オリジナルリンクアドレス:https://bbs.51cto.com/thread-800321-1.html
我々は最近の誰もがより認識させると、DHCP構成を理解するために、ここにこのスティック行われます、DHCPを心配問題のため、多くの場合、見ている
私たちはDHCPを監視認定をよく承知しているであろうと考えている
1。サーバの設定DHCP
(1)DHCP機能を有効
DHCP #service R2(設定)を
(2)DHCPアドレスプール
ccie1名付けR2(設定)#ipののDHCPプールccie1アドレスプール
R2(DHCP-config設定)#network 10.1.1.0 255.255。クライアントのアドレスフィールドに利用できる255.0
R2(DHCP-config)#関連デフォルト 10.1.1.1 -router ゲートウェイ
R2(DHCP-config)#関連DNS-10.1.1.1 10.1.1.2 DNSサーバ
R2(DHCP-config設定)1 1を#lease 1日の期間、1時間1分1(デフォルトは1日です)
R2 ccie1と呼ばれるプールccie2アドレスDHCPプール#ipの(設定)
R2(DHCP-config設定)を使用してクライアントに対処するために利用できる#network 20.1.1.0 255.255.255.0セクション
R2(DHCP-config)#関連デフォルト 20.1.1.1 -router ゲートウェイ
R2(DHCP-config)#関連DNS 20.1.1.1 20.1.1.2 DNS -server
R2(DHCP-設定)#lease 1 1 1 1日、1分(デフォルト1日)の1時間のレンタル期間を
(3)クライアントのアドレスに除去されない
注:このようなゲートウェイとしてクライアントにいくつかの望ましくないIPアドレス、以来アドレスは、私たちはそれらに対処したい
サーバーがクライアントにこれらのアドレスを使用しないように、アドレスプールから削除します。
除外DHCP #ipのR2(設定)アドレス10.1.1.1 10.1.1.10を10.1.1.1 10.1.1.10除去するために、
R2(設定)#ipの除外DHCPアドレス20.1.1.1に20.1.1.1 20.1.1.10 20.1.1.10を除去
2。設定クライアントDHCP
(1)設定がDHCPインタフェース
R1(設定)#INT F0 / 1
R1(設定-IF)#ipののDHCPアドレス
。3。Viewコマンド:
:(1)サーバ上でホストするためにどの割り当てられているアドレスを参照するには
R2#1のIP、DHCPバインディングを表示
4。ビュー結果の
表示DHCPクライアントは、インタフェースF0 / 0のIPアドレスが10.1.1.11で見ると監督生成されます
(10.1.1.1で置き換えPCがゲートウェイとなります)10.1.1.1へのデフォルトルートを、ルータはDNSを取得する必要はありません。 。
ここでは、DHCPサーバーは明らかに2つのアドレスプールのセグメントそれぞれ10.1.1.0/24として
20.1.1.0/24、クライアントがサーバーにアドレスを要求する理由は、サーバが、なぜ10.1.1.0/24を希望
顧客へのアドレスセグメントが、まだ顧客に間違ったアドレス20.1.1.0/24ネットワークセグメント。サーバーのためです
サービスは、DHCP要求を受信すると、それは、クライアント・インタフェースたのと同じインタフェースアドレスにアドレスを送信および受信することができ
、同じネットワークセグメントが存在しない場合は、それが要求パケットを破棄します、ネットワークセグメント。10.1.1.1のインタフェースアドレス、及び受信図
、クライアントが送信するように受信インタフェースとセグメントccie1だけ10.1.1.0/24アドレスプールは、同じネットワークセグメントで
IPアドレス10.1.1.11を送信します。
DHCPリレー
インタフェースはR1 DHCPのアドレスを取得するように構成されている場合、図示のようにからF0 / 0オブジェクト出射さ
255.255.255.255のは、それがクライアントに応答する、R2は、DHCPサーバがある場合、要求パケットをブロードキャストされ、
