帮我做点计算机的题！！！给高分！_百度知道我校1＃学生公寓，PC拥有数量大约1000台。采用DHCP分配IP地址，拥有4个C类地址，实际可用地址数约1000个。由于楼内经常存在私开的DHCP服务器，导致大量主机无法分配到合法IP地址；另外，由于有相当数量的主机指定IP地址，因此造成了与DHCP分配的IP地址冲突。以上两方面，均造成了该公寓楼大量主机无法正常访问网络。
经过一段时间的分析、实验，我们决定对该公寓楼部署DHCP Snooping和Dynamic ARP Inspection两项技术，以保证网络的正常运行。
该公寓网络设备使用情况如下，接入层为&&台 2950交换机上联至堆叠的4台 3750，再通过光纤上联至汇聚层的 3750交换机。同时汇聚层的 3750交换机还兼做DHCP服务器。
首先按如下过程配置DHCP Snooping
1 configure terminal
2 ip dhcp snooping 在全局模式下启用DHCP Snooping
3 ip dhcp snooping vlan 103 在VLAN 103中启用DHCP Snooping
4 ip dhcp snooping information option Enable the switch to insert and remove DHCP relay information(option-82 field) in forwarded DHCP request messages to the DHCP server. The default is enabled.
5 interface GigabitEthernet1/0/28，进入交换机的第28口
6 ip dhcp snooping trust 将第28口设置为受信任端口
7 ip dhcp snooping limit rate 500 设置每秒钟处理DHCP数据包上限
9 end 退出
完成配置后，可用如下命令观察DHCP Snooping运行状况：
show ip dhcp snooping
得到如下信息：
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs：
Insertion of option 82 is enabled
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
GigabitEthernet1/0/22 yes unlimited
GigabitEthernet1/0/24 yes unlimited
GigabitEthernet1/0/27 yes unlimited
GigabitEthernet1/0/28 no 500
show ip dhcp snooping binding，得到如下信息：
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- -----------
00:11:09:11:51:16 210.77.5.201 3209 dhcp-snooping 103 GigabitEth ernet1/0/28
00:50:8D:63:5A:05 210.77.6.134 2466 dhcp-snooping 103 GigabitEthernet1/0/28
00:E0:4C:A17:80 210.77.4.26 3070 dhcp-snooping 103 GigabitEthernet1/0/28
00:0F:EA:A8:BC:22 210.77.5.198 1887 dhcp-snooping 103 GigabitEthernet1/0/28
10:E0:8C:50:805 210.77.5.95 3034 dhcp-snooping 103 GigabitEthernet1/0/28
00:03:0D:0E:9A:A5 210.77.6.230 3144 dhcp-snooping 103 GigabitEthernet1/0/28
00:50:8D:6C:08:9F 210.77.4.17 3012 dhcp-snooping 103 GigabitEthernet1/0/28
00:E0:50:00:0B:54 210.77.6.18 3109 dhcp-snooping 103 GigabitEthernet1/0/28
00:0F:EA:13:40:54 210.77.7.7 2631 dhcp-snooping 103 GigabitEthernet1/0/28
00:E0:4C:45:21:E9 210.77.7.77 2687 dhcp-snooping 103 GigabitEthernet1/0/28
接下来配置Dynamic ARP Inspection
1 show cdp neighbors 检查交换机之间的连接情况
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID Local Intrfce Holdtme Capability Platform. Port ID
ap Gig 1/0/23 149 T AIR-AP1230Fas 0
hall-3750 Gig 1/0/27 135 S I WS-C3750-2Gig 1/0/1
1#west-3750 Gig 1/0/28 173 S I WS-C3750G-Gig 1/0/25
2 configure terminal 进入全局配置模式
3 ip arp inspection vlan 103 在VLAN 103上启用Dynamic ARP Inspection
4 interface GigabitEthernet1/0/28 进入第28端口
5 ip arp inspection trust 将端口设置为受信任端口
The switch does not check ARP packets that it receives from the other switch on the trusted interface. It simply forwards the packets.
配置完成后可以用如下命令观察Dynamic ARP Inspection的运行情况
show arp access-list [acl-name] Displays detailed information about ARP ACLs.
show ip arp inspection interfaces [interface-id] Displays the trust state and the rate limit of ARP packets for the specified interface or all interfaces.
Interface Trust State Rate (pps) Burst Interval
--------------- ----------- ---------- --------------
Gi1/0/21 Untrusted 15 1
Gi1/0/22 Trusted None N/A
Gi1/0/23 Untrusted 15 1
Gi1/0/24 Trusted None N/A
Gi1/0/25 Untrusted 15 1
Gi1/0/26 Untrusted 15 1
Gi1/0/27 Trusted None N/A
Gi1/0/28 Untrusted None N/A
show ip arp inspection vlan vlan-range, Displays the configuration and the operating state of dynamic ARP inspection for all VLANs configured on the switch, for a specified VLAN, or for a range of VLANs.
