DHCP技术白皮书
华为技术有限公司Huawei Technologies Co., Ltd.
目 录
1 概述 (1)
1.1 DHCP产生的背景 (1)
1.2 DHCP协议简介 (2)
1.3 DHCP报文格式 (3)
1.4 DHCP相关概念 (4)
2 DHCP实现原理 (4)
3 DHCP状态机 (6)
4 DHCP功能特点 (8)
5 华为支持的DHCP基本功能 (9)
5.1 BOOTP CLIENT功能 (9)
5.2 DHCP CLIENT功能 (10)
5.3 DHCP SERVER功能 (11)
5.4 DHCP RELAY功能 (15)
6 华为支持的DHCP扩展功能 (17)
6.1 DHCP SECURITY功能 (17)
6.2 DHCP SECURITY 增强功能 (19)
6.3 DHCP SNOOPING功能 (19)
7 DHCP的典型组网应用 (20)
7.1 在本网段内申请地址 (20)
7.2 跨网段申请地址 (21)
7.3 DHCP 应用综合组网图 (23)
8 与其它功能配合使用情况 (25)
8.1 与Portal配合使用 (25)
8.2 与802.1X配合使用 (26)
9 我司DHCP特性解决方案综合分析 (26)
10 附录 (27)
10.1 DHCP的相关标准 (27)
10.2 DHCP各个模块缺省配置 (27)
10.3 DHCP特性综合配置注意事项 (28)
10.4 DHCP OPTION说明 (28)
DHCP技术白皮书
摘要
本文介绍了DHCP的基本技术和典型应用.
关键词
DHCP,DHCP SERVER,DHCP RELAY, DHCP CLIENT,DHCP SNOOPING,DHCP SECURITY,BOOTP CLIENT。
一概述
1.1DHCP产生的背景
连接到Internet的每台计算机需要在发送或接收数据报前知道其IP地址。另外,计算机还需要其他信息,如路由器的地址、使用的子网掩码和名字服务器的地址。BOOTP协议
(BOOTSTRAP PROTOCOL),是一种较早出现的远程启动的协议,通过与远程服务器通信以获取通信所需的必要信息,主要用于无磁盘的客户机从服务器得到自己的IP地址、服务器的IP 地址、启动映象文件名、网关IP等等。BOOTP协议使用TCP/IP网络协议UDP的67/68通讯端口。
BOOTP设计用于相对静态的环境,其中每台主机都有一个永久的网络连接。管理人员创建一个BOOTP配置文件,该文件定义了每台主机的一组BOOTP参数。由于配置通常保持不变,该文件不会经常改变。典型情况下,配置将保持数星期不变。
随着网络规模的不断扩大、网络复杂度的不断提高,网络配置也变得越来越复杂,在计算机经常移动(如便携机或无线网络)和计算机的数量超过可分配的IP地址等情况下,原有针对静态主机配置的BOOTP协议已经越来越不能满足实际需求。为方便用户快速地接入和退出网络、提高IP地址资源的利用率以及支持无盘网络工作站等应用,需要在BOOTP基础上制定一种自动机制来进行IP地址的分配。
为处理自动地址分配,IETF设计了一个新协议,即动态主机配置协议DHCP(Dynamic Host Configuration Protocol)。此协议从两种方式上扩充了BOOTP。首先,DHCP可使计算机通过一个报文获取所需的全部配置信息。例如:DHCP报文除能获取IP地址外,还能获取子网掩码。第二,DHCP允许计算机快速、动态的获取IP地址。为使用DHCP的动态地址分配机制,管理员必须配置DHCP服务器,使其能提供一组IP地址,称之为地址池。任何时候一旦有新的计算机连接到网络上,该计算机就与服务器联系,并申请一个IP地址。服务器从配置的地址池
中选择一个地址,并将它分配给该计算机。
为做到通用,DHCP允许分配三种类型的地址,管理员可以选择DHCP如何响应每个网络或每台主机。首先,DHCP允许手工配置,管理人员可以为特定的某台计算机配置特定的地址;其次,DHCP也允许自动配置,管理人员允许DHCP服务器为第一次上网的机器分配一个永久地址;同时,DHCP允许完全动态分配,服务器可以使计算机在一段有限时间内“租用”一个地址。
1.2DHCP协议简介
DHCP是Dynamic Host Configuration Protocol的缩写,它的前身是BOOTP。
DHCP可以说是BOOTP的增强版本,它分为两个部分:一个是服务器端,而另一个是客户端。所有的IP网路设定资料都由DHCP服务器集中管理,并负责处理客户端的DHCP要求,而客户端则会使用从服务器分配下来的IP环境资料。
DHCP共有八种报文,分别为DHCPDISCOVER,DHCPOFFER,DHCPREQUEST,DHCPACK,DHCPNAK,DHCPRELEASE,DHCPDECLINE,DHCPINFORM。
报文类型分析如下:
?DHCPDISCOVER报文: DHCP CLIENT请求地址时,并不知道DHCP SERVER的位置,因此CLIENT 会在本地网络内以广播的方式发送请求报文,这个报文称为DISCOVER,目的是发现网络中的DHCP SERVER,因为所有收到DISCOVER报文的SERVER都会发送回应报文,CLIENT据此可以知道网络中存在的SERVER的位置。
?DHCPOFFER报文:DHCP SERVER收到DISCOVER报文后,就会在所配置的地址池中查找一个合适的IP地址,加上相应的租约期限和其他配置信息(如GATEWAY,DNS SERVER等),构造一个OFFER报文,发送给用户,告知用户本SERVER可以为其提供IP地址的分配。 ?DHCPREQUEST报文:DHCP CLIENT可能会收到很多OFFER,所以必须在这些回应中选择一个,也就是选择一个SERVER作为自己的目标SERVER。CLIENT通常选择第一个回应OFFER 报文的SERVER作为自己的目标SERVER,并回应一个REQUEST报文,通知SERVER它已经被选中。
