博客主页:christine-rr-CSDN博客
专栏主页:软考中级网络工程师笔记
大家好,我是christine-rr !目前《软考中级网络工程师》专栏已经更新三十多篇文章了,每篇笔记都包含详细的知识点,希望我们软考都顺利通过!
今天的笔记是DHCP、DNS。
目录
8. DHCP Snooping ——防止非法DHCP服务器接入
一、DHCP
1. DHCP工作原理
1)DHCP四个报文
- DHCP Discover(广播): 用于发现当前网络中的DHCP服务器。(客户端-->服务器)
- DHCP Offer(单播): 携带分配给客户端的IP地址,由DHCP服务器发送。(服务器-->客户端)
- DHCP Request(广播): 告知服务器端自己将使用该IP地址,由DHCP客户端发送。(客户端-->服务器)
- DHCP Ack(单播): 最终确认,告知客户端可以使用该IP地址,由DHCP服务器发送。(服务器-->客户端)
- 广播与单播
- 广播: DHCP Discover和DHCP Request是广播。
- 单播:服务器回复的 DHCP Offer和DHCP Ack通常是单播,但也可以在某些情况下是广播。
- 为什么需要DHCP Request
- 原因: 客户端可能收到多个DHCP Offer(如多个DHCP服务器存在),需要通过DHCP Request来确认使用哪一个IP地址。
2)题型
- 题目: 为什么DHCP客户端收到Offer之后不直接使用该IP地址,还需要发送一个Request告知服务器端?
- 解析: 因为客户端可能收到多个Offer,需要通过Request来确认具体使用哪一个IP地址。
2. DHCP租期更新
1)租期更新过程
- DHCP Request(单播): 当租约到50%时,客户端向服务器端请求继续使用该IP地址,延长使用期限。
- DHCP Ack: 如果服务器同意续约,会发送Ack消息包,客户端根据新的租期和其他TCP/IP参数更新配置。
- 租期未更新处理:
- 若第一次续约失败,到租约87.5%时再次尝试续约。
- 若第二次续约还失败,到租约100%时,客户端必须放弃该IP地址,发送DHCP Discover重新申请地址。
- 无DHCP服务器处理: 如果此时无DHCP服务器可用,客户端会使用169.254.0.0/16中的随机地址,并每隔5分钟再尝试。
3. DHCP报文格式
1)报文格式概述
- 标准格式: DHCP报文有固定的标准格式。
- 可扩展字段: 报文后面有一个可选字段,用于扩展。
- 可扩展字段
- Option 43: 高频考点,用于为AP分配IP地址时,通告AC的地址。
- Option 82:称为中继代理DHCP Relay信息选项。
- 可扩展协议:DHCP、TCP(20~60字节)、IPv4(20~60字节)、IPv6、BGP、ISIS
4. Option 43应用举例
1)Option 43作用
核心作用: 在WLAN三层组网中,AP通过DHCP报文中的Option 43选项字段获取AC的IP地址,以便建立CAPWAP隧道。
- 应用场景:当AP的IP地址通过DHCP服务器分配,且AC的IP地址与AP不在同一个广播域时,AP无法通过广播方式获取AC的IP地址,此时需通过Option 43获取。
5. 华为DHCP option43配置
1)配置方法
- 配置命令:
- 启用DHCP: [DHCP-HW] dhcp enable
- 创建IP地址池: [DHCP-HW] ip pool huawei
- 配置网络: [DHCP-HW-ip-pool-huawei] network 192.168.100.0 255.255.255.0
- 配置网关: [DHCP-HW-ip-pool-huawei] gateway-list 192.168.100.1
- 配置Option 43: [DHCP-HW-ip-pool-huawei] option 43 sub-option 3 ascii 10.10.10.1(假设AC的IP地址是10.10.10.1)
配置方式选择
- 三种方式:
- 16进制数(转换麻烦,考试出现几率小)
- 直接写IP地址
- 使用ascii码表示IP地址
6. DHCP分配固定IP地址
