1. 24DHCP Relay配置
1. 24.1概述
1. 24.1.1理解DHCP
DHCP协议被广泛用来动态分配可重用的网络资源,如IP地址。
DHCP Client发出DHCP DISCOVER广播报文给DHCP Server。DHCP Server收到
后DHCP DISCOVER报文后,根据一定的策略来给Client分配资源,如IP地址,发出
DHCP OFFER报文。DHCP Client收到DHCP OFFER报文后,验证资源是否可用。
如果资源可用发送DHCP REQUEST报文;如果不可用,重新发送DHCP DISCOVER
报文。服务器收到DHCP REQUEST报文,验证IP地址资源(或其他有限资源)是
否可以分配,如果可以分配,则发送DHCP ACK报文;如果不可分配,则发送DHCP
NAK报文。DHCP Client收到DHCP ACK报文,就开始使用服务器分配的资源;如
果收到DHCP NAK,则可能重新发送DHCP DISCOVER报文再次请求另一个IP地
址。
2. 24.1.2理解DHCP中继代理(DHCP Relay Agent)
DHCP请求报文的目的IP地址为255.255.255.255,这种类型报文的转发局限于子网
内,不会被设备转发。为了实现跨网段的动态IP分配,DHCP Relay Agent就产生了。
它把收到的DHCP 请求报文封装成IP单播报文转发给DHCP Server,同时,把收到
的DHCP响应报文转发给DHCP Client。这样DHCP Relay Agent就相当于一个转发
站,负责沟通位于不同网段的DHCP Client和DHCP Server。这样就实现了只要安装
一个DHCP Server就可对所有网段的动态IP管理,即Client—Relay Agent—Server
模式的DHCP动态IP管理。
图1
VLAN 10和VLAN 20分别对应10.0.0.1/16和20.0.0.1/16的网络,而DHCP Server
在30.0.0.1/16的网络上,30.0.0.2的DHCP Server要对10.0.0.1/16和20.0.0.1/16
的网络进行动态IP管理,只要在作为网关的设备上打开DHCP Relay Agent,并指定
DHCP Server IP为30.0.0.2就可以了
3. 2
4.1.3理解DHCP Relay Agent Information(option 82)
根据RFC3046的定义,中继设备进行DHCP relay时,可以通过添加一个option的
方式来详细的标明DHCP client的一些网络信息,从而使服务器可以根据更精确的信
息给用户分配不同权限的IP,根据RFC3046的定义,所使用option选项的选项号为
82,故也被称作option82,该option可以继续分解成多个子选项,现阶段经常使用的
子选项有Circuit ID和Remote ID。本公司实现的relay agent information现阶段存在
两种,一种是与802.1x/SAM应用方案结合relay agent information option dot1x,另
一种是结合用户所属的端口vid,slot,port,以及设备mac信息的relay agent information option82,下边对两种方案应用时option携带的内容及格式以及一些典型
的应用方案进行一些说明:
1.relay agent information option dot1x:此种应用方案需要结合80
2.1x认证以及我司
产品RG-SAM。通过RG-SAM在802.1x认证过程中给设备下放不同的IP权限,结
合DHCP client所属的vid组合成Circuit ID子选项。在DHCP relay上传到DHCP server时,结合DHCP server的配置,就可以实现给不同权限用户分配不同权限IP
的应用。组合成Circuit ID格式如下,其中priviliage和vid字段各占两个字节:
图2
2.relay agent information option82:此种option的应用不需要结合其他协议模块的运
行,设备在DHCP relay的过程中,根据收到DHCP请求的实体端口,以及设备自身的物理地址信息,组合构成option82信息上传到服务器,option选贤得格式如下:
Agent Circuit ID
图3
Agent Remote ID
图4
4. 24.1.4理解DHCP relay Check Server-id功能
在DHCP应用时,通常会为每一个网络配备多个DHCP服务器,从而进行备份,防
止因为一台服务器的工作不正常影响网络的正常使用。在DHCP获取的四个交互过程
中,当DHCP client在发送DHCP REQUEST时已经选定了服务器,此时会在请求的
报文中携带一个server-id的option选项,在某些特定的应用环境中为了减轻网络服务
器压力,需要我们relay能够使能此选项,只把请求报文发给此选项里的server,而
不是发送给每一个配置的DHCP server,上述就是DHCP check server-id功能
2. 24.2配置DHCP
1. 24.
2.1配置DHCP中继代理
在全局配置模式下,请按如下步骤配置DHCP中继代理:
2. 24.2.2配置DHCP Server的IP地址
在配置DHCP Server的IP地址后,设备所收到的DHCP请求报文将转发给它,同时,收到的来自Server的DHCP响应报文也会转发给Client。
DHCP server地址可以全局配置,也可以在三层接口上配置,每种配置模式都可以配
置多个服务器地址最多可以配置20个服务器地址,。在某接口收到DHCP请求,则
首先使用接口DHCP服务器;如果接口上面没有配置服务器地址,则使用全局配置的
DHCP服务器。
DHCP中继支持基于vrf的中继功能,配置方法就是在对应的服务器地址前面添加vrf
参数。配置DHCP服务器地址请按如下方式进行:
3. 2
4.2.3配置DHCP option dot1x
通过理解DHCP Relay Agent Information的描述可知,在网络如果需要根据用户权限
的不同而给用户分配不同权限IP时,我们就可以通过配置ip dhcp relay information
option dot1x来配置打开DHCP relay的option dot1x功能,当打开此功能时,设备
在进行relay时就会结合802.1x添加对应的option信息到服务器,配置此功能时需要
和dot1x功能结合使用。
在全局配置模式下,请按如下步骤配置DHCP option dot1x:
4. 24.2.4配置DHCP option dot1x access-group
在option dot1x的应用方案中,需要设备控制未认证或低权限的IP只有访问特定的一
些IP地址的权限,以及限制低权限用户之间的互相访问,此时可以通过配置命令ip
dhcp relay information option dot1x access-group acl-name来实现,这里的
acl-name所定义的ACL必须预先配置,用以对某些内容进行过滤,主要是用于禁止
未认证用户之间的互相访问。另外,这里所关联的ACL被应用到设备所有端口上,并
且该ACL没有缺省的ACE,与其它接口所关联的ACL没有冲突关系,例如:
为未认证的所用用户规划一类IP地址,为192.168.3.2-192.168.3.254,
192.168.4.2-192.168.4.254,192.168.5.2-192.168.5.254;另外192.168.3.1、
192.168.4.1、192.168.5.1作为网关地址,不分配给用户。则用户在未认证之前使用
192.168.3.x-5.x的地址到达web portal以下载客户端软件。因此需要在设备上配置如
下:
Ruijie# config
Ruijie(config)# ip access-list extended DenyAccessEachOtherOfU
nauthrize
Ruijie(config-ext-nacl)# permit ip any host 192.168.3.1
//允许发往网关的报文
Ruijie(config-ext-nacl)# permit ip any host192.168.4.1
Ruijie(config-ext-nacl)# permit ip any host 192.168.5.1
Ruijie(config-ext-nacl)# permit ip host 192.168.3.1any
//允许源IP地址为网关的报文通讯
Ruijie(config-ext-nacl)# permit ip host192.168.4.1 any
Ruijie(config-ext-nacl)# permit ip host 192.168.5.1any
Ruijie(config-ext-nacl)# deny ip 192.168.3.0 0.0.0.255 192.168.
