DHCP的优缺点

DHCP的优缺点

DHCP服务优点不少：网络管理员可以验证IP地址和其它配置参数，而不用去检查每个主机；DHCP不会同时租借相同的IP地址给两台主机；DHCP管理员可以约束特定的计算机使用特定的IP地址；可以为每个DHCP作用域设置很多选项；客户机在不同子网间移动时不需要重新设置IP地址。

但同时也存在不少缺点：DHCP不能发现网络上非DHCP客户机已经在使用的IP地址；当网络上存在多个DHCP服务器时，一个DHCP服务器不能查出已被其它服务器租出去的IP地址；DHCP服务器不能跨路由器与客户机通信，除非路由器允许BOOTP转发。

工作流程

DHCP服务的工作过程是这样的：

1.发现阶段，即DHCP客户机寻找DHCP服务器的阶段。DHCP客户机以广播方式（因为DHCP服务器的IP地址对于客户机来说是未知的）发送DHCP discover发现信息来寻找DHCP服务器，即向地址255.255.255.255发送特定的广播信息。网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息，但只有DHCP服务器才会做出响应（如图1）。

https://www.wendangku.net/doc/b33207895.html,/pcedu/soft/lan/jywgl/0403/330233.html

=================================================

DHCP 的配置

实验目的：

1．了解DHCP 的作用及工作原理

2．掌握如何用DHCP 来自动配置TCP/IP

实验学时：1

实验理论准备：

1. DHCP 的作用

BOOTP 使无盘工作站启动并且自动地配置其TCP/IP，DHCP（Dynamic hostconfiguration protocol）是BOOTP 协议的扩充。DHCP 集中管理TCP/IP 配置信息的分配。使用DHCP 可以使客户端自动的获得IP 地址。使用DHCP 可以消除手工配置TCP/IP出现的一些配置故障（如：手工配置时，可能出现一个子网上两台机器的IP 地址相同，则不能通的情况）

2. DHCP 的工作原理

在使用DHCP 进行动态IP 地址分配的网络环境中，包括DHCP 服务器和DHCP 客户机。客户端广播一条DHCP 发现消息，这条消息被送往网络上的DHCP 服务器。每台收到发现消息的DHCP 服务器用一条包括客户机所在子网的IP 地址的消息响应它。

客户机判断消息并选择一条，然后向DHCP 服务器发出请求IP 地址的信息。这信息包括：IP 地址，子网掩码、以及一些选项信息，如缺省网关地址、域名服务器等。当DHCP服务器收到客户端请求时，它从在它数据库定义的地址池中选择一个IP 信息，并把它分配给客户端。如果客户端获得分配给它的IP 地址，则称这个IP 地址在一个给定的时间内租给了这个客户端。如果在地址池中无可用的IP 地址租给客户端，则客户端不能初始化TCP/IP。

3. DHCP 配置的基本任务

任何采用服务器/客户机架构的服务，其配置任务均分为服务器端和客户端两大部分。在DHCP 服务器端主要包括DHCP 服务的安装、启动与配置，在DHCP 客户端的任务则是启动动态IP 地址分配功能。

实验环境与设备：

如图所示的局域网环境，其中至少包括：1 台Windows 2000Server 或NT 服务器（带网卡）、两台Windows98（或2000Professional）工作站（带网卡）、1 个HUB 或1 个SWITCH、以及三条UTP 直连线。

实验内容与步骤：

1. IP 地址的规划

请学生在实验预习阶段，首先要完成IP 地址的规划和分配任务，并填写以下规划表格(A、B 或C 类IP 地址均可以采用)：

表1：IP 地址规划表

DHCP 的IP 地址

DHCP 服务器的子网掩码

DHCP 能够提供的IP 地址的范围

DHCP 提供的IP 地址的子网掩码

DHCP 服务器为工作站1 保留的IP 地址

DHCP 服务器为工作站1 保留的IP 地址的子网掩码

2. 安装DHCP 服务器服务

要在所在的服务器上提供DHCP 服务，首先要在该服务器上安装DHCP 的服务组件。下面分别给出在Windows NT 和2000Server 环境下的操作步骤，实验者针对实验室中给出的环境参考相应的部分

在Windows NT 服务器的操作步骤：

⑴在控制面板上打开“网络”应用程序。出现“网络”窗口，如下图所示，选择“协议”选项卡，双击TCP/IP 通讯协议。

⑵出现TCP/IP 属性页，确认计算机配置的是固定的IP 地址。如不是固定的IP 地址，则选择“固定IP 地址”，并输入IP 地址。按“确定”后，返回到“网络”窗口。

⑶选择“服务”选项卡。

⑷单击“添加”，打开选定“网络服务”对话框。

⑸从“网络服务”列表框中选择“Microsoft DHCP 服务器”，按“确定”按钮，出现Windows NT 安装窗口。

(6)键入D：\I386 单击“继续”按钮。

⑺单击“确定”。

⑻单击“关闭”，出现“网络配置改变，重启计算机使配置生效”的提示信息。

⑼单击“是”。在系统重新启动后，再次以Administrator 登录。

在Windows 2000 服务器上的操作

从“开始—设置—控制面板”打开控制面板，双击“添加/删除程序”，选择“添加/删除Windows 组件”，在打开的Windows 组件列表框中选择“网络服务”，单击“详细信息?”按钮，在网络服务列表框中选中“动态主机配置协议（DHCP）”，按“确定”，接着按提示完成安装。

3．创建DHCP 领域

接下来的工作就是要在该DHCP 服务器上创建DHCP 领域，该项工作的目的是为了为DHCP 服务器确定IP 地址的区域中，也就是说其所能分配的IP 地址的有效范围。

