HCNP之DHCP学习笔记

　　一、DHCP概念
　　DHCP（Dynamic Host Configuration Protocol 动态主机配置协议）通常应用于中大型的局域网环境中，使网络环境中的主机动态获取IP地址、网关、dns服务器地址等信息。它减少了网络管理人员的工作量，避免了因人工配置网络参数而导致的地址冲突等问题。
　　二、DHCP报文
　　DHCP报文总共分为8类
　　1、DHCP DISCOVER
　　由客户端（例如：PC机）发出广播来查找可用的DHCP服务器
　　2、DHCP OFFER
　　DHCP服务器响应客户端的DHCP DISCOVER报文，指定了各种配置信息。这个报文只是告诉客户端可提供的IP地址，但最终还是需要由客户端的ARP检测来确定IP地址是否重复
　　3、DHCP REQUEST
　　1）客户端发送广播来请求DHCP服务器希望获得配置信息
　　2）客户端请求确认原先的配置
　　3）客户端若已绑定IP，可以通过此报文来延长IP地址租期
　　4、DHCP ACK
　　由DHCP服务器发送给客户端的最终配置信息，这时才能真正获取IP地址等相关信息
　　5、DHCP DECLINE
　　当客户端发现IP地址已经被使用，通过此报文来通知DHCP服务器，并请求服务器重新分配一个地址
　　6、DHCP INFORM
　　客户端已获取IP地址时，通过此报文来请求DHCP服务器其他配置参数（网关、DNS服务器地址等）
　　7、DHCP NAK
　　DHCP服务器发送给客户端的报文，用来表明客户端的地址请求不正确或者租期已过期。客户端收到此报文，需要重新开始DHCP流程（DISCOVER报文开始）
　　8、DHCP RELEASE
　　客户端主动释放地址时用来通知DHCP服务器的报文，当DHCP服务器收到此报文后，会将此IP地址信息分配给其他客户端
　　三、DHCP的租期与续租
　　DHCP租期的作用是为了更加合理有效的使用IP地址
　　当租期时间到达50%时，客户端会向DHCP服务器发送单播DHCP REQUEST报文用于续租，如果DHCP服务器有回应，发送了ACK报文并且客户端接收到该报文，那么说明续租成功。如果DHCP服务器因为某些原因没有发送ACK报文或者客户端没有接收到ACK报文，那么此时客户端依旧可以使用此IP地址
　　当租期时间到达87.5%时，客户端会发送广播DHCP REQUEST报文，同样如果客户端收到来自DHCP服务器的ACK报文说明续租成功，如果还是未接收到ACK报文，那么此时客户端还能使用该IP地址
　　当租期时间到达100%时，客户端会自动放弃使用该IP地址，重新开始DHCP过程（从DISCOVER报文开始）
　　四、DHCP模式
　　DHCP总共有3种模式：全局模式、接口模式、中继模式
　　1、全局模式
　　全局模式的特点：需要创建地址池并在该地址池下配置IP地址网段、网关、DNS服务器等
　　全局模式的好处：使用范围比接口模式广泛
　　【全局模式实验】
　　实验拓扑：
　　实验要求：
　　1）PC1属于vlan10，网关为192.168.1.254/24；PC2属于vlan20，网关为192.168.2.254/24
　　2）Core核心交换机为DHCP服务器
　　3）Core核心交换机和SW二层交换机之间使用trunk链路
　　4）最终目的：PC1和PC2都能通过DHCP全局模式自动获取IP地址等信息
　　实验配置：
　　1）PC1和PC2都设置为DHCP自动获取
　　2）在SW上配置端口，将PC1划入vlan10，PC2划入vlan20，上行端口配置为trunkvlan batch 10 20  interface Ethernet0/0/2   port link-type access   port default vlan 10  interface Ethernet0/0/3   port link-type access   port default vlan 20  interface Ethernet0/0/1   port link-type trunk   undo port trunk allow-pass vlan 1   port trunk allow-pass vlan 10 20
　　3）Core核心交换机上配置trunk端口vlan batch 10 20  interface GigabitEthernet0/0/1   port link-type trunk   undo port trunk allow-pass vlan 1   port trunk allow-pass vlan 10 20
　　4）Core核心交换机配置vlan10和vlan20的网关interface Vlanif10   ip address 192.168.1.254 255.255.255.0 interface Vlanif20   ip address 192.168.2.254 255.255.255.0
　　5）Core核心交换机配置DHCPdhcp enable //开启DHCP功能  ip pool p_vlan10 //创建vlan10的地址池   gateway-list 192.168.1.254 //配置网关   network 192.168.1.0 mask 255.255.255.0 //配置IP地址网段   dns-list 8.8.8.8 114.114.114.114 //配置DNS服务器  ip pool p_vlan20 //创建vlan20的地址池   gateway-list 192.168.2.254   network 192.168.2.0 mask 255.255.255.0   dns-list 8.8.8.8 114.114.114.114  interface Vlanif10   dhcp select global //DHCP全局模式  interface Vlanif20   dhcp select global
