【正文】 報文，如果是從 trust端口，則默認允許；如果是非信任端口接收的，那么必須先匹配 DHCP snooping手機的 IP、 MAC對應關系，只有匹配的ARP報文才會放行 ip arp inspection vlan number －－全局開啟 ARP inspection功能 arp inspection trust －－指定 ARP報文的信任端口 解決方案 ? DHCPSnooping（續(xù)） ? 針對 IP報文 開啟 IP Verify Source后，交換機會判斷 接收 的 IP報文，如果是從 trust端口，則默認允許；如果是非信任端口接收的，那么必須先匹配 DHCP snooping手機的 IP、 MAC對應關系，只有匹配的 ARP報文才會放行 ip verify souce vlan number －－全局開啟 IP Verify Source功能 ipsource trust －－指定 IP報文的信任端口 解決方案 ? DHCPSnooping（續(xù)） ? Binding的有效時間 在 PortSecurity的 ARP信息綁定中，綁定關系是永久的，而在 DHCPSnooping的“綁定”中，這個關系則不是。 在這一點上，其功能和 PortSecurity bind非常相似。 DHCP過程中的這組對應關系恰恰就是“綁定”所需要而人工收集很麻煩的，能不能通過軟件來自動處理并利用起來呢？答案是肯定的。 Option82又可包括若干 suboption，至少包含一個，其中常見的為 suboption suboption suboption5 DHCP擴展介紹 ? DHCP的中繼（續(xù)） ? Suboption1 Circuit ID，通常在 Relay設備上配臵，用于描述Client連接交換機的對應 VLAN、 Port等信息 ? Suboption2 Remote ID，也在 Relay設備上面配臵，用于描述中繼設備的 MAC地址信息 ? Suboption5 Link Selection，用于在 Option82中添加 Relay設備的 IP地址， Server將會根據(jù)這個 IP地址分配同網(wǎng)段的IP地址資源給 Client DHCP擴展介紹 ? DHCPSnooping ? DHCPsnooping 這個功能與 DHCP本身并沒有太多的關聯(lián)，這是一種借助 DHCP應用而存在的解決、防止 ARP欺騙的技術手段 在預防 ARP欺騙時，可以使用靜態(tài) ARP綁定，這種方法雖然很高效，但實際維護起來工作量很大。 只有 Renewing更新不正常時， Client的才會在 T2時刻進入 Rebinding，并發(fā)送 Request報文來續(xù)訂原 IP地址的租約 DHCP擴展介紹 ? DHCP定時器（續(xù)） ? Rebinding狀態(tài)中的 Request報文 Rebinding狀態(tài)中的 Request報文，上層格式和參數(shù)方面，幾乎完全相同，需要注意： Ciaddr＝ Client IP addr Server Identifier＝ Must Not 但該 Request報文不再通過單播來發(fā)送，而是通過廣播 DHCP擴展介紹 ? DHCP定時器（續(xù)） ? 客戶端在 T2時刻進入 Rebinding狀態(tài)后，如果發(fā)送的 Request廣播沒有任何回應，會跟 Renewing狀態(tài)相似，每當剩余租約時間減半的時候，將重新發(fā)送續(xù)約請求，當然最小時間間隔 ≥ 60秒 ? 如果有服務器返回 ACK，即續(xù)約成功，客戶端將復位自己的租約時間并重新進入到 BOUND狀態(tài) ? 如果在 Lease Time完全到期之前，服務器都沒有回應， Client將重新返回 INIT初始狀態(tài)，開始新一輪的DHCP請求。 ? Xid 會話 id，隨機數(shù)，用于確定 Serv和 Client的對應關系 DHCP原理 ? BOOTP報文介紹（續(xù)） 主要字段解釋： ? Ciaddr Client IP Addr，客戶端 IP地址，由客戶端在發(fā)送請求時填寫（如果有的話） ? Yiaddr Your IP Addr，客戶端的 IP地址；如果 Ciaddr值為全 0時，由服務器在 Reply報文中填寫 ? Siaddr Server IP Addr，服務器 IP地址 DHCP原理 ? BOOTP報文介紹（續(xù)） 主要字段解釋： ? Giaddr Gateway IP Addr，網(wǎng)關 IP地址，通常只在 BOOTP中繼時才會用到 ? Chaddr Client Hardware Addr，客戶端硬件地址，通常在以太網(wǎng)中就是 MAC地址，由客戶端自己填寫 DHCP原理 ? BOOTP報文介紹（續(xù)） 主要字段解釋： ? Sname 客戶端希望啟動后使用的 hostname ? file file為空時，表示客戶端只需要獲得服務器分配的 IP信息，或者由服務器來統(tǒng)一指定程序的加載； file可以填入指定的名字“ unix”“gateway” ，用以控制啟動時需要加載的程序 DHCP原理 ? BOOTP簡要處理流程 ? BOOTP Requet 客戶端發(fā)送請求前首先需要確定如下幾個參數(shù)： ? Ciaddr，通常啟動時沒有 IP，臵為 Chaddr，本機網(wǎng)卡硬件地址，按實填寫 Yiaddr、 Siaddr、 Giaddr均設為 隨機生成一個 Xid值 OP=1 ? 將上述關鍵信息填寫并封裝到 UDP報文中，目的UDP端口號為 67，源端口為 68 ? 將 UDP封裝到 IP報文中，其目的 IP為全網(wǎng)廣播，源地址為 （未知，待分配） DHCP原理 ? BOOTP簡要處理流程（續(xù)） ? BOOTP Reply 服務器收到 Request請求之后，進行判斷： ? 如果 Client沒有 Ciaddr，且自己有可用 IP，給對方分配一個，填入 Yiaddr；如果沒有 IP資源，丟棄 將 Server自己的 IP地址填入 Siaddr Xid值與 Request中完全相等 OP=2 ? 將上述關鍵信息填寫并封裝到 UDP報文中，目的UDP端口號為 68，源端口為 67 ? 將 UDP封裝到 IP報文中， 單播 給客戶端 DHCP原理 ? BOOTP簡要處理流程（續(xù)） ? 細節(jié) BOOTP客戶端如果不知道服務器 IP，可以通過廣播報文來發(fā)送；但服務器在發(fā)送 Reply報文的時候，客戶端卻是沒有 IP地址的，怎么實現(xiàn)？有兩種方法： 雖然客戶端沒有 IP，但服務器卻知道 Yiaddr和Chaddr兩個關鍵地址，有了這些內(nèi)容，服務器可以自己生成一個 ARP信息，以實現(xiàn) IP報文的二層轉(zhuǎn)發(fā) 直接廣播！ DHCP原理 ? BOOTP簡要處理流程 ? Reply Received 客戶端收到 Reply回應之后，會進行判斷： ? Ciadr、 Chaddr、 Xid是否和自己發(fā)送時的值相等，如果不等，則丟棄 ? 如果上述匹配關系正確，則讀取 Yiaddr地址給網(wǎng)卡設臵，并進行后續(xù)的引導文件 /程序的傳輸 DHCP原理 ? BOOTP的缺點 ? BOOTP協(xié)議過程非常的簡單，中間缺乏必要的安全控制機制 ? BOOTP給每個用戶分配的 IP地址是“永久”的，不利于 IP地址資源的合理高效利用 ? 隨著網(wǎng)絡的逐步發(fā)展， BOOTP逐漸被 DHCP所取代 DHCP原理 ? DHCP和 BOOTP的關系 ? BOOTP給客戶端分配的 IP地址是永久的，而 DHCP分配的 IP地址資源則具有時效性、是動態(tài)的，有利于提高 IP資源的利用率 ? DHCP和 BOOTP使用相同的 UDP協(xié)議報頭，服務器端口 67，客戶端端口 68，以至于很多程序?qū)烧卟蛔鰠^(qū)分 ? DHCP和 BOOTP使用幾乎完全相同的 Request和Reply消息格式，只是 DHCP的功能是依賴于報文的OP