?DHCPACK报文:DHCP SERVER收到REQUEST报文后,根据REQUEST报文中携带的用户MAC来查找有没有相应的租约记录,如果有则发送ACK报文作为回应,通知用户可以使用分配的IP地址。
?DHCPNAK报文:如果DHCP SERVER收到REQUEST报文后,没有发现有相应的租约记录或者由于某些原因无法正常分配IP地址,则发送NAK报文作为回应,通知用户无法分配合适IP地址。
?DHCPRELEASE报文:当用户不再需要使用分配的IP地址时,就会主动向DHCP SERVER发送DHCPRELEASE报文,告知SERVER用户不再需要分配的IP地址,SERVER会释放被绑定的租约。
?DHCPDECLINE报文:DHCP CLIENT收到SERVER回应的ACK报文后,通过地址冲突检测发现SERVER分配的地址冲突或由于其它原因导致不能使用,则发送DHCPDECLINE报文,通知SERVER所分配的IP地址不可用。
?DHCPINFORM报文:DHCP CLIENT如果需要从SERVER端获取更为详细的配置信息,则发送DHCPINFORM报文向SERVER进行请求,SERVER收到该报文后,将根据租约进行查找,找到相应的配置信息后,发送DHCPACK报文回应CLIENT。
1.3DHCP报文格式
DHCP报文格式如下表所示:
0字节 1字节 2字节 3字节 op(1) htype(1) hlen(1) hops(1)
xid(4)
secs(2) flags(2)
ciaddr(4)
yiaddr(4)
siaddr(4)
giaddr(4)
chaddr(16)
sname(64)
file(128)
options(variable)
表1-1 DHCP 报文格式
DHCP报文的各个字段的具体说明如下:
op :和BOOTP兼容,只有BOOTREQUEST = 1和BOOTREPLY = 2两个取值,具体的消息类别在数据包的尾部的OPTIONS中。
htype :硬件类型代码。
hlen :硬件地址长度。[系统目前只对10mb以太网支持,硬件地址长度应该固定为6] hops :客户端清0。DHCP中继服务器在提供中继服务的时候使用。
xid :一个由客户端软件产生的随机数,用于识别请求和应答消息匹配。
secs :客户进入IP地址申请进程的时间或者更新IP地址进程的时间;由客户端软件根据情况设定。
flags :标志字段。这个16 比特的字段,目前只有最左边一个BIT有用。
ciaddr :客户的IP地址。只有在客户端处于BOUND,RENEW,REBINDING 的状态下发送消息的时候才设置。可以用来响应ARP协议。
yiaddr :由DHCP服务器分配给客户端的IP地址。
siaddr :表明DHCP协议流程的下一个阶段要使用的服务器的地址。
giaddr :DHCP中继器的IP地址。
chaddr : 客户端的硬件地址。
sname : 服务器的主机名。
file : 启动文件名字。
options :除IP地址之外的所有其他的子选项都放在这里。
1.4DHCP相关概念
DHCP SERVER : DHCP服务器,为用户提供可用的IP地址。
DHCP CLIENT : DHCP客户端,通过DHCP动态申请IP地址的用户。
DHCP RELAY : DHCP中继,用户跨网段申请IP地址时,实现报文的中继转发功能。
DCHP SECURITY : DHCP安全特性,实现合法用户IP地址表的管理功能。
DHCP SNOOPING : DHCP监听,记录通过二层设备申请到IP地址的用户信息。
二DHCP实现原理
DHCP客户端实际上是一个接口级的概念,一台主机若包含多个以太网接口,则该主机的每一个以太网接口都可以配置成一个独立的DHCP客户端。
交换机上实现的DHCP客户端特性,比主机上实现的DHCP客户端特性要简单一些。
为了获取并使用一个合法的动态IP地址,在不同的阶段,
DHCP客户端需要与服务器之间
交互不同的信息,两者的交互包括以下几个过程:
DHCP Client
DHCP Client
DHCP Server
DHCP Client
DHCP Server
DHCP Client
DHCP Servers
图2-1 DHCP交互过程 1、发现阶段,即DHCP客户机寻找DHCP服务器的阶段。因为DHCP服务器的IP地址对于客
户机来说是未知的,所以DHCP客户机以广播方式发送DHCP DISCOVER发现信息来寻找DHCP服
务器,即向地址255.255.255.255发送特定的广播信息。网络上每一台安装了TCP/IP协议的
主机都会接收到这种广播信息,但只有DHCP服务器才会做出响应。
2、提供阶段,即DHCP服务器提供IP地址的阶段。在网络中接收到DHCP DISCOVER发现信
息的DHCP服务器都会做出响应,它从尚未出租的IP地址中挑选一个分配给DHCP客户机,向
DHCP客户机发送一个包含出租的IP地址和其他设置的DHCP OFFER提供信息。
3、选择阶段,即DHCP客户机选择某台DHCP服务器提供的IP地址的阶段。如果有多台DHCP
服务器向DHCP客户机发来的DHCP OFFER提供信息,则DHCP客户机只接收第一个收到的
DHCP OFFER提供信息,然后它就以广播方式回答一个DHCP REQUEST请求信息,该信息中包含
向它所选定的DHCP服务器请求IP地址的内容。之所以要以广播方式回答,是为了通知所有的
DHCP服务器,他将选择某台DHCP服务器所提供的IP地址。
4、确认阶段,即DHCP服务器确认所提供的IP地址的阶段。当DHCP服务器收到DHCP客户机回答的DHCP REQUEST请求信息之后,它便向DHCP客户机发送一个包含它所提供的IP地址和其他设置的DHCP ACK确认信息,告诉DHCP客户机可以使用它所提供的IP地址。然后DHCP客户机便将获取到的IP地址与网卡绑定,另外,除DHCP客户机选中的服务器外,其他的DHCP服务器都将收回曾提供的IP地址。