- MAC绑定原理:通过将客户端的MAC地址与特定IP地址绑定实现固定分配
- 配置命令:
DHCP server static-bind ip-address 192.168.2.2 mac-address 00e0-fc00-00aa- 配置方式对比:
- 全局地址池:适用于PC1等需要动态分配的终端
- 接口地址池:适用于PC2/PC3等场景,其中PC3通过MAC绑定实现固定IP分配
- 操作要点:在接口配置模式下完成MAC与IP的绑定,配置关键点需重点练习
7. DHCP中继
1)DHCP Relay工作原理
Option 82:称为中继代理DHCP Relay信息选项。
- 产生背景:当DHCP服务器与客户端跨广播域时(如不同VLAN或路由器隔离的网段),需要中继转发DHCP广播报文
- 核心功能:
- 将客户端的DHCP Discover广播报文转换为单播发送给服务器
- 将服务器的响应报文单播传回客户端所在广播域
- 报文转换过程:
- Discover:广播→单播
- Offer/Ack:单播→广播
- 路由要求:必须保证中继设备与DHCP服务器间的路由可达性
2)DHCP Relay配置举例
- 关键配置步骤:
- 创建DHCP服务器组并指定服务器地址
- 在接口视图下启用DHCP中继功能
- 绑定接口与服务器组的关联关系
- 典型命令:
-
DHCP select relay #开启DHCP relay中继模式,将DHCP请求转发到远程服务器。 DHCP relay server-select HW - 考试要点:2024年5月网络工程师案例分析题涉及中继配置流程描述(占4分)
8. DHCP Snooping ——防止非法DHCP服务器接入
- 问题场景:私接路由器(如小米/TP-Link)会发布非法DHCP Offer,导致终端获取错误IP地址(如192.168.31.0/24)
- 防护机制:
- 信任端口(Trusted):仅允许合法DHCP服务器接口
- 非信任端口(Untrusted):拦截非法DHCP响应报文
- 典型组网:核心交换机连接合法DHCP服务器的端口设为Trusted,所有用户侧端口保持Untrusted
1)DHCP Snooping配置
- 配置流程:
- 全局启用DHCP功能:dhcp enable
- 开启Snooping功能:dhcp snooping enable
- 指定信任端口:dhcp snooping trusted
- 设备差异:
- 华为:默认所有端口为Untrusted
- 思科:需显式配置Untrusted端口
- 考试重要性:中级/高级网络工程师高频考点,案例分析题常见配置场景
9. 应用案例
1)例题:DHCP报文类型
- DHCP Discover报文: 客户端用于向DHCP服务器请求IP地址配置信息。
- DHCP Offer报文: 服务器提供IP地址给客户端。
- DHCP Request报文: 客户端选择一个IP地址后,向服务器发送此报文以请求确认。
- DHCP ACK/NACK报文: 服务器确认或拒绝客户端的IP地址请求。
- 注意: 第37题存在争议,若题目表述为“客户端接受服务器IP地址后需发送的报文”,则答案应为DHCP Request,但严格来讲,确认动作是由服务器通过DHCP ACK完成的,因此该题可能存在表述问题。
- 答案:(36)A (37)
2)DHCP拓展字段
- 答案:A ,Option 43
3)例题:DHCP获取IP地址
- DHCP Snooping功能: 用于防止未经授权的DHCP服务器在网络中分配IP地址,通过在交换机上配置此功能,可以杜绝非法DHCP服务器导致的IP地址冲突问题。
- 配置流程:
- 全局启用DHCP功能:dhcp enable
- 开启Snooping功能:dhcp snooping enable
- 指定信任端口:dhcp snooping trusted
- 答案:B
4)例题:DHCP请求配置信息
- DHCP Discover报文: Windows系统中,DHCP客户端通过发送此报文请求IP地址配置信息。
- 备用IP地址: 若在指定时间内未接收到地址配置信息,客户端可能使用169.254.0.1作为备用IP地址.