yql-2#-3750#sh ip arp inspection vlan 103
Source Mac Validation : Disabled
Destination Mac Validation : Disabled
IP Address Validation : Disabled
Vlan Configuration Operation ACL Match Static ACL
---- ------------- --------- --------- ----------
103 Enabled Active
Vlan ACL Logging DHCP Logging
---- ----------- ------------
103 Deny Deny
注意事项：
DHCP Snooping
l 在配置DHCP Snooping以前，必须确认该设备作为DHCP服务器。
l 建议对非信任端口的上限不要超过100。对于被设置为受信任的trunk端口，需要适当增加
Dynamic ARP Inspection
必须限制trunk端口处理ARP包的数量
五、一些问题的讨论
在实际使用过程中我们发现，在配置完上述命令后， 3750交换机会在运行一段时间以后变得缓慢，CPU利用率达到100％，性能严重下降。经过分析我们发现，在开始应用Dynamic ARP Inspection时，交换机会记录大量的数据包，当端口通过的数据包过多时，交换机会认为遭受DoS攻击，从而将端口自动errdisable，造成通信中断。为了解决这个问题，我们需要加入命令errdisable recovery cause arp-inspection。
由于 3750交换机能力有限，因此我们建议在使用 3750交换机配置上述命令时应逐级增大port limit rate。
DHCP服务在网络中的广泛应用，极大地减轻了网络管理员的负担，方便了用户使用网络。但是由于有些用户私自指定IP地址，造成了IP地址自动分配时引起的IP地址冲突，进而影响其他用户的使用。我们经过实际测试，给出了上述解决方案，本方法不仅适合于的3750交换机，也适用于的65系列交换机。
DHCP防指定IP地址的方法在我校已经得到了成功的应用，经过实践检验，我们认为这是一个非常实用的功能。在系统设置好以后，网络中的用户只有设置为自动获取IP地址才能上网，否则将无法上网。从而解决了在使用DHCP的网络中，用户私自指定IP地址而带来的IP地址冲突问题。
如果公司内网由于用户自行安装了Windows Server版本的操作系统而小心启用了DHCP服务，或其他因素在内网中出现了非授权的DHCP服务器，会给网络造成什么样的影响呢？
DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS 等网络参数，简化了用户网络设置，提高了管理效率。但是，此时如果服务器和客户端没有认证机制，网络上存在的非法的DHCP服务器将会给部分主机的地址分配、网关及DNS参数照成混乱，导致主机无法连接到外部网络。出现这种情况，如何解决这些问题呢？
作为客户端计算机来说，可以尝试使用ipconfig /release释放获得的网络参数后，然后用ipconfig /renew重新尝试获取正确的DHCP服务器配置服务，但这种方法很被动，往往要十几次甚至几十次才偶尔有可能成功一次，不能从根本解决问题。
另外一个解决办法，在windows系统组建的网络中，如果非法DHCP服务器也是用Windows系统建立的话我们可以通过&域&的方式对非法DHCP服务器进行过滤。将合法的DHCP服务器添加到活动目录（Active Directory）中，通过这种认证方式就可以有效的制止非法DHCP服务器了。原理就是没有加入域中的DHCP Server在相应请求前，会向网络中的其他DHCP Server发送DHCPINFORM查询包，如果其他DHCP Server有响应，那么这个DHCP Server就不能对客户的要求作相应，也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器要高。这样当合法DHCP存在时非法的就不起任何作用了。
授权合法DHCP的过程如下：
第一步：开始->程序->管理工具->DHCP
第二步：选择DHCP root, 用鼠标右键单击，然后浏览选择需要认证的服务器。
第三步：点&添加&按钮, 输入要认证的DHCP服务器IP地址, 完成授权操作。
但是该方法只适用于非法DHCP服务器是windows系统，需要用到域和活动目录，配置较复杂，另外对于非Windows的操作系统,就显得力不从心了。
还有更好的方法，就是利用交换机的DHCP监听，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，也就是过滤掉非法DHCP服务器向网络上发送的数据包。首先定义交换机上的信任端口和不信任端口，将DHCP服务器所连接的端口定义为信任端口，其它连接到普通客户端的端口全部定义为不信任端口，对于不信任端口的DHCP报文进行截获和嗅探，drop掉来自这些端口的非正常 DHCP 报文，从而达到过滤非法DHCP服务器的目的。
基本配置示例：
switch(config)#ip dhcp snooping vlan 100,200
/* 定义哪些 VLAN 启用 DHCP 嗅探
switch(config)#ip dhcp snooping
switch(config)#int fa4/10 /* dhcp服务器所在端口
switch(config-if)#ip dhcp snooping trust
switch(config)#int range fa3/1 - 48 /* 其它端口
switch(config-if)#no ip dhcp snooping trust (Default)
switch(config-if)#ip dhcp snooping limit rate 10 (pps)
/* 一定程度上防止 DHCP 拒绝服 /* 务攻击
声明：该文章系网友上传分享，此内容仅代表网友个人经验或观点，不代表本网站立场和观点；若未进行原创声明，则表明该文章系转载自互联网；若该文章内容涉嫌侵权，请及时向
上一篇：下一篇：
相关经验教程
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.005 收益
的原创经验被浏览，获得 ￥0.001 收益
的原创经验被浏览，获得 ￥0.001 收益
论文写作技巧路由器dhcp客户端列表_百度知道寻找支持1000个客户端的路由器_百度知道查看:11823|回复：11
提示: 作者被禁止或删除 内容自动屏蔽
提示: 作者被禁止或删除 内容自动屏蔽
白袍大法师
CISCO DHCP技术应用大全&&
07年8月整理，搜集了网路上相关技术要点
誉天小吴&&windecember 整理
DHCP基本知识点
1 DHCP协议在RFC2131种定义，使用udp协议进行数据报传递，使用的端口是67以及68。
2 DHCP最常见的应用是，自动给终端设备分配ip地址，掩码，默认网关，但是DHCP也同样可以给终端设备自动配置其他options，比如DNS server, 域名（比如 ）,time zones, NTP servers 以及其他的配置内容，更有些厂家，利用自己开发的第3放软件，把自己的一些配置信息，利用dhcp协议来实现对终端设备的自动配置。
3 DHCP服务的系统最基本的构架是 client/server模式，并且如果client 和server不再同一个2层网络内（即广播可以到达的网络范围），则必须要有能够透过广播报文的中继设备，或者能把广播报文转化成单播报文的设备（cisco的ios就引经了这种功能）
There are three distinct element types in a DHCP network. There must be a client and a server. If these two elements are not on the same Layer 2 network, there also must be a proxy, which usually runs on the router. The proxy is needed because the client device initially doesn't know its own IP address, so it must send out a Layer 2 broadcast to find a server that has this information. The router must relay these broadcasts to the DHCP server, then forward the responses back to the correct Layer 2 address so that the right end device gets the right configuration information.
4 CISCO的路由器（IOS12.0 T1以后），可以配置为dhcp的中继设备，DHCP的客户端设备，也可以配置为DHCP的服务器。
5 同一个网段DHCP服务器可以有多个，这不会影响终端设备从服务器获取配置信息，终端设备以接受到的第一组配置信息为准。以后又服务器段返回的DHCP配置信息被抛弃。
. Most DHCP networks of any size include two or more DHCP servers for redundancy. The end devices typically just need to talk to a DHCP server at startup time, but they will not work at all without it. So redundancy is important. This also means that it is not unusual for an end device to see several responses to a DHCP request. It will generally just use the first response. However, this also underscores the importance of ensuring that all of the DHCP servers distribute the same information. Their databases of end device configuration parameters must be synchronized.
6 DHCP 服务器往往遵守先来先服务的规则（first-come, first-served），或者说他能够建立一个IP地址和终端设备MAC地址之间的映射表（或者叫做database）,由此可以保证特定的终端（也就是特定的MAC）每次开机后都能够获得此相同的ip地址。
.The server can allocate IP addresses from a pool on a first-come, first-served basis, or it can associate IP addresses with end device MAC addresses to ensure that a particular client always receives the same address.
