以下是引用片段：
先说一下什么是“DHCP”有什么作用。

1.1 DHCP是什么?
动态主机分配协议（DHCP）是一个简化主机IP地址分配管理的TCP/IP 标准协议。用户可以利用DHCP服务器管理动态的IP地址分配及其他相关的环境配置工作（如：DNS、WINS、Gateway的设置）。

在使用TCP/IP协议的网络上，每一台计算机都拥有唯一的计算机名和IP地址。IP地址（及其子网掩码）使用与鉴别它所连接的主机和子网，当用户将计算机从一个子网移动到另一个子网的时候，一定要改变该计算机的IP地址。如采用静态IP 地址的分配方法将增加网络管理员的负担，而DHCP可以让用户将DHCP服务器中的IP 地址数据库中的IP 地址动态的分配给局域网中的客户机，从而减轻了网络管理员的负担。用户可以利用Windows 2000 服务器提供的DHCP服务在网络上自动的分配IP地址及相关环境的配工作。

在使用DHCP时，整个网络至少有一台NT 服务器上安装了DHCP服务，其他要使用DHCP功能的工作站也必须设置成利用DHCP获得IP地址。如图 1所示是一个支持DHCP的网络实例！

一、DHCP服务器配置

设置DHCP服务器的（TCP/IP）属性

安装好DHCP 服务器

授权DHCP

授权成功，箭头变成绿色的

新建作用域

设置作用域名

配置作用域地址范围

指定要排除的IP

设定租约期限

配置服务器选项，它具有全局意义，对所有作用域有效

设置全局选项的DNS服务项

设置作用域的选项，它只对本作用域有效

设置作用域的网关选项

等所有设置完成后，再启动作用域，以防止客户机获取到不完整的信息

以下为设置好的作用域参数

由于还没有客户机获取IP，所以地址租约项为空

二、客户机配置及验证

设置TCP/IP属性为自动获取

进入MSDOS状态，使用 ipconfig /release 命令释放IP

使用 ipconfig /renew 命令获取IP，如图显示，获取成功，获取到地址池可用IP的第一个IP，可推论DHCP是按顺序分配IP的

使用 ipconfig /all 命令详细查看客户机的TCP/IP信息，网关和DNS跟服务器设置的一样

再次查看DHCP服务器的地址租约项，发现已经有了租约项目，就是刚才分配给客户机的IP

三 、进一步配置和验证

先在DHCP服务器上建立保留项，我们为刚才的客户机保留一个IP，192.168.1.88

在客户机上先释放再获取IP，显示获取到我们刚才保留给它的IP

四、DHCP相关配置参数的备份和还原

选择备份

选择备份路径，默认为 c:\windows\system32\dhcp\backup
这种方法只能备份作用域的信息

还需要通过备份注册表中的项来备份全局参数
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters

将备份好的注册表项和开始的bankup档夹复制到需要还原的DHCP服务器上

执行还原操作

导入备份的注册表项

查看DHCP服务器的各个项目，已经和正常状态一样了，还原成功

Windows 2003下DHCP服务器配置指南

结构介绍
　　
   [相关图片]

相关图片
[1]
DHCP 是 Dynamic Host Configuration Protocol(动态主机配置协议)缩写，它的前身是 BOOTP。BOOTP 原本是用于无磁盘主机连接的网络上面的：网络主机使用 BOOT ROM 而不是磁盘起动并连接上网络，BOOTP 则可以自动地为那些主机设定 TCP/IP 环境。但 BOOTP 有一个缺点：您在设定前须事先获得客户端的硬件地址，而且，与 IP 的对应是静态的。换而言之，BOOTP 非常缺乏 "动态性" ，若在有限的 IP 资源环境中，BOOTP 的一对一对应会造成非常可观的浪费。 DHCP 可以说是 BOOTP 的增强版本，它分为两个部份：一个是服务器端，而另一个是客户端。所有的 IP 网络设定数据都由 DHCP 服务器集中管理，并负责处理客户端的 DHCP 要求；而客户端则会使用从服务器分配下来的IP环境数据。比较起 BOOTP ，DHCP 透过 "租约" 的概念，有效且动态的分配客户端的 TCP/IP 设定，而且，作为兼容考虑，DHCP 也完全照顾了 BOOTP Client 的需求。 DHCP 的分配形式 首先，必须至少有一台 DHCP 工作在网络上面，它会监听网络的 DHCP 请求，并与客户端磋商 TCP/IP 的设定环境。它提供三种 IP 定位方式：
编辑本段地址分配
Manual Allocation
　　网络管理员为某些少数特定的Host绑定固定IP地址，且地址不会过期
Automatic Allocation
　　自动分配，其情形是：一旦 DHCP 客户端第一次成功的从 DHCP 服务器端租用到 IP 地址之后，就永远使用这个地址。
Dynamic Allocation
　　动态分配，当 DHCP 第一次从 DHCP 服务器端租用到 IP 地址之后，并非永久的使用该地址，只要租约到期，客户端就得释放(release)这个 IP 地址，以给其它工作站使用。当然，客户端可以比其它主机更优先的更新(renew)租约，或是租用其它的 IP 地址。 动态分配显然比自动
　　
   [相关图片]