5、重新登录。以后DHCP客户机每次重新登录网络时,就不需要再发送DHCP DISCOVER 发现信息了,而是直接发送包含前一次所分配的IP地址的DHCP REQUEST请求信息。当DHCP 服务器收到这一信息后,它会尝试让DHCP客户机继续使用原来的IP地址,并回答一个DHCP ACK确认信息。如果此IP地址已无法再分配给原来的DHCP客户机使用时(比如此IP地址已分配给其它DHCP客户机使用),则DHCP服务器给DHCP客户机回答一个DHCP NAK否认信息。当原来的DHCP客户机收到此DHCP NAK否认信息后,它就必须重新发送DHCP DISCOVER发现信息来请求新的IP地址。
6、更新租约。DHCP服务器向DHCP客户机出租的IP地址一般都有一个租借期限,期满后DHCP服务器便会收回出租的IP地址。如果DHCP客户机要延长其IP租约,则必须更新其IP租约。DHCP客户机启动时和IP租约期限过一半时,DHCP客户机都会自动向DHCP服务器发送更新其IP 租约的信息。
3 DHCP状态机
DHCP中定义了八种状态,分别为INIT状态,SELECTING状态,REQUESTING状态,BOUND 状态,RENEWING状态,REBINDING状态,REBOOT状态和HALT状态。
其中前七种为RFC2131中定义的,HALT状态是我司实现DHCP协议时加入的一个状态,表示DHCP CLIENT处于停用状态。
状态迁移图如下所示:
图3-1 DHCP状态迁移图
下面对这八种状态进行详细分析:
?INIT状态:当用户第一次启动时,进入初始化状态,为了获取一个IP地址,用户首先要与本地网络上所有的DHCP服务器联系。为此,用户广播一个DHCPDISCOVER报文,并转换到SELECTING状态。
?SELECTING状态:当用户处于SELECTING状态时,用户从DHCP服务器收集DHCPOFFER响应。
每个响应提供了用户的配置信息,还有服务器给用户提供可以租用的一个IP地址。用户必须选择其中一个响应(一般为最先到达的响应),并与服务器协商租用。为此,用户给服务器发送一个DHCPREQUEST报文,并转换到REQUESTING状态。
?REQUESTING状态:为了确认已经接收请求并开始租用,服务器在收到用户的DHCPREQUEST 报文后,发送一个DHCPACK报文进行响应。用户收到确认后转换到BOUND状态。
?BOUND状态:用户收到SERVER的确认报文后,将分配的IP地址与网卡绑定,开始使用该IP地址。
?RENEWING状态:当租约定时器到期时,用户发送DHCPREQUEST报文到分配该IP地址的服务器进行续约,然后用户转换到RENEWING状态等待。
?REBINDING状态:用户在进行续约时,如果重绑定定时器到期时用户还是没有收到DHCP SERVER的ACK回应报文,则在本地网络内广播DHCPREQUEST报文,并转换到REBINDING状态等待回应。若在原服务器分配的IP地址到期之前用户收到了原服务器的回应报文,则重新转换到BOUND状态,使用原IP地址。若在原服务器分配的IP地址到期之前用户没有收到原服务器的回应报文,则重新转换到初始化状态重新申请IP地址。
?REBOOT状态:为用户的重启动状态,此时用户直接发送DHCPREQUEST报文,申请上一次使用的IP地址,并等待DHCP SERVER的回应报文。
?HALT状态:停止状态。用户不再需要使用分配的IP地址时,会主动向DHCP SERVER发送DHCP RELEASE报文,通知SERVER释放被绑定的租约,并转换到停止状态。
4 DHCP功能特点
DHCP的主要功能是
1、DHCP允许计算机快速、动态的获取IP地址。
2、DHCP报文除能获取IP地址之外,还能获取例如子网掩码等租用地址的详细信息。
DHCP服务的优点:
1、网络管理员可以验证IP地址和其它配置参数,而不用去检查每个主机;
2、DHCP不会同时租借相同的IP地址给两台主机;
3、DHCP管理员可以约束特定的计算机使用特定的IP地址;
4、可以为每个DHCP作用域设置很多选项;
5、客户机在不同子网间移动时不需要重新设置IP地址。
DHCP服务的缺点:
1、DHCP不能发现网络上非DHCP客户机已经在使用的IP地址;
2、当网络上存在多个DHCP服务器时,一个DHCP服务器不能查出已被其它服务器租出去
的IP地址;
3、DHCP服务器不能跨路由器与客户机通信,除非路由器允许DHCP转发。
5华为支持的DHCP基本功能
华为公司支持的DHCP基本功能包括BOOTP CLIENT、DHCP CLIENT、DHCP SERVER、DHCP RELAY 四个部分。
这里主要介绍DHCP基本功能的功能特点、工作过程以及基本的实现原理,具体操作和命令的使用请参考操作手册和命令手册。
5.1 BOOTP CLIENT功能
BOOTP协议(BOOTSTRAP PROTOCOL),是一种较早出现的远程启动的协议,通过与远程服务器通信以获取通信所需的必要信息,主要用于无磁盘的客户机从服务器得到自己的IP 地址、服务器的IP地址、启动映象文件名、网关IP等等。BOOTP协议使用TCP/IP网络协议UDP 的67/68通讯端口。
BOOTP协议的工作过程为:
第1步,由BOOTROM芯片中的BOOTP启动代码启动客户机,此时客户机还没有IP地址,它就用广播形式以IP地址0.0.0.0向网络中发出IP地址查询的请求,这个请求帧中包含了客户机的网卡MAC地址。
第2步,网络中的运行BOOTP服务的服务器接收到的这个请求帧,根据这帧中的MAC地址在BOOTP启动数据库中查找这个MAC的记录,如果没有此MAC的记录则不响应这个请求,如果有就将FOUND帧发送回客户机。FOUND帧中包含的主要信息有客户机的IP地址、服务器的IP 地址、硬件类型、网关IP地址、客户机MAC地址和启动映象文件名等。
第3步,客户机根据FOUND帧中的信息通过TFTP服务器下载启动映象文件,并将此文件模拟成磁盘,从这个模拟磁盘启动。
目前我们所使用的BOOTP CLIENT已经做了扩展(包括我司的交换机和2000系统的实现),实现与DHCP CLIENT类似,但较为简单,没有状态机。
BOOTP协议工作过程示意图如下所示:
Server