用 IP Helper Addresses 命令配置DHCP中继服务
1典型配置命令
The ip helper-address configuration command allows the router to forward local DHCP requests to one or more centralized DHCP servers:
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#interface Ethernet0
Router1(config-if)#ip helper-address 172.25.1.1 /*指定dhcp服务器的地址，表示通过Ethernet0向该服务器发送DHCP请求包*/
Router1(config-if)#ip helper-address 172.25.10.7 /*作用同上*/
Router1(config-if)#end
关于以上配置的讨论
1 在客户端设备和DHCP服务器不再同一广播域内的时候，中间设备即路有器（路有功能的设备）必须要能够转发这种广播包，具体到cisco的设备上，则启用ip helper-address命令，来实现这种中继。
2 DHCP服务器要给终端设备分配地址则需要掌握两个重要的信息，第一，该客户端设备所在网络的子网掩码，DHCP服务器依据子网掩码的信息来判断，服务器该分配哪个IP地址，以使得该ip地址在那个子网内，第二，DHCP服务器必须知道客户端的MAC地址，以维护DHCP服务器的ip 地址和MAC之间的映射关系，由此保证同样一台客户机，每次启动后能获得和前一次相同的ip地址。
3 配置了ip helper-address命令之后的路由器在中继DHCP请求时的工作过程如下
a,DHCP客户端发送请求，由于没有ip地址，所以自己的源IP地址为0.0.0.0，而且也不知道目的DHCP服务器的地址，所以为广播255.255.255.255。该数据报中当然还包含其他信息，比如二层的信息，源mac地址，和目的mac地址FFFFFFFFFFFF。
b，当路由器接收到该数据报的时候，他就用自己的接口地址（接收到数据报的接口）来取代源地址0.0.0.0，并且用ip help-address 命令中指定的地址（上例中为172.25.1.1以及172.25.10.7）来取代目的地址255.255.255.255
The router must replace the source address with its own IP address, for the interface that received the request. And it replaces the destination address with the address specified in the ip helper-address command. The client device's MAC address is included in the payload of the original DHCP request packet, so the router doesn't need to do anything to ensure that the server receives this information.
c 当DHCP服务器接收到路有器转发过来的DHCP请求包时，他有了足够的信息，（由源IP地址中的地址，确定客户机所在的子网掩马，由此分配相应地址池中的空闲地址，并且知道了客户记得MAC地址，把它写入自己的数据库，建立IP地址和MAC的映射关系）然后DHCP服务器做出响应，并且由路有器把数据报转发会客户端。（整个过程应该在客户机和服务器之间还有一次会话，由于这不是路由器DHCP配置的讨论重点，这里不谈）
4 例子中配置了两个DHCP服务器，我们必须分别用ip helper-address 命令指明，路有器会转发DHCP请求包到所有的DHCP服务器上。很多企业的做法都是至少有两台DHCP服务器，有提高冗余和可靠性的作用。此时，如果客户端受到几个来自不同DHCP服务器的应答，则只选择最先接收到的应答数据报。
5 必须要注意的是；ip helper-address 命令不仅仅是只转发DHCP请求包，事实上，在默认情况下，他还转发其他的UDP报（比如DNS请求）到ip helper-address命令所指定的服务器上，所以这种额外的数据流量可能会增加DHCP服务器链路的负担以及服务器CPU负担，可能会引起问题，关于解决办法，将在后面讨论。
最后 用show ip interface 显示相关的ip help-address配置信息:
Router1#show ip interface Ethernet0
Ethernet0 is up, line protocol is up
Internet address is 192.168.30.1/24
Broadcast address is 255.255.255.255
Address determined by setup command
MTU is 1500 bytes
Helper addresses are 172.25.1.3
172.25.1.1
Directed broadcast forwarding is disabled
在配置了dhcp中继的路由器上，禁止无意义udp广播报的转发
问题的提出:
正如前面章节说描述的那样，路由器上配置IP helper addresses命令后，默认情况下路由器不仅转发dhcp请求，同时也转发其他的udp报，这样很可能会增加DHCP 服务器所在链路的负担，同时也增加了DHCP 服务器的CPU利用率，这可能会引起很严重的网络通信问题。
所以cisco 的ios 提供了限制ip helpe-address 命令所带来的负面影响的方法。
解决实例；
CISCO路由器允许用no ip forward-protocol udp 命令来禁止对所无意义的UDP`数据报的转发
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#no ip forward-protocol udp tftp
//禁止转发tftp请求数据报文
Router1(config)#no ip forward-protocol udp nameserver
//禁止转发nameserver请求数据报文
Router1(config)#no ip forward-protocol udp domain
//禁止转发domain请求数据报文
Router1(config)#no ip forward-protocol udp time
//禁止转发time请求数据报文
Router1(config)#no ip forward-protocol udp netbios-ns
//禁止转发netbios-ns请求数据报文
Router1(config)#no ip forward-protocol udp netbios-dgm
//禁止转发netbios-dgm请求数据报文
Router1(config)#no ip forward-protocol udp tacacs
//禁止转发tacacs请求数据报文
Router1(config)#end
关于配置的相关讨论；
1 配置了DHCP中继的路由器，默认情况下也转发下列udp 广播报文.
2 尤其是在windows的网络环境中，在没有配置no ip forward-protocol udp 的情况下，DHCP 服务器会接受到来自各个不同网段的大量的NetBIOS 请求报文，这通常是引起网络拥挤，阻塞的一个很大的原因，所以作为一个基本的配置准则，我们推荐你使用no ip forward-protocol udp netbios-ns 和 no ip forward-protocol udp netbios-dgm 这两条配置命令来限制路由器向DHCP服务器转发NetBIOS请求报文。
3 上面的实例中禁止了所有不必要的协议的转发，在实际的应用中，很多大公司通常只禁止NetBIOS 请求报文的转发，这主要是因为NetBIOS 报文是引起网络问题的关键原因所在。
4 必须认识到，配置了udp中继（ip hlpe-address x.x.x.x.）的路由器并没有实现针对不同协议，转发到不同的（或者说指定的服务器上）的功能。她会傻傻的，一古脑儿的把所有的协议(上表中所列的协议)，义无反顾的发往所有的服务器。
例如，有server1 为dhcp 服务器（1.1.1.1 ） server2 为dns服务器（2.2.2.2）
在路由器上 配置如下后
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#interface Ethernet0
Router1(config-if)#ip helper-address 1.1.1.1
Router1(config-if)#ip helper-address 2.2.2.2
Router1(config-if)#end
实际效果是，不管是server1还是server2都将接收到包括dhcp请求，dns请求，以及其他udp的请求报文。
配置路由器为DHCP客户端，使之动态获取ip地址
问题的提出:
有时候，你会希望自己的网络中的路由器动态获取ip地址（即配置路由器作为dhcp服务的客户端），这种情况通常是不多见的，我们也强烈不建议这么做，因为路由器作为网络中间设备需要有高度的可管理性以及可靠性，而动态地址是我们的路由器管理变得更加复杂和不稳定。
但是，有一种情况比较适合配置路由器为dhcp客户端，那就是路由器作为局域网（或者说内部网）的边界连接到isp的时候。
解决实例；
用ip address dhcp client-id 命令来配置路由器为DHCP的客户端，由此动态获取ip地址
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#interface Ethernet0
Router1(config-if)#ip address dhcp client-id Ethernet0 //开启DHCP的客户端，以使得该接口动态的从DHCP服务器端获得IP地址
Router1(config-if)#end
Interface Ethernet0 assigned DHCP address 172.25.1.57, mask 255.255.255.0