3.0 0.0.0.255
//禁止未认证用户相互访问
Ruijie(config-ext-nacl)# deny ip 192.168.3.0 0.0.0.255 192.168.
4.0 0.0.0.255
Ruijie(config-ext-nacl)# deny ip192.168.3.0 0.0.0.255 192.168.
5.0 0.0.0.255
Ruijie(config-ext-nacl)# deny ip 192.168.4.0 0.0.0.255 192.168.
4.0 0.0.0.255
Ruijie(config-ext-nacl)# deny ip192.168.4.0 0.0.0.255 192.168.
5.0 0.0.0.255
Ruijie(config-ext-nacl)# deny ip192.168.5.0 0.0.0.255 192.168.
5.0 0.0.0.255
Ruijie(config-ext-nacl)# deny ip192.168.5.0 0.0.0.255 192.168.
3.0 0.0.0.255
Ruijie(config-ext-nacl)# deny ip192.168.5.0 0.0.0.255 192.168.
4.0 0.0.0.255
Ruijie(config-ext-nacl)# exit
然后再使用命令ip dhcp relay information option dot1x access-group
DenyAccessEachOtherOfUnauthrize把命令应用全局接口上
在全局配置模式下,请按如下步骤配置DHCP option dot1x access-group:
5. 24.2.5配置DHCP option 82
当配置命令ip dhcp relay information option82命令时,设备就会在DHCP relay
的过程中添加如理解DHCP Relay Agent Information中所述格式的option到服务
器。
在全局配置模式下,请按如下步骤配置DHCP option82:
6. 24.2.6配置DHCP relay check server-id
当配置命令ip dhcp relay check server-id后,设备在收到DHCP relay时就会去解析DHCP SERVER-ID option,如果此选项不为空,则只对此server发送请求,而不对其他配置的服务器发送请求。
在全局配置模式下,请按如下步骤配置DHCP relay check server-id 功能:
7. 24.2.7配置DHCP relay suppression
当配置命令ip dhcp relay suppression后,配置了DHCP realy suppression的接口不把收到的DHCP 广播请求转为单播relay出去,而对于端口收到的广播报文的正常广播转发不做抑制。
在接口配置模式下,请按如下步骤功能:
8. 24.2.8DHCP配置实例
如下命令打开了dhcp relay功能、添加了两组服务器地址的例子:
Ruijie# configure terminal
Ruijie(config)# service dhcp//打开dhcp relay功能
Ruijie(config)# ip helper-address 192.18.100.1 //添加全局服务器地址Ruijie(config)# ip helper-address192.18.100.2//添加全局服务器地址Ruijie(config)# interface GigabitEthernet 0/3
Ruijie(config-if)# ip helper-address192.18.200.1 //添加接口服务器
地址Ruijie(config-if)# ip helper-address 192.18.200.2//添加接口服务器
地址Ruijie(config-if)# end
3. 2
4.3配置DHCP relay的其他注意事项
对于二层的网络设备来说,需要实现跨管理vlan relay功能时就必须打开option dot1x、动态地址绑定和option82的至少一个功能,否则在二层设备上只能实现管理vlan的
relay功能。
1. 24.3.1配置DHCP option dot1x需要的注意事项
1.此命令的实际生效需要在AAA/80
2.1x相关的配置正确的情况下。
2.在应用此方案时需要启用802.1x的DHCP 模式的IP授权。
3.此命令与dhcp option82命令互斥,不能同时使用。
4.在启用了802.1x的DHCP 模式的IP授权的模式下,也会设置MAC + IP的绑定,
所以不能与DHCP动态绑定功能不能同时启用。
2. 24.
3.2配置DHCP option82需要的注意事项
DHCP option82功能于dhcp option dot1x功能互斥,不能同时使用
4. 24.4显示DHCP配置
请在特权模式下用show running-config命令显示DHCP配置。
Ruijie# show running-config
Building configuration...
Current configuration : 1464 bytes
version RG0S 10.1.00(1), Release(11758)(Fri Mar 30 12:53:11 CST 2007 -nprd
hostname Ruijie
vlan 1
ip helper-address 192.18.100.1
ip helper-address 192.18.100.2
ip dhcp relay information option dot1x
interface GigabitEthernet 0/1
interface GigabitEthernet 0/2
interface GigabitEthernet 0/3
no switchport
ip helper-address 192.168.200.1
ip helper-address 192.168.200.2
interface VLAN 1
ip address 192.168.193.91 255.255.255.0
line con 0
exec-timeout 0 0
line vty 0
exec-timeout 0 0
login
password 7 0137
line vty 1 2
login
password 7 0137
line vty 3 4
login
end
5. 24.5DHCP典型配置用例
1. 24.5.1跨网段的用户申请IP上网
1. 24.5.1.1配置要求
1、要求用户跨网段可以获取IP地址进行正常上网;
2、防止非法的用户私自设置IP地址进行上网。
2. 24.5.1.2拓扑图
3. 2
4.