　　6）PC1和PC2成功分配到IP地址等信息并且能相互ping通对方
　　2、接口模式
　　接口模式的特点：直接配置在某接口下，而接口地址即为网关
　　接口模式的好处：简单易配置
　　【接口模式实验】
　　实验拓扑：
　　实验要求：
　　1）PC1和PC3属于Vlan10，网关为192.168.1.254；PC2属于Vlan20，网关为192.168.2.254
　　2）Core核心交换机为DHCP服务器
　　3）Core核心交换机和SW二层交换机之间使用trunk链路
　　4）DHCP分配给PC3的IP地址为固定IP：192.168.1.5/24
　　5）DHCP保留192.168.2.252和192.168.2.253地址不分配
　　6）DHCP租期为12小时
　　7）采用DHCP接口模式进行配置
　　实验配置：
　　1）PC1、PC2和PC3都设置为DHCP自动获取
　　2）在SW上配置端口，将PC1、PC3划入vlan10，PC2划入vlan20，上行端口配置为trunkvlan batch 10 20  interface Ethernet0/0/2   port link-type access   port default vlan 10  interface Ethernet0/0/3   port link-type access   port default vlan 20  interface Ethernet0/0/4   port link-type access   port default vlan 10  interface Ethernet0/0/1   port link-type trunk   undo port trunk allow-pass vlan 1   port trunk allow-pass vlan 10 20
　　3）Core核心交换机配置trunk和vlan10、vlan20的网关vlan batch 10 20  interface Vlanif10   ip address 192.168.1.254 255.255.255.0  interface Vlanif20   ip address 192.168.2.254 255.255.255.0  interface GigabitEthernet0/0/1   port link-type trunk   undo port trunk allow-pass vlan 1   port trunk allow-pass vlan 10 20
　　4）Core核心交换机配置DHCP，使用接口模式
　　DHCP分配给PC3的IP地址为固定IP：192.168.1.5/24
　　DHCP保留192.168.2.252和192.168.2.253地址不分配
　　DHCP租期为12小时dhcp enable //开启DHCP  interface Vlanif10   dhcp select interface //接口模式   dhcp server static-bind ip-address 192.168.1.5 mac-address 5489-98cd-7c8f //将IP与MAC进行绑定，这样PC3能获取到固定IP   dhcp server lease day 0 hour 12 minute 0 //租期设置为12小时   dhcp server dns-list 8.8.8.8 114.114.114.114 //配置DNS服务器  interface Vlanif20   dhcp select interface   dhcp server excluded-ip-address 192.168.2.252 192.168.2.253 //排除192.168.2.252和253两个地址   dhcp server lease day 0 hour 12 minute 0   dhcp server dns-list 8.8.8.8 114.114.114.114
　　注意：
　　在进行IP与MAC绑定时，如果跳Error:The static-MAC is exist in this IP-pool . 那么PC3上使用ipconfig /release进行IP地址释放后再配置命令，配置完毕后PC3上使用ipconfig /renew重新获取IP地址。正式环境客户端网卡直接禁用再启用即可
　　5）最终完成结果如下：
　　PC1获取到的IP地址
　　PC2获取到的IP地址（排除了192.168.2.252和2.253两个IP地址）
　　PC3获取到的IP地址（分配到了192.168.1.5）
　　3、中继模式
　　当企业使用戴尔、HP的服务器来做DHCP Server时，因为无法跨Vlan进行DHCP地址分发，所以就有了DHCP中继模式，让其他Vlan下的客户端也能够接收到DHCP Server分发的IP地址
　　【中继模式实验】
　　实验拓扑：
　　实验要求：
　　1）PC1属于Vlan10，网关为192.168.1.254；PC2属于Vlan20，网关为192.168.2.254
　　2）DHCP Server路由器为DHCP服务器
　　3）Core核心交换机和SW二层交换机之间使用trunk链路
　　4）使用DHCP中继模式让PC1和PC2能够正常通信
　　实验配置：
　　1）PC1和PC2都设置为DHCP自动获取
　　2）在SW上配置端口，将PC1划入vlan10，PC2划入vlan20，上行端口配置为trunk  vlan batch 10 20  interface Ethernet0/0/1   port link-type access   port default vlan 10  interface Ethernet0/0/2   port link-type access   port default vlan 20  interface Ethernet0/0/3   port link-type trunk   undo port trunk allow-pass vlan 1   port trunk allow-pass vlan 10 20