关于配置的相关讨论；
1 CISCO的IOS在版本12.1(2)T之后，加入了DHCP客户端以及DHCP服务器端功能，也就是说，在这之前的IOS只能配置DHCP的中继功能（ip helper-address）。
2 和普通的DHCP客户端一样，路由器配置为DHCP客户端后，也可以自动获得除ip地址以外的相关配置信息，例如网络掩码，默认网关，域名，DNS SERVER的ip地址。但是，要记住如果路由器本身用命令静态配置了域名，则路由器自身静态配置的域名为最终配置结果，而对于DNS SERVER 的信息，则是把动态获取的DNS SERVER ip 地址以追加的方式加入到静态配置表中去。
3 下面的输出是路由器动态获得默认路由的情况下的输出，输出显示由DHCP动态获得的路由条目为S（静态）,AD（管理距离为254）,这里值得注意的是AD自动被设置为254，由此保证由DHCP获得的路由是作为最后路由被路由器选择的，也就是说只有在静态路由，以及其他动态路由协议的路由表中不存在相应的路由条目的时候才被选择。
Router1#show ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, ia - IS-IS inter area
* - candidate default, U - per-user static route, o - ODR
P - periodic downloaded static route
Gateway of last resort is 172.25.1.1 to network 0.0.0.0
172.25.0.0/24 is subnetted, 1 subnets
C 172.25.1.0 is directly connected, Ethernet0
S* 0.0.0.0/0 [254/0] via 172.25.1.1
4 在ISP的解决方案中，一般都会给路由器分配域名以及DNS server地址等信息。
可用show host命令来查看相关的信息；下面的例子显示了通过dhcp获得域名，以及DNS server地址等信息；
Router1#show host
Default domain
Name/address lookup uses domain service
Name servers are 255.255.255.255, 172.25.1.1
Host Port Flags Age Type Address(es)
None (temp, OK) 0 IP 192.168.22.57
5 一般可以用show ip interface命令来查看路由器通过dhcp获得的ip地址等相关信息，看下面的例子
Router1#show ip interface
Ethernet0 is up, line protocol is up
Internet address is 172.25.1.57/24
Broadcast address is 255.255.255.255
Address determined by DHCP
MTU is 1500 bytes
6 最后，再次强调不推荐把路由器配置为dhcp的客户端。当然下面两种情况除外，
■　就是当路由器作为网络边界设备连接进isp的时候，可以考虑（比如现在很流行的adsl服务，往往就采用动态获取地址，这是不是一个很迷你的应用呢？）
■ 作为funs的娱乐手段，如果你却是觉得这个技术很有意思，想在其中遨游一番，你不妨躲进实验室好好的享受享受。
7 很遗憾，到现在为止cisco的路由器在配置为dhcp客户端的时候，并没有提供一种指定所要获取的信息的方法，也没有提供如何察看现有的动态获得的ip地址的所剩租期。相信，CISCO马上会在这方面有所改进。
配置路由器为DHCP服务器，使之给dhcp客户端动态分配ip地址
问题的提出:
把路由器配置为dhcp的服务器端，以对路由器下所连接的客户工作站进行ip地址的分配。
（这可真是一个了不起的改进！路由器从此腰身一变，看上去更加多姿多彩了）
解决实例；
下面的配置命令，可以配置路由器为DHCP服务器，用以给DHCP客户端动态分配ip地址。
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#service dhcp //开启 DHCP 服务
Router1(config)#ip dhcp pool 172.25.1.0/24 //定义DHCP地址池
Router1(dhcp-config)#network 172.25.1.0 255.255.255.0 // 用network 命令来定义网络地址的范围
Router1(dhcp-config)#default-router 172.25.1.1 //定义要分配的网关地址
Router1(dhcp-config)#exit
Router1(config)#ip dhcp excluded-address 172.25.1.1 172.25.1.50 //该范围内的ip地址不能分配给客户端
Router1(config)#ip dhcp excluded-address 172.25.1.200 172.25.1.255 //该范围内的ip地址不能分配给客户端
Router1(config)#end
关于配置的相关讨论；
1 CISCO路由器的dhcp服务器功能也是在ios 12.0(1)T.以后才出现的，这一功能的出现，使我们没有必要在专门网络的中心（或者说企业本部）另外配置一台DHCP server，从而降低了网络构建成本。
2 在路由器上直接配置dhcp服务器相比于传统的在专门服务器上实现dhcp有其独到的优点。
A 由于传统的构建方法是，在企业的总部设立DHCP服务器，各分支机构通过路有器去获取ip地址，所以当dhcp服务器出现问题的时候，整个企业的网络都会受到影响，而如果把dhcp 服务器功能设在各个分支机构的路由器上实现，则某个分支机构的路由器DHCP出现问题，就只能影响该分支机构的网络本身，而其他分支机构则不受任何影响。从而可见，实现了问题的局部化。
B 在各分支机构的路由器上实现DHCP服务器功能后，大量的DHCP UDP请求报文将不会通过wan link 转发到 中心机构上去，由此，相比于传统的方式，它有减少广域网负荷的优点。
C 同样的道理，在各分支机构的路由器上实现DHCP服务器功能后，如果某条广域网连路坏了，本地的局域网依然能够正常运行
D基于路由器的DHCP 具有很高的可管理性，它通过ios的命令界面是比较容易配置的。
3 上边的配置例子，我们用ip dhcp exclude-address 命令来指定不能用来被分配的ip地址,这种配置往往是很需要的（甚至说是必需的，几乎所有的；路有其DHCP 服务器配置中都会有），因为往往有一些地址我们会用来作为其他的用途，比如，我们至少应该保留路有器本身的地址不被分配给dhcp客户端，还有一些比如说网络服务器，打印机等等，我们也往往会给他指定静态的地址，所以这一部分地址。我们不允许路有其分配出去，上例中的172.25.1.1 到172.25.1.50 之间，172.25.1.200 到172.25.1.255的地址就做了保留。
4 当路由器给客户端动态分配地址后，就会绑定（binding）分配的ip地址以及客户端设备的mac地址信息，保存在路由器的配置中，以便下一次相同的mac地址请求dhcp服务也能够获得同样的ip地址。下面给出的例子是，用show ip dhcp binding 命令显示的 ip binding的信息。其中Lease expiration 表示该ip 地址，客户端还能占有的时间，（当然客户端可以在期满之前再次发送dhcp请求报，事实上dhcp的规范也是有这样的规定的，即在租期还有一半时间的时候就会发出dhcp请求，如果租期更新失败，那么再过省下时间的一半的时候，他还会发出dhcp的请求，依此类推。）
Router1#show ip dhcp binding
IP address Hardware address Lease expiration Type
172.25.1.51 e9.87 Apr 10
PM Automatic
172.25.1.52 0100.50da.2a5e.a2 Apr 10
PM Automatic
172.25.1.53 .ea1b.ed Apr 10
PM Automatic
配置DHCP服务器的各种选项
问题的提出；
你希望在dhcp服务器中配置各种参数，已用来动态分配给dhcp客户端。
解决方案；
你可以通过下面的命令来配置各种dhcp参数。
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#ip dhcp pool ORAserver
Router1(dhcp-config)#host 172.25.1.34 255.255.255.0
Router1(dhcp-config)#client-name bigserver
Router1(dhcp-config)#default-router 172.25.1.1 172.25.1.3
Router1(dhcp-config)#domain-
Router1(dhcp-config)#dns-server 172.25.1.1 10.1.2.3
Router1(dhcp-config)#netbios-name-server 172.25.1.1
Router1(dhcp-config)#netbios-node-type h-node
Router1(dhcp-config)#option 66 ip 10.1.1.1
Router1(dhcp-config)#option 33 ip 24.10.1.1 172.25.1.3
Router1(dhcp-config)#option 31 hex 01
Router1(dhcp-config)#lease 2
Router1(dhcp-config)#end
关于配置的相关讨论；
1 dhcp可以动态分配除ip 地址以外的默认路由，域名，域名服务器的地址，wins 服务器的地址等信息给客户端。在RFC2132种定义了大量的标准配置选项，可以在那里阅读到更加详细的信息。但是大部分的DHCP配置往往只是用到其中规定的很小的一部分常用选项。
2 为了配置的简单化和易于理解，cisco提供了一些人类易于理解的别名来代替RFC2132种规定的配置选项.