5.1.3分析
DHCP Snooping设备与DHCP Relay相连的设备端口是普通access口,要求Client 可以跨网段自动获取IP地址进行上网,这就需要DHCP Relay设备来实现。防止非法用户私自设置IP地址上网有两种做法:一种是在全局模式下开启DAI(动态ARP检测功能),另一种是在接口模式下配置端口地址绑定,并结合arp-check功能来防止非法用户上网。该用例采用第一种做法。
4. 24.
5.1.4配置过程
按上述拓扑图搭建环境,按下述配置步骤进行配置:
DHCP Snooping的配置:
# 开启DHCP Snooping功能
Ruijie(config)# ip dhcp snooping
# 配置与服务器相连的Gi0/2为可信任口
Ruijie(config)# interface gigabitEthernet0/2
Ruijie(config-if)# ip dhcp snooping trust
# 配置Gi0/2为ARP检测信任口
Ruijie(config-if)# ip arp inspection trust
Ruijie(config-if)# exit
# 启用指定VLAN的DAI报文检查功能
Ruijie(config)# ip arp inspection vlan1
# 配置设备的IP地址(SVI1)
Ruijie(config)# interface vlan 1
Ruijie(config-if)# ip address10.2.0.1 255.255.0.0
# 配置到另一个网段(10.1.0.0/16)的静态路由
Ruijie(config)# ip route10.1.0.0 255.255.0.0 10.2.1.1
●DHCP Relay的配置
# 启用DHCP中继代理
Ruijie(config)# server dhcp
# 添加一个全局的DHCP服务器的地址
Ruijie(config)# ip helper-address 10.1.1.1
# 配置与Snooping设备连接的端口的IP地址
Ruijie(config)# interface gigabitEthernet3/1
Ruijie(config-if)# no switchport
Ruijie(config-if)# ip address10.2.1.1 255.255.0.0
# 配置与Server设备连接的端口的IP地址
Ruijie(config)# interface gigabitEthernet3/2
Ruijie(config-if)# no switchport
Ruijie(config-if)# ip address 10.1.0.1 255.255.0.0
●DHCP Server上的配置:
# 为连接Relay设备的端口配置IP地址
Ruijie(config)# interface gigabitEthernet4/1
Ruijie(config-if)# no switchport
Ruijie(config-if)# ip address10.1.1.1 255.255.0.0
# 启用DHCP服务器
Ruijie(config)# service dhcp
# 配置DHCP排斥地址,这些地址不会被分配给客户端
Ruijie(config)# ip dhcp excluded-address10.1.1.1 10.1.1.10 # 配置地址池名并进入地址池配置模式
Ruijie(config)# ip dhcp pool linwei
# 配置客户端缺省网关
Ruijie(dhcp-config)# default-router10.2.1.1
# 配置DHCP地址池的网络号和掩码
Ruijie(dhcp-config)# network10.2.0.0 255.255.0.0
# 配置到另一个网段(10.2.0.0/16)的静态路由
Ruijie(config)# ip route10.2.0.0 255.255.0.0 10.1.0.1
1.
Cisco DHCP配置实验 ?一、PC动态获取IP地址(路由器做DHCP服务器) o 1. 拓扑图 o 2. 配置步骤(有些顺序不重要) o 3. 命令配置(之后的命令解析参考该实验) ?二、路由器端口动态获取IP地址(路由器做DHCP服务器)o 1. 拓扑图 o 2. 配置步骤(有些顺序不重要) o 3. 配置命令 ?三、跨网段的动态获取IP地址(路由器做DHCP服务器)即分配不同网段o 1. 拓扑图 o 2. 配置步骤(有些顺序不重要) o 3. 配置命令 ?四、跨网段的动态获取IP地址(计算机做DHCP服务器) o 1. 拓扑图 o 2. 配置步骤 o 3. 配置命令 ?五、无线自动获取IP ?六、DHCP知识点 o 1. 关于ip helper-address命令 o2.DHCP服务器分配地址原理 o3.DHCP请求过程 o 4. ip helper-address 命令的注意事项 o 5. DHCP好处: 一、PC动态获取IP地址(路由器做DHCP服务器) 1. 拓扑图
2. 配置步骤(有些顺序不重要) 1.创建地址池 2.分配的地址池范围 3.配置网关 4.配置dns 5.给路由器端口配置IP 6.如有需要则配置不自动分配的地址段或某个地址 3. 命令配置(之后的命令解析参考该实验) Router>en Router#config t Router(config)#ip dhcp pool LAN (创建地址池,名字(LAN)自定义)Router(dhcp-config)#network 192.168.1.0 255.255.255.0 (地址池范围)Router(dhcp-config)#default-router 192.168.1.1 (默认网关)
华为交换机DHCP snooping配置教程DHCP Snooping是一种DHCP安全特性,在配置DHCP Snooping各安全功能之前需首先使能DHCP Snooping功能。 使能DHCP Snooping功能的顺序是先使能全局下的DHCP Snooping功能,再使能接口或VLAN下的DHCP Snooping功能。 图1 配置DHCP Snooping 基本功能组网图 如上图1所示,Switch_1是二层接入设备,将用户PC的DHCP请求转发给DHCP服务器。以Switch_1为例,在使能DHCP Snooping功能时需要注意:使能DHCP Snooping功能之前,必须已使用命令dhcp enable使能了设备的DHCP功能。 全局使能DHCP Snooping功能后,还需要在连接用户的接口(如图中的接口if1、if2和if3)或其所属VLAN(如图中的VLAN 10)使能DHCP Snooping 功能。 当存在多个用户PC属于同一个VLAN时,为了简化配置,可以在这个VLAN使能DHCP Snooping功能。 请在二层网络中的接入设备或第一个DHCP Relay上执行以下步骤。 1、使能DHCP Snooping功能 [Huawei]dhcp snooping enable ? ipv4 DHCPv4 Snooping ipv6 DHCPv6 Snooping vlan Virtual LAN