相关图片
分配更加灵活，尤其是当您的实际 IP 地址不足的时候，例如：您是一家 ISP ，只能提供 200 个IP地址用来给拨接客户，但并不意味着您的客户最多只能有 200 个。因为要知道，您的客户们不可能全部同一时间上网的，除了他们各自的行为习惯的不同，也有可能是电话线路的限制。这样，您就可以将这 200 个地址，轮流的租用给拨接上来的客户使用了。这也是为什么当您查看 IP 地址的时候，会因每次拨接而不同的原因了(除非您申请的是一个固定 IP ，通常的 ISP 都可以满足这样的要求，这或许要另外收费)。当然，ISP 不一定使用 DHCP 来分配地址，但这个概念和使用 IP Pool 的原理是一样的。 DHCP 除了能动态的设定 IP 地址之外，还可以将一些 IP 保留下来给一些特殊用途的机器使用，它可以按照硬件地址来固定的分配 IP 地址，这样可以给您更大的设计空间。同时，DHCP 还可以帮客户端指定 router、netmask、DNS Server、WINS Server、等等项目，您在客户端上面，除了将 DHCP 选项打勾之外，几乎无需做任何的 IP 环境设定。
编辑本段工作原理
　　根据客户端是否第一次登录网络，DHCP 的工作形式会有所不同。
　　第一次登录的时候：
寻找 Server
　　当 DHCP 客户端第一次登录网络的时候，也就是客户发现本机上没有任何 IP 数据设定，它会向网络发出一个 DHCP DISCOVER 封包。因为客户端还不知道自己属于哪一个网络，所以封包的来源地址会为 0.0.0.0 ，而目的地址则为 255.255.255.255 ，然后再附上 DHCP discover 的信息，向网络进行广播。 在 Windows 的预设情形下，DHCP discover 的等待时间预设为 1 秒，也就是当客户端将第一个 DHCP discover 封包送出去之后，在 1 秒之内没有得到响应的话，就会进行第二次 DHCP discover 广播。若一直得不到响应的情况下，客户端一共会有四次 DHCP discover 广播(包括第一次在内)，除了第一次会等待 1 秒之外，其余三次的等待时间分别是 9、13、16 秒。如果都没有得到 D
   [相关图片]

相关图片
HCP 服务器的响应，客户端则会显示错误信息，宣告 DHCP discover 的失败。之后，基于使用者的选择，系统会继续在 5 分钟之后再重复一次 DHCP discover 的过程。
提供 IP 租用地址
　　当 DHCP 服务器监听到客户端发出的 DHCP discover 广播后，它会从那些还没有租出的地址范围内，选择最前面的空置 IP ，连同其它 TCP/IP 设定，响应给客户端一个 DHCP OFFER 封包。 由于客户端在开始的时候还没有 IP 地址，所以在其 DHCP discover 封包内会带有其 MAC 地址信息，并且有一个 XID 编号来辨别该封包，DHCP 服务器响应的 DHCP offer 封包则会根据这些资料传递给要求租约的客户。根据服务器端的设定，DHCP offer 封包会包含一个租约期限的信息。
接受 IP 租约
　　如果客户端收到网络上多台 DHCP 服务器的响应，只会挑选其中一个 DHCP offer 而已(通常是最先抵达的那个)，并且会向网络发送一个DHCP request广播封包，告诉所有 DHCP 服务器它将指定接受哪一台服务器提供的 IP 地址。 同时，客户端还会向网络发送一个 ARP 封包，查询网络上面有没有其它机器使用该 IP 地址；如果发现该 IP 已经被占用，客户端则会送出一个 DHCPDECLIENT 封包给 DHCP 服务器，拒绝接受其 DHCP offer ，并重新发送 DHCP discover 信息。 事实上，并不是所有 DHCP 客户端都会无条件接受 DHCP 服务器的 offer ，尤其这些主机安装有其它 TCP/IP 相关的客户软件。客户端也可以用 DHCP request 向服务器提出 DHCP 选择，而这些选择会以不同的号码填写在 DHCP Option Field 里面：
　　换一句话说，在 DHCP 服务器上面的设定，未必是客户端全都接受，客户端可以保留自己的一些 TCP/IP 设定。而主动权永远在客户端这边。
租约确认
　　当 DHCP 服务器接收到客户端的 DHCP request 之后，会向客户端发出一个
　　
   [相关图片]

相关图片
DHCPACK 响应，以确认 IP 租约的正式生效，也就结束了一个完整的 DHCP 工作过程。
　　DHCP 发放流程第一次登录之后： 一旦 DHCP 客户端成功地从服务器哪里取得 DHCP 租约之后，除非其租约已经失效并且 IP 地址也重新设定回 0.0.0.0 ，否则就无需再发送 DHCP discover 信息了，而会直接使用已经租用到的 IP 地址向之前之 DHCP 服务器发出 DHCP request 信息，DHCP 服务器会尽量让客户端使用原来的 IP 地址，如果没问题的话，直接响应 DHCPack 来确认则可。如果该地址已经失效或已经被其它机器使用了，服务器则会响应一个 DHCPNACK 封包给客户端，要求其重新执行 DHCP discover。 至于 IP 的租约期限却是非常考究的，并非如我们租房子那样简单， 以 NT 为例子：DHCP 客户端除了在开机的时候发出 DHCP request 请求之外，在租约期限一半的时候也会发出 DHCP request ，如果此时得不到 DHCP 服务器的确认的话，客户端还可以继续使用该 IP ；当租约期过了87.5%时，如果客户端仍然无法与当初的DHCP服务器联系上，它将与其它DHCP服务器通信。如果网络上再没有任何DHCP服务器在运行时，该客户端必须停止使用该IP地址，并从发送一个Dhcpdiscover数据包开始，再一次重复整个过程。要是您想退租，可以随时送出 DHCPRELEASE 命令解约，就算您的租约在前一秒钟才获得的。
　　跨网络的 DHCP 运作 从前面描述的过程中，我们不难发现：DHCP DISCOVER 是以广播方式进行的，其情形只能在同一网络之内进行，因为 router 是不会将广播传送出去的。但如果 DHCP 服务器安设在其它的网络上面呢？由于 DHCP 客户端还没有 IP 环境设定，所以也不知道 Router 地址，而且有些 Router 也不会将 DHCP 广播封包传递出去，因此这情形下 DHCP DISCOVER 是永远没办法抵达 DHCP 服务器那端的，当然也不会发生 OFFER 及其它动作了。要解决这个问题，我们可以用 DHCP Agent (或 DHCP Proxy )主机来接管客户的 DHCP 请求，然后将此请求传递给真正的 DHCP 服务器，然后将服务器的回复传给客户。这里，Proxy 主机必须自己具有路由能力，且能将双方的封包互传对方。 若不使用 Proxy，您也可以在每一个网络之中安装 DHCP 服务器，但这样的话，一来设备成本会增加，而且，管理上面也比较分散。当然喽，如果在一个十分大型的网络中，这样的均衡式架构还是可取的。视您的实际情况而定了。
编辑本段授权操作
　　出于对网络安全管理的考虑，并不是在Windows 2000Server中安装了DHCP功能后就能直接使用，还必须进行授权操作，未经授权操作的服务器无法提供DHCP服务。对DHCP服务器授权操作的过程如下： 1.依次点击“开始→程序→管理工具→DHCP”，打开DHCP控制台窗口。
　　2.在控制台窗口中，用鼠标左键点击选中服务器名，然后单击右键，在快捷菜单中选中“授权”，此时需要几分钟的等待时间。注意：如果系统长时间没有反应，可以按F5键或选择菜单工具中的“操作”下的“刷新”进行屏幕刷新，或先关闭 DHCP控制台，在服务器名上用鼠标右键点击。如果快捷菜单中的“授权”已经变为“撤消授权”，则表示对DHCP服务器授权成功。此时，最明显的标记是服务器名前面红色向上的箭头变成了绿色向下的箭头。这样，这台被授权的DHCP服务器就有分配IP的权利了。
编辑本段封包格式
　　以下为各字段的简要说
　　
   [相关图片]

