1、如何配置DHCP服务器?
高级选项-》DHCP配置-》服务端
(1)开启DHCP服务
(2)客户端子网(配置的是一个网段),客户端子网掩码(跟路由器内网口的子网掩码一样),保留地址 //保留地址是这些地址不会被动态分配出去,如果是DHCP静态绑定,是会被分配出去的
(3)地址租期,如果是酒店一般可以设置租期为2个小时。
(4)网关,跟路由器内网口的网关地址一样
(5)DNS 是设置本地的DNS,可配置多个 DNS做备份,如果第一个DNS出现故障的时候,可以使用第二个DNS进行解析
3.如果内网口配置了多个网关,想要配置多个DHCP地址池,那么需要在命令行下配置DHCP服务。
NBR2000>en
NBR2000#conf
NBR2000(config)#service dhcp---------------------------------开启DHCP服务
NBR2000(config)#ip dhcp pool ruijie--------------------------配置DHCP 地址池名称
NBR2000(dhcp-config)#network 192.168.2.0 255.255.255.0--配置客户端子网
NBR2000(dhcp-config)#lease in------------------------------- 配置租期永久
NBR2000(dhcp-config)#default-router 192.168.2.1------------ 配置客户端网关
NBR2000(dhcp-config)#dns-server 218.85.157.99 8.8.8.8----- 配置客户端DNS
NBR2000(dhcp-config)#end
NBR2000#wr--------------------------------------------------- 保存
2.命令行下配置DHCP服务:
NBR2000(config)#service dhcp-----开启DHCP服务功能
NBR2000(config)#ip dhcp excluded-address 192.168.1.240 192.168.1.254-----排除地址池是 192.168.1.240-192.168.1.254的地址
NBR2000(config)#ip dhcp pool ruijie-----配置DHCP地址池,名称命名为ruijie
NBR2000(dhcp-config)#network 192.168.1.0 255.255.255.0-----配置客户端网段
NBR2000(dhcp-config)#lease 1 0 0--------------------------租期设置1天 *1代表的是day 第二个0代表的是小时hour 第三个0代表分 minute
NBR2000(dhcp-config)#dns-server 218.85.157.99 8.8.8.8-----配置客户端的DNS
NBR2000(dhcp-config)#default-router 192.168.1.1-----配置客户端的网关
NBR2000(dhcp-config)#end
NBR2000#wr-----保存
2、静态IP分配DHCP:
WEB页面DHCP静态绑定配置
客户名称----------------------可以任意取
客户端IP----------------------想要给这台电脑分配的IP地址
客户端MAC地址---------------这台电脑的物理地址
DNS服务器--------------------本地可用的DNS
内网每台电脑都类似增加
命令行配置DHCP静态绑定:
NBR2000(config)#service dhcp-----开启DHCP服务功能
NBR2000(config)#ip dhcp excluded-address 192.168.1.240 192.168.1.254-----排除地址池是 192.168.1.240-192.168.1.254的地址
NBR2000(config)#ip dhcp pool abc-----配置DHCP地址池,名称命名为ruijie
NBR2000(dhcp-config)#hardware-address 00e0.6f09.f188----配置这个物理地址的电脑
NBR2000(dhcp-config)#network 192.168.1.2 255.255.255.0-----分配给这台电脑的IP地址是 192.168.1.2
NBR2000(dhcp-config)#dns-server 218.85.157.99 8.8.8.8-----配置这台电脑的DNS
NBR2000(dhcp-config)#default-router 192.168.1.1-----配置这台电脑的网关
NBR2000(dhcp-config)#end
NBR2000#wr-----保存
3、NBR支持DHCP relay吗?
不支持。
4、如何配置DNS relay?
DNS relay是DNS代理,把内网设置的DNS,在经过NBR的时候截获DNS报文,转换为NBR上DNSrely配置的目的DNS
配置命令如下:
NBR(config)# access-list 1 permit any
NBR(config)# ip nat application source list 1 destination udp 192.168.1.1 53 dest-change 202.101.98.55 53 //其中192.168.1.1为NAT relay地址,202.101.98.55为DNS服务器地址。
5、多个ISP需要多个DNS时,为什么建议不要配置DNS relay
NBR只可配置一条DNS relay。如果使用路由器的DNS中继功能,不慎泄露路由器密码,或者密码设置被猜破,将会造成MITM攻击(Man-in-the-Middle Attack,译为“中间人攻击”)。
MITM是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。然后入侵者把这台计算机模拟一台或两台原始计算机,使“中间人”能够与原始计算机建立活动连接并允许其读取或修改传递的信息,然而两个原始计算机用户却认为他们是在互相通信。通常,这种“拦截数据——修改数据——发送数据”的过程就被称为“会话劫持”(Session Hijack)。
DNS欺骗(DNS Spoofing),就是其中的一种惯用手法。攻击者通过入侵DNS服务器、控制路由器等方法把受害者要访问的目标机器域名对应的IP解析为攻击者所控制的机器,这样受害者原本要发送给目标机器的数据就发到了攻击者的机器上,这时攻击者就可以监听甚至修改数据,从而收集到大量的信息。如果攻击者只是想监听双方会话的数据,他会转发所有的数据到真正的目标机器上,让目标机器进行处理,再把处理结果发回到原来的受害者机器;如果攻击者要进行彻底的破坏,他会伪装目标机器返回数据,这样受害者接收处理的就不再是原来期望的数据,而是攻击者所期望的了。例如让DNS服务器解析银行网站的IP为自己机器IP,同时在自己机器上伪造银行登录页面,那么受害者的真实账号和密码就暴露给入侵者了。
另外,DNS通过路由器做中继,多了一个可能的故障点。所以建议用户不要配置DNS relay,可以直接在网卡上添加DNS服务器地址,而且可以设置主备。
6、DHCP的分配原理—IDLE状态是否正常?
IDLE状态是DHCP中的正常状态,对于IDLE状态:
Ruijie#show ip dhcp binding
IP address Client-Identifier/ Lease expiration Type
Hardware address
11.11.11.2 0100.16d3.ccaa.1b IDLE Automatic
当dhcp地址租约期到期后,状态变为IDLE,标识该地址已经过期收回,是个正常状态。但在绑定表里留有记录,方便下次该mac用户上线时优先获取到该地址。
如果dhcp地址池中有其他空余地址未分配,那么优先分配空余地址,IDLE状态地址暂时保留
如果除IDLE状态地址外,没有可分配地址,那么有新MAC主机接入,就会释放IDLE状态地址,将该地址分配给新用户。
7、NBR路由器是否支持DHCP 的option 138 ?
目前只有NBR1300G/1500G /2000G支持 老版本的NBR是不支持option 138的
上一篇:锐捷交换机DHCP配置
下一篇:华为设备静态路由的配置