然你既可以使用cisco提供的用户友好的别名来配置，也可以用option number命令来配置，这两种方式cisco的ios都是可接受的。
RFC 2132 中的option 6是表示域名服务器的地址，则以下的两种命令行结果一样；
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#ip dhcp pool 172.25.2.0/24
Router1(dhcp-config)#dns-server 172.25.1.1
Router1(dhcp-config)#end
配置方式一
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#ip dhcp pool 172.25.2.0/24
Router1(dhcp-config)#option 6 ip 172.25.1.1
Router1(dhcp-config)#end
配置方式二
值得注意的是，你配置路由器的时候敲入的是配置2的命令，但是show runining configuration 命令得到则是他的用户友好的别名，这可能会使你有些疑惑，但是实际上其结果是一样的，请你放心。
3 有些配置选项可以接受多个配置参数，例如默认路由以及域名服务器都可以接受最多八个地址的配置，上面例子中就分别配置了两个默认路由器（默认网关）和两个域名服务器的地址。
4 为了配置的方便，你也可以采用继承的方法来配置各种参数。如下实例，首先配置父亲的dhcp地址池 ROOT (172.25.0.0/16)，其次我们又配置了两个子地址池172.25.1.0/24 和172.25.2.0/24。这两个子地址池，能够自动继承父亲地址池的配置信息。当然，如果子地址池的配置信息和父亲地址池的配置信息重复，则孩子地址池的信息覆盖父亲地址池的配置信息。
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#ip dhcp pool ROOT
Router1(dhcp-config)#network 172.25.0.0 255.255.0.0
Router1(dhcp-config)#domain-
Router1(dhcp-config)#dns-server 172.25.1.1 10.1.2.3
Router1(dhcp-config)#lease 2
Router1(dhcp-config)#exit
Router1(dhcp)#ip dhcp pool 172.25.1.0/24
Router1(dhcp-config)#network 172.25.1.0 255.255.255.0
Router1(dhcp-config)#default-router 172.25.1.1
Router1(dhcp-config)#exit
Router1(dhcp)#ip dhcp pool 172.25.2.0/24
Router1(dhcp-config)#network 172.25.2.0 255.255.255.0
Router1(dhcp-config)#default-router 172.25.2.1
Router1(dhcp-config)#lease 0 0 10
Router1(dhcp-config)#end
必须说明的是，dhcp租期配置信息是唯一不能继承的dhcp配置选项，也就是说，你必须为每个孩子地址池显式配置dhcp租期。如果该地址池没有配置dhcp租期。则路由器使用默认的租期（24小时）。
5 上面的实例中有几个用option配置的命令，其配置的意义为；
Router1(dhcp-config)#option 66 ip 10.1.1.1
Router1(dhcp-config)#option 33 ip 192.0.2.1 172.25.1.3
Router1(dhcp-config)#option 31 hex 01
option 66 ip 定义了tftp 服务器。
Option 33 ip 定义了静态路由，他告诉所有的终端设备将发往目的地192.0.2.1的数据报，首先发送到172.25.1.3。
Option 31 规定了客户端使用ICMP Router Discovery Protocol（IRDP）.使用这个协议，客户端可以定期从本地路由器获得更新信息，用以决定自己的最新的默认网关地址。
关于DHCP的租期相关讨论和配置
问题的提出:
DHCP的租期（DHCP Lease Periods）是DHCP相关知识中，一个比较重要的该概念，这里单独列出来进行说明。
基本的配置如下；
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#ip dhcp pool 172.25.2.0/24
Router1(dhcp-config)#lease 2 12 30
Router1(dhcp-config)#end
关于配置的讨论；
1 lease 命令的基本格式是 lease [days] [hours] [minutes]
上面的例子，表示设定DHCP租约为2天12小时30分。 你可以配置最大值为365天23小时59秒，也可以设置最小值1秒。默认的DHCP租约是1天。
2 一般的规则是，对于那种dhcp客户端数量比较大，并且客户端联入网络，断开网络比较频繁的场合，一般把租约的时间配置的比较短，这样子使得ip地址很快被收回，可以供另外的dhcp请求客户使用。比较经典的场合时比如飞机场的无线网络。但是越短的租约，也使得dhcp请求包过多，增加了网络的负担。
3 相反的，在一个相对稳定的网络环境中，比如小型的办公室网络，由于客户端的数量往往变化不大，所以可以考虑适当的增加dhcp的租约。这样做的主要好处是，可以减少dhcp服务器的负担。
4 记住，客户端在自己的租约还有一半的时候，就会向服务器发出更新租约的请求，如果成功，则租约从新恢复为完整的租期，如果失败，则又过剩下的一半租约后，再发出更新请求，如此规律，直到成功更新为止。
5 在很多场合，默认的一天的租约是比较合理的，一般很少作修改。
5 一种比较极端的配置是，你可以规定租约为永久，即一旦客户端获得了ip地址后，只要他不物理断网，以后就再也不会向服务器发送dhcp租约更新请求了。这种配置在现实中就更加少见了。
配置命令如下；
Router1#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router1(config)#ip dhcp pool COOKBOOK
Router1(dhcp-config)#lease infinite //规定租约为无限制
Router1(dhcp-config)#end
6 你可以用show ip dhcp binding 命令察看dhcp租约。
Router1#show ip dhcp binding
IP address Hardware address Lease expiration Type
172.25.1.33 e9.87 Infinite Manual
172.25.1.53 .ea1b.ed Apr 11
PM Automatic
172.25.1.57 c41.a4 Apr 11
PM Automatic
解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法
网络管理员：现在用户真是不省心，自己改个IP地址；私接AP、忘关DHCP，还有的下个小黑客程序，就想在你内网里试试。单靠交换机能管吗？
　　测试工程师：能！很多交换机上的小功能都可帮大忙。
　　测试实况：
　　IP与MAC绑定
　　思科的Catalyst 3560交换机支持DHCP Snooping功能，交换机会监听DHCP的过程，交换机会生成一个IP和MAC地址对应表。思科的交换机更进一步的支持IP source guard和Dynamic ARP Inspection功能，这两个功能任启一个都可以自动的根据DHCP Snooping监听获得的IP和MAC地址对应表，进行绑定，防止私自更改地址。
　　Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击（见图4）。
　　思科在DHCP Snooping上还做了一些非常有益的扩展功能，比如Catalyst 3560交换机可以限制端口通过的DHCP数据包的速率，粒度是pps，这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst 3560交换机还支持DHCP Tracker，在DHCP请求中插入交换机端口的ID，从而限制每个端口申请的IP地址数目，防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。华硕虽然不能调整速率，但是也会限制DHCP请求的数量。