华为路由器dhcp简单配置实例 session 1 DHCP的工作原理 DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,在RFC 2131中有详细的描述。DHCP有3个端口,其中UDP67和UDP68为正常的DHCP 服务端口,分别作为DHCP Server和DHCP Client的服务端口;546号端口用于DHCPv6 Client,而不用于DHCPv4,是为DHCP failover服务,这是需要特别开启的服务,DHCP failover是用来做“双机热备”的。 DHCP协议采用UDP作为传输协议,主机发送请求消息到DHCP服务器的67号端口,DHCP服务器回应应答消息给主机的68号端口,DHCP的IP地址自动获取工作原理及详细步骤如下: 1、DHCP Client以广播的方式发出DHCP Discover报文。 2、所有的DHCP Server都能够接收到DHCP Client发送的DHCP Discover报文,所有的DHCP Server都会给出响应,向DHCP Client发送一个DHCP Offer报文。DHCP Offer报文中“Your(Client) IP Address”字段就是DHCP Server 能够提供给DHCP Client使用的IP地址,且DHCP Server会将自己的IP地址放在“option”字段中以便DHCP Client 区分不同的DHCP Server。DHCP Server在发出此报文后会存在一个已分配IP地址的纪录。 3、DHCP Client只能处理其中的一个DHCP Offer报文,一般的原则是DHCP Client处理最先收到的DHCP Offer报文。DHCP Client会发出一个广播的DHCP Request报文,在选项字段中会加入选中的DHCP Server的IP地址和需要的IP地址。 4、DHCP Server收到DHCP Request报文后,判断选项字段中的IP地址是否与自己的地址相同。如果不相同,DHCP Server不做任何处理只清除相应IP地址分配记录;如果相同,DHCP Server就会向DHCP Client响应一个DHCP ACK 报文,并在选项字段中增加IP地址的使用租期信息。 5、DHCP Client接收到DHCP ACK报文后,检查DHCP Server分配的IP地址是否能够使用。如果可以使用,则DHCP Client成功获得IP地址并根据IP地址使用租期自动启动续延过程;如果DHCP Client发现分配的IP地址已经被使用,则DHCP Client向DHCPServer发出DHCP Decline报文,通知DHCP Server禁用这个IP地址,然后DHCP Client 开始新的地址申请过程。 6、DHCP Client在成功获取IP地址后,随时可以通过发送DHCP Release报文释放自己的IP地址,DHCP Server收到DHCP Release报文后,会回收相应的IP地址并重新分配。
DHCP配置详解 一、所需配置文件 1. /usr/share/doc/dhcp-3.0.1/dhcpd.conf.sample DHCP配置文件的模板,安装后会自动出现该文件,该文件无需配置。 2. /etc/dhcpd.conf DHCP的配置文件,默认系统没有该文件,需要通过cp命令把模板文件copy过来并且命名为“dhcpd.conf”命令如下:cp /usr/share/doc/dhcp- 3.0.1/dhcpd.conf.sample /etc/dhcpd.conf 二、配置过程 1. 安装DHCP #rpm –qa | grep dhcp //查看是否安装DHCP 若安装跳过本步骤进行第二步 #mount /media/cdrom //挂载光盘#cd /media/cdrom/RedHat/RPMS //进入光盘目录 #rpm –ivh dhcp-3.0.1-58.EL4.i386.rpm //安装所需的RPM包#cd;eject //弹出光盘 2.#cat /usr/share/doc/dhcp- 3.0.1/dhcpd.conf.sample //查看DHCP配置文件的模板 3.#cp /usr/share/doc/dhcp-3.0.1/dhcpd.conf.sample /etc/dhcpd.conf //通过cp把模板文件copy过来并且命名为“dhcpd.conf” 4.配置dhcpd.conf文件 ddns-update-style interim; //配置使用过度性DHCP-DNS互动更新 ignore client-updates; //忽略客户端更新 subnet 192.168.3.0 netmask 255.255.255.0 { //设置子网声明 # - - - default gateway option routers 192.168.3.1 //为DHCP客户设置默认网关 option subnet-mask 255.255.255.0; //为DHCP客户设置子网掩码 option nis-domain “https://www.doczj.com/doc/e15288584.html,”; //为DHCP客户设置NIS域 option domain-name “https://www.doczj.com/doc/e15288584.html,”; //为DHCP客户设置DNS域 option domain-name-servers 192.168.3.1; //为DHCP客户设置DNS地址 option time-offset -18000; #Eastern Standard Time //设置与格林威治时间的偏移时间(s) # option ntp-servers 192.168.1.1; //为DHCP客户设置网络时间服务器的ip地址 # option netbios-name-servers 192.168.1.1; //为DHCP客户设置Netbios地址 # ---Selects point-to-point node (default is hybrid). Don’t change this # --you understand Netbios very well
配置DHCP Snooping的攻击防范功能示例 组网需求 如图1所示,SwitchA与SwitchB为接入设备,SwitchC为DHCP Relay。Client1与Client2分别通过GE0/0/1与GE0/0/2接入SwitchA,Client3通过GE0/0/1接入SwitchB,其中Client1与Client3通过DHCP方式获取IPv4地址,而Client2使用静态配置的IPv4地址。网络中存在非法用户的攻击导致合法用户不能正常获取IP地址,管理员希望能够防止网络中针对DHCP的攻击,为DHCP用户提供更优质的服务。 图1 配置DHCP Snooping的攻击防范功能组网图 配置思路 采用如下的思路在SwitchC上进行配置。 1.使能DHCP Snooping功能并配置设备仅处理DHCPv4报文。 2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址。 3.使能ARP与DHCP Snooping的联动功能,保证DHCP用户在异常下线时实时更新绑定表。 4.使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能,以防止非DHCP用户攻 击。 5.使能对DHCP报文进行绑定表匹配检查的功能,防止仿冒DHCP报文攻击。 6.配置DHCP报文上送DHCP报文处理单元的最大允许速率,防止DHCP报文泛洪攻击。 7.配置允许接入的最大用户数以及使能检测DHCP Request报文帧头MAC与DHCP数据区中 CHADDR字段是否一致功能,防止DHCP Server服务拒绝攻击。 操作步骤 1.使能DHCP Snooping功能。 # 使能全局DHCP Snooping功能并配置设备仅处理DHCPv4报文。
DHCPv6配置手册
