【正文】 綁定關(guān)系備份到外部服務(wù)器中（ TFTP協(xié)議） ip dhcprelay snooping writetime interval －－設(shè)定綁定關(guān)系更新 /寫入文件的時(shí)間間隔 解決方案 ? DHCPSnooping（續(xù)） ? 以上命令僅作用于 DHCP流程中的各個(gè)報(bào)文，對(duì)于ARP、其他 IP報(bào)文則沒有影響 ? 同時(shí)，從 DHCP協(xié)議交互過程中，提取必要的正確的 IP、 MAC對(duì)應(yīng)關(guān)系；通常這些信息都是關(guān)于Client的 ? 思考： DHCP snooping中的 MAC和 IP地址信息分別來自于 DHCP交互過程中的哪個(gè)報(bào)文？ 解決方案 ? DHCPSnooping（續(xù)） ? 信任端口 dhcp snooping trust 該命令可以將交換機(jī)端口設(shè)臵為 信任 /非信任 端口 ? 交換機(jī)收到 Serv端的 DHCP報(bào)文，如果是從信任端口接收，則正常處理；如果是從非信任端口接收，則直接丟棄 ? 交換機(jī)收到 Client端的 DHCP報(bào)文，如果是從信任端口接收，則正常處理；如果是從非信任端口接收，則需要比對(duì)其 MAC地址是否符合對(duì)應(yīng)關(guān)系（如果有），符合則正常處理，不符合則丟臵。 解決方案 ? DHCPSnooping（續(xù)） ? 顯然，只有連接在信任端口上的 DHCP Serv才能正常工作，如果接在非信任端口上， Serv是無法工作的 ? PC（ DHCP client）無論連接到信任 /非信任端口，都可以正常工作，交換機(jī)都會(huì)進(jìn)行收集其 IP、 MAC地址對(duì)應(yīng)關(guān)系； ? Client連接在信任端口時(shí)， DHCP報(bào)文正常處理；但如果連接在非信任端口，交換機(jī)需要檢查其源MAC地址，即其以太網(wǎng)幀的源 MAC與 DHCP payload中的 Client MAC地址是否相等，若相等，正常處理；若不等，判為 DHCP欺騙，丟棄 解決方案 ? DHCPSnooping（續(xù)） ? DHCP snooping調(diào)用 DHCP snooping從 DHCP協(xié)議交互過程中獲取的IP、 MAC對(duì)應(yīng)關(guān)系，在不做更多操作的情況下，只會(huì)對(duì) DHCP報(bào)文產(chǎn)生影響，但對(duì) ARP、 IP等比較敏感的報(bào)文則不起任何作用 只有經(jīng)過相應(yīng)的調(diào)用之后才會(huì)起到過濾作用，并以此可以實(shí)現(xiàn) ARP欺騙的預(yù)防、安全綁定等效果 解決方案 ? DHCPSnooping（續(xù)） ? 針對(duì) ARP報(bào)文 開啟 ARP inspection后，交換機(jī)會(huì)判斷 接收 的 ARP報(bào)文，如果是從 trust端口，則默認(rèn)允許；如果是非信任端口接收的，那么必須先匹配 DHCP snooping手機(jī)的 IP、 MAC對(duì)應(yīng)關(guān)系，只有匹配的ARP報(bào)文才會(huì)放行 ip arp inspection vlan number －－全局開啟 ARP inspection功能 arp inspection trust －－指定 ARP報(bào)文的信任端口 解決方案 ? DHCPSnooping（續(xù)） ? 針對(duì) IP報(bào)文 開啟 IP Verify Source后，交換機(jī)會(huì)判斷 接收 的 IP報(bào)文，如果是從 trust端口，則默認(rèn)允許；如果是非信任端口接收的，那么必須先匹配 DHCP snooping手機(jī)的 IP、 MAC對(duì)應(yīng)關(guān)系，只有匹配的 ARP報(bào)文才會(huì)放行 ip verify souce vlan number －－全局開啟 IP Verify Source功能 ipsource trust －－指定 IP報(bào)文的信任端口 解決方案 ? DHCPSnooping（續(xù)） ? Binding的有效時(shí)間 在 PortSecurity的 ARP信息綁定中，綁定關(guān)系是永久的，而在 DHCPSnooping的“綁定”中，這個(gè)關(guān)系則不是。其有效時(shí)間取決于 DHCP本身地址分配的租約時(shí)間 另，如果某端口狀態(tài)突然變?yōu)?down，對(duì)應(yīng)的綁定信息會(huì)墻紙 60秒倒計(jì)時(shí)，計(jì)時(shí)結(jié)束前，如果端口恢復(fù)，則綁定信息保留，否則刪除 課程內(nèi)容 DHCP簡介 DHCP原理 DHCP擴(kuò)展介紹 實(shí)驗(yàn)與練習(xí) 本章小結(jié) 實(shí)驗(yàn)與練習(xí) ? 