相关图片
明：
　　OP
　　若是 client 送给 server 的封包，设为 1 ，反向为 2 。 HTYPE
　　硬件类别，Ethernet 为 1 。
　　HLEN
　　硬件地址长度， Ethernet 为 6 。
　　HOPS
　　若封包需经过 router 传送，每站加 1 ，若在同一网内，为 0 。
　　TRANSACTION ID
　　DHCP REQUEST 时产生的数值，以作 DHCPREPLY 时的依据。
　　SECONDS
　　Client 端启动时间(秒)。
　　FLAGS
　　从 0 到 15 共 16 bits ，最左一 bit 为 1 时表示 server 将以广播方式传送封包给 client ，其余尚未使用。
　　ciaddr
　　要是 client 端想继续使用之前取得之 IP 地址，则列于这里。
　　yiaddr
　　从 server 送回 client 之 DHCP OFFER 与 DHCPACK 封包中，此栏填写分配给 client 的 IP 地址。
　　siaddr
　　若 client 需要透过网络开机，从 server 送出之 DHCP OFFER、DHCPACK、DHCPNACK 封包中，此栏填写开机程序代码所在 server 之地址。
　　giaddr
　　若需跨网域进行 DHCP 发放，此栏为 relay agent 的地址，否则为 0 。
　　chaddr
　　Client 之硬件地址。
　　sname
　　Server 之名称字符串，以 0x00 结尾。
　　file
　　若 client 需要透过网络开机，此栏将指出开机程序名称，稍后以 TFTP 传送。
　　options
　　允许厂商定议选项(Vendor-Specific Area)，以提供更多的设定信息(如
　　
   [相关图片]

相关图片
：Netmask、Gateway、DNS、等等)。其长度可变，同时可携带多个选项，每一选项之第一个 byte 为信息代码，其后一个 byte 为该项数据长度，最后为项目内容。 CODE LEN VALUE 此字段完全兼容 BOOTP ，同时扩充了更多选项。其中，DHCP 封包可利用编码为 0x53 之选项来设定封包类别：
　　项值 类别
　　1 DHCP DISCOVER
　　2 DHCP OFFER
　　3 DHCP REQUEST
　　4 DHCPDECLIENT
　　5 DHCPACK
　　6 DHCPNACK
　　7 DHCPRELEASE
　　DHCP 的选项非常多，有空请查阅 RFC 或相关文献，并好好理解，这里不再叙述了。
编辑本段DHCP 协议
　　RFC-951、RFC-1084、RFC-1123、RFC-1533、RFC-1534、RFC-1497、RFC-1541
　　DHCP是可自动将IP位址指派给登入TCP/IP网络的用户端的一种软件，(此种IP位址称为「动态IP位址」)。这种软件通常是在路由器及其他网络设备上执行的。依照预先设定，您的GateLock路由器设定为使用DHCP，因此就无须手动指派永久IP位址给网络上的每个设备。建议不要改变这个设置，这样您的个人电脑就可以被分辨为DHCP服务器[2]。
　　1 dhcpdiscover: 此为client开始DHCP过程中的第一个请求报文
　　2 dhcpoffer : 此为server 对dhcpdiscover 报文的响应
　　3 dhcprequst : 此为client 对dihcpoffer 报文的响应
　　4 dhcpdeclient: 当client发现server 分配给它的IP地址无法使用，如 IP地址发生冲突时，将发出此报文让server禁止使用这次分配的IP地址。
　　5 dhcpack : server对 dhcprequst 报文的响应，client收到此报文后才真正获得了IP地址和相关配置信息。
　　6 dhcpnak : 此报文是server对client的dhcprequst报文的拒绝响应，client 收到此报文后，一般会重新开始DHCP过程。
　　7 dhcprelease :此报文是 client主动释放IP地址，当server 收到此报文后就可以收回IP地址分配给其他的client.
　　DHCP是BOOTP的扩展，是基于C/S模式的，它提供了一种动态指定
   [相关图片]