Client
图5-1 BOOTP服务工作过程示意图
BOOTP服务存在的缺陷:
?BOOTP设计用于相对静态的环境,其中每台主机都有一个永久的网络连接。管理员创建一个BOOTP配置文件,该文件定义了每台主机的一组BOOTP参数。
?如果计算机保持位置不便,而且管理者有足够的IP地址为每台机器分配唯一的地址,静态参数分配将工作的很好。但随着无线联网和移动便携技术的发展,BOOTP已经变得不再合适了。
?若DHCP SERVER分配的IP地址不可用(例如IP地址冲突),不能自动重新申请一个新的IP地址,而需要管理员来处理。
5.2 DHCP CLIENT功能
DHCP CLIENT是DHCP服务的客户端,是整个DHCP活动的触发者和驱动者,通过DHCP 报文和SERVER进行交互,得到IP地址和相关配置信息。
DHCP CLIENT的工作过程为:
?DHCP CLIENT开始申请IP地址时,发出广播的DISCOVER报文,收到回应的OFFER,然后发出广播的REQUEST报文,收到回应的ACK,这样就得到地址。
?对SERVER分配的IP地址进行有效性检测,若分配的IP地址不可用(例如地址冲突等),则自动迁移到初始状态重新申请地址。
?到达续约时间后(租约的一半),发出单播的REQUEST报文进行续约,如收到ACK 后更新租约,如收到NAK后,则重新发起申请过程。
?如果单播的续约报文没有回应,到达重新绑定时间后(租约的7/8)会发送广播的
续约报文。
?CLIENT重启后不进行DISCOVER的申请,而是直接发送REQUEST报文给SERVER。
?CLIENT在进行申请地址时,报文中的Requested IP address字段会填入之前使用过的IP地址,如果这时SERVER认为可以使用那么就进行分配,如果该地址有人使用了,SERVER回应NAK,CLIENT收到后重新进行申请,该字段置空。
DHCP CLIENT工作过程示意图如下所示:
DHCP Client
DHCP Server
图5-2 DHCP CLIENT工作过程示意图
DHCP服务解决了BOOTP服务存在的缺陷,相对于BOOTP,动态地址分配是DHCP最重要、最新颖的功能。第一,与BOOTP所用的静态地址分配不同,动态地址分配不是一对一的映射,而且服务器不需要预先知道客户的身份。第二,而且,DHCP服务器可以配置成任一个机器都可以获取IP地址并开始通信。
因此,DHCP使得设计自动配置的系统成为可能。一台计算机上网后,它使用DHCP获取一个IP地址,然后配置其TCP/IP软件使用此地址。总之,由于DHCP允许一台主机无人干预即可获得通信所需的全部参数,所以DHCP是允许自动配置的。这些都是DHCP优于BOOTP的方面。
5.3 DHCP SERVER功能
DHCP SERVER是DHCP服务的提供者,它通过DHCP报文与DHCP CLIENT进行交互,为各种类型的用户分配合适的IP地址,并可以根据需要进行地址池和其它网络参数的相关配置。
DHCP SERVER实现的主要功能为:
1、创建和删除地址池
网络管理员在DHCP SERVER上创建地址池。当CLIENT向SERVER提出DHCP请求的时候,SERVER将从IP地址池中取得空闲的IP地址以及其他的参数给CLIENT。一个SERVER可能有一个或多个地址池。创建地址池后还需要把这个地址池的其他必要参数都配置上才是可用的地址池。
DHCP SERVER可以配置网络地址池和主机地址池两种类型的地址池。网络地址池用于为用户提供动态分配的IP地址,主机地址池用于为用户提供管理员静态绑定的IP地址。
网络地址池又可以分为全局地址池和接口地址池,全局地址池可以为所有用户提供IP 地址分配,接口地址池只为本虚接口下直连用户提供IP地址的分配。
2、配置地址池的相关参数
系统可以对地址池配置DNS、Domain Name、WINS、netbios-node-type等参数,用于CLIENT的网络配置。具体操作和配置请参考操作手册和命令手册中的网络协议操作第六章。
3、处理CLIENT发送来的DHCP报文
DHCP SERVER共接收以下五种DHCP报文:
?DHCPDISCOVER
?DHCPREQUEST
?DHCPDECLINE
?DHCPRELEASE
?DHCPINFORM
对每一种报文的处理如下:
1、DHCPDISCOVER
(1)检查地址池是否有可分配地址,如果没有,则向系统管理员报告;如果有,按照如下的优先顺序进行选择:
?当前绑定中的当前地址;
?CLIENT的以前地址(现在已经expire或是release了,并且是available的);
?在Requested IP Address option中并且valid and available.;
?从地址池中分配一个可用地址,根据消息所接收到的子网字段(subnet,giaddr=0)或是根据中继代理(relay agent)的地址(giaddr<>0)进行分配。
(2)选定租约:根据选定IP地址来决定用户的绑定租约。
(3)处理CLIENT请求的其它网络参数。
(4)发送回应的OFFER报文。
2、DHCPREQUEST
DHCPREQUEST的三个来源:
?CLIENT响应SERVER的DHCPOFFER;
?CLIENT确认一个先前分配的IP地址;
?CLIENT请求延长某个网络地址的LEASE;
如果DHCPREQUEST包括一个SERVER IDENTIFIER OPTION,则是情形1,否则是情形2或者3。
如果REQUEST包中有CLIENT IDENTIFIER或是LIST OF REQUESTED PARAMETERS,那么CLIENT必须在以后的报文中都包含它们(或其中的某一个)。
DHCP SERVER根据收到的REQUEST报文的类型进行不同的处理,若可以分配合法的IP地址,则回应CLIENT一个DHCPACK报文。
3、DHCPDECLINE
若CLIENT发现SERVER分配的IP地址不可用(例如IP地址冲突),则向SERVER发
送一个DHCPDECLINE报文,SERVER将该网络地址标记为NOT AVAILABLE。
