序：DHCP服務(wù)相對(duì)簡(jiǎn)單，寫本文的目的是為了講一些DHCP安全方面的技術(shù)。

成都創(chuàng)新互聯(lián)公司主要從事網(wǎng)站建設(shè)、成都網(wǎng)站制作、網(wǎng)頁設(shè)計(jì)、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)武夷山,十載網(wǎng)站建設(shè)經(jīng)驗(yàn),價(jià)格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18980820575

1、DHCP基礎(chǔ)

DHCP 全稱動(dòng)態(tài)主機(jī)配置協(xié)議（Dynamic Host Configuration Protocol），用于給終端設(shè)備如PC、IPad、手機(jī)等自動(dòng)分配IP地址。
工作過程簡(jiǎn)潔高效，易于掌握，首先借著一張圖介紹DHCP基本的工作原理：

從圖上可以清晰看出，客戶端通過DHCP協(xié)議獲取IP地址等信息的過程可以分為四個(gè)步驟：

1.1發(fā)現(xiàn)階段，即DHCP客戶端發(fā)現(xiàn)DHCP服務(wù)器的階段。

DHCP客戶端發(fā)送DHCP DISCOVER報(bào)文來發(fā)現(xiàn)DHCP服務(wù)器。由于DHCP客戶端不知道DHCP服務(wù)器的IP地址，所以DHCP客戶端以廣播方式發(fā)送DHCP DISCOVER報(bào)文（目的IP地址為255.255.255.255，源IP地址為0.0.0.0），同一網(wǎng)段內(nèi)所有DHCP服務(wù)器都能收到此報(bào)文。

1.2提供階段，即DHCP服務(wù)器提供IP地址的階段。

服務(wù)器接收到DHCP DISCOVER報(bào)文后，選擇跟接收DHCP DISCOVER報(bào)文接口的IP地址處于同一網(wǎng)段的地址池，并且從中選擇一個(gè)可用的IP地址，然后通過DHCP OFFER報(bào)文發(fā)送給DHCP客戶端。DHCP OFFER報(bào)文里面攜帶了希望分配給指定MAC地址客戶端的IP地址（DHCP報(bào)文中的yiaddr字段）及其租期等配置參數(shù)。

1.3選擇階段，即DHCP客戶端選擇IP地址的階段。

因?yàn)镈HCP DISCOVER報(bào)文是廣播發(fā)送的，所以如果同一網(wǎng)段內(nèi)存在多個(gè)DHCP服務(wù)器，接收到DHCP DISCOVER報(bào)文的服務(wù)器都會(huì)回應(yīng)DHCP OFFER報(bào)文。如果有多個(gè)DHCP服務(wù)器向DHCP客戶端回應(yīng)DHCP OFFER報(bào)文，則DHCP客戶端一般只接收第一個(gè)收到的DHCP OFFER報(bào)文。

以廣播方式發(fā)送DHCP REQUEST報(bào)文，是為了通知所有的DHCP服務(wù)器，它將選擇某個(gè)DHCP服務(wù)器提供的IP地址，其他DHCP服務(wù)器可以重新將曾經(jīng)分配給客戶端的IP地址分配給其他客戶端。

1.4確認(rèn)階段，即DHCP服務(wù)器確認(rèn)所分配IP地址的階段。

當(dāng)DHCP服務(wù)器收到DHCP客戶端發(fā)送的DHCP REQUEST報(bào)文后，DHCP服務(wù)器回應(yīng)DHCP ACK報(bào)文，表示DHCP REQUEST報(bào)文中請(qǐng)求的IP地址分配給客戶端使用。

小結(jié)：DHCP工作過程四個(gè)步驟涉及四種數(shù)據(jù)包，分別是DISCOVER、OFFER、REQUEST、ACK。

---

2、DHCP Snooping

在企業(yè)實(shí)際網(wǎng)絡(luò)環(huán)境中，經(jīng)常會(huì)遇到電腦獲取到錯(cuò)誤IP地址等情況，導(dǎo)致無法正常上網(wǎng)，這是因?yàn)榫W(wǎng)絡(luò)中非法接入了DHCP服務(wù)器（最常見的非法DHCP服務(wù)器就是TP-link家用路由器）。
這時(shí)候就需要在網(wǎng)絡(luò)交換機(jī)上配置DHCP snooping功能來防止非法DHCP服務(wù)器給客戶端分配IP地址。

DHCP Snooping不論從配置上還是工作原理上也都很簡(jiǎn)單，繼續(xù)用一張圖說明：

在二層網(wǎng)絡(luò)接入設(shè)備（即交換機(jī)）啟用DHCP Snooping場(chǎng)景中，一般將與合法DHCP服務(wù)器直接連接的接口設(shè)置為信任接口（如上圖中的if1接口），其他接口設(shè)置為非信任接口（如上圖中的if2接口），啟用了DHCP Snooping功能的交換機(jī)會(huì)檢測(cè)從每個(gè)接口收到的DHCP各類數(shù)據(jù)包，如果從非信任接口收到，則丟棄；使DHCP的四種數(shù)據(jù)包僅能從信任接口轉(zhuǎn)發(fā)或者接受，從而保證DHCP客戶端只能從合法的DHCP服務(wù)器獲取IP地址，私自架設(shè)的DHCP Server仿冒者無法為DHCP客戶端分配IP地址。