在WindowsNT 服务器上的操作步骤：

⑴打开控制面板。

⑵双击服务，查看并记录DHCP 服务的名字。

⑶关闭服务对话框。

⑷单击“开始”，选择“程序”，选择“管理工具”，单击DHCP 服务器，出现DHCP管理器窗口。

⑸在DHCP 服务器中，双击“本地计算机”。

⑹单击“作用域”菜单，选择“创建”命令项。显示“创建领域”对话框。

⑺使用以下信息来配置范围。

文本框名称

输入的内容

起始地址

分配给工作站的起始的IP 地址

结束地址

分配给工作站的结束的IP 地址

子网掩码

255．255．255．0

租用时间

1 天

⑻配置好了以后，单击“确定”按钮，DHCP 管理器显示以下信息。

⑼按“确定”按钮，使本领域生效，当DHCP 管理器显示出来时，一个亮的灯泡表示新的IP 范围已启动。在Windows2000 服务器上的操作步骤：

(1) 单击“开始”，选择“程序”，选择“管理工具”，单击DHCP 服务器，出现DHCP 管理器窗口。

(2) 在DHCP 服务器中，单击“操作”，选择“添加服务器”。在对话框中选择“此服务器”，直接输入服务器名或点击“浏览”进行选择。然后点击“确定”,

这时的DHCP 管理器的情况如下图：

(3)右击数形目录中的服务器，选择菜单中“新建作用域”，弹出新建作用域向导对话框，选择“下一步”，按提示输入一个用于识别作用域的名称以及说明，再单击“下一步”，在对话框中确定IP 地址范围，见下图。

(4) 使用以下信息来配置范围。

在这个文本框中

输入的内容

起始地址

分配给工作站的起始的IP 地址

结束地址

分配给工作站的结束的IP 地址

子网掩码

255．255．255．0

(5) 单击“下一步”，填写排除的IP 地址范围，如无排除地址，则直接点击“下一步”，在“租约期限”对话框中将租用时间设置为“1 天”，单击“下一步”，DHCP 管理器显示以下信息。

(6) 如果要为客户机指定网关地址，则选择“是，我想现在配置这些选项”，单击“下一步”设置网关地址；否则选择“否，我稍后配置这些选项”。

（7）最后点击“完成”，完成设置。

4．为客户机保留IP 地址

在WindowsNT 环境下的操作步骤：

⑴获得需为其保留IP 地址的客户机的网卡的物理地址。以工作站1 为例，可在登录该客户机后，单击“开始”菜单，选择“运行?”，在运行对话框中键入“winipcfg”查看网卡的物理地址（注意：此时网卡的物理地址中包含连接号。）

⑵在DHCP 服务器上启动DHCP 管理器。

⑶双击“本地机器”，出现“灯泡”图标。

⑷双击灯泡图标。

⑸单击“领域”菜单，选择“添加保留客户”命令项，出现“添加保留客户”对话框。

⑹在IP 地址文本框中键入前面规划的工作站1 的IP 地址。

⑺在唯一标识符文本框中，输入工作站1 的网卡的物理地址（注意：物理地址中不要包括连接号）。

⑻在客户名中，键入studentx（x 为序号）。

⑼返回DHCP 管理器，单击关闭。

在Windows2000Server 环境下的操作步骤：

⑴获得需为其保留IP 地址的客户机的网卡的物理地址。以工作站1 为例，可在登录该客户机后，单击“开始”菜单，选择“运行?”，在运行对话框中键入“winipcfg”查看网卡的物理地址（注意：此时网卡的物理地址中包含连接号。）

⑵登录DHCP 服务器，启动DHCP 管理器。

⑶在左边树形目录中展开所有分支。

⑷右击“保留”分支。

⑸单击快捷菜单中的“新建保留”，出现“新建保留”对话框。

⑹在IP 地址文本框中键入前面规划的工作站1 的IP 地址。

⑺在MAC 地址文本框中，输入工作站1 的网卡的物理地址。

⑻在保留名称中，键入studentx（x 为序号）。

⑼单击“添加”完成。

5．安装DHCP 客户端（在Windows 98 上操作）

步骤：

⑴打开控制面板中“网络”程序，单击“配置”选项卡，在已安装的网络组件

中选择TCP/IP 协议，单击属性。

⑵单击“IP 地址”选择卡。

⑶选择自动获得IP 地址。

⑷单击“确定”按钮

⑸单击“确定”按钮

6．验证DHCP 分配的TCP/IP 信息（在Windows 98 上操作）

在客户端，有两种途径可以检验IP 地址配置信息，一是WINIPCFG 命令，二是IPCONFIG/all 命令。请学生分别在客户机1 与客户机2 上，通过上述两种途径查看TCP/IP 配置，并完成以下工作

1) 将DHCP 服务器分配给自己的IP 地址、子网掩码及租用期限等数据记录下来。然后回到DHCP 服务器验证地址信息的正确性

工作站1 的MAC 地址

工作站1 的IP 地址

工作站1 的IP地址的子网掩码

工作站1 的地址租用期限

工作站2 的IP 地址

工作站2 的IP地址的子网掩码

工作站2 的地址租用期限

2) 分析WINIPCFG 和IPCONFIG 命令在功能上是否存在什么区别？

NOTE：关于WINIPCFG 和IPCONFIG 命令

实验思考题：

1. DHCP 服务器是否可以选择自动获得IP 地址？

2. DHCP 服务为何要实现保留IP 地址功能，其在网络地址管理中有什么好处？在作保留IP 地址时，为什么要先记录需保留IP 地址的客户机的网卡的物理地址？

3. 当指定了动态IP 地址分配的客户机由于某种原因无法与DHCP 服务器连接时，此时用WINIPCONFIG 或IPCONFIG 命令显示其IP 配置时，会出现一个特定的IP 地址值，你知道该值是什么吗？请通过实验发现答案。