　　3）Core核心交换机上配置trunk和vlan10、vlan20、vlan900的网关，并且将vlan900划分进G0/0/2端口中vlan batch 10 20 900  interface Vlanif10   ip address 192.168.1.254 255.255.255.0  interface Vlanif20   ip address 192.168.2.254 255.255.255.0  interface Vlanif900   ip address 192.168.200.1 255.255.255.0  interface GigabitEthernet0/0/2   port link-type access   port default vlan 900  interface GigabitEthernet0/0/1   port link-type trunk   undo port trunk allow-pass vlan 1   port trunk allow-pass vlan 10 20
　　4）配置DHCP Server路由器interface GigabitEthernet0/0/0   ip address 192.168.200.5 255.255.255.0  ip route-static 0.0.0.0 0 192.168.200.1  dhcp enable //开启DHCP功能  ip pool vlan10   gateway-list 192.168.1.254   network 192.168.1.0 mask 255.255.255.0   dns-list 8.8.8.8 114.114.114.114  ip pool vlan20   gateway-list 192.168.2.254   network 192.168.2.0 mask 255.255.255.0   dns-list 8.8.8.8 114.114.114.114  interface GigabitEthernet0/0/0   dhcp select global
　　5）Core核心交换机上配置中继模式dhcp enable  interface Vlanif10   dhcp select relay //开启DHCP中继模式   dhcp relay server-ip 192.168.200.5 //设置DHCP服务器为192.168.200.5路由器  interface Vlanif20   dhcp select relay   dhcp relay server-ip 192.168.200.5
　　6）检查PC1和PC2发现已经获取到了IP地址
　　五、DHCP Snooping
　　DHCP Snooping是一种安全技术，通常部署在交换机上，用来隔绝非法的DHCP服务器。客户端获取IP地址等信息只能通过信任接口获取，其他接口的DHCP发出的OFFER报文全部丢弃。
　　【DHCP Snooping实验】
　　实验拓扑：
　　实验要求：
　　1）PC1能获取到DHCP Server所分发的IP地址等信息
　　2）非法的DHCP Server无法分配IP地址给PC1
　　实验配置：
　　1）DHCP Server上进行DHCP配置interface GigabitEthernet0/0/0   ip address 192.168.1.254 255.255.255.0  dhcp enable //开启DHCP  interface GigabitEthernet0/0/0   ip address 192.168.1.254 255.255.255.0   dhcp select interface //使用接口模式   dhcp server dns-list 8.8.8.8 114.114.114.114 //配置DNS
　　配置完以后发现PC机已经能够获取到IP地址了
　　2）非法的DHCP Server上进行配置interface GigabitEthernet0/0/0   ip address 192.168.5.254 255.255.255.0  dhcp enable  interface GigabitEthernet0/0/0   ip address 192.168.5.254 255.255.255.0   dhcp select interface   dhcp server dns-list 8.8.8.8 114.114.114.114
　　3）断开DHCP Server的连接，PC1使用ipconfig /release和ipconfig /renew对IP地址进行重新获取，发现获取到了错误的IP地址
　　4）为了避免这类现象，就要使用DHCP Snooping功能
　　交换机SW上配置DHCP Snoopingdhcp enable //开启DHCP服务  dhcp snooping enable //开启DHCP Snooping功能  dhcp snooping enable vlan 1 //因为没有配置vlan，所以这里使用vlan1  interface Ethernet0/0/2 //交换机上联接口作为信任口   dhcp snooping trusted //添加为信任
　　PC重新获取IP地址后发现，IP已经更换为原来的192.168.1.253了
　　断开DHCP Server的连接，PC重新获取IP发现无法获取，说明DHCP Snooping配置生效
　　以上为DHCP学习笔记，主要以肖哥HCNP视频内容为主，如有错误，请各位大佬指正，谢谢~