DHCP（动态主机配置协议）是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供了一种有效的方法：即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。
在基于TCP／IP协议的网络中，每台计算机都必须有唯一的IP地址才能访问网络上的资源，网络中计算机之间的通信是通过IP地址来实现的，并且通过IP地址和子网掩码来标识主计算机及其所连接的子网。在局域网中如果计算机的数量比较少，当然可以手动设置其IP地址，但是如果在计算机的数量较多并且划分了多个子网的情况下，为计算机配置IP地址所涉及的管理员工作量和复杂性就会相当繁重，而且容易出错，如在实际使用过程中，我们经常会遇到因IP地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP地址等问题。
DHCP则很好地解决了上述的问题，通过在网络上安装和配置DHCP服务器，启用了DHCP的客户机可在每次启动并加入网络时自动地获得其上网所需的IP地址和相关的配置参数。从而减少了配置管理，提供了安全而可靠的配置。
配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关，以及DNS服务器的地址。DHCP避免了因手工设置IP地址及子网掩码所产生的错误，也避免了把一个IP地址分配给多台主机所造成的地址冲突。降低了IP地址管理员的设置负担，使用DHCP服务器可以大大地缩短配置网络中主机所花费的时间。
但是，随着DHCP服务的广泛应用，也产生了一些问题。首先，DHCP服务允许在一个子网内存在多台DHCP服务器，这就意味着管理员无法保证客户端只能从管理员所设置的DHCP服务器中获取合法的IP地址，而不从一些用户自建的非法DHCP服务器中取得IP地址；其次，在部署DHCP服务的子网中，指定了合法的IP地址、掩码和网关的主机也可以正常地访问网络，而DHCP服务器却仍然会有可能将该地址分配给其他主机，这样就会造成地址冲突，影响IP地址的正常分配。
针对上述问题，本文给出了一个解决方案，即通过使用Cisco提供的DHCP Snooping技术和Dynamic ARP Inspection技术，可以有效地防止以上问题的发生。
这里首先对两种技术做一个简要的介绍，然后将给出一个应用实例加以说明。
四、应用实例
我校1＃学生公寓，PC拥有数量大约1000台。采用DHCP分配IP地址，拥有4个C类地址，实际可用地址数约1000个。由于楼内经常存在私开的DHCP服务器，导致大量主机无法分配到合法IP地址；另外，由于有相当数量的主机指定IP地址，因此造成了与DHCP分配的IP地址冲突。以上两方面，均造成了该公寓楼大量主机无法正常访问网络。
经过一段时间的分析、实验，我们决定对该公寓楼部署DHCP Snooping和Dynamic ARP Inspection两项技术，以保证网络的正常运行。
该公寓网络设备使用情况如下，接入层为××台Cisco 2950交换机上联至堆叠的4台Cisco 3750，再通过光纤上联至汇聚层的Cisco 3750交换机。同时汇聚层的Cisco 3750交换机还兼做DHCP服务器。
首先按如下过程配置DHCP Snooping
1 configure terminal
2 ip dhcp snooping 在全局模式下启用DHCP Snooping
3 ip dhcp snooping vlan 103 在VLAN 103中启用DHCP Snooping
4 ip dhcp snooping information option Enable the switch to insert and remove DHCP relay information(option-82 field) in forwarded DHCP request messages to the DHCP server. The default is enabled.
5 interface GigabitEthernet1/0/28，进入交换机的第28口
6 ip dhcp snooping trust 将第28口设置为受信任端口
7 ip dhcp snooping limit rate 500 设置每秒钟处理DHCP数据包上限
9 end 退出
完成配置后，可用如下命令观察DHCP Snooping运行状况：
show ip dhcp snooping
得到如下信息：
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs：
Insertion of option 82 is enabled
Verification of hwaddr field is enabled
Interface Trusted Rate limit (pps)
------------------------ ------- ----------------
GigabitEthernet1/0/22 yes unlimited
GigabitEthernet1/0/24 yes unlimited
GigabitEthernet1/0/27 yes unlimited
GigabitEthernet1/0/28 no 500
show ip dhcp snooping binding，得到如下信息：
MacAddress IpAddress Lease(sec) Type VLAN Interface
------------------ --------------- ---------- ------------- ----
00:11:09:11:51:16 210.77.5.201 3209 dhcp-snooping 103 GigabitEth ernet1/0/28
00:50:8D:63:5A:05 210.77.6.134 2466 dhcp-snooping 103 GigabitEthernet1/0/28
00:E0:4C:A17:80 210.77.4.26 3070 dhcp-snooping 103 GigabitEthernet1/0/28
00:0F:EA:A8:BC:22 210.77.5.198 1887 dhcp-snooping 103 GigabitEthernet1/0/28
10:E0:8C:50:805 210.77.5.95 3034 dhcp-snooping 103 GigabitEthernet1/0/28
00:03:0D:0E:9A:A5 210.77.6.230 3144 dhcp-snooping 103 GigabitEthernet1/0/28
00:50:8D:6C:08:9F 210.77.4.17 3012 dhcp-snooping 103 GigabitEthernet1/0/28
00:E0:50:00:0B:54 210.77.6.18 3109 dhcp-snooping 103 GigabitEthernet1/0/28
00:0F:EA:13:40:54 210.77.7.7 2631 dhcp-snooping 103 GigabitEthernet1/0/28
00:E0:4C:45:21:E9 210.77.7.77 2687 dhcp-snooping 103 GigabitEthernet1/0/28
接下来配置Dynamic ARP Inspection
1 show cdp neighbors 检查交换机之间的连接情况
Capability Codes: R - Router, T - Trans Bridge, B - Source Route Bridge
S - Switch, H - Host, I - IGMP, r - Repeater, P - Phone
Device ID Local Intrfce Holdtme Capability Platform Port ID
ap Gig 1/0/23 149 T AIR-AP1230Fas 0
hall-3750 Gig 1/0/27 135 S I WS-C3750-2Gig 1/0/1
1#west-3750 Gig 1/0/28 173 S I WS-C3750G-Gig 1/0/25
2 configure terminal 进入全局配置模式
3 ip arp inspection vlan 103 在VLAN 103上启用Dynamic ARP Inspection
4 interface GigabitEthernet1/0/28 进入第28端口
5 ip arp inspection trust 将端口设置为受信任端口
The switch does not check ARP packets that it receives from the other switch on the trusted interface. It simply forwards the packets.