DHCP for IPv6原理及工作过程

DHCP for IPv6原理及工作过程一 1 DHCPv6概述 即插即用和自动配置是IPv6的一大优势，是目前研究的热点之一。与IPv4相对应，IPv6中的“被动”地址分配协议是动态主机配置协议DHCPv6。 DHCPv6(Dynamic Host Configuration Protocol for IPv6，支持IPv6的动态主机配置协议)是针对IPv6编址方案设计的，为主机分配IPv6前缀、IPv6地址和其他网络配置参数的协议。 与其他IPv6地址分配方式（手工配置、通过路由器公告消息中的网络前缀无状态自动配置等）相比，DHCPv6具有以下优点： 1．不仅可以分配IPv6地址，还可以分配IPv6前缀，便于全网络的自动配置和管理。 2．更好地控制地址的分配。通过DHCPv6不仅可以为主机分配的地址/前缀，还可以为特定主机分配特定的地址/前缀，以便于网络管理。 除了IPv6前缀、IPv6地址外，还可以为主机分配DNS服务器、域名等网络配置参数。 因为DHCPv6利用了IPv6协议某些内在增强功能，所以与DHCPv4有一些显著的不同，概述如下： 1．DHCP Client一经引导，就有了一个本地链路IP地址，DHCP Client可利用它与DHCP Server或DHCP Relay通信。 2．DHCP Client用组播地址与DHCP Server通信，而不是广播地址。 3．IPv6允许每个接口使用多个IP地址，所以DHCPv6在请求时可以提供多个地址。 4．没有BOOTP兼容性要求。 5．可以使用information-request/reply消息完成简单配置。 6．Client可以发送多个互不相关请求给同一或不同的Server。 7．Server使用reconfigure消息通知Client重配置网络参数。 2 DHCPv6协议的实现过程 2.1 DHCPv6地址/前缀分配过程

华为交换机DHCP snooping配置教程

华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP安全特性，在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。 使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能，再使能接口或VLAN下的DHCP Snooping功能。 图1 配置DHCP Snooping 基本功能组网图 如上图1所示，Switch_1是二层接入设备，将用户PC的DHCP请求转发给DHCP服务器。以Switch_1为例，在使能DHCP Snooping功能时需要注意：使能DHCP Snooping功能之前，必须已使用命令dhcp enable使能了设备的DHCP功能。 全局使能DHCP Snooping功能后，还需要在连接用户的接口（如图中的接口if1、if2和if3）或其所属VLAN（如图中的VLAN 10）使能DHCP Snooping 功能。 当存在多个用户PC属于同一个VLAN时，为了简化配置，可以在这个VLAN使能DHCP Snooping功能。 请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。 1、使能DHCP Snooping功能 [Huawei]dhcp snooping enable ? ipv4 DHCPv4 Snooping ipv6 DHCPv6 Snooping vlan Virtual LAN

或 [Huawei]dhcp snooping over-vpls enable # 使能设备在VPLS网络中的DHCP Snooping功能 或 [Huawei-vlan2]dhcp snooping enable [Huawei-GigabitEthernet0/0/3]dhcp snooping enable 2、配置接口信任状态 [Huawei-GigabitEthernet0/0/2]dhcp snooping trusted 或 [Huawei-vlan3]dhcp snooping trusted interface GigabitEthernet 0/0/6 3、去使能DHCP Snooping用户位置迁移功能 在移动应用场景中，若某一用户由接口A上线后，切换到接口B重新上线，用户将发送DHCP Discover报文申请IP地址。 缺省情况下设备使能DHCP Snooping功能之后将允许该用户上线，并刷新DHCP Snooping绑定表。 但是在某些场景中，这样的处理方式存在安全风险，比如网络中存在攻击者仿冒合法用户发送DHCP Discover报文，最终导致DHCP Snooping绑定表被刷新，合法用户网络访问中断。 此时需要去使能DHCP Snooping用户位置迁移功能，丢弃DHCP Snooping 绑定表中已存在的用户（用户MAC信息存在于DHCP Snooping绑定表中）从其他接口发送来的DHCP Discover报文。 [Huawei]undo dhcp snooping user-transfer enable 4、配置ARP与DHCP Snooping的联动功能

DHCP定义和工作原理

DHCP定义 DHCP就是Dynamic Host Configuration Protocol的缩写，即动态主机设置协议，它是TCP/IP协议簇中得一种，主要作用是给网络中其他计算机动态分配IP地址。 DHCP的工作原理 整个过程： DHCP请求IP地址的过程 发现阶段，即DHCP客户端寻找DHCP服务器的阶段。客户端以广播方式发送DHCPDISCOVER包，只有DHCP服务器才会响应。 提供阶段，即DHCP服务器提供IP地址的阶段。DHCP服务器接收到客户端的DHCPDISCOVER报文后，从IP地址池中选择一个尚未分配的IP地址分配给客户端，向该客户端发送包含租借的IP地址和其他配置信息的DHCPOFFER包。 选择阶段，即DHCP客户端选择IP地址的阶段。如果有多台DHCP服务器向该客户端发送DHCPOFFER包，客户端从中随机挑选，然后以广播形式向各DHCP 服务器回应DHCPREQUEST包，宣告使用它挑中的DHCP服务器提供的地址，并正式请求该DHCP服务器分配地址。其它所有发送DHCPOFFER包的DHCP服务器接收到该数据包后，将释放已经OFFER（预分配）给客户端的IP地址。 如果发送给DHCP客户端的DHCPOFFER包中包含无效的配置参数，客户端会向服务器发送DHCPCLINE包拒绝接受已经分配的配置信息。 确认阶段，即DHCP服务器确认所提供IP地址的阶段。当DHCP服务器收到DHCP 客户端回答的DHCPREQUEST包后，便向客户端发送包含它所提供的IP地址及其他配置信息的DHCPACK确认包。然后，DHCP客户端将接收并使用IP地址及其他TCP/IP配置参数。 DHCP客户端续租IP地址的过程 DHCP服务器分配给客户端的动态IP地址通常有一定的租借期限，期满后服务器会收回该IP地址。如果DHCP客户端希望继续使用该地址，需要更新IP租约。实际使用中，在IP地址租约期限达到一半时，DHCP客户端会自动向DHCP服务器发送DHCPREQUEST包，以完成IP租约的更新。如果此IP地址有效，则DHCP 服务器回应DHCPACK包，通知DHCP客户端已经获得新IP租约。 如果DHCP客户端续租地址时发送的DHCPREQUEST包中的IP地址与DHCP服务器当前分配给它的IP地址（仍在租期内）不一致，DHCP服务器将发送DHCPNAK消息给DHCP客户端。