要求パケットは黙って破棄された後、R2は、このブロードキャストパケットを受信して、それは、DHCPサーバではありません。実際の
DHCPサーバは、それがために、このサーバーR4、R4 R1とどのように達することができるか、R4、R1ブロードキャストパケットで
、まだクライアントの正しいIPアドレスを送信します。
それは、単一のブロードキャストにR2クライアントのブロードキャストパケットを作ることができない限り、ブロードキャストを転送することはできませんルータは、それゆえ、ある
R4このサーバ。我々のアプローチは、R2は、このサービスが前にR4に進み、ユニキャストを介してパケットをブロードキャストできるようにすることです
、DHCPリレーと呼ばれているIPアドレスヘルプ機能によって達成されます。
1。R2の設定
(1)設定のフロントDHCPブロードキャスト34.1.1.4への
注意:IPヘルプ・アドレスのデフォルト機能は前にDHCPプロトコルを有効にすることができますので、ノー追加アドオン。
R2(設定)#INT F0 / 0
R2(CONFIG-IF)#ipのアドレス34.1.1.4ヘルパー
2。サーバの設定DHCP:
DHCP機能を有効(1)
DHCP #service R4(設定)を
(2)DHCPアドレスプール
ccie1という名前R4(設定)#ipののDHCPプールccie1アドレスプール
R4(DHCP-config設定)#network 10.1.1.0 255.255クライアントのアドレスフィールドに利用できる.255.0
R4(DHCP-config)#関連デフォルト 10.1.1.1 -router ゲートウェイ
ccie1という名前R4(設定)#ipののDHCPプールccie2アドレスプール
R4(DHCP-config設定)#network 34.1.1.0 255.255 .255.0クライアントアドレスセグメントに利用可能
R4(DHCP-config)#関連デフォルト 34.1.1.4 -router ゲートウェイは、
(3)クライアントのアドレスを除去するために設けられていない
に除外DHCP #ipのR4(設定)のアドレスを10.1.1.1 10.1.1.10 10.1.1.10に10.1.1.1を削除
除外DHCP #ipのR4(設定)アドレス34.1.1.1 34.1.1.10を20.1.1.1除去する
20.1.1.10
(4)構成が正しくルーティングアドレスプール
R4(設定)#ipのルート255.255.255.0 10.1.1.0 34.1.1.3を
注意:R3は、任意の構成を行う必要はありません!
3。ビューは、結果
ビューDHCPクライアントが、インタフェースF0のIPアドレスが表示されます/ 0は、その後、DHCPサーバR4、10.1.1.11である
とネットワークセグメントのIPアドレスがそれを何であるか、クライアントのニーズに応じて判断するためにどの、なぜ間違っていない
34.1それの顧客セグメントに.1.0 / 24に対応しています。入れ、インターフェースからの要求を受信するサーバーと言うことではない
、同じネットワークセグメントにクライアントへのインタフェースのアドレスを、それを?以前の理論によれば、それは34.1.1.0/24に送られるべきである
顧客ああにアドレス。そこにされているので、ガイダンスサーバは、クライアントに正しいIPアドレスを送信することができますここでは、
オプション82のオプションと呼ばれ、このオプションは自動的に限り、DHCP要求パケットを中継するように、この追加される
オプションは、ルータを中継しますパラメータを記述するためのgiaddr位置の内側に、そのサーバーを伝えることです、顧客の
ネットワークセグメントのIPアドレスをクライアントが正しく動作する必要があるの。クライアントがDHCPから受信し、それを通して中継インタフェース
要求、受信インタフェースのIPアドレスに書き込み位置のgiaddrオプション82は、サーバのgiaddrに係る
位置のIPアドレスのプールからIPアドレスと同じ選択されたアドレスもし顧客へのアドレスセグメント、