4、DHCPRELEASE
SERVER将CLIENT回应的非法网络地址标记为NOT ALLOCATED。它同时应该保持这个CLIENT的初始化参数,以便将来的REUSE。
5、DHCPINFORM
CLIENT向SERVER发送DHCPINFORM报文用于请求SERVER分配给CLIENT租约的详细信息,包括所属地址池的详细配置等信息。
4、给CLIENT分配一个可用的IP地址
SERVER按照以下优先级为CLIENT分配IP地址
?按照SERVER数据库中与CLIENT绑定的地址(已经分配给该CLIENT并且还没有过期的);?CLIENT以前曾经使用过的地址(以前分配给过该CLIENT,但已经过期;当该地址链为空时,自动从出租地址链中重新获得过期地址);
?DHCPDISCOVER包中请求IP地址选项(requested ip addr option)中的地址(用户上次释放过的IP地址);
?地址池中可用的地址顺序进行查找,将最先找到的并且没有冲突的地址返回;
?检测冲突地址链中的冲突地址,如果可以使用,则重新分给用户;
?从正常分配出去的地址中为CLIENT的DISCOVER请求分配地址(用于DHCP SERVER收到非法攻击导致IP地址耗尽的情况);
?如果未找到可用地址,向管理员报告错误。
5、为CLIENT处理延长租期的请求
CLIENT在分配租约使用一半时间后,会主动向SERVER申请继续使用该IP地址,SERVER 对CLILENT的续约请求进行处理,若发现请求的IP地址可用,则回应ACK报文给CLIENT,告知可以继续使用该IP地址,并更新相应的租约和定时器信息。
6、设定或释放保留地址
保留地址是DHCP协议的IP地址池中不分配的地址段。一旦设定为保留地址后,这个区间的IP地址就不再参加整个IP地址池的分配而保留起来,将保留地址的起始地址和结束地址记录到该IP地址池的参数中。
7、探测分配IP地址的活动情况
在DHCP SERVER向客户端分配IP地址时,SERVER首先需要确认所分配的IP没有被网络上的其他设备所使用,这就需要SERVER发送ICMP(ping)的数据包来对所分配的IP进行探测。
SERVER对需要探测的IP地址发送ping数据包,如果在规定的时间内没有应答(默认情况下是500 ms),那么SERVER就会再次发送ping数据包。到达规定的次数(默认情况下是2次)后,如果仍没有应答,则所分配的IP地址可用。否则系统将向管理员报告出错信息。探测IP 地址不影响SERVER对其它CLIENT的响应。
如果IP地址可用,SERVER将继续完成IP地址的配置。否则报告出错信息。
8、配置相关网络参数以告知CLIENT
DHCP SERVER可以配置以下网络参数并通过交互报文告知CLIENT:
?配置CLIENT网关地址;
?配置CLIENT使用的DNS服务器;
?配置CLIENT网络使用的域名;
?配置CLIENT的NETBIOS服务器IP地址;
?配置CLIENT所对应的NETBIOS节点类型。
5.4 DHCP RELAY 功能
使用DHCP 协议,客户机可以向DHCP 服务器动态的请求配置信息,包括分配的IP 地址,
子网掩码,缺省网关等信息。
然而,原始的DHCP 协议要求客户机和服务器只能在同一个子网内,不可以跨网段工作,
因此,为进行动态主机配置需要在所有网段上都设置一个DHCP 服务器,这显然是不经济的。
DHCP 中继的引入解决了这一问题,它在处于不同网段间的DHCP 客户机和服务器之间
承担中继服务,将DHCP 协议报文跨网段中继到目的DHCP 服务器,于是许多网络上的DHCP
客户机可以共同使用一个DHCP服务器。
DHCP协议是以客户/服务器模式工作的,当DHCP客户启动时,发送配置请求报文,DHCP
中继收到该报文并适当处理后发送给指定的位于其它网络上的DHCP服务器。服务器根据客户
提供的必要信息,再次通过DHCP中继发送配置信息给客户机,完成对主机的动态配置。
DHCP RELAY功能示意图如下所示:
DHCP Server
图5-3 DHCP RELAY功能示意图 DHCP RELAY实现的主要功能为:
1、 配置IP辅助地址
用户通过命令行界面,在接口配置模式下,为接口配置IP辅助地址,即指明DHCP SERVER
的IP地址。在接口控制块中维护辅助地址信息,供DHCP中继时使用。
各接口可以配置多个IP 辅助地址(每个接口可配置的的IP 辅助地址最大个数为20,可以
根据具体产品需要调整该值),IP 辅助地址将被保存在接口控制块中。
2、处理DHCP中继报文
DHCP中继代理不是对所有收到的DHCP报文都作中继处理,在中继前需要识别需要处理的DHCP报文。需要强调的是在服务器端如回应报文发送给DHCP中继,则回应报文目的端口设为67。
DHCP中继模块通过Socket收发DHCP中继报文。从各接口接收的DHCP协议报文,都是由Socket接收。
对DHCP报文识别后,交由中继模块处理。通常DHCP请求报文的源地址是0, DHCP中继代理必须可以接收IP源地址为0的报文。只接收UDP目的端口号为67的 DHCP报文。
(1)处理请求报文
已识别的DHCP报文,UDP目的端口号为67(BOOTPS),且BOOTP报文头中的op域是BOOTREQUEST(1),即DHCP客户机发给服务器的请求报文。将已识别的DHCP报文发送到指定的DHCP服务器。
DHCP客户机发出的请求报文,一般目的地址为广播地址,目的端口号为67,DHCP中继代理需要将报文发送至DHCP服务器处理,DHCP服务器由报文接收接口所配置的IP辅助地址来指定。
?为防止DHCP报文中继形成环路,抛弃报文头hops域大于限定跳数的DHCP请求报文,限定跳数定义可以调整,缺省为4,最大不超过16。
?DHCP中继代理在中继DHCP请求报文前,必须检查giaddr域,如果是0,需要将giaddr域设置为接收请求报文的接口的IP地址,如果接口有多个IP地址,可选择其一,并在以后从该接口中继的所有请求报文都使用该IP地址。如果giaddr域不是0,则不修改giaddr 域。