相关图片
IP地址和配置参数的机制。这主要用于大型网络环境和配置比较困难的地方。DHCP服务器自动为客户机指定IP地址，指定的配置参数有些和IP协议并不相关，但这必没有关系，它的配置参数使得网络上的计算机通信变得方便而容易实现了。DHCP使IP地址的可以租用，对于许多拥有许多台计算机的大型网络来说，每台计算机拥有一个IP地址有时候可能是不必要的。租期从1分钟到100年不定，当租期到了的时候，服务器可以把这个IP地址分配给别的机器使用。客户也可以请求使用自己喜欢的网络地址及相应的配置参数。
　　DHCP是对BOOTP的扩展，它的包格式和BOOTP也一样，这样它就可以使用BOOTP的中转发代理来发送DHCP包了，这使得BOOTP和 DHCP之间可以实现互操作。对于BOOTP转发代理来说，发的是DHCP包还是BOOTP包，它根本分不清楚。它们使用的服务器端口号是67和68，但是有些地方还有些不同：
　　DHCP定义了一种可以使IP地址使用一段有限时间的机制，在客户期限到了的时候可以重新分配这个IP地址。
　　DHCP为用户提供所有IP配置参数。
　　DHCP包长度比BOOTP包长度稍长。既然包比BOOTP的长，那也不是白带的，这多出的长度里包括了网络配置参数。
　　DHCP的包都比BOOTP的长，那协议也复杂了。DHCP有七种消息类型，而BOOTP只有两种。
　　下图中我们可以清楚地看到客户机请求获得网络地址和配置参数的最初几个步骤：
　　第一步的时候客户发出包的名称叫DHCPDISCOVER，而服务器返回包的名称叫DHCPOFFER。
　　1.BOOTP转发代理接收到请求包，并负责向DHCP其它网络内的DHCP服务器转发。
　　2.DHCP服务器以DHCPOFFER响应客户的要求，这个包内包括可用的IP地址和参数。
　　3.BOOTP转发代理接收包，并对它进行检查。如果它觉得没有问题，就向客户转发。
　　4.如果客户在发出DHCP DISCOVER 包后一段时间内没有接收到回应，它有机会重新发送请求10次，否则就通知用户。客户机可以同时接收到许多个服务器的应答，它可以自己决定用哪一个。下图是客户决定了以后，向服务器发送应答时的情况。
　　5.当客户选定了某个目标服务器后，它会广播DHCPREQUEST包，用以通知选定的服务器和未选定的服务器。
　　6.转发工作仍然由BOOTP转发担任。
　　7.收到DHCPREQUEST包服务器会检查收到的包，如果包内的地址和提供的地址一致，证明现在客户机选择的是这台服务器提供的地址，如果不是，自己提供的地址被拒绝了。
　　8.被选定的服务器在接收到DHCPREQUEST包以后，因为某些原因可能不能向客户提供这个网络地址或参数，它可以向客户发送DHCPNAK包，如果可以提供则可以发送DHCPACK包。
　　客户在收到包后，检查内部的网络地址和租用时间，如果客户觉得这个包有问题，它可以发送DHCPDECLIENT包拒绝这个地址，然后重新发送 DHCPDISCOVER包。如果觉得没有问题，就可以接受这个配置参数。同样当客户接收到DHCPNAK包时，它也可以发送DHCPDISCOVER 包。客户可以在租期到期之前释放网络地址，这通过发送DHCPRELEASE包来实现。
　　用户下一次可以再次获得相同的IP地址。在这一过程中，许多步骤就可以不用麻烦了，老客户当然要方便一点了。
　　1.客户在发送的DHCPREQUEST包内包括自己以前使用的IP地址。
　　2.此包由BOOTP转发代理转发。
　　3.DHCP服务器检查DHCPREQUEST包内包括的配置参数。
　　4.它如果是原来提供这个网络地址的参数的服务器，它会认出这些数来，并以DHCPACK包回应。
　　5.客户接收到DHCPACK包后，它可以接收或拒绝，如果拒绝它可以申请新的网络地址。
　　当然了，如果服务器觉得客户的请求是无效的，服务器会以DHCPNAK包响应，客户接收到这个包后，会重新会获得网络地址而发送DHCPDISCOVER包。
编辑本段服务器配置
安装DHCP服务
　　　在Windows Server 2003系统中默认没有安装DHCP服务，因此需要安装DHCP服务。
　　第1步 单击“开始”按钮，在“控制面板”中双击“添加或删除程序”图标，在打开的窗口左侧单击“添加/删除Windows组件”按钮，打开“Windows组件向导”对话框。
　　第2步 在“组件”列表中找到并勾选“网络服务”复选框，然后单击“详细信息”按钮，打开“网络服务”对话框。接着在“网络服务的子组件”列表中勾选“动态主机配置协议(DHCP)”复选框，依次单击“确定→下一步”按钮开始配置和安装DHCP服务。最后单击“完成”按钮完成安装。
　　提示:如果是在Active Directory(活动目录)域中部署DHCP服务器，还需要进行授权才能使DHCP服务器生效。本例的网络基于工作组管理模式，因此无需进行授权操作即可进行创建IP作用域的操作。
创建IP作用域
　　　要想为同一子网内的所有客户端电脑自动分配IP地址，首先要做就是创建一个IP作用域，这也是事先确定一段IP地址作为IP作用域的原因。下面开始创建IP作用域的操作。
　　第1步 依次单击“开始→管理工具→DHCP”，打开“DHCP”控制台窗口。在左窗格中右击DHCP服务器名称，执行“新建作用域”命令。
　　第2步 在打开的“新建作用域向导”对话框中单击“下一步”按钮，打开“作用域名”向导页。在“名称”框中为该作用域键入一个名称(如“CCE”)和一段描述性信息，单击“下一步”按钮。
　　小提示:这里的作用域名称只起到一个标识的作用，基本上没有实际应用。
　　第3步 打开“IP地址范围”向导页，分别在“起始IP地址”和“结束IP地址”编辑框中键入事先确定的IP地址范围(本例为“10.115.223.2～10.115.223.254”)。接着需要定义子网掩码，以确定IP地址中用于“网络/子网ID”的位数。由于本例网络环境为城域网内的一个子网，因此根据实际情况将“长度”微调框的值调整为“23”，单击“下一步”按钮(图3)。
　　第4步 在打开的“添加排除”向导页中可以指定排除的IP地址或IP地址范围。由于已经使用了几个IP地址作为其它服务器的静态IP地址，因此需要将它们排除。在“起始IP地址”编辑框中键入排除的IP地址并单击“添加”按钮。重复操作即可，接着单击“下一步”按钮。
　　第5步 在打开的“租约期限”向导页中，默认将客户端获取的IP地址使用期限限制为8天。如果没有特殊要求保持默认值不变，单击“下一步”按钮。
　　第6步 打开“配置DHCP选项”向导页，保持选中“是，我想现在配置这些选项”单选框并单击“下一步”按钮。在打开的“路由器(默认网关)”向导页中根据实际情况键入网关地址(本例为“10.115.223.254”)并依次单击“添加→下一步”按钮。
　　第7步 在打开的“域名称和DNS服务器”向导页中没有做任何设置，这是因为网络中没有安装DNS服务器且尚未升级成域管理模式.依次单击“下一步”按钮，跳过“WINS服务器”向导页打开“激活作用域”向导页。保持“是，我想现在激活此作用域”单选框选中状态，并依次单击“下一步”→“完成”按钮结束配置。
设置DHCP客户端
　　　安装了DHCP服务并创建了IP作用域后， 要想使用DHCP方式为客户端电脑分配IP地址，除了网络中有一台DHCP服务器外，还要求客户端电脑应该具备自动向DHCP服务器获取IP地址的能力，这些客户端电脑就被称作DHCP客户端。
　　因此我们对一台运行Windows XP的客户端电脑面前进行了如下设置:在桌面上右击“网上邻居”图标，执行“属性”命令。在打开的“网络连接”窗口中右击“本地连接”图标并执行“属性”，打开“本地连接 属性”对话框。然后双击“Internet协议(TCP/IP)”选项，点选“自动获得IP地址”单选框，并依次单击“确定”按钮。
　　提示:默认情况下端电脑使用的都是自动获取IP地址的方式，一般无需进行修改，只需检查一下就行了。
　　至此，DHCP服务器端和客户端已经全部设置完成了。在DHCP服务器正常运行的情况下，首次开机的客户端会自动获取一个IP地址并拥有八天的使用期限。
编辑本段创建新的 DHCP 用户或供应商类
　　创建新用户或供应商选项类启动 DHCP 管理器。 单击控制台树中的适用的 DHCP 服务器分支。 右击在的服务器，然后单击创建新的用户类的 定义用户类 ，或者单击 定义供应商类 创建一个新的供应商类。 单击 添加 。 在 新的类 的对话框键入一个描述性的标识名称，为新的选项，在 显示名称 框。 还可能会将其他信息添加到 说明 框。 键入数据以匹配的类 ID 由 ID 或 ASCII 下的 DHCP 客户端提供 DHCP 服务器服务使用。 若要为十六进制字节数字值输入数据，请单击文本框的左侧。 若要输入信息交换 (ASCII) 文本字符值为