DHCP Snooping防范功能

配置DHCP Snooping的攻击防范功能示例 组网需求 如图1所示，SwitchA与SwitchB为接入设备，SwitchC为DHCP Relay。Client1与Client2分别通过GE0/0/1与GE0/0/2接入SwitchA，Client3通过GE0/0/1接入SwitchB，其中Client1与Client3通过DHCP方式获取IPv4地址，而Client2使用静态配置的IPv4地址。网络中存在非法用户的攻击导致合法用户不能正常获取IP地址，管理员希望能够防止网络中针对DHCP的攻击，为DHCP用户提供更优质的服务。 图1 配置DHCP Snooping的攻击防范功能组网图 配置思路 采用如下的思路在SwitchC上进行配置。 1.使能DHCP Snooping功能并配置设备仅处理DHCPv4报文。 2.配置接口的信任状态，以保证客户端从合法的服务器获取IP地址。 3.使能ARP与DHCP Snooping的联动功能，保证DHCP用户在异常下线时实时更新绑定表。 4.使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能，以防止非DHCP用户攻 击。 5.使能对DHCP报文进行绑定表匹配检查的功能，防止仿冒DHCP报文攻击。 6.配置DHCP报文上送DHCP报文处理单元的最大允许速率，防止DHCP报文泛洪攻击。 7.配置允许接入的最大用户数以及使能检测DHCP Request报文帧头MAC与DHCP数据区中 CHADDR字段是否一致功能，防止DHCP Server服务拒绝攻击。 操作步骤 1.使能DHCP Snooping功能。 # 使能全局DHCP Snooping功能并配置设备仅处理DHCPv4报文。

华为dhcpsnooping配置实例

DHCP Snooping配置 介绍DHCP Snooping的原理和配置方法，并给出配置举例。 配置DHCP Snooping的攻击防范功能示例 组网需求 如图9-13所示，SwitchA与SwitchB为接入设备，SwitchC为DHCP Relay。Client1与Client2分别通过GE0/0/1与GE0/0/2接入SwitchA，Client3通过GE0/0/1接入SwitchB，其中Client1与Client3通过DHCP方式获取IPv4地址，而Client2使用静态配置的IPv4地址。网络中存在非法用户的攻击导致合法用户不能正常获取IP地址，管理员希望能够防止网络中针对DHCP的攻击，为DHCP用户提供更优质的服务。 图9-13配置DHCP Snooping的攻击防范功能组网图 配置思路 采用如下的思路在SwitchC上进行配置。 1.使能DHCP Snooping功能并配置设备仅处理DHCPv4报文。 2.配置接口的信任状态，以保证客户端从合法的服务器获取IP地址。 3.使能ARP与DHCP Snooping的联动功能，保证DHCP用户在异常下线时实时更新绑定表。 4.使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能，以防止非DHCP用户攻击。 5.使能对DHCP报文进行绑定表匹配检查的功能，防止仿冒DHCP报文攻击。 6.配置DHCP报文上送DHCP报文处理单元的最大允许速率，防止DHCP报文泛洪攻击。 7.配置允许接入的最大用户数以及使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是 否一致功能，防止DHCP Server服务拒绝攻击。 操作步骤

dhcp的工作原理

1 引言 在传统的DHCP动态分配IP地址的方式中，同一VLAN的用户得到的IP地址所拥有的权限是完全相同的，网络管理者不能对同一LAN中特定的用户进行有效的控制。普通的DHCP中继代理（不支持Option82的）也不能够区分不同的客户端，从而无法结合DHCP动态分配IP地址的应用来控制客户端对网络资源的访问，给网络的安全控制提出了严峻的挑战。 利用DHCP的OPTOIN 82，通过与认证系统的配合，可以有效的动态的控制用户对网络特定资源的访问。 2 DHCP的工作原理 (1)寻找Server：当DHCP客户端第一次登录网络的时候，它会向网络广播一个DHCP DISCOVER数据包。 (2)提供IP租用地址：每个有空闲地址的DHCP服务器都发出DHCP OFFER包响应这个DHCP DISC0VER 包。 (3)接受IP租约：如果客户端收到网络上多台DHCP服务器的回应，就会挑选其中一个DHCP Offer而已(通常是最先抵达的那个)，并且会向网络发送一个DHCP Request广播数据包，告诉所有DHCP服务器它将指定接受哪一台服务器提供IP地址。同时，客户端还会向网络发送一个ARP数据包，查询网络上面有没有其它机器使用该IP地址；如果发现该IP已经被占用，客户端则会送出一个DHCP DECLINE数据包给DHCP服务器，拒绝接受其DHCP Offer，并重新发送DHCP Discover信息。事实上，并不是所有DHCP客户端都会无条件接受DHCP服务器的Offer。客户端也可以用DHCP Request向服务器提出DHCP选择，而这些选择会以不同的号码填写在DHCP Option Field里面。换句话说，在DHCP服务器上面的设定，未必是客户端全都接受，客户端可以保留自己的一些TCP/IP设定。 (4)租约确认：当DHCP服务器接收到客户端的DHCP Request之后，会向客户端发出一个DHCP ACK 回应，以确认IP租约的正式生效，也就结束了一个完整的DHCP工作过程。 DHCP的工作流程如图1如示。 3 DHCP数据包格式

Cisco交换机DHCP+Snooping功能详解+实例

一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了网络配置，提高了管理效率。但在DHCP服务的管理上存在一些问题，常见的有： ●DHCP Server的冒充 ●DHCP Server的DOS攻击，如DHCP耗竭攻击 ●某些用户随便指定IP地址，造成IP地址冲突 1、DHCP Server的冒充 由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。 2、DHCP Server的拒绝服务攻击 通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造MAC 的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS 攻击，也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源MAC地址和

