序：DHCP服務(wù)相對簡單，寫本文的目的是為了講一些DHCP安全方面的技術(shù)。

成都創(chuàng)新互聯(lián)公司主要從事網(wǎng)站建設(shè)、成都網(wǎng)站制作、網(wǎng)頁設(shè)計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)武夷山,十載網(wǎng)站建設(shè)經(jīng)驗,價格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):18980820575

1、DHCP基礎(chǔ)

DHCP 全稱動態(tài)主機配置協(xié)議（Dynamic Host Configuration Protocol），用于給終端設(shè)備如PC、IPad、手機等自動分配IP地址。
工作過程簡潔高效，易于掌握，首先借著一張圖介紹DHCP基本的工作原理：

從圖上可以清晰看出，客戶端通過DHCP協(xié)議獲取IP地址等信息的過程可以分為四個步驟：

1.1發(fā)現(xiàn)階段，即DHCP客戶端發(fā)現(xiàn)DHCP服務(wù)器的階段。

DHCP客戶端發(fā)送DHCP DISCOVER報文來發(fā)現(xiàn)DHCP服務(wù)器。由于DHCP客戶端不知道DHCP服務(wù)器的IP地址，所以DHCP客戶端以廣播方式發(fā)送DHCP DISCOVER報文（目的IP地址為255.255.255.255，源IP地址為0.0.0.0），同一網(wǎng)段內(nèi)所有DHCP服務(wù)器都能收到此報文。

1.2提供階段，即DHCP服務(wù)器提供IP地址的階段。

服務(wù)器接收到DHCP DISCOVER報文后，選擇跟接收DHCP DISCOVER報文接口的IP地址處于同一網(wǎng)段的地址池，并且從中選擇一個可用的IP地址，然后通過DHCP OFFER報文發(fā)送給DHCP客戶端。DHCP OFFER報文里面攜帶了希望分配給指定MAC地址客戶端的IP地址（DHCP報文中的yiaddr字段）及其租期等配置參數(shù)。

1.3選擇階段，即DHCP客戶端選擇IP地址的階段。

因為DHCP DISCOVER報文是廣播發(fā)送的，所以如果同一網(wǎng)段內(nèi)存在多個DHCP服務(wù)器，接收到DHCP DISCOVER報文的服務(wù)器都會回應(yīng)DHCP OFFER報文。如果有多個DHCP服務(wù)器向DHCP客戶端回應(yīng)DHCP OFFER報文，則DHCP客戶端一般只接收第一個收到的DHCP OFFER報文。

以廣播方式發(fā)送DHCP REQUEST報文，是為了通知所有的DHCP服務(wù)器，它將選擇某個DHCP服務(wù)器提供的IP地址，其他DHCP服務(wù)器可以重新將曾經(jīng)分配給客戶端的IP地址分配給其他客戶端。

1.4確認階段，即DHCP服務(wù)器確認所分配IP地址的階段。

當DHCP服務(wù)器收到DHCP客戶端發(fā)送的DHCP REQUEST報文后，DHCP服務(wù)器回應(yīng)DHCP ACK報文，表示DHCP REQUEST報文中請求的IP地址分配給客戶端使用。

小結(jié)：DHCP工作過程四個步驟涉及四種數(shù)據(jù)包，分別是DISCOVER、OFFER、REQUEST、ACK。

2、DHCP Snooping

在企業(yè)實際網(wǎng)絡(luò)環(huán)境中，經(jīng)常會遇到電腦獲取到錯誤IP地址等情況，導致無法正常上網(wǎng)，這是因為網(wǎng)絡(luò)中非法接入了DHCP服務(wù)器（最常見的非法DHCP服務(wù)器就是TP-link家用路由器）。
這時候就需要在網(wǎng)絡(luò)交換機上配置DHCP snooping功能來防止非法DHCP服務(wù)器給客戶端分配IP地址。

DHCP Snooping不論從配置上還是工作原理上也都很簡單，繼續(xù)用一張圖說明：

在二層網(wǎng)絡(luò)接入設(shè)備（即交換機）啟用DHCP Snooping場景中，一般將與合法DHCP服務(wù)器直接連接的接口設(shè)置為信任接口（如上圖中的if1接口），其他接口設(shè)置為非信任接口（如上圖中的if2接口），啟用了DHCP Snooping功能的交換機會檢測從每個接口收到的DHCP各類數(shù)據(jù)包，如果從非信任接口收到，則丟棄；使DHCP的四種數(shù)據(jù)包僅能從信任接口轉(zhuǎn)發(fā)或者接受，從而保證DHCP客戶端只能從合法的DHCP服務(wù)器獲取IP地址，私自架設(shè)的DHCP Server仿冒者無法為DHCP客戶端分配IP地址。