4、多交换机环境（DHCP服务器和DHCP客户端位于同一VLAN）

环境：3560交换机自身作为DHCP服务器；PC1和PC2都位于vlan 10；PC1接3560的fa0/1口，PC2接2960的fa0/1口；两交换机互连口都是gi0/1

配置思路：

3560

设置地址池名称，地址池地址范围，租期，默认路由。

设置端口Fa0/1是access 端口类型。加入vlan 10 ，检查端口流速

G0/1以trunk类型加入vlan 10

2960

设置端口Fa0/1为access 端口类型，加入vlan 10 ，检查端口流速

端口G0/1为trunk类型，加入vlan 10 ，设置为信任端口

3560交换机相关配置：

　　

　　ip dhcp excluded-address 192.168.10.1

　　!

　　ip dhcp pool test

　　network 192.168.10.0 255.255.255.0

　　default-router 192.168.10.1

　　lease 8

　　!

　　ip dhcp snooping vlan 10

　　ip dhcp snooping information option allow-untrusted

以允许4506从DHCP SNOOPING UNTRUSTED端口接收带有OPTION 82的DHCP REQUEST报文
　　ip dhcp snooping

　　!

　　interface FastEthernet0/1

　　description : Connect to PC1

　　switchport access vlan 10

　　switchport mode access

spanning-tree portfast

　　ip dhcp snooping limit rate 15

　　!

　　interface GigabitEthernet0/1

　　description : Connect to C2960_Gi0/1

　　switchport trunk encapsulation dot1q

　　switchport mode trunk

　　ip dhcp snooping limit rate 360

　　 2960交换机相关配置：

　　ip dhcp snooping vlan 10

　　ip dhcp snooping

　　interface FastEthernet0/1

　　description : Connect to PC2

　　switchport access vlan 10

　　switchport mode access

　　spanning-tree portfast

　　ip dhcp snooping limit rate 15

　　！

　　interface GigabitEthernet0/1

　　description : Connect to C3560_Gi0/1

　　switchport mode trunk

　　ip dhcp snooping trust

　　 说明：

　　 本例中3560和2960同时开启了DHCP监听功能。从2960过来的DHCP请求报文是已经被插入了选项82信息，如果将3560的Gi0/1设置为信任端口，那么插入了82选项的DHCP请求报文是允许通过的，但不会为其建立DHCP监听绑定表。即3560上只有PC1的绑定条目，而没有PC2的绑定条目。