配置完成后可以用如下命令观察Dynamic ARP Inspection的运行情况
show arp access-list [acl-name] Displays detailed information about ARP ACLs.
show ip arp inspection interfaces [interface-id] Displays the trust state and the rate limit of ARP packets for the specified interface or all interfaces.
Interface Trust State Rate (pps) Burst Interval
--------------- ----------- ---------- --------------
Gi1/0/21 Untrusted 15 1
Gi1/0/22 Trusted None N/A
Gi1/0/23 Untrusted 15 1
Gi1/0/24 Trusted None N/A
Gi1/0/25 Untrusted 15 1
Gi1/0/26 Untrusted 15 1
Gi1/0/27 Trusted None N/A
Gi1/0/28 Untrusted None N/A
show ip arp inspection vlan vlan-range, Displays the configuration and the operating state of dynamic ARP inspection for all VLANs configured on the switch, for a specified VLAN, or for a range of VLANs.
yql-2#-3750#sh ip arp inspection vlan 103
Source Mac Validation : Disabled
Destination Mac Validation : Disabled
IP Address Validation : Disabled
Vlan Configuration Operation ACL Match Static ACL
---- ------------- --------- --------- ----------
103 Enabled Active
Vlan ACL Logging DHCP Logging
---- ----------- ------------
103 Deny Deny
注意事项：
DHCP Snooping
l 在配置DHCP Snooping以前，必须确认该设备作为DHCP服务器。
l 建议对非信任端口的上限不要超过100。对于被设置为受信任的trunk端口，需要适当增加
Dynamic ARP Inspection
必须限制trunk端口处理ARP包的数量
五、一些问题的讨论
在实际使用过程中我们发现，在配置完上述命令后，Cisco 3750交换机会在运行一段时间以后变得缓慢，CPU利用率达到100％，性能严重下降。经过分析我们发现，在开始应用Dynamic ARP Inspection时，交换机会记录大量的数据包，当端口通过的数据包过多时，交换机会认为遭受DoS攻击，从而将端口自动errdisable，造成通信中断。为了解决这个问题，我们需要加入命令errdisable recovery cause arp-inspection。
由于Cisco 3750交换机能力有限，因此我们建议在使用Cisco 3750交换机配置上述命令时应逐级增大port limit rate。
DHCP服务在网络中的广泛应用，极大地减轻了网络管理员的负担，方便了用户使用网络。但是由于有些用户私自指定IP地址，造成了IP地址自动分配时引起的IP地址冲突，进而影响其他用户的使用。我们经过实际测试，给出了上述解决方案，本方法不仅适合于Cisco的3750交换机，也适用于Cisco的65系列交换机。
DHCP防指定IP地址的方法在我校已经得到了成功的应用，经过实践检验，我们认为这是一个非常实用的功能。在系统设置好以后，网络中的用户只有设置为自动获取IP地址才能上网，否则将无法上网。从而解决了在使用DHCP的网络中，用户私自指定IP地址而带来的IP地址冲突问题。
如果公司内网由于用户自行安装了Windows Server版本的操作系统而小心启用了DHCP服务，或其他因素在内网中出现了非授权的DHCP服务器，会给网络造成什么样的影响呢？
DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS、WINS 等网络参数，简化了用户网络设置，提高了管理效率。但是，此时如果服务器和客户端没有认证机制，网络上存在的非法的DHCP服务器将会给部分主机的地址分配、网关及DNS参数照成混乱，导致主机无法连接到外部网络。出现这种情况，如何解决这些问题呢？
作为客户端计算机来说，可以尝试使用ipconfig /release释放获得的网络参数后，然后用ipconfig /renew重新尝试获取正确的DHCP服务器配置服务，但这种方法很被动，往往要十几次甚至几十次才偶尔有可能成功一次，不能从根本解决问题。
另外一个解决办法，在windows系统组建的网络中，如果非法DHCP服务器也是用Windows系统建立的话我们可以通过“域”的方式对非法DHCP服务器进行过滤。将合法的DHCP服务器添加到活动目录（Active Directory）中，通过这种认证方式就可以有效的制止非法DHCP服务器了。原理就是没有加入域中的DHCP Server在相应请求前，会向网络中的其他DHCP Server发送DHCPINFORM查询包，如果其他DHCP Server有响应，那么这个DHCP Server就不能对客户的要求作相应，也就是说网络中加入域的DHCP服务器的优先级比没有加入域的DHCP服务器要高。这样当合法DHCP存在时非法的就不起任何作用了。
授权合法DHCP的过程如下：
第一步：开始-&程序-&管理工具-&DHCP
第二步：选择DHCP root, 用鼠标右键单击，然后浏览选择需要认证的服务器。
第三步：点“添加”按钮, 输入要认证的DHCP服务器IP地址, 完成授权操作。
但是该方法只适用于非法DHCP服务器是windows系统，需要用到域和活动目录，配置较复杂，另外对于非Windows的操作系统,就显得力不从心了。
还有更好的方法，就是利用交换机的DHCP监听，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，也就是过滤掉非法DHCP服务器向网络上发送的数据包。首先定义交换机上的信任端口和不信任端口，将DHCP服务器所连接的端口定义为信任端口，其它连接到普通客户端的端口全部定义为不信任端口，对于不信任端口的DHCP报文进行截获和嗅探，drop掉来自这些端口的非正常 DHCP 报文，从而达到过滤非法DHCP服务器的目的。
基本配置示例：
switch(config)#ip dhcp snooping vlan 100,200
/* 定义哪些 VLAN 启用 DHCP 嗅探
switch(config)#ip dhcp snooping
switch(config)#int fa4/10 /* dhcp服务器所在端口
switch(config-if)#ip dhcp snooping trust
switch(config)#int range fa3/1 - 48 /* 其它端口
switch(config-if)#no ip dhcp snooping trust (Default)