目录 第1章简介 (1) 第2章IP LOCAL POOL配置 (2) 2.1 简介 (2) 2.2 基本指令描述 (2) 第3章DHCPV6配置 (4) 3.1 简介 (4) 3.2 基本指令描述 (4) 3.3 应用实例 (8) 3.3.1 应用实例一 (8) 3.3.2 应用实例二 (9) 3.3.3 应用实例三 (10) 3.4 监控和调试 (11) 3.4.1 监控命令 (11) 3.4.2 监控命令实例 (11) 3.4.3 调试命令 (12) 3.4.4 调试命令实例 (13)
第1章简介 IPv6 主机可以使用多种方法来配置地址: 无状态地址自动配置:用于对链接本地地址和其他非链接本地地址两者进行配置,方法是与相邻路由器交换路由器请求(RS)和路由器公告(RA)消息。 有状态地址自动配置:通过使用如DHCP的配置协议,用来配置非链接本地地址。 动态主机配置协议(DHCP)设计用来处理向计算机分配IP地址和其他网络信息,以便计算机可以在网络上自动通信。DHCP for IPv6 (DHCPv6)可以向IPv6主机提供有状态的地址配置或无状态的配置设置。 类似于DHCP for IPv4,DHCPv6基础结构的组件由下列各项构成:请求配置的DHCPv6客户端、提供配置的DHCPv6服务器、以及DHCPv6中继代理(当客户端位于不具备DHCPv6 服务器的子网上时,它在客户端和服务器之间传递信息)。 本文主要讲述DHCPv6在迈普设备中的配置方法。 本章主要内容: ●IP Local Pool配置 ●DHCPv6配置
DHCP Snooping配置 介绍DHCP Snooping的原理和配置方法,并给出配置举例。 配置DHCP Snooping的攻击防范功能示例 组网需求 如图9-13所示,SwitchA与SwitchB为接入设备,SwitchC为DHCP Relay。Client1与Client2分别通过GE0/0/1与GE0/0/2接入SwitchA,Client3通过GE0/0/1接入SwitchB,其中Client1与Client3通过DHCP方式获取IPv4地址,而Client2使用静态配置的IPv4地址。网络中存在非法用户的攻击导致合法用户不能正常获取IP地址,管理员希望能够防止网络中针对DHCP的攻击,为DHCP用户提供更优质的服务。 图9-13配置DHCP Snooping的攻击防范功能组网图 配置思路 采用如下的思路在SwitchC上进行配置。 1.使能DHCP Snooping功能并配置设备仅处理DHCPv4报文。 2.配置接口的信任状态,以保证客户端从合法的服务器获取IP地址。 3.使能ARP与DHCP Snooping的联动功能,保证DHCP用户在异常下线时实时更新绑定表。 4.使能根据DHCP Snooping绑定表生成接口的静态MAC表项功能,以防止非DHCP用户攻击。 5.使能对DHCP报文进行绑定表匹配检查的功能,防止仿冒DHCP报文攻击。 6.配置DHCP报文上送DHCP报文处理单元的最大允许速率,防止DHCP报文泛洪攻击。 7.配置允许接入的最大用户数以及使能检测DHCP Request报文帧头MAC与DHCP数据区中CHADDR字段是 否一致功能,防止DHCP Server服务拒绝攻击。 操作步骤
一、dhcpd.conf ## dhcpd.conf # Managed by Ansible # Do not edit manually # option definitions common to all supported networks... option domain-name "https://www.doczj.com/doc/e15288584.html,"; option domain-name-servers https://www.doczj.com/doc/e15288584.html,; #DHCP options #DHCP parameters # Classes # Subnets subnet 172.20.254.0 netmask 255.255.255.0 { range 172.20.254.177 172.20.254.185; option routers 172.20.254.1; option broadcast-address 172.20.254.255; } # Hosts # Shared networks 二、dhcpd.conf.sample root@cqu_freebsd_006:/usr/local/etc # vim dhcpd.conf.sample # dhcpd.conf # Sample configuration file for ISC dhcpd # option definitions common to all supported networks... option domain-name "https://www.doczj.com/doc/e15288584.html,"; option domain-name-servers https://www.doczj.com/doc/e15288584.html,, https://www.doczj.com/doc/e15288584.html,; default-lease-time 600; max-lease-time 7200; # Use this to enble / disable dynamic dns updates globally. #ddns-update-style none; # If this DHCP server is the official DHCP server for the local
命令行方式安装DHCP服务器 一台windows 2000/03 server,单机环境,安装了dhcp服务,让我们用命令行的方式来配置一台DHCP_blank空白>服务器吧! 1、首先进入命令行dhcp配置模式 F:\>netsh netsh>dhcp dhcp>server 192.168.0.1;(192.168.0.1)是你需要管理的DHCP服务器的地址dhcp server> 2、dhcp server>show scope 作用域总的数目: 0 命令成功完成。 察看目标上作用域配置的情况,此时是没有scope的 3、添加一个scope dhcp server>add scope 192.168.0.0 255.255.255.0 192.168.0.0 MyComment 4、dhcp server>scope 192.168.0.1 将当前作用域上下文改变到 192.168.0.1 作用域。 5、dhcp server scope>add iprange 192.168.0.2 192.168.0.254 DHCP 添加一个分配地址范围 6、dhcp server scope>add excluderange 192.168.0.1 192.168.0.1