　　 如果此时同时部署DAI，IPSG，由于2960不支持这两项功能，对于3560来说，从2960上过来的数据可能存在IP欺骗和ARP欺骗等攻击，是不安全的。另一方面，由于3560没有PC2的绑定条目，而DAI和IPSG必须依赖DHCP监听绑定表。因此如果需要在3560上再部署DAI或者IPSG，就不能将3560的Gi0/1设置为信任端口。

　　 但是将3560的Gi0/1口设置为非信任端口以后，默认情况下，非信任端口将会丢弃收到的插入了82选项的DHCP请求报文。而从2960过来的DHCP请求报文又正好是被插入了选项82信息的。因此必须配置ip dhcp snooping information option allow-untrusted命令，否则3560将丢弃这些DHCP请求报文，接在2960上的PC2将得不到IP地址。只有配置了该命令以后，3560才会接收从2960发送的插入了选项82的DHCP报文，并为这些信息建立绑定条目。

DHCP Snooping的实例

　　 1、配置思路：

全局使能DHCP SNOOPING

VLAN下使能DHCP SNOOPING

在0/1端口设置为信任端口。端口类型是access

在0/2端口设置为不信任端口，端口类型是access

在不信任端口下设置限速功能。

在路由器（作为DHCP SERVER)下连接的端口配置端口的IP地址，使能相信中继。

创建地址池，地址池范围，租期。

排除掉已经使用的IP地址。

　　

1 单交换机（DHCP服务器和DHCP客户端位于同一VLAN）

　　 环境：Cisco IOS DHCP服务器（2821路由器）和PC客户端都位于vlan 10；路由器接在交换机的fa0/1，客户端接在fa0/2

　　 2960交换机相关配置：

　ip dhcp snooping vlan 10

　　ip dhcp snooping

　　!

　　interface FastEthernet0/1

　　description : Connect to IOS DHCP Server C2821_Gi0/0

　　switchport access vlan 10

　　switchport mode access

　　spanning-tree portfast

　　ip dhcp snooping trust

　　!

　　interface FastEthernet0/2

　　description : Connect to DHCP Client

　　switchport access vlan 10

　　switchport mode access

　　spanning-tree portfast

　　ip dhcp snooping limit rate 15

   ip address 192.168.10.1  255.255.255.0

　　 2821路由器相关配置：

　　

　　ip dhcp excluded-address 192.168.10.1 192.168.10.2

　　!

　　ip dhcp pool test

　　network 192.168.10.0 255.255.255.0

　　default-router 192.168.10.1

　　lease 8

　　!

　　interface GigabitEthernet0/0

　　description : Connect to C2960_Fa0/1

　　ip dhcp relay information trusted

　　ip address 192.168.10.2 255.255.255.0

　2 单交换机（DHCP服务器和DHCP客户端位于不同VLAN）

   192.168.2.2

         192.168.2.1    192.168.10.1

 

　 Cisco IOS DHCP服务器（2821路由器）的IP地址为192.168.2.2，位于vlan 2；DHCP客户端位于vlan 10；交换机为3560，路由器接在fa0/1，客户端接在fa0/2

配置思路：

在交换机上使能dhcp snooping 功能

在vlan 2 和vlan 10 使能DHCP SNOOPING功能

交换机的两个端口分别加入不同VLAN

设置服务器的vlan2 的IP地址：192.168.2.1

设置客户端的vlan10 的IP地址：192.168.10.1

在交换机上实现路由通信。

在路由器作为server的设置：

设置和交换机连接的端口IP地址：192.168.2.2

设置端口的网关为192.168.2.1

排除已经使用的地址：192.168.10.1 192.168.10.2

创建地址池，地址池的网段，默认路由192.168.10.1

和租期。

 

 

　　 3560交换机相关配置：

　ip routing

　　！

　　ip dhcp snooping vlan 2,10

　　ip dhcp snooping

　　!

　　interface FastEthernet0/1

　　description : Connect to IOS DHCP Server C2821_Gi0/0

　　switchport access vlan 2

　　switchport mode access

　　spanning-tree portfast

　　ip dhcp snooping trust

　　!

　　interface FastEthernet0/2

　　description : Connect to DHCP Client

　　switchport access vlan 10

　　switchport mode access

　　spanning-tree portfast

　　ip dhcp snooping limit rate 15

　　!

　　interface Vlan2

　　ip address 192.168.2.1 255.255.255.0

　　!

　　interface Vlan10

　　ip address 192.168.10.1 255.255.255.0

　　ip helper-address 192.168.2.2

　　 2821路由器相关配置：

　　no ip routing

　　!

　　ip dhcp excluded-address 192.168.10.1 192.168.10.2

　　!

　　ip dhcp pool test

　　network 192.168.10.0 255.255.255.0

　　default-router 192.168.10.1

　　lease 8

　　!

　　interface GigabitEthernet0/0

　　description : Connect to C3560_Fa0/1

　　ip address 192.168.2.2 255.255.255.0

　　!

　　ip default-gateway 192.168.2.1

　总结：　 对于交换机的客户端和服务器端口，配置不同网段的ip地址，并且设置好从server端的网关地址（和server端连接的交换机的IP地址），以及在地址池中设置路由地址，该地址是与客户端连接的交换机的地址。

一、采用DHCP服务的常见问题
    架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数，简化了
    网络配置，提高了管理效率。但在DHCP服务的管理上存在一些问题，常见的有：

    ●DHCP Server的冒充
    ●DHCP Server的DOS攻击，如DHCP耗竭攻击
    ●某些用户随便指定IP地址，造成IP地址冲突
    1、DHCP Server的冒充
    由于DHCP服务器和客户端之间没有认证机制，所以如果在网络上随意添加一台DHCP服务器，它就可以为客户端分配IP地址以及其他网络参数。只要让该DHCP服务器分配错误的IP地址和其他网络参数，那就会对网络造成非常大的危害。对于这类问题，采用设置信任端口，丢弃从非信任端口发送的DHCP 响应报文，从而防止server 的仿冒。