图解DHCP租约过程

DHCP租约过程 图解DHCP的4步租约过程 DHCP租约过程就是DHCP客户机动态获取IP地址的过程。 DHCP租约过程分为4步： ①客户机请求IP（客户机发DHCPDISCOVER广播包）； ②服务器响应（服务器发DHCPOFFER广播包）； ③客户机选择IP（客户机发DHCPREQUEST广播包）； ④服务器确定租约（服务器发DHCPACK/DHCPNAK广播包）。 详解4步租约过程： 第1步：客户机请求IP 客户机请求IP也称为DHCPDISCOVER。 当一个DHCP客户机启动时，会自动将自己的IP地址配置成0.0.0.0，由于使用0.0.0.0不能进行正常通信，所以客户机就必须通过DHCP服务器来获取一个合法的地址。由于客户机不知道DHCP服务器的IP地址，所以它使用0.0.0.0的地址作为源地址，使用UDP68端口作为源端口，使用255.255.255.255作为目标地址，使用UDP67端口作为目的端口来广播请求IP地址信息（见图一）。广播信息中包含了DHCP客户机的MAC地址和计算机名，以便使DHCP 服务器能确定是哪个客户机发送的请求。 DHCP客户机总是试图重新租用它接收过的最后一个IP地址，这给网络带来一定的稳定性。图一：客户机请求IP

第2步：服务器响应 服务器响应也称为DHCPOFFER。 当DHCP服务器接收到客户机请求IP地址的信息时，它就在自己的IP地址池中查找是否有合法的IP地址提供给客户机。如果有，DHCP服务器就将此IP地址做上标记，加入到DHCPOF FER的消息中，然后DHCP服务器就广播一则包括下列信息的DHCPOFFER消息： DHCP客户机的MAC地址；DHCP服务器提供的合法IP地址；子网掩码；默认网关（路由）；租约的期限；DHCP服务器的IP地址。 因为DHCP客户机还没有IP地址，所以DHCP服务器使用自己的IP地址作为源地址，使用U DP67端口作为源端口，使用255.255.255.255作为目标地址，使用UDP68端口作为目的端口来广播DHCPOFFER信息（见图二）。 图二：服务器响应

思科DHCPsnooping配置

开启Cisco交换机DHCP Snooping功能 时间:2009-04-02 15:36 来源:未知作者:海海点击: 2901次 一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了 网络配置，提高了管理效率。但在DHCP服务的管理上存在一些问题，常见的有： ●DHCP Server的冒充 ●DHCP Server的DOS攻击，如DHCP耗竭攻击 ●某些用户随便指定IP地址，造成IP地址冲突 1、DHCP Server的冒充 由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP 服务器，它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。 2、DHCP Server的拒绝服务攻击 通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR(也就是Client MAC address)字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。端口安全特性(Port Security)可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP 服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的，但由于DHCP请求报文是广播报文，如果大量发送的话也会耗尽网络带宽，形成另一种拒绝服务攻击。 3、客户端随意指定IP地址 客户端并非一定要使用DHCP服务，它可以通过静态指定的方式来设置IP地址。如果随便指定的话，将会大大提高网络IP地址冲突的可能性。 二、DHCP Snooping技术介绍

ip dhcp snooping 配置不当 PC不能正常获取IP

ip dhcp snooping 配置不当 PC不能正常获取IP 文章来源：不详作者：“蓝冰天… 更新时间：2009-5-1 10:56:37 【大小】【加入收藏】 客户的网络结构是，思科6509两台做hsrp为核心层，下面的接入层交换机为思科2950，在6509上启用了DHCP服务，为每个VLAN分配IP地址。现问题就出现在其中的几个VLAN，PC接在这VLAN下就是获取不到IP 地址，这几个有问题的VLAN，都接在同一台交换机，看了下6509的配置，没发现什么问题，就是注意到开启了ip dhcp snooping ,问题出现在同一台交换机，那就确定方向了. 来到问题机器，交换机没做什么配置，网络中一部分VLAN不能自动获取IP地址，但注意到也配置了ip dhcp snooping ,dhcp snooping 的主要功能是：能够拦截第二层VLAN域内的所有DHCP报文，查看与6509所接的端口，没有启用dhcp snooping trust ,这就是问题所在了。 DHCP监听将交换机端口划分为两类： ●非信任端口：通常为连接终端设备的端口，如PC，网络打印机等 ●信任端口：连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 根据以上可知，我在级连接口上启用ip dhcp snooping trust 后，把本地接口接上，马上获取到了IP地地址。 下面是我在网上查到的关于ip dhcp snooping 的东西，总结一下： 一、DHCP snooping 技术介绍 DHCP监听（DHCP Snooping）是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性，交换机能够拦截第二层VLAN域内的所有DHCP报文。 通过开启DHCP监听特性，交换机限制用户端口（非信任端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文，例如DHCP Offer报文等。而且，并非所有来自用户端口的DHCP请求都被允许通过，交换机还会比较DHCP 请求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬件地址（即CHADDR 字段），只有这两者相同的请求报文才会被转发，否则将被丢弃。这样就防止了DHCP耗竭攻击。信任端口可以

