第三章 DHCP效力器部署方式第四章 DHCP相关平安设计第

16、五章 Windows Server 2003架设DHCP效力器33.第四章 DHCP相关平安设计DHCP运用效力在校园网运营过程中能够存在的问题？用户架设非法DHCP效力器假设存在恶意用户私自架设了一台DHCP效力器，那么将会运用户获取到错误的IP地址，导致无法接入进校园网用户运用静态IP地址接入部分用户手动配置IP地址，但DHCP效力器是不知道的，因此在为DHCP用户分配IP地址的时候，用户经过DHCP获取到的IP地址，在网络中是曾经运用的，导致了IP地址冲突。.第四章 DHCP相关平安设计DHCP运用效力在校园网运营过程中能够存在的问题？手动配置了172.16.10.2 经过DCHP获取到

17、172.16.10.2IP地址冲突，都无法正常接入网络.第四章 DHCP相关平安设计DHCP运用效力在校园网运营过程中能够存在的问题？非法DHCP效力器地址池:13.0.0.0.0/24 获得错误的13.0.0.1地址DHCP效力器地址池:172.16.10.0/24校园网.第四章 DHCP相关平安设计如何处理上面描画的两个DHCP运用的平安问题？在接入交换机上运用DHCP Snooping相关功能，可以实现1.防止下联用户架设非法DHCP效力器校园网DHCP效力器会聚交换机接入交换机PC非法DHCP效力器DHCP DiscoverDHCP Discover非法DHCP Offer合法DHCP

18、 OfferDHCP RequestDHCP Ack问题的关键就是在从衔接用户的下联端口接纳并转发了非法的DHCP呼应报文.第四章 DHCP相关平安设计如何处理上面描画的两个DHCP运用的平安问题？在接入交换机上运用DHCP Snooping相关功能，可以实现1.防止下联用户架设非法DHCP效力器校园网DHCP效力器会聚交换机接入交换机PC非法DHCP效力器DHCP Snooping Trust接口DHCP Snooping Untrust接口DHCP Offer/ACKip dhcp snoopinginterface f0/24ip dhcp snooping trustF0/24.第四章

19、 DHCP相关平安设计如何处理上面描画的两个DHCP运用的平安问题？运用DHCP Snooping相关功能，可以实现2.防止下联用户运用静态IP地址接入网络ip source guard功能校园网DHCP效力器会聚交换机接入交换机PC经过DHCP动态获取的IP地址10.1.100.1/24手工配置静态IP地址10.1.100.1/24F0/24F0/1F0/2ip dhcp snoopinginterface f0/1ip verify source port-security interface f0/2ip verify source port-security 接入交换时机窥探DHCP报

20、文交互的过程，并从DHCP ACK报文中提取相关IP和MAC信息，将其绑定在硬件表项中，这样只需经过DHCP方式获取IP地址的主机，其IP和MAC才会被交换机所允许转发，而非DHCP方式设置IP地址，这样的报文会被交换机丢弃.第四章 DHCP相关平安设计DHCP Snooping数据库DHCP-Snooping 记录合法DHCP 用户的信息IP、MAC、所属VLAN、端口、租约时间等，构成DHCP-Snooping数据库。该数据库可以提供： IP 报文过滤提供根据； ARP报文过滤提供根据运用show ip dhcp snooping查看dhcp snooping数据库DHCP-Snoopin

21、g 数据库具有添加、更新和删除的功能。当客户端胜利恳求到 IP 地址后，会添加相关记录到 DHCP-Snooping 数据库中；当客户端胜利续约后，会更新DHCP-Snooping数据库中的租约时间；当客户端发出 DHCP RELEASE 报文或者地址租约到期后，会删除对应的 DHCP-Snooping 数据库表项。DHCP-Snooping 数据库还允许进展手工添加和删除，配置静态绑定用户。 .第四章 DHCP相关平安设计IP Source GuardIP Source Guard 维护一个 IP 源地址绑定数据库， IP Source Guard 可以在对应的接口上的主机报文进展基于源 I

22、P 、源 IP 加源 MAC 的报文过滤，从而保证只需 IP 源地址绑定数据库中的主机才干正常运用网络IP Source Guard 功能和 DHCP Snooping 结合的，基于接口的 IP Source Guard 仅仅在 DHCP Snooping 控制范围内的非信任口上生效 ， 在其他信任口或者非 DHCP Snooping 控制范围内的接口上配置该功能，功能将不生效；IP Source Guard 会自动将 DHCP Snooping 绑定数据库中的合法用户绑定同步到 IP Source Guard 的 IP 源地址绑定数据库 ， 这样 IP Source Guard 就可以在翻开

23、 DHCP Snooping 设备上对客户端的进展严厉过滤；运用show ip source binding查看IP源地址绑定数据库运用show ip verify source查看ip source guard过滤表项运用ip source binding mac地址 vlan lan号 ip地址 interface 接口号在源地址绑定数据库中添加静态表项.第四章 DHCP相关平安设计知识点回想DHCP运用中常见的两种平安问题是什么？.课程内容第一章 DHCP任务原理第二章 DHCP中继任务原理第三章 DHCP效力器部署方式第四章 DHCP相关平安设计第五章 Windows Server 2003架设DHCP效力器43.第五章 Windows 2003 Server 架设DHCP效力器安装DHCP效力器.第五章 Windows 2003 Server 架设DHCP效力器Windows 2003 Server中DHCP效力器的位置.第五章 Windows 2003 Server 架设DHCP效力器配置DHCP效力步骤.第五章 Windows 2003 Server 架设DHCP效力器配置DHCP效力步骤.第五章 Windows 2003 Server 架设DHCP效力器配置DHCP效力步骤.第五章 Windows