?DHCP中继代理中继DHCP报文时将hops域增加1跳,表明已经过一次DHCP中继。
?BOOTP报文头所有其它域在发送前不能被DHCP中继代理修改。
?DHCP请求报文被中继到新的目的地,该目的地就是报文接收接口的IP辅助地址,可以是DHCP服务器地址或另一个中继代理的地址。
?如果接收接口有多个IP辅助地址,可以选择其一作为中继的新目的地址,对于来自同一个DHCP客户机的DHCP请求报文必须使用同一个辅助地址作为目的地址。具体实现是通过chaddr域识别DHCP客户机。
?对于同一个接口收到的来自不同DHCP客户机的请求报文,中继采用轮循方式选择一个
IP辅助地址作为报文新的目的地址。
?对于某个接口接收到的来自不同DHCP客户机的请求报文,中继采用轮循选择一个IP辅助地址作为其新的目的地址。
?中继的请求报文的TTL采用新缺省值,而不是原来请求报文的TTL减1。对中继报文的环路问题可以通过hops域来避免。
(2)处理回应报文
从各接口收到的已识别的DHCP报文,UDP目的端口号为67,且BOOTP报文头中的op域是BOOTREPLY(2),即DHCP服务器希望通过中继代理发给DHCP客户机的回应报文。将已识别的DHCP报文发送到指定的DHCP客户机。
DHCP服务器发给中继的BOOTREPLY报文,一般目的地址为中继代理在处理请求报文时设置的giaddr,目的端口号为67,DHCP中继代理需要将报文发送至DHCP客户机处理,DHCP客户机与报文的giaddr所属的接口直连,通过该接口采用广播或单播方式发送至DHCP客户机。 ?中继代理假设所有的BOOTREPLY报文是发给直连的DHCP客户机。giaddr域用来识别与客户机直连的接口。如果giaddr不是本地接口的地址,BOOTREPLY报文被丢弃。
?中继代理检查报文的BROADCAST标志,如果置为1,则发广播报文给DHCP客户机,否则发送单播报文,其目的地址为yiaddr,链路层地址为chaddr。
?中继代理不能修改BOOTREPLY报文的任何域。
6 华为支持的DHCP扩展功能
华为支持的DHCP扩展功能包括DHCP SECURITY、DHCP SECURITY增强和DHCP SNOOPING三个特性。这里的扩展功能指的是对DHCP基本的CLIENT、SERVER和RELAY功能的扩展。
这里主要介绍DHCP扩展功能的功能特点、工作过程以及基本的实现原理,具体操作和命令的使用请参考操作手册和命令手册。
6.1 DHCP SECURITY功能
DHCP SECURITY的主要功能是负责对DHCP RELAY用户地址表的管理,实现合法用户IP地址表的管理功能:包括动态添加、手工添加、手工删除以及查询功能,并通过与ARP模块配合实现禁止非正常获取IP地址的用户上网的功能。这样就可以有效的进行地址规划和分配,实现对用户控制的功能,保护同一子网下其他VLAN的地址资源不被抢占。
dhcp 服务器搭建与配置1. 单个网段 (1)yum install -y dhcp.x86_64 (2) /etc/dhcp/dhcpd.conf ----------主配置文件 (3) man 5 dhcpd.conf ---------查看配置文件的帮助手册 (4) vim /etc/dhcp/dhcpd.conf ddns-update-style interim; //配置dhcp与dns的互动更新模式 ignore client-updates; subnet 192.168.1.0 netmask 255.255.255.0{ //设置子网声明 option routers 192.168.1.254; // 网关 option subnet-mask 255.255.255.0; //子网掩码 option domain-name-servers 222.222.222.222; //DNS服务器IP option time-offset -18000; range dynamic-bootp 192.168.1.105 191.168.1.254; //IP地址池 default -lease-time 21600; //默认的租期时间 max-lease-time 43200; //最大租赁时间 host laoban { //为特定主机绑定IP hardware ethernet 00:0c:29:16:63:dc; //特定主机的mac地址 fixed-address 192.168.1.188; } } (5) service dhcpd restart (6) lsof -i:67 //监听端口号UDP 67 (7) 测试机上,与该DHCP服务器上,设置网卡均为“仅主机” 且,“编辑”--“虚拟网络编辑器---,仅主机,将默认的 dhcp 服务去掉 windows cmd 下 ipconfig /all -------- 查看有关IP的所有信息 ipconfig /release --------释放现有的IP ipconfig /renew --------重新获取IP 2. 超级作用域 ==> 多网段
Linux下配置完整安全的DHCP服务器详解 (1) 一、建立DHCP服务器配置文件 二、建立客户租约文件 三、启动和检查DHCP服务器 四、配置DHCP客户端 五、DHCP配置常见错误排除 六、DHCP服务器的安全 DHCP是动态主机配置协议.这个协议用于向计算机自动提供IP地址,子网掩码和路由信息。网络管理员通常会分配某个范围的IP地址来分发给局域网上的客户机。当设备接入这个局域网时,它们会向DHCP 服务器请求一个IP 地址。然后DHCP服务器为每个请求的设备分配一个地址,直到分配完该范围内的所有IP 地址为止。已经分配的IP地址必须定时地延长借用期。这个延期的过程称作leasing,确保了当客户机设备在正常地释放IP地址之前突然从网络断开时被分配的地址可以归还给服务器。本文以Redhat Linux 9.0为例,介绍如何建立一个完整和安全的DHCP服务器。 