- 答案:(36)A (37)C
5)例题:首次发送的报文和原IP/原MAC
- 首次发送报文: 主机首次向DHCP服务器发送DHCP Discover报文以请求IP地址。
- 源MAC地址: 报文的源MAC地址为主机的MAC地址。
- 源IP地址: 由于主机尚未获取IP地址,因此源IP地址为0.0.0.0。
- 答案:(36)A (37)C
6)例题:DHCP服务器租约
- 租约更新时机: 通常情况下,当租约期过了50%时,客户端会尝试更新租约。若50%时更新失败,则会在租约期过了87.5%时再次尝试更新。
- 租约到期处理: 租约到期后,客户端会重新发送DHCP Discover报文以获取新的IP地址配置。
- 答案:A
7)例题:DHCP确认分配IP地址的消息
- DHCP Discover报文: 客户端用于向DHCP服务器请求IP地址配置信息。
- DHCP Offer报文: 服务器提供IP地址给客户端。
- DHCP Request报文: 客户端选择一个IP地址后,向服务器发送此报文以请求确认。
- DHCP ACK/NACK报文: 服务器确认或拒绝客户端的IP地址请求。
- 确认消息: DHCP Request报文用于客户端向服务器确认分配IP地址。
- 消息类型: 该消息是一个单播消息,即服务器直接回应客户端的请求。
- 答案:(53) C (54)B
8)例题:DHCP获取地址过程
- 第二个数据包: 在DHCP获取地址过程中,第二个数据包是DHCP Offer报文,由服务器单播发送给客户端。
- 第一个数据包的源目IP地址和端口: 第一个数据包(DHCP Discover)的源IP地址为0.0.0.0,目的IP地址为255.255.255.255(广播地址),源端口为68,目的端口为67,且使用UDP协议。
- 答案:(29) B, (30)B
10.知识小结
知识点 |
核心内容 |
考试重点/易混淆点 |
难度系数 |
DHCP报文 |
DHCP四个报文: DHCP Discover(广播): 发现网络中的DHCP服务器。(客户端-->服务器) DHCP Offer(单播): 携带分配给客户端的IP地址(服务器-->客户端) DHCP Request(广播): 告知服务器端自己将使用该IP地址(客户端-->服务器) DHCP Ack(单播): 最终确认(服务器-->客户端) |
中 |
|
DHCP租约更新 |
租期50%时发Request续约,87.5%时再次续约,100%时放弃IP |
续约失败后的处理流程 |
中 |
DHCP报文格式 |
标准格式+可选字(Option) |
Option 43的作用:为AP分配IP时通告AC地址 Option 82:称为中继代理DHCP Relay信息选项。 |
中 |
DHCP固定IP分配 |
基于MAC地址绑定IP |
- |
易 |
DHCP中继 |
解决广播域穿越问题,将广播转为单播 |
中继配置及路由通达性 |
难 |
DHCP Snooping |
防止私接DHCP服务器导致IP冲突 |
Trust与Untrust接口配置 |
中 |
DHCP获得地址过程 |
第二个包是Offer,客户端端口号大于服务器 |
客户端端口号记忆 |
易 |
二、DNS域名系统
- DNS作用:把域名转换为IP地址
- 其他地址转换协议:ARP将IP地址转换为MAC地址,RARP将MAC地址转为IP地址
- DNS/DHCP服务器必须为静态IP地址,而 Web/FTP均可为动态IP地址。
- Linux中提供DNS服务的组件为bind,主配置文件为named.conf
- 诊断域名系统基础结构的信息和查看DNS服务器的IP地址命令:nslookup
1. DNS记录类型
- SOA记录:起始授权机构记录,用于在众多NS记录中指明主服务器,同时包含数据版本、更新及过期时间信息。
- A记录:实现正向解析,将主机名解析为IP地址(如:www.test.com → 1.1.1.1),是互联网中使用最多的记录类型。
- PTR记录:实现反向解析,将IP地址解析为主机名(如:1.1.1.1 → www.test.com),与A记录互为逆向关系。指针
- 名字服务器NS记录:为域指定授权域名服务器,该域所有子域也被委派给该服务器(如:ns1.domain.com)。
- 邮件MX记录:指明区域邮件服务器及优先级,建立邮箱服务必需此记录。
- 别名CNAME记录:为主机名设置别名(如:www.test.com别名为webserver12.test.com)。
2. DNS查询过程
1)客户机内部查询
- 查询顺序:
- 浏览器DNS缓存(最优先)