    2、DHCP Server的拒绝服务攻击
    通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR（也就是Client MAC address）字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的MAC地址是相同的。攻击者可以利用伪造MAC的方式发送DHCP请求，但这种攻击可以使用Cisco 交换机的端口安全特性来防止。端口安全特性（Port Security）可以限制每个端口只使用唯一的MAC地址。但是如果攻击者不修改DHCP请求报文的源MAC地址，而是修改DHCP报文中的CHADDR字段来实施攻击，那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端，所以攻击者可以通过大量发送伪造CHADDR的DHCP请求，导致DHCP服务器上的地址池被耗尽，从而无法为其他正常用户提供网络地址，这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS攻击，也可以与伪造的DHCP服务器配合使用。当正常的DHCP服务器瘫痪时，攻击者就可以建立伪造的DHCP服务器来为局域网中的客户端提供地址，使它们将信息转发给准备截取的恶意计算机。甚至即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的，但由于DHCP请求报文是广播报文，如果大量发送的话也会耗尽网络带宽，形成另一种拒绝服务攻击。对于这类问题，采用检查非信任端口的源MAC地址和CHADDR字段的一致性，不一致就会丢弃。同时，对每个非信任端口下进行限速，阻止DHCP请求报文的广播攻击。

    3、客户端随意指定IP地址
    客户端并非一定要使用DHCP服务，它可以通过静态指定的方式来设置IP地址。如果随便指定的话，将会大大提高网络IP地址冲突的可能性。通过使用IP Source Guard技术，非信任端口在没有发送DHCP REQUEST报文之前，不能发送其他报文。发送之后对端口进行IP/MAC/端口绑定，仅仅只有指定的IP能够连接网络，PC无法将自己的IP伪装成其他主机的IP。

  二、DHCP Snooping技术介绍

    DHCP监听（DHCP Snooping）是一种DHCP安全特性。Cisco交换机支持在每个VLAN基础上启用DHCP监听特性。通过这种特性，交换机能够拦截第二层VLAN域内的所有DHCP报文。

    DHCP监听将交换机端口划分为两类：

    ●非信任端口：通常为连接终端设备的端口，如PC，网络打印机等
    ●信任端口：连接合法DHCP服务器的端口或者连接汇聚交换机的上行端口

   1  通过开启DHCP监听特性，交换机限制用户端口（非信任端口）只能够发送DHCP请求，丢弃来自用户端口的所有其它DHCP报文，例如DHCP Offer报文等。

2 而且，并非所有来自用户端口的DHCP请求都被允许通过，交换机还会比较DHCP 请求报文的（报文头里的）源MAC地址和（报文内容里的）DHCP客户机的硬件地址（即CHADDR字段），只有这两者相同的请求报文才会被转发，否则将被丢弃。这样就防止了DHCP耗竭攻击。

3 信任端口可以接收所有的DHCP报文。通过只将交换机连接到合法DHCP服务器的端口设置为信任端口，其他端口设置为非信任端口，就可以防止用户伪造DHCP服务器来攻击网络。

4 DHCP监听特性还可以对端口的DHCP报文进行限速。通过在每个非信任端口下进行限速，将可以阻止合法DHCP请求报文的广播攻击。

5 DHCP监听还有一个非常重要的作用就是建立一张DHCP监听绑定表（DHCP Snooping Binding）。一旦一个连接在非信任端口的客户端获得一个合法的DHCP Offer，交换机就会自动在DHCP监听绑定表里添加一个绑定条目，内容包括了该非信任端口的客户端IP地址、MAC地址、端口号、VLAN编号、租期等信息。如：

   

Switch#show ip dhcp snooping binding MacAddress IpAddress Lease(sec) Type VLAN Interface ------------------ --------------- ---------- ------------- ---- ---------------- 00:0F:1F:C5:10:08 192.168.10.131 682463 dhcp-snooping 10 FastEthernet0/1

   

IPSG(IP Source Guard)：

IOS根据绑定表里面的内容把ACL应用到各个对应的端口，由ACL来过滤所有IP流量。PC没有发送DHCP Request时，PC连接的交换机端口默认是拒绝除了DHCP之外的所有数据的，因此PC使用的静态IP是无法连接网络的。PC发送DHCP Request之后，交换机对PC连接的端口进行了IP/MAC/Port的绑定，仅仅只有指定的IP能够连接网络，PC无法将自己的IP伪装成其他主机的IP。

 动态ARP检测

DAI(Dynamic ARP Inspection)动态ARP检测[1]依据一个信任的数据库（如手工配置或dhcp监听绑定表）中合法的ip对应MAC地址的条目来判断数据包的合法性。这个数据库可以手工指定配置或者在vlan中启用了dhcp监听动态学习建立。如果ARP数据包是在信任端口上接到的，交换机不会做任何检测直接转发数据包。如果是从不信任端口上接收到ARP数据包，交换机只会转发合法的数据包。在DHCP服务器存在的环境下，可以在每个VLAN中启用DHCP监听和ip arp inspection vlan命令来启用动态ARP检测。如果没有DHCP环境，用户需要使用ARP列表手工配置IP地址来启用动态ARP检测合法的数据包。