小結(jié)：DHCP Snooping在交換機(jī)上啟用，并將連接合法服務(wù)器的接口設(shè)置為信任接口，其他接口默認(rèn)都是非信任接口。

---

3、DHCP Relay（中繼）
上面提到的DHCP客戶端與服務(wù)器都在同一個(gè)網(wǎng)段，比較適用于家庭網(wǎng)絡(luò)和小型企業(yè)網(wǎng)絡(luò)。但在中到大型企業(yè)網(wǎng)絡(luò)中，有很多網(wǎng)段，不推薦在每個(gè)網(wǎng)段都部署一個(gè)DHCP服務(wù)器，既不經(jīng)濟(jì)也不好管理。
實(shí)際情況是，在大型網(wǎng)絡(luò)中，往往采用一臺(tái)高性能的服務(wù)器當(dāng)作DHCP服務(wù)器，它只存在于一個(gè)網(wǎng)段。由于DHCP的工作高度依賴于廣播，而我們知道廣播包是不能跨網(wǎng)段傳輸?shù)?，所以正常情況下其他網(wǎng)段的客戶端是無法獲取IP地址的。

DHCP Relay的出現(xiàn)就是為了解決這個(gè)問題，用一張圖說明：

還是之前熟悉的四個(gè)步驟，不過這次在客戶端與服務(wù)器中間多了一個(gè)DHCP中繼設(shè)備，通常DHCP中繼為網(wǎng)絡(luò)中每個(gè)網(wǎng)段的網(wǎng)關(guān)設(shè)備（即啟用了DHCP Relay功能的三層交換機(jī)）。

DHCP中繼將從客戶端接收到的廣播報(bào)文轉(zhuǎn)換成單播報(bào)文，這樣報(bào)文就可以跨越網(wǎng)段進(jìn)行傳輸。單播報(bào)文意味著明確且唯一的目的IP地址，所以開啟DHCP中繼的設(shè)備必須手工明確配置DHCP服務(wù)器的IP地址。
有了DHCP中繼，不論企業(yè)網(wǎng)絡(luò)中有多少個(gè)IP網(wǎng)段，我們只需要在一個(gè)網(wǎng)段部署DHCP服務(wù)器，其他網(wǎng)段則由網(wǎng)關(guān)設(shè)備開啟中繼功能，這樣整個(gè)網(wǎng)絡(luò)都能通過DHCP服務(wù)器獲取IP地址。

小結(jié)：在三層交換機(jī)的各個(gè)網(wǎng)段開啟DHCP Relay功能，并手動(dòng)指定DHCP服務(wù)器的IP地址，可實(shí)現(xiàn)整網(wǎng)共享一臺(tái)DHCP服務(wù)器。

---

4、一個(gè)關(guān)于DHCP Snooping與 DHCP Relay的小思考

在一個(gè)部署了DHCP Relay的網(wǎng)絡(luò)中，DHCP Snooping應(yīng)該啟用哪些設(shè)備上？
如圖所示：

其中有三個(gè)部門即三個(gè)網(wǎng)段，而DHCP服務(wù)器是一臺(tái)路由器，不屬于其中任意一個(gè)網(wǎng)段。
在這個(gè)網(wǎng)絡(luò)中，每個(gè)包含DHCP客戶端的二層網(wǎng)絡(luò)中都應(yīng)該啟用DHCP Snooping，而僅包含服務(wù)器的二層網(wǎng)絡(luò)是不需要啟用DHCP Snooping的。

備注：客戶端二層網(wǎng)絡(luò)啟用DHCP Snooping很好理解，而服務(wù)器二層網(wǎng)絡(luò)無需啟用DHCP Snooping的背后原因稍顯復(fù)雜。具體原因是當(dāng)部署了DHCP Relay后，DHCP服務(wù)器收到的DHCP各種報(bào)文一定是中繼設(shè)備轉(zhuǎn)換后的單播報(bào)文，單播報(bào)文有明確且唯一的目的IP，這時(shí)就不會(huì)存在仿冒DHCP服務(wù)器的問題。
而實(shí)際上如果真的在服務(wù)器二層網(wǎng)絡(luò)中的交換機(jī)上啟用了DHCP Snooping功能，它也是不會(huì)影響DHCP正常工作的，因?yàn)閺闹欣^設(shè)備發(fā)過來的單播DHCP報(bào)文里面UDP層的源端口號(hào)已經(jīng)被中繼設(shè)備修改成UDP 67（而原始報(bào)文里則為UDP 68），交換機(jī)一旦檢測(cè)到這點(diǎn)變化，就會(huì)自動(dòng)忽略，正常轉(zhuǎn)發(fā)DHCP各類報(bào)文，不做DHCP Snooping額外處理。

名稱欄目：DHCP、DHCPSnooping及DHCPrelay工作原理入門及實(shí)踐
標(biāo)題來源：http://jinyejixie.com/article38/pdcepp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制開發(fā)、網(wǎng)站制作、網(wǎng)站導(dǎo)航、App設(shè)計(jì)、微信小程序、網(wǎng)站改版

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)