dhcp只適用於乙太網,串列埠不適用
dhcp可以說是bootp的增強版本
dhcp補充了bootp兩方面:允許計算機快速、動態的獲取ip位址
dhcp請求報文和應答報文都採用udp封裝
dhcp報文格式
dhcp獲取位址幾個階段
1、發現階段:客戶端尋找dhcp伺服器階段(source 68 destination 67)
2、提供階段:dhcp伺服器提供ip位址階段(source 67 destination 68)
3、選擇階段:客戶端選擇某台dhcp伺服器提供的ip位址階段(出現多給dhcp伺服器時、先到先得)
4、確認階段:dhcp伺服器確認提供的ip位址的階段
dhcp伺服器為客戶端分配ip位址的優先次序:
1、與客戶端mac位址或客戶端id靜態繫結的ip位址
2、dhcp伺服器記錄的曾經分配給客戶端的ip位址
3、客戶端傳送的dhcp-discover報文中option50欄位指定的ip位址
4、在dhcp位址池中,順序查詢可供分配的ip位址,最先找到的ip位址
5、如果未找到可用的ip位址,則依次查詢租約過期、曾發生過衝突的ip位址,如果找到則進行分配,否則將不予處理
dhcp伺服器分配ip位址,需要確定沒有被其他裝置所使用的。dhcp伺服器通過傳送icmp報文進行探測,如果沒有在規定時間沒有應答再次傳送ping報文,達到規定次數沒有應答可以分配,否則將探測的ip位址記錄為衝突位址,並重新選擇ip位址進行分配
dhcp客戶端收到dhcp伺服器返回的dhcp-ack之後,會以廣播的方式傳送免費arp報文,探測是否有主機使用該ip位址
dhcp snooping:dhcp服務的二層監聽功能、利用該功能可以從接收到的dhcp-ack和dhcp-request報文中的提取並記錄ip位址和mac位址資訊
dhcp中繼出現
dhcp協議要求客戶端和伺服器只能在同乙個子網內,不可以跨越網段,dhcp中繼解決此情況
客戶端配置ip address dhcp-alloc 後不會立即傳送dhcp-discover報文,而是1-10s內隨機傳送,如果沒有收到dhcp伺服器的回應報文繼續傳送,直到回應為止
dhcp攻擊方式:
1、餓死攻擊:mac位址限制,不斷獲取ip位址,這種結合交換機埠安全技術防範
2、dhcp server仿冒者攻擊:信任(trusted)/不信任(untrusted)
3、中間人攻擊/ip/mac spoofing攻擊:dhcp snooping繫結表
4、改變chaddr值的dos攻擊:檢查dhcp報文的chaddr欄位(不斷申請ip位址)
dhcp server仿冒者攻擊:
由於dhcp使用discovery廣播包、offer報文提供ip/mask gw,requset先來先得位址,ack確認包
arp欺騙,mac位址繫結
update arp 開啟定期arp詢問
inte***ca g0/0/2
arp authorized 禁止動態更新arp
arp timeout 60 60s無應答則刪除arp條目
snooping窺探機制工作在交換機上,把埠設為trusted或untrusted
trusted:可以收發dhcp訊息
untrusted:可以收到discovery、offer訊息、執行drop,不傳送任何dhcp訊息
ip dhcp snooping 開啟snooping,預設是untrusted
ip dhcp snooping vlan 20 vlan20開啟snooping
inte***ce f0/0 定義信任埠
ip dhcp snooping trust 交換機連線dhcp伺服器端口設為trusted
中繼inte***ce f0/0
ip helper-address 1.1.1.1
ip dhcp relay information trust
dhcp snooping bind-table static ip-address ip-address mac-address mac-address inte***ce g0/0,配置ip與mac繫結表的靜態表項
dhcp利用option欄位傳遞控制資訊和網路配置引數,實現位址的動態分配,為客戶端提供更加豐富的網路配置信
dhcp配置
dhcp enable 開啟dhcp
dhcp server ip-pool pool 建立dhcp名稱
network 172.16.18.0 mask 255.255.255.0 位址段
gateway-list 172.16.18.1 閘道器
dns-list 202.106.0.20 dns
expired day 8 租用天數
option 43 hex 800b0000 02ac1267 03ac1267 04 十六進製制 (無線用的)
dhcp server forbidden-ip 172.16.18.1 排除位址
dhcp server forbidden-ip 172.16.18.254
dhcp snooping trusted命令用來設定三層介面或vlan為「信任」狀態
undo dhcp snooping trusted命令用來設定三層介面或vlan為 「非信任」狀態
啟用portfast的優勢在於能夠防止dhcp超時的問題
display ip inte***ce br
inte***ce vlan 1
ip add dhcp-alloc 自動獲取位址
dhcp selsect global all 全域性分配位址
display dhcp server ip-in-use all 檢視位址池可用位址資訊
reset dhcp server ip-in-use all 重置正在使用的ip位址
address-check enable dhcp中繼的安全特性
靜態表項和動態表項
1、靜態繫結:通過手工配置產生繫結表項來完成埠的控制功能,適用於區域網路中主機數較少或者針對某台做繫結匹配
2、動態繫結:通過dhcp snooping或dhcp relay的繫結表項來完成埠控制功能,能有效控制ip位址衝突、盜用等問題
ip dhcp relay information trust-all 合法的dhcp服務路由,為了形成乙個繫結表
no ip dhcp conflict logging 關閉dhcp衝突日誌
debugging dhcp server all
udp helper能夠實現對指定udp埠的廣播報文
進行中繼**
將廣播報文轉換為單播報文傳送給指定的目的伺服器,解決了當主機與待查詢的伺服器不在同乙個廣播域時,無法利用廣播報文進行通訊,主機無法從伺服器中獲取所需要的資訊的問題;
區別:ip helper address支援對dhcp報文的中繼,udp helper不支援對dhcp報文的中繼
使能udp helper功能後,裝置接收到廣播報文,將根據報文的udp目的埠號來判斷是否要對其中繼**,並進行相應的處理:
如果報文的udp目的埠號與配置的需要中繼**的udp埠號匹配,且目的mac為廣播mac,則修改ip報文頭的目的ip位址,將報文發給指定的目的伺服器; 否則,直接將報文丟棄
mysql的基本原理 Mysql 基本原理
mysql 基本原理 mysql是一種關聯式資料庫管理系統,關聯式資料庫將資料儲存在不同的表中,而不是將所有資料放在乙個大倉庫內,這樣就增加了速度並提高了靈活性 ysql是資料庫登入命令 uroot預設超級使用者登入 p 預設沒密碼 中寫密碼 mysqladmin uroot password 12...
pwm控制的基本原理 PWM控制的基本原理
pwm pulse width modulation 控制 脈衝寬度調製技術,通過對一系列脈衝的寬度進行調製,來等效地獲得所需要波形 含形狀和幅值 pwm控制技術在逆變電路中應用最廣,應用的逆變電路絕大部分是pwm型,pwm控制技術正是有賴於在逆 變電路中的應用,才確定了它在電力電子技術中的重要地位...
8 2 1 基本原理
乙個舞台動畫物件在包含許多舞台資訊 出現在何處,佔多大面積,處在什麼角度,是否可見 這些資訊分別儲存在動畫物件的屬性中。在 中讀取這些屬性可以了解物件的位置 大小 角度等狀態資訊 修改這些屬性可以改變物件的位置 大小 角度等狀態。如果從資料的角度去理解,動畫就是在固定時間間隔點不斷修改動畫物件某項屬...