关于DHCP的租期相关讨论和配置
    问题的提出：
    DHCP的租期（DHCP Lease Periods）是DHCP相关知识中，一个比较重要的该概念，这里单独列出来进行说明。
    基本的配置如下；
    Router1#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Router1（config）#ip dhcp pool 172.25.2.0/24
    Router1（dhcp-config）#lease 2 12 30
    Router1（dhcp-config）#end
    Router1#
    关于配置的讨论；
    1 lease 命令的基本格式是 lease [days] [hours] [minutes]
    上面的例子，表示设定DHCP租约为2天12小时30分。 你可以配置最大值为365天23小时59秒，也可以设置最小值1秒。默认的DHCP租约是1天。
    2 一般的规则是，对于那种dhcp客户端数量比较大，并且客户端联入网络，断开网络比较频繁的场合，一般把租约的时间配置的比较短，这样子使得ip地址很快被收回，可以供另外的dhcp请求客户使用。比较经典的场合时比如飞机场的无线网络。但是越短的租约，也使得dhcp请求包过多，增加了网络的负担。
    3 相反的，在一个相对稳定的网络环境中，比如小型的办公室网络，由于客户端的数量往往变化不大，所以可以考虑适当的增加dhcp的租约。这样做的主要好处是，可以减少dhcp服务器的负担。
    4 记住，客户端在自己的租约还有一半的时候，就会向服务器发出更新租约的请求，如果成功，则租约从新恢复为完整的租期，如果失败，则又过剩下的一半租约后，再发出更新请求，如此规律，直到成功更新为止。
    5 在很多场合，默认的一天的租约是比较合理的，一般很少作修改。
    5 一种比较极端的配置是，你可以规定租约为永久，即一旦客户端获得了ip地址后，只要他不物理断网，以后就再也不会向服务器发送dhcp租约更新请求了。这种配置在现实中就更加少见了。
    配置命令如下；
    Router1#configure terminal
    Enter configuration commands, one per line. End with CNTL/Z.
    Router1（config）#ip dhcp pool COOKBOOK
    Router1（dhcp-config）#lease infinite //规定租约为无限制
    Router1（dhcp-config）#end
    Router1#
    6 你可以用show ip dhcp binding 命令察看dhcp租约。
    Router1#show ip dhcp binding
    IP address Hardware address Lease expiration Type
    172.25.1.33 0100.0103.85e9.87 Infinite Manual
    172.25.1.53 0100.0103.ea1b.ed Apr 11 2003 08:58 PM Automatic
    172.25.1.57 0100.6047.6c41.a4 Apr 11 2003 09:17 PM Automatic
    Router1#
    二、DHCP Snooping技术
    DHCP Snooping是一种通过建立DHCP Snooping Binding数据库，过滤非信任的DHCP消息，从而保证网络安全的特性。DHCP Snooping就像是非信任的主机和DHCP服务器之间的防火墙。通过DHCP Snooping来区分连接到末端客户的非信任接口和连接到DHCP服务器或者其他交换机的受信任接口。
    DHCP Snooping Binding数据库包括如下信息：MAC地址、IP地址、租约时间、binding类型、VLAN ID以及来自本地非信任端口的接口信息，但不包含通过受信任端口互相连接的接口信息。在启用了DHCP Snooping的VLAN中，如果交换机收到来自非信任端口的DHCP包，交换机将对目的MAC地址和DHCP客户端的地址进行对比，如果符合则该包可以通过，否则将被丢弃掉。
    在下述情况中，DHCP包将同样被丢弃：
    来自外网或者防火墙的DHCP服务器，包括DHCPOFFER、DHCPACK、DHCPNAK、DHCPLEASEQUERY。
    来自非信任端口，且目的MAC地址和DHCP客户端的硬件地址不匹配。
    交换机收到DHCPRELEASE或者DHCPDECLINE的广播信息，其MAC地址包含在DHCP snooping binding 数据库中，但与数据库中的接口信息不匹配
    通过DHCP中继代理转发的包不包括在内
    三、Dynamic ARP Inspection技术
    Dynamic ARP inspection是一种验证网络中ARP包的安全特性，可以阻止、记录并丢弃非法IP和MAC地址绑定的ARP包。
    Dynamic ARP inspection保证只有合法的ARP请求和响应可以传播。交换机会完成如下工作，截取所有来自非信任端口ARP请求和响应，在更新ARP缓存或传播数据包之前验证所截取的数据包IP-MAC地址绑定是否合法，丢弃非法的ARP包。
    前面提到，DHCP Snooping会建立一个包含合法IP-MAC地址绑定信息的数据库，Dynamic ARP inspection基于该数据库检验所截取ARP包的合法性。如果ARP包来自非信任接口，那么只有合法的可以通过。如果来自受信任端口，将可以直接通过。

　　考试大温馨提示：本内容来源于网络，仅代表作者个人观点，与本站立场无关，仅供您学习交流使用。其中可能有部分文章经过多次转载而造成文章内容缺失、错误或文章作者不详等问题，请您谅解。如有侵犯您的权利，请联系我们，本站会立即予以处理。