DHCP协议的工作过程

DHCP协议的工作过程 首先，DHCP客户端发送DHCPDISCOVER消息（IP地址租用申请），这个消息是通过广播方式发送出去的，所有网络中的DHCP服务器都将接收到这个消息。 随后，网络中的DHCP服务器会回应一个DHCPOFFER消息（IP地址租用提供），由于这个时候客户端还没有网络地址，所以DHCPOFFER也是通过广播的方式发送出去的。需要注意的是，由于网络中可能存在不止一台的DHCP服务器，所以，如果不考虑网络丢包的话，客户端将接收到不止一条的DHCPOFFER 消息。那么客户端会选择它接收到的第一条DHCPOFFER作为获取配置的服务器。 然后，向该服务器发送DHCPREQUEST消息。虽然这个时候客户端已经明确知道选择的DHCP服务器的地址所在，但仍将采用广播的方式发送DHCPREQUEST消息，这样做不仅可以通知选中的服务器向客户端分配IP地址，同时也可以通知其他没有选中的DHCP服务器不需要再响应它的请求。在DHCPREQUEST消息中将包含客户端申请的IP地址。 最后，DHCP服务器将回送DHCPACK的响应消息来通知客户端可以使用该IP地址，该确认里面包含了分配的IP地址和该地址的一个稳定期限的租约（默认是8天），并同时更新DHCP数据库。 当租约过了一半时（即4天），客户端将和设置它的TCP/IP配置的DHCP服务器更新租约。当租约过了85.7%时，如果客户端仍然无法与当初的DHCP服务器联系上，他将与其他DHCP服务器通信，如果网络中再没有任何DHCP服务器在运行时，该客户端停止使用该IP地址，并重新发送一个DHCPDISCOVER 消息，再一次重复整个过程。 DHCP工作时要求客户机和服务器进行交互，由客户端通过广播向服务器发起申请IP地址的请求，然后由服务器分配一个IP地址以及其他的TCP/IP设置信息。DHCPACK整个工作过程如图所示，可以分为以下步骤。 （1）IP地址租用申请（DHCPDISCOVER）：DHCP客户机通过UDP68端口发送DHCPDISCOVER广播信息来查找DHCP服务器。网络上每一台安装了TCP/IP协议的主机 都会接收到这种广播信息，但只有DHCP服务器才会做出响应。DHCP客户机发送的 DHCPDISCOVER数据包的源地址是0.0.0.0，目标地址是255.255.255.255。 （2）IP地址租用提供（DHCPOFFER）：当网络中的DHCP服务器接收到DHCPDISCOVER广播时，将确定是否可以用自己的数据库来为该请求提供服务。如果可以为该请求提供服务， DHCP服务器就从尚未出租的IP地址范围中选择最前面的空置IP，连同其他TCP/IP设定， 通过UDP 67端口以单播DHCPOFFER的形式为客户端提供IP配置信息。可能有多台DHCP 服务器收到DHCPDISCOVER广播，并且向DHCP客户端响应DHCPOFFER。客户接收到 的DHCPOFFER数据包中包含客户的MAC地址，后面跟着服务器能提供的IP地址、子 网掩码、租约期限以及DHCP服务器的IP地址。 （3）IP地址租用选择（DHCPREQUEST）：DHCP客户端通常是接收第一个收到的DHCPOFFER 所提供的信息，并且会向网络发送一个DHCPREQUEST广播风暴，告诉所有DHCP服务器 它将接收哪一台服务器提供的IP地址。

DHCP-Snooping配置防止外接DHCP

1功能需求及组网说明 『配置环境参数』 1. DHCP Server连接在交换机SwitchA的G1/1端口，属于vlan10，IP地址为10.10.1.253/24 2. 端口E0/1和E0/2同属于vlan10 『组网需求』 1. PC1、PC2均可以从指定DHCP Server获取到IP地址 2. 防止其他非法的DHCP Server影响网络中的主机 2数据配置步骤 『交换机DHCP-Snooping配置流程』 当交换机开启了DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping 允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。 【SwitchA相关配置】 1. 创建（进入）VLAN10 [SwitchA]vlan 10 2. 将端口E0/1、E0/2和G1/1加入到VLAN10 [SwitchA-vlan10]port Ethernet 0/1 Ethernet 0/2 GigabitEthernet 1/1

3. 全局使能dhcp-snooping功能 [SwitchA]dhcp-snooping 4. 将端口G1/1配置为trust端口， [SwitchA-GigabitEthernet1/1]dhcp-snooping trust 【最后说明一下子】 由于DHCP服务器提供给用户包含了服务器分配给用户的IP地址的??”dhcp offer”，由G1/1端口进入SwitchA并进行转发，因此需要将端口G1/1配置为”trust”端口。如果SwitchA上行接口配置为Trunk端口，并且连接到DHCP中继设备，也需要将上行端口配置为trust端口。 感觉差不多了.还有哪位帮着补充一下~前两三看到这里有人说怎样防止外接DHCP服务器的问题.回去找了点资料.

DHCP服务器的工作过程

DHCP服务器的工作过程: 一、客户机请求 IP（DHCPdiscover） 二、服务器响应（DHCPoffer） 三、客户机选择 IP（DHCPrequest） 四、服务器确认 IP租约（DHCPack/DHCPnak） 以下为详细过程： 一、客户机请求 IP（DHCPdiscover） 当客户机设置使用 DHCP协议获取 IP时，客户机将使用 0.0.0.0作为源地址，使用255.255.255.255作为目标地址来广播请求 IP地址的信息。广播信息中包含DHCP客户机的MAC地址和计算机名。 二、服务器响应（DHCPoffer） 由于是广播所以同一网段内的计算机都会“听”到！DHCP服务器当然也不例外。DHCP服务器“听”到后，它首先会针对该次请求的信息所携带的 MAC地址与 DHCP服务器本身的设置值进行对比。如果 DHCP服务器的设置中有针对该 MAC 提供的静态 IP（每次都给一个固定 IP），则提供给客户机相关的固定 IP与相关的网络参数；如果该信息的 MAC并不在 DHCP服务器的设置中，则 DHCP主机会选取当前网段内没有使用的IP给客户机使用！当然这里的响应，服务器也是采用255.255.255.255的广播，因为此时客户机还没 IP哦～这里有几个要注意的地方：

1、如果同一网段内有多台 DHCP服务器，那么客户机是看谁先响应，谁先响应就选择谁。 2、在 DHCP主机发给客户端的信息中，会附带一个“租约期限”信息，用来告诉客户机这个 IP能用多久！ 三、客户机选择 IP（DHCPrequest） 当客户机接收到响应的信息之后，首先会以 ARP在网段内广播（ARP使用全 1的广播 MAC地址），以确定来自DHCP服务器的 IP 没被占用！如果该 IP被占用，那么客户机对于这次的 DHCP信息将不接受，而是再次发送 DHCP请求。若该 IP没有被占用，客户机则接受 DHCP服务器所给的网络参数。同时，客户机发出一个广播，通知所挑选的 DHCP服务器（有多台 DHCP服务器存在时），当然此时也是通知其它的 DHCP服务器，让这些 DHCP服务器将本预分配给客户机的 IP释放掉！（这里的概念一定要弄清楚！）注意，这一步客户机并还没有应用从 DHCP服务器获取到 IP哦！所以这一步源地址还是0.0.0.0，目标地址是 255.255.255.255。 四、服务器确认 IP租约（DHCPack/DHCPnak） 终于到最后一步了，DHCP服务器收到客户机选择 IP的广播后，则以 DHCPack消息的形式向客户机广播成功的确认。DHCPack包含：IP、掩码、网关、DNS等。 此时，当客户机收到 DHCP服务器的 DHCPack消息后，客户机便使用了 DHCP服务器所给的网络参数！ 注意事项：