小結(jié)：DHCP Snooping在交換機上啟用，并將連接合法服務(wù)器的接口設(shè)置為信任接口，其他接口默認都是非信任接口。

3、DHCP Relay（中繼）
上面提到的DHCP客戶端與服務(wù)器都在同一個網(wǎng)段，比較適用于家庭網(wǎng)絡(luò)和小型企業(yè)網(wǎng)絡(luò)。但在中到大型企業(yè)網(wǎng)絡(luò)中，有很多網(wǎng)段，不推薦在每個網(wǎng)段都部署一個DHCP服務(wù)器，既不經(jīng)濟也不好管理。
實際情況是，在大型網(wǎng)絡(luò)中，往往采用一臺高性能的服務(wù)器當作DHCP服務(wù)器，它只存在于一個網(wǎng)段。由于DHCP的工作高度依賴于廣播，而我們知道廣播包是不能跨網(wǎng)段傳輸?shù)?，所以正常情況下其他網(wǎng)段的客戶端是無法獲取IP地址的。

DHCP Relay的出現(xiàn)就是為了解決這個問題，用一張圖說明：

還是之前熟悉的四個步驟，不過這次在客戶端與服務(wù)器中間多了一個DHCP中繼設(shè)備，通常DHCP中繼為網(wǎng)絡(luò)中每個網(wǎng)段的網(wǎng)關(guān)設(shè)備（即啟用了DHCP Relay功能的三層交換機）。

DHCP中繼將從客戶端接收到的廣播報文轉(zhuǎn)換成單播報文，這樣報文就可以跨越網(wǎng)段進行傳輸。單播報文意味著明確且唯一的目的IP地址，所以開啟DHCP中繼的設(shè)備必須手工明確配置DHCP服務(wù)器的IP地址。
有了DHCP中繼，不論企業(yè)網(wǎng)絡(luò)中有多少個IP網(wǎng)段，我們只需要在一個網(wǎng)段部署DHCP服務(wù)器，其他網(wǎng)段則由網(wǎng)關(guān)設(shè)備開啟中繼功能，這樣整個網(wǎng)絡(luò)都能通過DHCP服務(wù)器獲取IP地址。

小結(jié)：在三層交換機的各個網(wǎng)段開啟DHCP Relay功能，并手動指定DHCP服務(wù)器的IP地址，可實現(xiàn)整網(wǎng)共享一臺DHCP服務(wù)器。

4、一個關(guān)于DHCP Snooping與 DHCP Relay的小思考

在一個部署了DHCP Relay的網(wǎng)絡(luò)中，DHCP Snooping應(yīng)該啟用哪些設(shè)備上？
如圖所示：

其中有三個部門即三個網(wǎng)段，而DHCP服務(wù)器是一臺路由器，不屬于其中任意一個網(wǎng)段。
在這個網(wǎng)絡(luò)中，每個包含DHCP客戶端的二層網(wǎng)絡(luò)中都應(yīng)該啟用DHCP Snooping，而僅包含服務(wù)器的二層網(wǎng)絡(luò)是不需要啟用DHCP Snooping的。

備注：客戶端二層網(wǎng)絡(luò)啟用DHCP Snooping很好理解，而服務(wù)器二層網(wǎng)絡(luò)無需啟用DHCP Snooping的背后原因稍顯復雜。具體原因是當部署了DHCP Relay后，DHCP服務(wù)器收到的DHCP各種報文一定是中繼設(shè)備轉(zhuǎn)換后的單播報文，單播報文有明確且唯一的目的IP，這時就不會存在仿冒DHCP服務(wù)器的問題。
而實際上如果真的在服務(wù)器二層網(wǎng)絡(luò)中的交換機上啟用了DHCP Snooping功能，它也是不會影響DHCP正常工作的，因為從中繼設(shè)備發(fā)過來的單播DHCP報文里面UDP層的源端口號已經(jīng)被中繼設(shè)備修改成UDP 67（而原始報文里則為UDP 68），交換機一旦檢測到這點變化，就會自動忽略，正常轉(zhuǎn)發(fā)DHCP各類報文，不做DHCP Snooping額外處理。