dhcp server scope>add excluderange 192.168.0.241 192.168.0.254 添加两个排除范围192.168.0.1,192.168.0.241-192.168.0.254 7、dhcp server scope>add reservedip 192.168.0.240 08002b30369B Mr.Wu Mr.wu both 添加一个保留ip,给了MAC 08002b30369B ,保留的名字称为Mr.Wu 8、dhcp server scope>set optionvalue 003 ipaddress 192.168.0.1 dhcp server scope>set optionvalue 006 ipaddress 192.168.0.1 在这个scope中添加两个作用域选项003路由器和006 DNS服务器 9、dhcp server scope>set reservedoptionvalue 192.168.0.240 003 ipaddress 192.168.0.1 设置保留地址192.168.0.240的作用域选项003 现在scope 192.168.0.0配置结束了,你也可以配置别的选择的项目,看你的需要了 此时在mmc中把scope 192.168.0.0刷新一下,一切都正常了 10、同样方法配置两个scope 192.168.1.0和192.168.2.0 11、配置superscope F:\>netsh netsh>dhcp dhcp>server 192.168.0.1 dhcp server>scopt 192.168.0.0 dhcp server scope>set superscope 192.168.0-192.168.2 1 F:\>netsh netsh>dhcp
同网段内配置基于全局地址池的DHCP服务器示例 组网需求 如图1所示,某企业有两个处于同一网络内的办公室,为了节省资源,两个办公室内的主机由SwitchA作为DHCP服务器统一分配IP地址。 办公室1所属的网段为10.1.1.0/25,主机都加入VLAN10,办公室1的主机只使用DNS服务,不使用NetBIOS服务,地址租期为10天;办公室2所属的网段为10.1.1.128/25,主机都加入VLAN20,办公室2的主机使用DNS服务和NetBIOS服务,地址租期为2天。 在SwitchA上配置全局地址池,并采取动态地址分配方式为两个办公室的主机分配IP地址。 图1 配置基于全局地址池的DHCP服务器组网图 配置思路 DHCP服务器的配置思路如下: 1.在SwitchA上创建两个全局地址池,并配置各自的地址池相关属性,实现根据不同需求, 为办公室1和办公室2动态分配地址。 2.在SwitchA上配置VLANIF接口下本地DHCP服务器的地址分配方式,实现DHCP服务器从 全局地址池中给客户端分配IP地址。 操作步骤 1.启动DHCP服务 2.
# 配置IP地址池1的属性(地址池范围、DNS地址、出口网关和地址池租期)。 [SwitchA] ip pool 1 [SwitchA-ip-pool-1] network 10.1.1.0 mask 255.255.255.128 [SwitchA-ip-pool-1] dns-list 10.1.1.2 [SwitchA-ip-pool-1] gateway-list 10.1.1.1 [SwitchA-ip-pool-1] excluded-ip-address 10.1.1.2 [SwitchA-ip-pool-1] excluded-ip-address 10.1.1.4 [SwitchA-ip-pool-1] lease day 10 [SwitchA-ip-pool-1] quit # 配置IP地址池2的属性(地址池范围、DNS地址、出口网关、NetBIOS地址和地址池租期)。 [SwitchA] ip pool 2 [SwitchA-ip-pool-2] network 10.1.1.128 mask 255.255.255.128 [SwitchA-ip-pool-2] dns-list 10.1.1.2 [SwitchA-ip-pool-2] nbns-list 10.1.1.4 [SwitchA-ip-pool-2] gateway-list 10.1.1.129 [SwitchA-ip-pool-2] lease day 2 [SwitchA-ip-pool-2] quit 5.配置VLANIF接口下地址分配方式 # 配置接口GigabitEthernet0/0/1和GigabitEthernet0/0/2分别加入相应的VLAN。 [SwitchA] vlan batch 10 20 [SwitchA] interface gigabitethernet 0/0/1 [SwitchA-GigabitEthernet0/0/1] port hybrid pvid vlan 10 [SwitchA-GigabitEthernet0/0/1] port hybrid untagged vlan 10 [SwitchA-GigabitEthernet0/0/1] quit [SwitchA] interface gigabitethernet 0/0/2 [SwitchA-GigabitEthernet0/0/2] port hybrid pvid vlan 20 [SwitchA-GigabitEthernet0/0/2] port hybrid untagged vlan 20 [SwitchA-GigabitEthernet0/0/2] quit # 配置VLANIF10接口下的客户端从全局地址池中获取IP地址。 [SwitchA] interface vlanif 10 [SwitchA-Vlanif10] ip address 10.1.1.1 255.255.255.128 [SwitchA-Vlanif10] dhcp select global [SwitchA-Vlanif10] quit # 配置VLANIF20接口下的客户端从全局地址池中获取IP地址。 [SwitchA] interface vlanif 20 [SwitchA-Vlanif20] ip address 10.1.1.129 255.255.255.128 [SwitchA-Vlanif20] dhcp select global
一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有: ●DHCP Server的冒充 ●DHCP Server的DOS攻击,如DHCP耗竭攻击 ●某些用户随便指定IP地址,造成IP地址冲突 1、DHCP Server的冒充 由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP服务器,它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数,那就会对网络造成非常大的危害。 2、DHCP Server的拒绝服务攻击 通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR(也就是Client MAC address)字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造MAC 的方式发送DHCP请求,但这种攻击可以使用Cisco 交换机的端口安全特性来防止。端口安全特性(Port Security)可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击,那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端,所以攻击者可以通过大量发送伪造CHADDR的DHCP请求,导致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户提供网络地址,这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS 攻击,也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时,攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址,使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源MAC地址和