DHCP SNOOPING配置案例

一，组网需求 网络环境 校园网学生宿舍楼楼层中部署了S2326G接入交换机，采用DHCP分配IP地址，由于楼内经常存在私开的DHCP服务器，导致大量主机无法分配到合法IP地址。 拓扑图： 拓扑说明：DHCP Server可以采用windows server操作系统搭建，也可以使用路由器模拟 设备清单 说明拓扑图中设备信息，如下表： 拓扑图中的设备名称产品型号软件版本S2328G S2328G RGOS 10.2(4), Release(56390) 客户端PC PC 合法DHCP server RSR10 RGOS 10.3(4), Release(42912) 非法DHCP server RSR10 RGOS 10.3(4), Release(42912) 二，需求分析 客户需求 配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关，以及DNS服务器的地址。DHCP避免了因手工设置IP地址及子网掩码所产生的错误，也避免了把一个IP地址分配给多台主机所造成的地址冲突。降低了IP地址管理员的设置负担，使用DHCP服务器可以大大地缩短配置网络中主机所花费的时间。 但是，随着DHCP服务的广泛应用，也产生了一些问题。首先，DHCP服务允许在一个子网内存在多台DHCP服务器，这就意味着管理员无法保证客户端只能从管理员所设置的DHCP 服务器中获取合法的IP地址，而不从一些用户自建的非法DHCP服务器中取得IP地址 需求分析 DHCP Snooping技术DHCP Snooping是一种通过建立DHCP Snooping Binding数据库，过滤非信任的DHCP消息，从而保证网络安全的特性。DHCP Snooping就像是非信任的主机和DHCP 服务器之间的防火墙。通过DHCP Snooping来区分连接到末端客户的非信任接口和连接到 DHCP服务器或者其他交换机的受信任接口。

DHCP服务器的实现过程

DHCP服务器的实现过程 1、安装DHCP服务： 【步骤1】执行"开始/设置/控制面版"命令，打开添加删除程序 【步骤2】在“添加删除程序”窗口左侧单击“添加删除WINDOWS 组件”项，打开“WINDOWS组件向导”对话框 【步骤3】在"WINDOWS组件向导”对话框，选中“网络服务”，单击“详细信息”按钮，打开网络服务对话框。选中“动态主机配置协议(DHCP）对话框”左侧的复选框，并确定，单击“下一步”按钮，进行文件复制和安装操作。 【步骤4】安装确认：安装完毕。 2、配置 【步骤1】使用控制面板里的DHCP管理工具进行配置：执行“开始/程序/管理工具/DHCP",打开DHCP控制台窗口。 【步骤2】双击服务器图标 【步骤3】右键单击服务器可打开快捷菜单（操作菜单的命令），选择“新建作用域”操作命令：打开新建作用域向导，单击下一步，配置作用域名称：https://www.wendangku.net/doc/b33207895.html, 【步骤4】指定IP地址范围：单击下一步，在IP地址范围内，输入准备分配给客户机的IP地址范围的起始地址192.168.101.1和结束地址192.168.101.101，设置好相应的子网掩码后单击“下一步”。 【步骤5】添加排除地址范围：192.168.101.5—192.168.101.6单击“下一步”。

【步骤7】配置DHCP选项：添加服务器的IP地址：192.168.101.1 【步骤8】激活（启动）作用域 3、DHCP客户机的配置与测试 【步骤1】DHCP客户机的配置：在桌面上，打开“集成网卡属性”对话框 【步骤2】在“集成网卡属性”对话框中选择“Internet 协议（TCP/IP)”，再选择“属性”，在打开的“Internet 协议（TCP/IP)属性”对话框中，选择“自动获取IP地址”选项和“自动获得DNS服务器地址”选项【步骤3】DHCP客户机端的测试：DHCP 客户机检查获得IP地址及其他选项的方法： 在命令提示符方式下,利用IPCONFIG命令检查IP地址的获得：利用“ipconfig/all”命令查看详细的IP设置（包括网卡的物理地址）