サーバが正しいR4 10.1.1.0/24アドレスに送信できるように、該当するアドレスプールは、応答は、破棄されていない
顧客を、それが原因で変更されたパラメータのgiaddr自身のR2のIPヘルプアドレスの影響下にあるので、
受信インタフェース:アドレスは、デバッグプロセスを通じて、GIADDRパラメータ10.1.1.1に入ってくると、次のように表示されます
* Mar100:28:36.666:DHCPD :. 10.1.1.1へのgiaddrを設定
* Mar100:28:36.666HCPD:BOOTREQUESTfrom0063.6973.636fを。 2d30.3031.322e。
6439.6639.2e63.3638.302d.4661.302f.30 34.1.1.4に転送される。
デバッグR2は、34.1.1.4に二次10.1.1.1へのgiaddrに送信される上記の情報から分かる
必要私たちは、DHCPのGIADDRにより送信された中継要求パケットの後に位置がIPでない場合ことを知っている
アドレス0.0.0.0が、その後、サーバはIPアドレスを提供せず、要求を破棄します。
注:10.1.1.0/24アドレスプール上のプレゼンスサーバは、アドレスプールサーバがクライアントに送信するとき、
それはルートセグメント10.1.1.0(デフォルトルートがあまりにも)存在している必要があり、クライアント必見これは、ルートにある
間違った方向には、アドレスプールを使用するように顧客を送信することができない場合は、方向。
異なる割り当てられた異なるVLANアドレスを
図3に示すように、2つのDHCPクライアントは、2つの異なるVLANスイッチ上に配置され、スイッチ
VLANインターフェイスは、R3は、両方のクライアントを取得してはならない、DHCPサーバで、自分のゲートウェイとして機能します
。この場合には、R1へのサーバR3を適切にする必要があり、同じネットアドレスを、あるいは外部との通信をネットワーク化することはできません
割り当てられましたネットワークセグメントのアドレス10.1.1.0/24 20.1.1.0/24アドレスは、次のような構成であり、R2に割り当てなければならない:
1。サーバの設定DHCP
(1)は、DHCP機能を有効
DHCP #service R3(設定)を
(2)DHCPアドレスプール
ccie1という名前R3(設定)#ipののDHCPプールccie1アドレスプール
R3(DHCP-config設定)#network 10.1.1.0 255.255。クライアントのアドレスフィールドに利用できる255.0
R3(DHCP-config)#関連デフォルト 10.1.1.1 -router ゲートウェイ
ccie1という名前R3(設定)#ipののDHCPプールccie2アドレスプール
R3(DHCP-config設定)#network 20.1.1.0 255.255。クライアントアドレスのセグメントが利用可能255.0
R3(DHCP-config)#関連デフォルト 20.1.1.1 -router ゲートウェイ
(3)クライアントのアドレスを除去するために設けられていない
R3(設定)#ipののDHCPに除外アドレス10.1.1.1 10.1.1.10 シフトを10.1.1.10に10.1.1.1に加え、
除外DHCP #ipのR3(設定)アドレス20.1.1.1 20.1.1.10を20.1.1.1削除する
20.1.1.10
(4)アドレスプール構成正しく経路
R3(設定)#ipのルート255.255.255.0 10.1.1.0 30.1.1.1
R3(設定)#ipの255.255.255.0経路20.1.1.0 30.1.1.1
2。コンフィギュレーション・スイッチ
(1)設定インターフェイス情報に対応する
SW(設定)は10 #vlan
SW(CONFIG-VLAN)#exit
20 #vlan SW(設定)にある
SW(CONFIG-VLAN)#exit
SW(設定)#INT F0 / 1
SW( CONFIG-IF)#switchportモードアクセス
アクセスVLAN #switchport SW(CONFIG-IF)10
SW(CONFIG-IF)#exit
SW(設定)#INT F0 / 2