dhcp服务器如何设置 在一个使用TCP/IP协议的网络中,每一台计算机都必须至少有一个IP地址,才能与其他计算机连接通信。为了便于统一规划和管理网络中的IP地址,DHCP (Dynamic Host Configure Protocol,动态主机配置协议)应运而生了。这种网络服务有利于对校园网络中的客户机IP地址进行有效管理,而不需要一个一个手动指定IP地址。 DHCP服务的安装 DHCP指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。首先,DHCP服务器必须是一台安装有Windows 2000 Server/Advanced Server系统的计算机;其次,担任DHCP服务器的计算机需要安装TCP/IP协议,并为其设置静态IP地址、子网掩码、默认网关等内容。默认情况下,DHCP作为Windows 2000 Server的一个服务组件不会被系统自动安装,必须把它添加进来: 1. 依次点击“开始→设置→控制面板→添加/删除程序→添加/删除Windows组件”,打开相应的对话框。 添加IP地址范围 当DHCP服务器被授权后,还需要对它设置IP地址范围。通过给DHCP服务器设置IP地址范围后,当DHCP客户机在向DHCP服务器申请IP地址时,DHCP 服务器就会从所设置的IP地址范围中选择一个还没有被使用的IP地址进行动态分配。添加IP地址范围的操作如下: 1. 点击“开始→程序→管理工具→DHCP”,打开DHCP控制台窗口。 2. 选中DHCP服务器名,在服务器名上点击鼠标右键,在出现的快捷菜单中选择“新建作用域”,在出现的窗口中单击[下一步]按钮,在出现的对话框中输入相关信息,单击[下一步]按钮,如图1所示。 3. 在图1所示的窗口中,根据自己网络的实际情况,对各项进行设置,然后单击[下一步]按钮,出现如图2所示的窗口。 4. 在图2所示的窗口中,输入需要排除的IP地址范围。由于校园网络中有很多网络设备需要指定静态IP地址(即固定的IP地址),如服务器、交换机、路由
同网段内配置基于接口地址池的DHCP服务器示例 组网需求 如图1所示,某企业有两个处于同一网络内的办公室,为了节省资源,两个办公室内的主机由SwitchA作为DHCP服务器统一分配IP地址。 办公室1所属的网段为10.1.1.0/24,主机都加入VLAN10,办公室1使用DNS服务和NetBIOS服务,地址租期30天;办公室2所属的网段为10.1.2.0/24,主机都加入VLAN11,办公室2不使用DNS服务和NetBIOS服务,地址租期20天。 配置思路 基于VLANIF接口地址池的DHCP服务器的配置思路如下: 1. 在SwitchA上创建两个接口地址池并配置地址池相关属性,实现DHCP服务器可以根据 不同需求,从不同的接口地址池中选择合适的IP地址及其配置参数分配给办公室主机。 2. 在SwitchA上配置VLANIF接口基于接口地址池的地址分配方式,实现DHCP服务器从 基于接口的地址池中选择IP地址分配给办公室主机。 操作步骤 1. 使能DHCP服务 2.
DHCP服务搭建 交换机: 要直接在SW3600上起dhcp作为服务器很简单,只需这样就可以了: dhcp enable dhcp server forbidden-ip 10.0.1.1 dhcp server forbidden-ip 10.0.2.1 dhcp server ip-pool 0 network 10.0.1.0 mask 255.255.255.0 gateway 10.0.1.1 quit dhcp server ip-pool 1 network 10.0.2.0 mask 255.255.255.0 gateway 10.0.2.1 quit 交换机上dhcp的搭建: 交换机作DHCP Server实例,注:需先在交换机上开启dhcp enable命令 『配置环境参数』 1.PC1、PC2的网卡均采用动态获取IP地址的方式 2.PC1连接到交换机的以太网端口0/1,属于VLAN10;PC2连接到交换机的以太网端口0/2,属于VLAN20 3.三层交换机SwitchA的VLAN接口10地址为10.1.1.1/24,VLAN接口20地址为10.1.2.1/24 『组网需求』 1.PC1可以动态获取10.1.1.0/24网段地址,并且网关地址为10.1.1.1;PC2可以动态获取10.1. 2.0/24网段地址,并且网关地址为10.1.2.1 『DHCP Server配置流程流程』 可以完成对直接连接到三层交换机的PC机分配IP地址,也可以对通过DHCP中继设备连接到三层交换机的PC机分配IP地址。 分配地址的方式可以采用接口方式,或者全局地址池方式。 【SwitchA采用接口方式分配地址相关配置】 1.[SwitchA]vlan 10 创建(进入)VLAN10
开启Cisco交换机DHCP Snooping功能 时间:2009-04-02 15:36 来源:未知作者:海海点击: 2901次 一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了 网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有: ●DHCP Server的冒充 ●DHCP Server的DOS攻击,如DHCP耗竭攻击 ●某些用户随便指定IP地址,造成IP地址冲突 1、DHCP Server的冒充 由于DHCP服务器和客户端之间没有认证机制,所以如果在网络上随意添加一台DHCP 服务器,它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数,那就会对网络造成非常大的危害。 2、DHCP Server的拒绝服务攻击 通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR(也就是Client MAC address)字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造MAC的方式发送DHCP请求,但这种攻击可以使用Cisco 交换机的端口安全特性来防止。端口安全特性(Port Security)可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击,那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端,所以攻击者可以通过大量发送伪造CHADDR的DHCP请求,导致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户提供网络地址,这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS攻击,也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时,攻击者就可以建立伪造的DHCP 服务器来为局域网中的客户端提供地址,使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的,但由于DHCP请求报文是广播报文,如果大量发送的话也会耗尽网络带宽,形成另一种拒绝服务攻击。 3、客户端随意指定IP地址 客户端并非一定要使用DHCP服务,它可以通过静态指定的方式来设置IP地址。如果随便指定的话,将会大大提高网络IP地址冲突的可能性。 二、DHCP Snooping技术介绍