说明：

    对于用户设置静态地址上网，使网络地址冲突的问题： 非信任端口只允许客户端的DHCP请求报文通过，这里只是相对于DHCP报文来说的。其他非DHCP报文还是可以正常转发的。这就表示客户端可以以静态指定IP地址的方式通过非信任端口接入网络。由于静态客户端不会发送DHCP报文，所以DHCP监听绑定表里也不会有该静态客户端的记录。信任端口的客户端信息不会被记录到DHCP监听绑定表里。如果有一客户端连接到了一个信任端口，即使它是通过正常的DHCP方式获得IP地址，DHCP监听绑定表里也不有该客户端的记录。如果要求客户端只能以动态获得IP的方式接入网络，则必须借助于IPSG和DAI技术。IOS根据绑定表里面的内容把ACL应用到各个对应的端口，由ACL来过滤所有IP流量。PC没有发送DHCP Request时，PC连接的交换机端口默认是拒绝除了DHCP之外的所有数据的，因此PC使用的静态IP是无法连接网络的。PC发送DHCP Request之后，交换机对PC连接的端口进行了IP/MAC/Port的绑定，仅仅只有指定的IP能够连接网络，PC无法将自己的IP伪装成其他主机的IP。

    II.交换机为了获得高速转发，通常只检查报文的二层帧头，获得目标MAC地址后直接转发，不会去检查报文的内容。而DHCP监听本质上就是开启交换机对DHCP报文的内容部分的检查，DHCP报文不再只是被检查帧头了。

    IV. DHCP监听绑定表里的Lease列就是每个客户端对应的DHCP租约时间。当客户端离开网络后，该条目并不会立即消失。当客户端再次接入网络，重新发起DHCP请求以后，相应的条目内容就会被更新。如上面的00F.1FC5.1008这个客户端原本插在Fa0/1端口，现在插在Fa0/3端口，相应的记录在它再次发送DHCP请求并获得地址后会更新为：

  

Switch#show ip dhcp snooping binding or Switch#show ip source binding MacAddress 　　　　　IpAddress　　Lease(sec) 　　Type 　　VLAN 　　　Interface ------------------ 　　　--------------- 　　---------- 　　-------------　　 ---- 　　---------------- 00:0F:1F:C5:10:08 192.168.10.131 　691023 　　dhcp-snooping 10 　　FastEthernet0/3

    V.当交换机收到一个DHCPDECLINE或DHCPRELEASE广播报文，并且报文头的源MAC地址存在于DHCP监听绑定表的一个条目中。但是报文的实际接收端口与绑定表条目中的端口字段不一致时，该报文将被丢弃。

    ●DHCPRELEASE报文：此报文是客户端主动释放IP 地址（如Windows 客户端使用ipconfig/release），当DHCP服务器收到此报文后就可以收回IP地址，分配给其他的客户端了
    ●DHCPDECLINE报文：当客户端发现DHCP服务器分配给它的IP地址无法使用（如IP地址发生冲突）时，将发出此报文让DHCP服务器禁止使用这次分配的IP地址。

    VI. DHCP监听绑定表中的条目可以手工添加。

    VII. DHCP监听绑定表在设备重启后会丢失，需要重新绑定，但可以通过设置将绑定表保存在flash或者tftp/ftp服务器上，待设备重启后直接读取，而不需要客户端再次进行绑定

    VIII. 当前主流的Cisco交换机基本都支持DHCP Snooping功能。

绑定表允许的数目是多少？

什么是动态远ARP检查特性？

DAI检查用于检查所有面向用户的ARP请求和答复。以保证请求和答复面向所有ARP请求的所有者。ARP所有者指DHCP绑定与ARP答复中包含的IP地址匹配的端口。来自DAI的可信任端口可以不检查，通过桥接直接到达VLAN，这个特性可以直接在VLAN上配置。

 

DHCP（动态主机配置协议）可以帮助我们很多IT朋友省不少事。

    大大减少了IT环境管理人员的工作量，也是我们最常使用的网络服务之一。

   针对同一广播域，不接收单播必须置1 ，能接受单播置0 。对于广播报文都能接收。

    我们在DHCP服务器上抓到了DHCP全广播的工作过程从discover 到 ACK。

如果DHCP客户端与DHCP服务器在同一个物理网段，则客户机可以正确地获得动态分配的ip地址。如果不在同一个物理网段，则需要DCHP Relay Agent(中继代理)。用DHCP Relay代理可以去掉在每个物理的网段都要有DHCP服务器的必要,它可以传递消息到不在同一个物理子网的DHCP服务器，也可以将服务器的消息传回给不在同一个物理子网的DHCP客户机。

第一步、以数据包的形式图解一下DHCP中继代理的过程（可以理解为帮助客户机把广播以单播的形式传给DHCP服务器）：

   

 

第二步、我们在DHCP服务器上抓到了由DHCP中继代理转发过来的Discover到ACK的过程，大家会注意下图中源MAC地址是中继服务器，目标MAC地址是DHCP SERVER，单播传送。

   

 

第三步、我们一起来看一下在中继代理上与客户机在同一广播域的网卡接口（本地连接2）上抓取到的数据包：客户端2次发送广播报文，中继回应单播报文。

   

 

第四步、在DHCP中继代理与DHCP服务器相连的接口（本地连接）上抓到的数据包如下，从源mac是中继，目的mac是服务器，全部是单播：

   

 

    经过以上请求，我们可以看到DHCP中继代理的工作过程：将客户机的DHCP广播请求（Discover和Request）以单播的形式传递给DHCP服务器，同时将DHCP服务器的响应（Offer和ACK）以单播的形式传递给客户机。mac地址随着报文的转发位置不同进行更改。

 

ATM 是异步转移模式。通过信元实现信息的传输，复接和交换，将图像，声音和数据分解成定长的信息并在信息头部添加地址，优先级控制信息的信头构成信元。

ATM的目标，就是对任何形式的业务分布都能达到最佳的网络资源利用率。要达到这一目标就需要对网络资源进行统计复用。统计复用就是根据各种各种业务的统计特性，在保证各种网络资源的传输质量情况下，在各类业务间动态的分配网络资源。