【正文】 報(bào)文，如果是從 trust端口，則默認(rèn)允許；如果是非信任端口接收的，那么必須先匹配 DHCP snooping手機(jī)的 IP、 MAC對(duì)應(yīng)關(guān)系，只有匹配的ARP報(bào)文才會(huì)放行 ip arp inspection vlan number －－全局開(kāi)啟 ARP inspection功能 arp inspection trust －－指定 ARP報(bào)文的信任端口 解決方案 ? DHCPSnooping（續(xù)） ? 針對(duì) IP報(bào)文 開(kāi)啟 IP Verify Source后，交換機(jī)會(huì)判斷 接收 的 IP報(bào)文，如果是從 trust端口，則默認(rèn)允許；如果是非信任端口接收的，那么必須先匹配 DHCP snooping手機(jī)的 IP、 MAC對(duì)應(yīng)關(guān)系，只有匹配的 ARP報(bào)文才會(huì)放行 ip verify souce vlan number －－全局開(kāi)啟 IP Verify Source功能 ipsource trust －－指定 IP報(bào)文的信任端口 解決方案 ? DHCPSnooping（續(xù)） ? Binding的有效時(shí)間 在 PortSecurity的 ARP信息綁定中，綁定關(guān)系是永久的，而在 DHCPSnooping的“綁定”中，這個(gè)關(guān)系則不是。 在這一點(diǎn)上，其功能和 PortSecurity bind非常相似。 DHCP過(guò)程中的這組對(duì)應(yīng)關(guān)系恰恰就是“綁定”所需要而人工收集很麻煩的，能不能通過(guò)軟件來(lái)自動(dòng)處理并利用起來(lái)呢？答案是肯定的。 Option82又可包括若干 suboption，至少包含一個(gè)，其中常見(jiàn)的為 suboption suboption suboption5 DHCP擴(kuò)展介紹 ? DHCP的中繼（續(xù)） ? Suboption1 Circuit ID，通常在 Relay設(shè)備上配臵，用于描述Client連接交換機(jī)的對(duì)應(yīng) VLAN、 Port等信息 ? Suboption2 Remote ID，也在 Relay設(shè)備上面配臵，用于描述中繼設(shè)備的 MAC地址信息 ? Suboption5 Link Selection，用于在 Option82中添加 Relay設(shè)備的 IP地址， Server將會(huì)根據(jù)這個(gè) IP地址分配同網(wǎng)段的IP地址資源給 Client DHCP擴(kuò)展介紹 ? DHCPSnooping ? DHCPsnooping 這個(gè)功能與 DHCP本身并沒(méi)有太多的關(guān)聯(lián)，這是一種借助 DHCP應(yīng)用而存在的解決、防止 ARP欺騙的技術(shù)手段 在預(yù)防 ARP欺騙時(shí)，可以使用靜態(tài) ARP綁定，這種方法雖然很高效，但實(shí)際維護(hù)起來(lái)工作量很大。 只有 Renewing更新不正常時(shí)， Client的才會(huì)在 T2時(shí)刻進(jìn)入 Rebinding，并發(fā)送 Request報(bào)文來(lái)續(xù)訂原 IP地址的租約 DHCP擴(kuò)展介紹 ? DHCP定時(shí)器（續(xù)） ? Rebinding狀態(tài)中的 Request報(bào)文 Rebinding狀態(tài)中的 Request報(bào)文，上層格式和參數(shù)方面，幾乎完全相同，需要注意： Ciaddr＝ Client IP addr Server Identifier＝ Must Not 但該 Request報(bào)文不再通過(guò)單播來(lái)發(fā)送，而是通過(guò)廣播 DHCP擴(kuò)展介紹 ? DHCP定時(shí)器（續(xù)） ? 客戶端在 T2時(shí)刻進(jìn)入 Rebinding狀態(tài)后，如果發(fā)送的 Request廣播沒(méi)有任何回應(yīng)，會(huì)跟 Renewing狀態(tài)相似，每當(dāng)剩余租約時(shí)間減半的時(shí)候，將重新發(fā)送續(xù)約請(qǐng)求，當(dāng)然最小時(shí)間間隔 ≥ 60秒 ? 如果有服務(wù)器返回 ACK，即續(xù)約成功，客戶端將復(fù)位自己的租約時(shí)間并重新進(jìn)入到 BOUND狀態(tài) ? 如果在 Lease Time完全到期之前，服務(wù)器都沒(méi)有回應(yīng)， Client將重新返回 INIT初始狀態(tài)，開(kāi)始新一輪的DHCP請(qǐng)求。 ? Xid 會(huì)話 id，隨機(jī)數(shù)，用于確定 Serv和 Client的對(duì)應(yīng)關(guān)系 DHCP原理 ? BOOTP報(bào)文介紹（續(xù)） 主要字段解釋： ? Ciaddr Client IP Addr，客戶端 IP地址，由客戶端在發(fā)送請(qǐng)求時(shí)填寫(xiě)（如果有的話） ? Yiaddr Your IP Addr，客戶端的 IP地址；如果 Ciaddr值為全 0時(shí)，由服務(wù)器在 Reply報(bào)文中填寫(xiě) ? Siaddr Server IP Addr，服務(wù)器 IP地址 DHCP原理 ? BOOTP報(bào)文介紹（續(xù)） 主要字段解釋： ? Giaddr Gateway IP Addr，網(wǎng)關(guān) IP地址，通常只在 BOOTP中繼時(shí)才會(huì)用到 ? Chaddr Client Hardware Addr，客戶端硬件地址，通常在以太網(wǎng)中就是 MAC地址，由客戶端自己填寫(xiě) DHCP原理 ? BOOTP報(bào)文介紹（續(xù)） 主要字段解釋： ? Sname 客戶端希望啟動(dòng)后使用的 hostname ? file file為空時(shí)，表示客戶端只需要獲得服務(wù)器分配的 IP信息，或者由服務(wù)器來(lái)統(tǒng)一指定程序的加載； file可以填入指定的名字“ unix”“gateway” ，用以控制啟動(dòng)時(shí)需要加載的程序 DHCP原理 ? BOOTP簡(jiǎn)要處理流程 ? BOOTP Requet 客戶端發(fā)送請(qǐng)求前首先需要確定如下幾個(gè)參數(shù)： ? Ciaddr，通常啟動(dòng)時(shí)沒(méi)有 IP，臵為 Chaddr，本機(jī)網(wǎng)卡硬件地址，按實(shí)填寫(xiě) Yiaddr、 Siaddr、 Giaddr均設(shè)為 隨機(jī)生成一個(gè) Xid值 OP=1 ? 將上述關(guān)鍵信息填寫(xiě)并封裝到 UDP報(bào)文中，目的UDP端口號(hào)為 67，源端口為 68 ? 將 UDP封裝到 IP報(bào)文中，其目的 IP為全網(wǎng)廣播，源地址為 （未知，待分配） DHCP原理 ? BOOTP簡(jiǎn)要處理流程（續(xù)） ? BOOTP Reply 服務(wù)器收到 Request請(qǐng)求之后，進(jìn)行判斷： ? 如果 Client沒(méi)有 Ciaddr，且自己有可用 IP，給對(duì)方分配一個(gè)，填入 Yiaddr；如果沒(méi)有 IP資源，丟棄 將 Server自己的 IP地址填入 Siaddr Xid值與 Request中完全相等 OP=2 ? 將上述關(guān)鍵信息填寫(xiě)并封裝到 UDP報(bào)文中，目的UDP端口號(hào)為 68，源端口為 67 ? 將 UDP封裝到 IP報(bào)文中， 單播 給客戶端 DHCP原理 ? BOOTP簡(jiǎn)要處理流程（續(xù)） ? 細(xì)節(jié) BOOTP客戶端如果不知道服務(wù)器 IP，可以通過(guò)廣播報(bào)文來(lái)發(fā)送；但服務(wù)器在發(fā)送 Reply報(bào)文的時(shí)候，客戶端卻是沒(méi)有 IP地址的，怎么實(shí)現(xiàn)？有兩種方法： 雖然客戶端沒(méi)有 IP，但服務(wù)器卻知道 Yiaddr和Chaddr兩個(gè)關(guān)鍵地址，有了這些內(nèi)容，服務(wù)器可以自己生成一個(gè) ARP信息，以實(shí)現(xiàn) IP報(bào)文的二層轉(zhuǎn)發(fā) 直接廣播！ DHCP原理 ? BOOTP簡(jiǎn)要處理流程 ? Reply Received 客戶端收到 Reply回應(yīng)之后，會(huì)進(jìn)行判斷： ? Ciadr、 Chaddr、 Xid是否和自己發(fā)送時(shí)的值相等，如果不等，則丟棄 ? 如果上述匹配關(guān)系正確，則讀取 Yiaddr地址給網(wǎng)卡設(shè)臵，并進(jìn)行后續(xù)的引導(dǎo)文件 /程序的傳輸 DHCP原理 ? BOOTP的缺點(diǎn) ? BOOTP協(xié)議過(guò)程非常的簡(jiǎn)單，中間缺乏必要的安全控制機(jī)制 ? BOOTP給每個(gè)用戶分配的 IP地址是“永久”的，不利于 IP地址資源的合理高效利用 ? 隨著網(wǎng)絡(luò)的逐步發(fā)展， BOOTP逐漸被 DHCP所取代 DHCP原理 ? DHCP和 BOOTP的關(guān)系 ? BOOTP給客戶端分配的 IP地址是永久的，而 DHCP分配的 IP地址資源則具有時(shí)效性、是動(dòng)態(tài)的，有利于提高 IP資源的利用率 ? DHCP和 BOOTP使用相同的 UDP協(xié)議報(bào)頭，服務(wù)器端口 67，客戶端端口 68，以至于很多程序?qū)烧卟蛔鰠^(qū)分 ? DHCP和 BOOTP使用幾乎完全相同的 Request和Reply消息格式，只是 DHCP的功能是依賴于報(bào)文的OP