DHCP 典型配置 【需求】 DHCP 的主要用途是:通过DHCP服务器的协助来控管各个客户机(执行中的用户端)上不可缺少的网络配置参数,包括DNS(Domain Name Service 域名服务),WINS (Windows Internet Name Service Windows互联网名字服务)等。 【组网图】
【验证】 在PC上执行“ipconfig”,该PC已经通过DHCP自动获取IP地址、网关、域名信息。C:\>ipconfig Windows IP Configuration Ethernet adapter 本地连接: Connection-specific DNS Suffix . : https://www.doczj.com/doc/e15288584.html, IP Address. . . . . . . . . . . . : 192.168.0.3 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.0.1 【提示】 1、只给出DHCP server上最基本的配置,其它可选配置可以查看《操作手册》5.1.2DHCP Relay典型配置 【需求】 路由器进行DHCP Relay,将DHCP报文进行中继。 【组网图】
ip address 10.0.0.2 255.255.255.252 # interface NULL0 # ip route-static 0.0.0.0 0.0.0.0 10.0.0.1 preference 60 # user-interface con 0 user-interface vty 0 4 # return 【提示】 1、DHCP Server可以使用PC Server,也可以使用路由器充当。 2、当使用路由器作为DHCP Server的配置,和上一节的配置类似。 5.1.3DHCP Client典型配置 【需求】 路由器作为DHCP Client,获取接口的动态IP地址。 主要用在使用路由器的以太网接口通过LAN方式接入公网的组网。【组网图】 RouterA配置脚本 # sysname RouterA # radius scheme system # domain system # interface Ethernet1/0/0 ip address dhcp-alloc /配置DHCP方式获取地址/ # interface Ethernet1/0/1 ip address 192.168.0.1 255.255.255.0 #
ip dhcp snooping 配置不当 PC不能正常获取IP 文章来源:不详作者:“蓝冰天… 更新时间:2009-5-1 10:56:37 【大小】【加入收藏】 客户的网络结构是,思科6509两台做hsrp为核心层,下面的接入层交换机为思科2950,在6509上启用了DHCP服务,为每个VLAN分配IP地址。现问题就出现在其中的几个VLAN,PC接在这VLAN下就是获取不到IP 地址,这几个有问题的VLAN,都接在同一台交换机,看了下6509的配置,没发现什么问题,就是注意到开启了ip dhcp snooping ,问题出现在同一台交换机,那就确定方向了. 来到问题机器,交换机没做什么配置,网络中一部分VLAN不能自动获取IP地址,但注意到也配置了ip dhcp snooping ,dhcp snooping 的主要功能是:能够拦截第二层VLAN域内的所有DHCP报文,查看与6509所接的端口,没有启用dhcp snooping trust ,这就是问题所在了。 DHCP监听将交换机端口划分为两类: ●非信任端口:通常为连接终端设备的端口,如PC,网络打印机等 ●信任端口:连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口 根据以上可知,我在级连接口上启用ip dhcp snooping trust 后,把本地接口接上,马上获取到了IP地地址。 下面是我在网上查到的关于ip dhcp snooping 的东西,总结一下: 一、DHCP snooping 技术介绍 DHCP监听(DHCP Snooping)是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性,交换机能够拦截第二层VLAN域内的所有DHCP报文。 通过开启DHCP监听特性,交换机限制用户端口(非信任端口)只能够发送DHCP请求,丢弃来自用户端口的所有其它DHCP报文,例如DHCP Offer报文等。而且,并非所有来自用户端口的DHCP请求都被允许通过,交换机还会比较DHCP 请求报文的(报文头里的)源MAC地址和(报文内容里的)DHCP客户机的硬件地址(即CHADDR 字段),只有这两者相同的请求报文才会被转发,否则将被丢弃。这样就防止了DHCP耗竭攻击。信任端口可以
配置路由器为DHCP服务器 使之给dhcp客户端动态分配ip地址 问题的提出: 把路由器配置为dhcp的服务器端,以对路由器下所连接的客户工作站进行ip地址的分配。 (这可真是一个了不起的改进!路由器从此腰身一变,看上去更加多姿多彩了) 解决实例; 下面的配置命令,可以配置路由器为DHCP服务器,用以给DHCP客户端动态分配ip地址。Router1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router1(config)#service dhcp 后才出现的,这一功能的出现,使我们没有必要在专门网络的中心(或者说企业本部)另外配置一台DHCP server,从而降低了网络构建成本。 2 在路由器上直接配置dhcp服务器相比于传统的在专门服务器上实现dhcp有其独到的优点。 比如 A 由于传统的构建方法是,在企业的总部设立DHCP服务器,各分支机构通过路有器去获取ip地址,所以当dhcp服务器出现问题的时候,整个企业的网络都会受到影响,而如
果把dhcp 服务器功能设在各个分支机构的路由器上实现,则某个分支机构的路由器DHCP 出现问题,就只能影响该分支机构的网络本身,而其他分支机构则不受任何影响。从而可见,实现了问题的局部化。 B 在各分支机构的路由器上实现DHCP服务器功能后,大量的DHCP UDP请求报文将不会通过wan link 转发到中心机构上去,由此,相比于传统的方式,它有减少广域网负荷的优点。 C 同样的道理,在各分支机构的路由器上实现DHCP服务器功能后,如果某条广域网连路坏了,本地的局域网依然能够正常运行 D基于路由器的DHCP 具有很高的可管理性,它通过ios的命令界面是比较容易配置的。 3 上边的配置例子,我们用ip dhcp exclude-address 命令来指定不能用来被分配的ip 地址,这种配置往往是很需要的(甚至说是必需的,几乎所有的;路有其DHCP 服务器配置中都会有),因为往往有一些地址我们会用来作为其他的用途,比如,我们至少应该保留路有器本身的地址不被分配给dhcp客户端,还有一些比如说网络服务器,打印机等等,我们也往往会给他指定静态的地址,所以这一部分地址。我们不允许路有其分配出去,上例中的到之间,到的地址就做了保留。 4 当路由器给客户端动态分配地址后,就会绑定(binding)分配的ip地址以及客户端设备的mac地址信息,保存在路由器的配置中,以便下一次相同的mac地址请求dhcp服务也能够获得同样的ip地址。下面给出的例子是,用show ip dhcp binding 命令显示的 ip binding的信息。其中Lease expiration 表示该ip 地址,客户端还能占有的时间,(当然客户端可以在期满之前再次发送dhcp请求报,事实上dhcp的规范也是有这样的规定的,即在租期还有一半时间的时候就会发出dhcp请求,如果租期更新失败,那么