网络基础 DHCP工作原理

网络基础DHCP工作原理 DHCP服务器在分配IP地址时，会根据客户端是否为首次登陆网络，做出相应的IP地址分配形式，其工作原理也是不同的。 1．客户端首次登录网络 在DHCP处于动态分配IP地址方式时，则当用户的客户端首次登录DHCP服务，将通过以下几个步骤完成连接工作。 ●寻找DHCP Server 当DHCP客户端首次启动登录网络的时候，也就是客户端上没有任何IP数据设定时，它会向网络发送一个Dhcpdiscover数据包，该数据包表达出客户机的IP地址租用请示。因为客户端还不知道自己属于哪一个网络，所以数据包的源地址为0.0.0.0，目的地址则为255.255.255.255，然后再附加上Dhcpdiscover的信息，向网络进行广播。网络上每一台安装了TCP/IP协议的主机都会接收到这种广播信息，但只有DHCP服务器才会做出响应。 Dhcpdiscover的等待时间为1秒，也就是当客户端将第一个Dhcpdiscover数据包发送出去后，如果在1秒之内没有得到回应的话，将进行第二次Dhcpdiscover广播。在一直得不到响应的情况下，客户端共有四次Dhcpdiscover广播（包括第一次），除了在第一次的等待1秒之外，其余三次的等待时间分别为9、13、16秒。如果都没有得到DHCP服务器的响应，在客户端上将会显示错误信息，最终宣告Dhcpdiscover的失败。随后，基于用户的选择，系统会继续在5分钟之后再重复一次Dhcpdiscover的过程。 ●提供IP租用地址 当DHCP服务器监听并接收到客户端发出的Dhcpdiscover数据包后，该服务器将从那些还没有被租出的地址范围中，选择最前面的闲置IP地址，连同其他TCP/IP设定回应给客户端一个Dhcpoffer数据包。当网络中包含不止一个DHCP服务器时，客户端可能收到好几个Dhcpoffer，在大多数情况下，客户端只接收到第一个Dhcpoffer数据包。 由于客户端最初并未有IP地址，所以在其Dhcpdiscover数据包内封装有它的MAC地址信息，并且有一个XID编号来识别该数据包，DHCP服务器回应的Dhcpoffer数据包会根据这些内容来最终传递给客户端，根据服务器端得设置，Dhcpoffer数据包还会包含一个租约到期的信息。 ●接受IP租约 当客户端收到Dhcpoffer数据包后，会向网络发送一个Dhcprequest广播，告诉所有DHCP 服务器它将指定接受哪一台服务器提供的IP地址。 同时，客户端还会向网络发送一个ARP数据包，以查询网络当中有没有其它计算机使用该IP地址；如果发现该IP已经被使用，那么客户端会发送出一个Dhcpdeclinf数据包给DHCP服务器，拒绝接受其DHCP offer，并重新发送DHCPdiscover广播。事实上，并不是所有的DHCP客户端都会无条件接受DHCP服务器的offer，尤其这些计算机安装有其它TCP/IP相关的客户软件。客户端也可以用DHCPRequest向服务器提出DHCP选择，而这些选择会以不同的号码填写在DHCP Option Field里面。也就是说，在DHCP服务器中的设定并不是所有客户端都接受，其主动权是在客户端手中，它可以保留自己的一些有关TCP/IP 设定。 ●确认租约 当DHCP服务器接收到客户端的Dhcprequest之后，会向客户端发送一个Dhcpack响应，以确认IP地址租约的正式生效。 经过以上四个步骤，也就结束了一次完整的DHCP工作过程，其工作流程如图9-15所

dhcp协议的ip地址动态获取过程

竭诚为您提供优质文档/双击可除dhcp协议的ip地址动态获取过程 篇一：dhcp协议的工作过程 dhcp协议的工作过程 首先，dhcp客户端发送dhcpdiscoVeR消息（ip地址租用申请），这个消息是通过广播方式发送出去的，所有网络中的dhcp服务器都将接收到这个消息。 随后，网络中的dhcp服务器会回应一个dhcpoFFeR消息（ip地址租用提供），由于这个时候客户端还没有网络地址，所以dhcpoFFeR也是通过广播的方式发送出去的。需要注意的是，由于网络中可能存在不止一台的dhcp服务器，所以，如果不考虑网络丢包的话，客户端将接收到不止一条的dhcpoFFeR消息。那么客户端会选择它接收到的第一条dhcpoFFeR作为获取配置的服务器。 然后，向该服务器发送dhcpRequest消息。虽然这个时候客户端已经明确知道选择的dhcp服务器的地址所在，但仍将采用广播的方式发送dhcpRequest消息，这样做不仅可以通知选中的服务器向客户端分配ip地址，同时也可以通知其他没有选中的dhcp服务器不需要再响应它的请求。在

dhcpRequest消息中将包含客户端申请的ip地址。 最后，dhcp服务器将回送dhcpack的响应消息来通知客户端可以使用该ip地址，该确认里面包含了分配的ip地址和该地址的一个稳定期限的租约（默认是8天），并同时更新dhcp数据库。 当租约过了一半时（即4天），客户端将和设置它的tcp/ip配置的dhcp服务器更新租约。当租约过了85.7%时，如果客户端仍然无法与当初的dhcp服务器联系上，他将与其他dhcp服务器通信，如果网络中再没有任何dhcp服务器在运行时，该客户端停止使用该ip地址，并重新发送一个dhcpdiscoVeR消息，再一次重复整个过程。 dhcp工作时要求客户机和服务器进行交互，由客户端通过广播向服务器发起申请ip地址的请求，然后由服务器分配一个ip地址以及其他的tcp/ip设置信息。dhcpack整个工作过程如图所示，可以分为以下步骤。 （1） （2） （3）ip地址租用申请（dhcpdiscoVeR）：dhcp客户机通过udp68端口发送dhcpdiscoVeR广播信息来查找dhcp服务器。网络上每一台安装了tcp/ip协议的主机都会接收到这种广播信息，但只有dhcp服务器才会做出响应。dhcp客户机发送的dhcpdiscoVeR数据包的源地址是0.0.0.0，目标

DHCP snooping(交换机配置指导)

交换机配置指导文档 文档作者：刘永渝 文档密级：内部公开 修订日期：2011年12月28 日

变更记录 注：对该文档内容的增加、删除或修改均需填写此记录，详细记载变更信息，以保证其可追溯性。

目录 1前言 (2) 1.1文档目的 (2) 1.2术语和缩略语 (2) 1.3参考资料 (2) 2功能概述 (2) 3工作原理 (2) 4实现方式 (3) 5报文流程 ........................................................................................................... 错误!未定义书签。6应用场景 (4) 6.1拓扑结构 (4) 6.2场景分析 (4) 6.3CLI配置 (4) 附录.............................................................................................................................. 错误!未定义书签。

1 前言 1.1 文档目的 1.2 术语和缩略语 【简单描述文档中涉及到的术语和缩略语】 1.3 参考资料 【罗列出有助于理解该产品功能的相关文档，如RFC或相关书籍等】 2 功能概述 1.dhcp-snooping的主要作用就是隔绝非法的dhcp server，通过配置非信任端口。 2.与交换机DAI的配合，防止ARP病毒的传播。 3.建立和维护一张dhcp-snooping的绑定表，这张表一是通过dhcp ack包中的ip和mac地址生成的，二是可以手工指定。这张表是后续DAI（dynamic arp inspect）和IP Source Guard 基础。这两种类似的技术，是通过这张表来判定ip或者mac地址是否合法，来限制用户连接到网络的。 3 工作原理 DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。当交换机开启了 DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack 报文中提取并记录IP地址和MAC地址信息。另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会