SW(CONFIG-IF)#switchportモードアクセス
SW(CONFIG- )IF 20はアクセスVLAN #switchportれる
SW(CONFIG-IF)#exitを
SW(設定)#INT VLAN 10
SW(CONFIG-IF)#ipのアドレス10.1.1.1 255.255.255.0の
前に30.1.1.3にヘルパートランスフェDHCPブロードキャストアドレス#ipのSW(CONFIG-IF)30.1.1.3ユニキャスト
SW(コンフィグ-if)#exit
SW(設定)#INT VLAN 20は
SW(CONFIG-IF)#ipのアドレス20.1.1.1 255.255.255.0
30.1 30.1.1.3ユニキャストDHCPブロードキャストを転送する前に、SW(CONFIG-IF)#ipのヘルパーアドレス.1.3
3。設定クライアントDHCP
(1)の構成のR1
R1(設定)#INTのF0の/。1
R1(CONFIG-IF)#ipののDHCPアドレス
(2)の構成R2
R2(設定)#INT F0の/。1
R1(CONFIG-IF)アドレス#ipのDHCP
4。結果を表示する:
上記の構成によれば、完了した後、クライアントR1 F0 / 0アドレス10.1.1.11を受け取ることができるようになり、R2クライアントがあろう
アドレス及び20.1.1.11を受信することができ、その後、完全なネットワーク通信をすることができます。上記の場合、サーバは、R3とすることができます
ネットワーク10.1.1.0/24 R1、20.1.1.0/24サブネットアドレスの正しいアドレス割り当てが正しくR2に割り当てることができ、
スイッチはDHCPブロードキャストパケットを受信したので、それは、また、変更されたパラメータのgiaddr R1であります10.1.1.1は、
R2ブロードキャストパケットを受信した後、20.1.1.1パラメータを変更GIADDRは、そう最終的にR3は、ルート・サーバとすることができる
= 20.1のgiaddrによれば、記載のgiaddr = 10.1.1.1 10.1.1.0/24パケットアドレス割当.1.1パッケージは、割り当てられた
20.1.1.0/24のアドレスを。
IPおよびMACアドレスバインディング
IPアドレスのうちの除去に加えて、DHCP、アドレスプールを構成するとき、すべてのアドレスが順次されている
クライアントに割り当てられているので、クライアントはIPアドレスが固定され得ることができない、時にはすべての特定の固定
IPアドレスを割り当てるために、同じPC、そしてあなたは、静的IPアドレスを持つDHCPサーバーといくつか設定することができます
MACバインディング、適切なIPアドレスを取得するためにのみ対応するMACアドレスを。シスコの静的における機器
方法IPおよびMACバインディングされ、あなたはMACアドレスにIPアドレスをバインドする必要があり、一人でそのためのIPアドレスは、
アドレスプールを作成し、ホスト・プールと呼ばれる、アドレスプールのIPアドレスを指定する必要がありますマスク桁は、および添付し
、MACアドレスをMACアドレスのみに割り当てられたIPアドレスの後、ホストプールは一つだけ持つことができ
、複数の顧客IPとMACバインディングのために必要な場合は、IPアドレスとMACアドレスを、あなたはそれぞれに個別に持っている
彼らのホストプールの顧客で構成するだけでなく、ホストプール、MACアドレス表現では、と指摘しました
通常の方法は、ホストaabb.ccdd.eeffにネットワークカードのMACアドレスと、同じではない、アドレスプールで、
01を付加する必要がある(イーサネット型01によって表されるように)、結果は01aa.bbcc.ddee.ffである
。1 。プール構成ホスト:
(1)プール名配置
DHCPプーCCIE #ipのR1(設定)を
(2)を設定するIPアドレス
R1(DHCP-設定)#host 10.1.1.100 / 24
のIPアドレスとMACアドレスの構成に対応する(3)。
R1(DHCP-config設定)識別子01aa.bbcc.ddee.ff-クライアント#
2。設定を確認してください:
(1)閲覧アドレス割り当てサーバの状態
DHCP IPバインディングR1のSH#
バインディングにVRFに関連付けられていないから、すべてのプールを:
IPアドレスのクライアント-ID /リース満了タイプの
ハードウェアアドレス/
ユーザー名
10.1.1.100 01aa.bbcc.ddee。無限マニュアルFF
のR1#
説明:上記の結果、10.1.1.100のIPアドレスとMACアドレスaabb.ccdd.eeffから手された
、結合作ら限りaabb.ccdd.eeffクライアント後のMACアドレスを取得するためにIPアドレスを要求したとして、
IPをアドレス10.1.1.100。
DHCP ARPのセキュリティ
CiscoセキュリティDHCP ARPのデザインは絶対に安全であるが、また元に役割を果たしていないことが
、図に示すように、この設計は、PVLANの公衆ホットスポット課金アプリケーション(無線公共の場所)が必要です。4は、R3は、
DHCPサーバは、サーバR3は、顧客にネットワークサービスを提供するために、R1、正しいIPアドレスの支払いを提供するために
終了した後、R1は、IPアドレス10.1.1.2を提供し、あなたはそれのような通常の状況下で、MACアドレスです覚えておく必要が
R1出口の場合、サーバが知られていない、と詐欺師は、ネットワークへのアクセスを持っている場合、10.1.1.2ポーズすることができ
、インターネットアドレスを、当然のことながら、R1とR2は確かに同じMACアドレスではなく、タイムサーバであれば
自動更新以降R3 ARPテーブルのMACアドレスは、我々が正常にR2をオンラインで行うことができます。
これらの理由から、それはクライアントとサーバR3 R1間のセキュリティメカニズムのいくつかの種類を提供する必要がある、されているサーバ
を定期的存在ARP 10.1.1.2かどうかを疑問は、疑問ならば、唯一のR1は答えることができます。
このメカニズムを完成し、それが機能両者をサポートするために必要であり、最初は更新ARPは、アドレスプールモードにある
次の式を開くために、この機能は定期的にネットワークのDHCPクライアントを尋問され、第二が許可されています
唯一のイーサネットインターフェイスで開いARP(ARP認証)は、インタフェースがARPによって、さらに自動的に無効化され
、新たなMACアドレス学習と、このようにして、インタフェースは、手動でIPアクセスデバイスを設定する必要はありません手理由
サーバがそのARPテーブルを更新しない、新しいデバイスの二階に完了することができません設定のIPアクセスを働いた後、
パッケージのMACアドレスを、それが通過適切に機能するために、新しいデバイス、唯一の合法的なDHCPクライアントと通信できない
文字、そう、あなたは、リモートクライアントにIPアドレスを割り当てる守るためにそうすることはできません場合は、リモートクライアントに
ない場合、通信できないため、次のホップ側は、のARP不在ので、独自のクライアントである必要があります
への参入。
1。セキュリティの設定ARP:
(1)DHCP機能を有効
DHCP #service R3(設定)を
(2)DHCPアドレスプール
ccie1という名前R3(設定)#ipののDHCPプールccie1アドレスプール
R3(DHCP-config設定)#network 10.1.1.0 255.255クライアントアドレスのセグメントが利用可能.255.0
R3(DHCP-config)#関連デフォルト 10.1.1.1 -router ゲートウェイ
R3(DHCP-設定)#update ARP ARP質問オープン定期的に
(3)クライアントに提供されたアドレスを削除しません
除外DHCP #ipのR3(設定)アドレス10.1.1.1 10.1.1.10を10.1.1.1 10.1.1.10除去する
(4)ARP許可インターフェイスでオン
R3(設定)は、F0 / 0 #INT
R3(CONFIG-IF)位がRouter(config-if)#のARP認可動的ARP更新を禁止
R3(設定-IF)を#ARPタイムアウト60 60秒クライアントARPエントリの削除を無応答