一、建立DHCP服务器配置文件 可以使用Redhat Linux 9.0自身携带rpm包安装。安装结束后, DHCP 端口监督程序dhcpd 配置文件是/etc目录中的名为dhcpd.conf的文件。下面手工建立/etc/dhcpd.conf文件。/etc /dhcpd.conf通常包括三部分:parameters、declarations 、option。 1.DHCP配置文件中的parameters(参数):表明如何执行任务,是否要执行任务,或将哪些网络配置选项发送给客户。主要内容见表1 参数解释 ddns-update-style 配置DHCP-DNS 互动更新模式。 default-lease-time 指定确省租赁时间的长度,单位是秒。 max-lease-time 指定最大租赁时间长度,单位是秒。 hardware 指定网卡接口类型和MAC地址。 server-name 通知DHCP客户服务器名称。 get-lease-hostnames flag 检查客户端使用的IP地址。 fixed-address ip 分配给客户端一个固定的地址。authritative 拒绝不正确的IP地址的要求。 2. DHCP配置文件中的declarations (声明): 解释 用来描述网络布局、提供客户的IP地址等。 主要内容见表2:声明 shared-network用来告知是否一些子网络分享相同网络。subnet描述一个IP地址是否属于该子网。 range 起始IP 终止IP提供动态分配IP 的范围。 host 主机名称参考特别的主机。 group为一组参数提供声明。
非法DHCP服务器攻击的防御 现今校园网络DHCP服务是一种非常常见的服务,该服务简化了海量学生PC、教室PC、服务器的地址配置工作。然而有些校园网用户会产生非法DHCP服务器的攻击行为,这种行为可能是一种恶意操作,也可能是一种无意无操作,比如安装Windows 2000 server的客户端,不小心启用DHCP服务。这种操作无论哪种原因产生的,都会对校园网的运行产生负面影响。第一正常用户从非法DHCP获得非法IP地址,就无法获取正确的网关和DNS等信息;第二有些客户从非法DHCP获得的地址会和其他正常用户产生地址冲突,可能刚好和某些重要校园服务器地址冲突,会影响校园网关键应用的运行。 非法DHCP服务器攻击原理 在某些情况下,入侵者可以将一个DHCP 服务器加入网络,令其“冒充”这个网段的DHCP 服务器。这让入侵者可以为缺省的网关和域名服务器(DNS 和WINS)提供错误的DHCP 信息,从而将客户端指向黑客的主机。这种误导让黑客获得其他用户对保密信息的访问权限,例如用户名和密码,而其他用户对攻击一无所知。过程如下: 用户发出DHCP Request 攻击者将自己的服务器设置成DHCP Server并发出错误的DHCP Offer 用户采用第一个响应其请求的DHCP Server,得到错的DHCP信息 正确的DHCP Server发出DHCP Offer,用户不采用 如何防范非法DHCP服务器攻击-DHCP Snooping 非信任端口
如前所述DHCP Snooping能够过滤来自网络中主机或其他设备的非信任DHCP报文,其中包括对应交换机上不信任的端口的客户端IP地址、MAC地址、端口号、VLAN编号、租用和绑定类型等消息。交换机支持在每个VLAN基础上启用DHCP Snooping特性。 因此,通过使用DHCP Snooping 特性中的端口信任特性来防止用户私自设置DHCP server。一旦在设备上指定专门的DHCP server服务器的接入端口则其他端口的DHCP server的报文将被全部丢弃。 启动DHCP Snooping,将合法DHCP Server的端口设为信任端口,其他端口默认情况下均为非信任端口 用户发出DHCP Request 攻击者将自己的服务器设置成DHCP Server并发出错误的DHCP Offer 交换机自动丢弃所有非信任端口发出的DHCP Offer 用户采用正确的DHCP Server发出DHCP Offer DHCP Snooping 非信任端口是DHCP Snooping的子集。通常在校园网部署时建议将接入交换机的下行端口(用户接口)设置为DHCP Snooping untrust,将上行端口(连向核心网和汇聚网)设置为DHCP Snooping trust。H3C E328/E352 E126A/E152产品支持DHCP Snooping 非信任端口,可以有效防控校园网内部的非法DHCP服务器攻击发生。
服务器的配置DHCP实验要求: DHCP)工作原理。1.了解动态主机配置协议(服务器。2.熟练配置DHCP DHCP服务的优点3.了解实验步骤:服务器DHCP1.安装→“治理您的服)单击“开始”→“所有程序”→“治理工具”(1,再按“下一步”按钮。配置向导自动检;单击“添加或删除角色”务器”测所有网络连接的设置情形,若没有发觉咨询题则进入“服务器角色”向所示。导页,如图1 图1 服务器角色 (2)单击“下一步”,会显现“选择总结”向导页,如果总结里面有“安装DHCP服务器”和“运行新建作用域向导配置一个新的DHCP 作用域”,则单击“下一步”。提示你插入Windows 2003 Server 光盘,按提示做即可安装完成。 2.配置DHCP服务器
完成DHCP服务器的安装后并不能赶忙为客户端运算机自动分配IP 地址,还需要通过一些设置工作。第一要做的确实是按照网络中的结点或运算机数确定一段IP地址范畴,创建一个IP作用域。具体操作步骤如下: (1)单击“开始”→“所有程序”→“治理工具”→“DHCP”,打开“DHCP”操纵台窗口。在左窗格中右击DHCP服务器名称,执行“新建作用域”命令。 (2)打开“新建作用域向导”对话框,单击“下一步”按钮打开“作用域名”向导页。在“名称”编辑框中为该作用域输入一个名称和一段描述性信息,单击“下一步”按钮。 (3)在打开的“IP地址范畴”向导页中,分不在“起始IP地址”和地址IP地址范畴的起止IP地址”编辑框中输入差不多确定好的IP“终止.
