HCIA笔记8--DHCP、Telnet协议
1. DHCP介绍
对于主机的网络进行手动配置,在小规模的网络中还是可以运作的,但大规模网络是无力应对的。因此就有了DHCP协议来自动管理主机网络的配置。
DHCP(Dynamic Host Configuration Protocol): 动态主机配置协议,主要需要配置的参数有:IP地址、子网掩码、网关、dns服务器。
2. DHCP原理
2.1 DHCP报文类型
2.2 DHCP请求过程
在没有DHCP中继下的地址,请求过程如上面的图所示。
- 主机在网络中广播DHCP DISCOVER请求获得IP地址等信息
- DHCP服务器收到后,单播一个DHCP OFFER报文给主机
- 主机从最先收到的DHCP OFFER报文中获得要请求的DHCP服务器,同时也获得了分配的IP; 主机封装DHCP REQUEST请求广播出去,广播的目的也是告诉其他DHCP服务器找到了一个DHCP服务器。
- DHCP接收到请求IP的DHCP REQUEST, 对请求的IP进行确认;向主机发送DHCP ACK请求。
2.3 DHCP租期更新
DHCP服务器与DHCP客户端这间有租约,通常为一天。
-
当租期达到50%(T1)时,DHCP客户端会自动以单播的方式向DHCP服务器发送DHCP REQUEST报文,请求更新IP地址租期。
- 如果收到DHCP服务器回应的DHCP ACK报文,则租期更新成功(即租期从0开始计算);
- 如果收到DHCP NAK报文,则重新发送DHCP DISCOVER报文请求新的IP地址。
-
当租期达到87.5%(T2)时,如果仍未收到DHCP服务器的应答,DHCP客户端会自动以广播的方式向DHCP服务器发送DHCP REQUEST报文,请求更新IP地址租期。
- 如果收到DHCP服务器回应的DHCP ACK报文,则租期更新成功(即租期从0开始计算);
- 如果收到DHCP NAK报文,则重新发送DHCP DISCOVER报文请求新的IP地址。
如果租期时间到时都没有收到服务器的回应,客户端停止使用此IP地址,重新发送DHCP DISCOVER报文请求新的IP地址。
-
客户端在租期时间到之前,如果用户不想使用分配的IP地址(例如客户端网络位置需要变更),会触发DHCP客户端向DHCP服务器发送DHCP RELEASE报文,通知DHCP服务器释放IP地址的租期。DHCP服务器会保留这个DHCP客户端的配置信息,将IP地址列为曾经分配过的IP地址中,以便后续重新分配给该客户端或其他客户端。客户端可以通过发送DHCP INFORM报文向服务器请求更新配置信息
2.4 DHCP重绑定
- 主机广播发送包含前一次分配的IP地址的DHCP REQUEST报文,报文中的Option50(请求的IP地址选项)字段填入曾经使用过的IP地址。
- DHCP服务器收到DHCP REQUEST报文后,根据DHCP REQUEST报文中携带的MAC地址来查找有没有相应的租约记录,如果有则返回DHCP ACK报文,通知DHCP客户端可以继续使用这个IP地址。否则,保持沉默,等待客户端重新发送DHCP DISCOVER报文请求新的IP地址
3. DHCP的配置
3.1 全局地址池
创建地址池
ip pool hcia
分配地址段
network 192.168.1.0 mask 24
配置网关列表
gateway-list 192.168.1.254
配置dns服务器
dns-list 192.168.1.50 8.8.8.8
将dns服务器的ip排除在分配的地址池外
excluded-ip-address 192.168.1.50
开启dhcp服务
dhcp enable
对应接口下选择全局地址池
[R1-g0/0/0] dhcp select global
当然可以修改租期
lease day 7
请求地址的过程报文:
在主机上DHCP生效后,本身是没有IP地址的;但是它仍然是需要封装IP地址的,这里封装源IP的就是0.0.0.0,表示的是未指定的IP地址。广播去寻找DHCP服务器192.168.1.254。服务器收到这个信息后,会从地址池中直接分配一个IP地址给主机,并且认为这个IP地址就是需要IP的主机的IP·192.168.1.253。但是主机会再次去请求这个分配的IP, 在再次得到确认后获得这个IP地址。
主机在获得这个地址后,会在网段内发免费arp报文,通过是否有响应来确认是否有IP地址冲突;在没有收到报文冲突的时候,才将获得的IP配置上去。
3.2 DHCP分配冲突
如图所示,如果是多台dhcp服务器共用一个全局地址池;比较容易分配到同一个地址,因此我们利用excluded-ip-address这一特点来保证两个dhcp服务器分配的是互斥的两个地址块,这样就不会出现两个dhcp服务器分配同一IP地址的情况。
3.3 哑终端的静态绑定
有一些设备是不能发出报文的,自然不能发出DHCP discover报文给DHCP服务器。对于这样的终端,我们可以进行ip和mac的静态绑定。
static-bind ip-address 192.168.1.100 mac-address 5489-98c0-04d9
3.4 接口地址池
DHCP根据接口IP与掩码自己计算网络。
使能端口
dhcp enable
int g0/0/0
dhcp select interface
端口下设置dns
dhcp server dns-list 8.8.8.8
静态绑定
dhcp server static-bind ip-address 192.168.1.100 mac-address \ 5489-989f-22f0
静态绑定的时候需要验证是,该IP或者mac是否已经被使用的情况,否则会产生报错。
4. telnet
- telnet 明文传输,不用于跨网;跨网远程登录用ssh协议
- 远程登录需要解决的问题
- 身份验证
- 限制同时登录数量
- 限制操作权限
4.1 密码配置
接入终端的序号0-4
user-interface vty 0 4
密码认证
authentication-mode password
设置权限
user privilege level 2
4.2 AAA配置
AAA ,认证(Authentication):验证用户的身份与可使用的网络服务;
授权(Authorization):依据认证结果开放网络服务给用户;
计账(Accounting):记录用户对各种网络服务的用量,并提供给计费系统。
设置登录人数限制
user-interface vty 0 4
设置为3a认证
authentication-mode aaa
进入aaa认证
aaa
创建用户名为huawei
设置密码为huawei@123
[R1-aaa]local-user huawei password cipher huawei@123
设置服务类型为telnet
[R1-aaa]local-user huawei service-type telnet
设置权限等级
[R1-aaa]local-user huawei priviledge leve 3
真机登录需要确认开启了telnet服务器
telnet server enable
参考
huawei-dhcp
huawei-dhcp-exist-IP-pool
huawei-dhcp-intro