- 系统DNS缓存(Windows命令:ipconfig /displaydns查看dns,ipconfig /flushdns清除dns)
- hosts文件(永久生效,一直影响,路径:Windows/Linux系统目录下,有IP和主机名/域名的映射关系)
- 典型故障案例:当单台主机持续解析异常而其他主机正常时,优先检查hosts文件配置。
查看DNS配置信息:ipconfig /displaydns
清除DNS缓存:ipconfig /flushdns
2)客户机到服务器查询
- 在本地DNS服务器查询顺序:
- 区域记录(权威数据,优先于缓存)
- 本地DNS服务器缓存
- 转发器(运营商DNS如114.114.114.114)
- 关键区别:与PC查询不同,服务器优先检查区域记录而非缓存,确保获取最新权威数据。
3)服务器到服务器查询
本地DNS服务器无法查询到,服务器到服务器查询:
- 再查转发器(运营商DNS服务器)
- 查找根、com顶级域名服务器
- 查找test.com权限/授权域名服务器
4)DNS查询方式
- 递归查询(查到底)
- 特点:域名服务器代用户完成全部查询并返回最终结果("老好人"模式)。
- 应用场景:本地DNS服务器、转发器通常采用。
- 迭代查询(尽力)
- 特点:服务器返回最近已知线索,客户端自行继续查询("踢皮球"模式)。
- 应用场景:根域名服务器必用,顶级域服务器常用。
DNS查询过程:
- DNS服务器/转发器:递归查询
- 根域名服务器:全球13台IPv4根服务器,必采用迭代查询。
- 顶级域服务器:通常采用迭代查询(如.com域)。
- 授权域名服务器:可能递归或迭代,需根据题目具体分析。
5)例题:授权域名服务器传回解析结果表明
- 关键点:主域名服务器正常时应递归返回结果,若由授权服务器直接返回说明主服务器采用迭代
- 排除法:根服务器必迭代排除D;授权服务器可能递归/迭代排除C;主服务器行为排除B
- 答案:A
6)例题:域名服务器配置过程
- 常规配置:根→迭代,主DNS→递归
- 排除法:根不可能递归排除B/D;主DNS通常递归排除A
- 答案:C
7)例题:DNS查询过程
- 迭代典型:根→授权服务器(D)
- 递归典型:客户端→本地DNS(B)
- 缓存特性:B/C选项不涉及查询方式
- 答案:(35)D ,(36)B
8)例题:域名服务器返回结果
- 反常现象:主DNS未返回结果说明其迭代
- 授权服务器:算法不确定排除C/D
- 答案:A
9)例题:域名查询过程
- 本地DNS:最终返回结果→递归(A错)
- 中介DNS:直接应答→递归(B错)
- 根DNS:必迭代(C错)
- 答案:D(授权服务器算法不确定)
3.知识小结
知识点 |
核心内容 |
考试重点/易混淆点 |
难度系数 |
DNS的作用 |
转换域名到IP地址 |
DNS的基本功能 |
🌟 |
转换协议 |
ARP(IP转MAC),RARP(MAC转IP) |
与DNS的转换方向区别 |
🌟🌟 |
ARP工作原理 |
多步骤过程(未详细展开) |
需理解并记忆步骤 |
🌟🌟🌟 |
ARP攻击类型 |
Flood,欺骗 |
攻击方式及防御方法 |
🌟🌟🌟 |
IP地址类型 |
静态IP与动态IP |
服务器通常使用静态IP |
🌟 |
Linux中DNS组件 |
BIND |
DNS服务器软件 |
🌟 |
DNS诊断命令 |
nslookup |
查询DNS记录 |
🌟 |
DNS记录类型 |
A记录,PTR记录,NS记录等六种 |
记录类型的区别与应用 |
🌟🌟🌟🌟 |
DNS查询过程 |
PC内部查->本地域名服务器->转发器->根域名服务器 |
查询流程与递归、迭代的概念 |
🌟🌟🌟🌟 |
缓存查询顺序 |
浏览器缓存->系统缓存->hosts文件 |
缓存查询的优先级 |
🌟🌟 |
本地域名服务器查询 |
区域记录优先于缓存 |
与PC查询顺序的区别 |
🌟🌟🌟 |
递归与迭代 |
递归:域名服务器帮用户找到最终结果; 迭代:域名服务器指引用户逐步查询 |
递归与迭代的区别与应用 |
🌟🌟🌟🌟 |
DNS查询常规过程 |
主域名服务器递归,转发器递归,根域名服务器/顶级域名服务器迭代。 授权域名服务器:可能递归或迭代,需根据题目具体分析。 |
常规查询流程 |
🌟🌟🌟 |
考试题目解析 |
晚归2019年第20题,迭代与递归的应用 |
题目解析与答案选择 |
🌟🌟🌟🌟 |
域名服务器配置 |
通常情况下,根域名服务器迭代,主域名服务器递归 |
配置原则与迭代、递归的应用 |
🌟🌟🌟 |
辅助域名服务器 |
主域名服务器的备份,用于分担负载或故障切换 |
辅助域名服务器的作用 |
🌟 |