實(shí)驗(yàn)準(zhǔn)備 ? 相關(guān)指令（ Server） ip dhcpd enable ip dhcpd pool name work ip ipmask range startip endip defaultrouter gw dnsserver dnsip1 dnsip2 dnsip3… lease {infinite | time} ip dhcpd ping … 實(shí)驗(yàn)與練習(xí) ? 實(shí)驗(yàn)準(zhǔn)備（續(xù)） ? 相關(guān)指令（ Relay） ip dhcpd enable interface type/number ip helperaddress DHCPdip ? 相關(guān)指令（ Client） interface type/number ip address dhcp 實(shí)驗(yàn)與練習(xí) ? 實(shí)驗(yàn)準(zhǔn)備 ? 常見調(diào)試命令（ Server） show ip dhcpd binding show ip dhcpd pool debug ip dhcpd event debug ip dhcpd packet 實(shí)驗(yàn)與練習(xí) ? 動(dòng)態(tài)地址分配 ? 使用以太網(wǎng)連接將 PC和路由器連接起來， PC作DHCPd，路由器作 DHCP Client，通過 Wireshark抓包工具觀察其交互過程，并對(duì)比原理分析其邏輯關(guān)系 ? 將 DHCP Client和 Serv斷開一段時(shí)間（ 2分鐘），再恢復(fù)連接，使用 Wireshark觀察其協(xié)商過程，與前一實(shí)驗(yàn)有和不同？ S e r v e rD H C P C l i e n t實(shí)驗(yàn)與練習(xí) ? 動(dòng)態(tài)地址分配（續(xù)） ? 使用一臺(tái) Windows PC替換路由器作為 Client，再重復(fù)前面的兩個(gè)實(shí)驗(yàn)，再比較一下有何不同？ S e r v e rD H C P C l i e n t實(shí)驗(yàn)與練習(xí) ? DHCPRelay ? 如圖連接，完成 DHCPRelay實(shí)驗(yàn)，比較 Client－Relay之間和 Relay－ Server之間報(bào)文的差異，重點(diǎn)觀察 Option:82的屬性內(nèi)容 C l i e n tS e r v e rR e l a y實(shí)驗(yàn)與練習(xí) ? 防止 ARP欺騙 ? 在交換機(jī)上運(yùn)行 DHCPRelay Snooping功能，看是否可以防止 ARP欺騙？！ R o u t e rP C 1 P C 4課程內(nèi)容 DHCP簡介 DHCP原理 DHCP擴(kuò)展介紹 實(shí)驗(yàn)與練習(xí) 本章小結(jié) 本章小結(jié) ? 小結(jié) ? 理解 BOOTP的基本協(xié)議框架 ? 掌握 DHCP四個(gè)主要狀態(tài)以及他們之間相互轉(zhuǎn)換的條件 ? 掌握與 DHCP租約期相關(guān)的若干定時(shí)器機(jī)制 ? 掌握 DHCPRelay原理和應(yīng)用 本章小結(jié) ? 注意 ? 不同的操作系統(tǒng)在進(jìn)行 DHCP協(xié)商時(shí)，所包含的Option、 Parameter Request List參數(shù)可能不同，也經(jīng)常會(huì)因?yàn)檫@些內(nèi)容導(dǎo)致一些兼容問題，使用時(shí)要注意 ? DHCP Serv給客戶端分配時(shí)，通常至少會(huì)包含 IP、GW、 DNS等內(nèi)容，但 BDCOM作為 Client時(shí)，只能將 IP、 GW應(yīng)用起來， DNS沒有作用 ? BDCOM路由器在接收到 DHCP ACK中的 GW信息時(shí)，會(huì)與路由模塊聯(lián)動(dòng)，生成一條類型為“ DHCP”的 default路由器，但其管理距離不可調(diào)。如果路由器的多個(gè)端口同時(shí) DHCP，需要特別注意 謝謝觀看 /歡迎下載 BY FAITH I MEAN A VISION OF GOOD ONE CHERISHES AND THE ENTHUSIASM THAT PUSHES ONE TO SEEK ITS FULFILLMENT REGARDLESS OF OBSTACLES. BY FAITH I BY FAITH