switch(config-if)#ip dhcp snooping limit rate 10 (pps)
/* 一定程度上防止 DHCP 拒绝服 /* 务攻击
二、DHCP Snooping技术
DHCP Snooping是一种通过建立DHCP Snooping Binding数据库，过滤非信任的DHCP消息，从而保证网络安全的特性。DHCP Snooping就像是非信任的主机和DHCP服务器之间的防火墙。通过DHCP Snooping来区分连接到末端客户的非信任接口和连接到DHCP服务器或者其他交换机的受信任接口。
DHCP Snooping Binding数据库包括如下信息：MAC地址、IP地址、租约时间、binding类型、VLAN ID以及来自本地非信任端口的接口信息，但不包含通过受信任端口互相连接的接口信息。在启用了DHCP Snooping的VLAN中，如果交换机收到来自非信任端口的DHCP包，交换机将对目的MAC地址和DHCP客户端的地址进行对比，如果符合则该包可以通过，否则将被丢弃掉。
在下述情况中，DHCP包将同样被丢弃：
&&来自外网或者防火墙的DHCP服务器，包括DHCPOFFER、DHCPACK、DHCPNAK、DHCPLEASEQUERY。
&&来自非信任端口，且目的MAC地址和DHCP客户端的硬件地址不匹配。
&&交换机收到DHCPRELEASE或者DHCPDECLINE的广播信息，其MAC地址包含在DHCP snooping binding 数据库中，但与数据库中的接口信息不匹配
&&通过DHCP中继代理转发的包不包括在内
三、Dynamic ARP Inspection技术
Dynamic ARP inspection是一种验证网络中ARP包的安全特性，可以阻止、记录并丢弃非法IP和MAC地址绑定的ARP包。
Dynamic ARP inspection保证只有合法的ARP请求和响应可以传播。交换机会完成如下工作，截取所有来自非信任端口ARP请求和响应，在更新ARP缓存或传播数据包之前验证所截取的数据包IP-MAC地址绑定是否合法，丢弃非法的ARP包。
前面提到，DHCP Snooping会建立一个包含合法IP-MAC地址绑定信息的数据库，Dynamic ARP inspection基于该数据库检验所截取ARP包的合法性。如果ARP包来自非信任接口，那么只有合法的可以通过。如果来自受信任端口，将可以直接通过。
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
白袍大法师
Cisco路由器配置DHCP全面详解了解一些关于路由器配制DHCP的知识还是很重要的，这里主要分析了Cisco路由器配置DHCP的主要步骤和配置语句。某单位使用Cisco 3620作为IOS DHCP Server，它和内网相连的fastethernet0端口的IP地址为192.168.1.4，二层交换机采用两台Cisco 2950，三层交换机采用一台Cisco 3550。
在整个网络中有二个VLAN，为简化描述，假设每个VLAN都采用24位网络地址，其中VLAN1的IP地址为192.168.1.254，VLAN2的IP地址为192.168.2.254。在Cisco设备上实现IOS DHCP Server功能以使各VLAN中的主机自动获得IP地址。
路由器配置DHCP地址池、附加信息以及租约期限
路由器配置DHCP服务器的数据库被组织成一个树形结构，树根是用于动态分配的所有网络段的地址池，树枝是子网地址池，树叶是手工绑定给节点的地址。具体操作步骤如下：首先登陆到Cisco 3640路由器上：
ghq&enable
Password(输入路由器的特权口令)
ghq #config terminal (进入配置模式)
Enter configuration commands one per line.&&End with CNTL/Z.
ghq?config # ip dhcp pool global
ghq dhcp-config #network 192.168.0.0 255.255.0.0（动态分配的地址段）
ghq?dhcp-config #domain-（为客户机配置域后缀）
ghq?dhcp-config #dns-server 192.168.1.1（为客户机配置DNS服务器）
ghq?dhcp-config #netbios-name-server 192.168.1.1（为客户机配置wins服务器）
ghq?dhcp-config #netbios-node-type h-node（为客户机配置h节点模式）
ghq?dhcp-config #lease 30 （地址租用期为30天）
ghq?dhcp-config #ip dhcp pool vlan1
ghq?dhcp-config #network 192.168.1.0 255.255.255.0
ghq?dhcp-config#default-router 192.168.1.254
ghq?dhcp-config　#ip dhcp pool vlan2
ghq?dhcp-config#network 192.168.2.0 255.255.255.0
ghq?dhcp-config　#default-router 192.168.2.254
设置不能用于动态分配的IP地址
在整个网络中，有些IP地址需要静态的指定给一些特定的设备，例如路由器端口、wins服务器以及VLAN的地址等。显然，这些静态IP地址是不能用于动态分配的，这就需要将它们排除掉。其步骤如下：
ghq?config　#ip dhcp excluded-address 192.168.1.1 192.168.1.5
ghq?config　# ip dhcp excluded-address 192.168.1.254
ghq?config　# ip dhcp excluded-address 192.168.2.254
一直被模仿，从未被超越
天下风云出我辈， 一入江湖岁月催。当年的“小侠唐在飞” 如今变成了“大侠唐在飞”。?金杯银杯，不如网友的口碑；金奖银奖，不如网友的褒奖；熊掌鸭掌，不如网友的鼓掌~& &
?欢迎加入“唐志强技术教学交流群”，群号：。?
初级工程师
如果仅仅是四台电脑需要自动获取的话，你可以做DHCP绑定
#ip dhcp pool DHCPPOOLNAME
#network 172.16.0.0 255.255.255.0
#default-router 172.16.0.1
172.16.0.1是vlan10的ip address。设置好以后，属于172.16.0.1/24子网的主机就会从dhcp获取IP
初级工程师
引用:原帖由 lizhongqiqq 于
01:12 发表
#ip dhcp pool DHCPPOOLNAME
#network 172.16.0.0 255.255.255.0
#default-router 172.16.0.1
172.16.0.1是vlan10的ip address。设置好以后，属于172.16.0.1/24子网的主机就会从dhcp获取IP ... 在添加一条：
#ip dhcp ex 172.16.0.1 将vlan10的管理地址从地址池中排除
只要配置了vlan10的管理地址，同时将相应端口加入了vlan后，dchp服务会根据vlan管理地址所处网段向输入该vlan的dhcp client 分配合适的（与vlan管理地址处于同一网段）IP地址
谢谢分享，下来学习学习。
可以简单地配一下，不过整个内容是很多的。
中级工程师
大侠V5，呵呵~~
~~开始疯狂的实验~~
& && && &&&在路上
初级工程师
不错，收藏了，好好学习了 不好好学习就不行了
写的可真够多的了！学习了！