注:その後、上記の設定を、DHCPクライアントがサーバからIPアドレスを取得した場合、サーバが設定されます
が、何も答え60秒ではないエントリを削除するには、ARPテーブルで始まる場合、問い合わせのIPアドレスに。
DHCPスヌーピング
、図5のR3ネットワークサーバからクライアントIP 10.1.1.0/24 R1を取得するだけ右に示す
別のエラーが発生した場合、アドレスはアクセス適切にできますときに、ネットワークのDHCPサーバ(図中R2。 )、
R2は、その後、R1は、ネットワーク障害の原因となります、クライアントアドレス20.1.1.0/24 R1に送信され、この場合には、
あなたは、DHCPスヌーピングを必要とする、ネットワークにDHCPサービスを提供するために、不正なDHCPサーバを禁止する必要があります
( DHCPスヌーピング)。DHCPスヌーピングは、ちょうど交換伝える、例えば上の図のように、スイッチ上で実行され
、他のインタフェースシステムのアドレスで送信された応答、唯一のクライアントに転送アドレスに送信された唯一のF0 / 3 DHCP応答をマシンを
システムが破棄されます。これを行うために、我々はスイッチを伝える必要があり、F0 / 3インターフェイスは信頼できDHCPアドレスであり、
その他のインターフェイスはDHCP応答を提供することができない、信頼できるものではなく、この機能の実現には、あなたがする必要がある
スイッチのインターフェイス上で信頼できるインターフェイスと信頼できないインターフェイスに分かれているインターフェイス、デフォルトのスイッチはすべて信頼できない接続さ
れており、口の中を彼は、スイッチはDHCPスヌーピング投入後、DHCPサービスはいずれかのインターフェイス上ではないことを言った
サービスを提供するための装置。VLANに指定しなければなりませんスイッチ上でDHCPスヌーピングを設定する際に
待機するように、上記のルールの制限を免除他のVLANに耳を傾けません。
1。スイッチ上でDHCPスヌーピングの設定
注:すべてがVLAN1に割り当てられたスイッチのすべてのインターフェイスは、
(1)スイッチ上でDHCPスヌーピング後
SW DHCP #ipの(設定)がスヌーピングDHCPスヌーピングはです
スイッチ上でDHCPを有効にし、VLAN 1 DHCPスヌーピング#ipのSW(設定)スヌーピング
(2)対応するインタフェースは、信頼できるインターフェイス(デフォルトすべての信頼されていない)となっ
DHCPスヌーピングの信頼#ipのSW(設定-IF)
2。:注文を参照して
(1)表示DHCPスヌーピング
Swの#SH IP DHCPスヌーピングの
説明:上記の構成に従うことにより、F0 / 3インターフェイス上でのみスイッチ(信頼できるインタフェース)デバイスとすることができる
、DHCP要求をしながら、このようなオーバーR2などのすべての他のインターフェースDHCP応答は破棄されます。しかし、あなた
その後、R1またはR3は、DHCPサーバのアドレスに送信されますすることができない、ということでしょう。オープンからです
効果が得られますリレーをスヌーピングスイッチのデフォルトのDHCPは、GIADDRパラメータのDHCP要求パケットを変更しようとしている
0.0.0.0にリレーサーバが受信した場合には、そのようなリレースイッチの効果は、閉じられていませんそして
、要求パケットが0.0.0.0のgiaddrの代わりに、IPアドレスに設定されている場合、デフォルトでは応答せずにパケットを廃棄することである
ので、サーバR3は、要求パケットを破棄する。R1は、顧客が通常のDHCPが提供する受信させることができます
IPアドレスを、DHCPサーバがGIADDR 0.0.0.0にも対応しても、パッケージを要求することになります。以下のような構成
:
DHCPリレー#ipのR3(CONFIG-IF)は、情報を信頼
R3は、DHCPサーバ自体でない場合、上の図から、最後に、DHCPサーバは、リモート場合
、ネットワークは、リレーR3を設ける必要があるとする要求パケットを転送しますサーバー、インタフェースを除いて、その後R3
IP DHCPリレー情報信頼できるほか、IPヘルパーアドレスを設定する必要があり、両方が不可欠です。