按,单击“下一步”(按照实际网络结构填写,或者老师先分配好IP 地址)2所示。钮。如图 地址范畴IP图2 IP)打开“添加排除”向导页,在那个地点能够指定需要排除的(4。IP地址)IP地址范畴(按照实际网络结构填写,或者老师先分配好地址或地址并单击“添加”按钮。重复地址”编辑框中输入排除的IP 在“起始IP3 所示。操作即可,接着单击“下一步”按钮,如图 添加排除图3
实验项目十二配置DHCP中继代理 一、实验目的 理解DHCP中继代理服务;通过配置DHCP中继代理实现DHCP服务为多个网段提供动态分配IP地址。 二、实验设备 交换机(Switch_2950-24)3台;路由器(Router-1841)2台;计算机(PC)4台;服务器3台;直连线;DCE串口线 三、实验原理 在大型的网络中,可能会存在多个子网。DHCP客户机通过网络广播消息获得DHCP服务器的响应后得到IP地址。但广播消息是不能跨越子网的。因此,如果DHCP客户机和服务器在不同的子网内,客户机要向服务器申请IP地址,这就要用到DHCP中继代理。DHCP 中继代理实际上是一种软件技术,安装了DHCP中继代理的计算机称为DHCP中继代理服务器,它承担不同子网间的DHCP客户机和服务器的通信任务。 四、实验步骤 我们使用两个DHCP服务器,分别创建DHCP地址池:192.168.3.0/24:192.168.1.2和192.168.4.0/24:192.168.1.4.配置一个DNS服务器192.168.1.3. 1.新建Packet Tracer拓扑图 2. 对三个服务器进行基本设置 DHCP-192.168.3.0:IP:192.168.1.4 Submask: 255.255.255.0 Gateway:192.168.1.1 DHCP-192.168.4.0:IP:192.168.1.2 Submask: 255.255.255.0 Gateway:192.168.1.1 DNS:IP:192.168.1.3 Submask: 255.255.255.0 Gateway:192.168.1.1 3.对路由器设置 R0: Router#configure terminal Router(config)#interface FastEthernet0/0 /为FA0/0 口配置IP 地址 Router(config-if)#ip address 192.168.1.1 255.255.255.0 Router(config-if)#no shutdown Router(config-if)#exit Router(config)#interface Serial0/0/0 / 为S 0/0/0 口配置IP 地址 Router(config-if)#ip address 192.168.2.1 255.255.255.0 Router(config-if)#clock rate 64000 / 为S 1/0 口配置串行链路时钟 Router(config-if)#no shutdown
DHCP安全问题及其防范措施 摘要 本文主要介绍计算机网络当中一个比较常见的安全问题—DHCP的安全问题。 DHCP称作动态主机分配协议(Dynamic Host Configuration Protocol, DHCP)是一个局域网的网络协议,使用UDP协议工作,主要有两个用途:给内部网络或网络服务供应商自动分配IP地址给用户给内部网络管理员作为对所有计算机作中央管理的手段。 DHCP用一台或一组DHCP服务器来管理网络参数的分配,这种方案具有容错性。即使在一个仅拥有少量机器的网络中,DHCP仍然是有用的,因为一 台机器可以几乎不造成任何影响地被增加到本地网络中。甚至对于那些很少改 变地址的服务器来说,DHCP仍然被建议用来设置它们的地址。如果服务器需 要被重新分配地址(RFC2071)的时候,就可以在尽可能少的地方去做这些改动。对于一些设备,如路由器和防火墙,则不应使用DHCP。把TFTP或SSH服务器放在同一台运行DHCP的机器上也是有用的,目的是为了集中管理。 DHCP也可用于直接为服务器和桌面计算机分配地址,并且通过一个PPP 代理,也可为拨号及宽带主机,以及住宅NAT网关和路由器分配地址。DHCP 一般不适用于使用在无边际路由器和DNS服务器上。 DHCP安全问题在网络安全方面是一个不可忽略的问题,这种问题内部网 络及网络服务提供商在分配IP地址造成的IP冲突、伪造DHCP服务器等攻击。本文介绍了如何防范和解决此类问题的方法和步骤。 关键字:计算机、DHCP、安全问题、攻击
DHCP safety and safeguards ABSTRACT This paper mainly introduces the computer network of a common security problems and DHCP safety problems. DHCP dynamic distribution agreement called the mainframe (Dynamic host configuration protocol and DHCP )is a LAN network protocols, the use of UDP agreement, there are two major purpose :to the internal network or network service provider the IP address assigned to the user to the internal network administrator in all computer on the central administration. DHCP with one or a set of DHCP server to manage the distribution network parameters, the scheme has a fault tolerance. Even in a small amount of the machine has a network, and DHCP is still useful, for a machine can hardly have any influence, have been added to the local network. Even for those who rarely change the address of the server and DHCP still being proposed to set the address. If the server needs to be reassigned address (rfc2071 ), it can be as few as possible to do these changes. For some equipment, such as the router and should not be used DHCP. The TFTP server or SSH in with a DHCP machine is also useful in order to administer. DHCP may also directly to the server and desktop computers, and the assignment of addresses by a PPP agent or a dialing, and broadband host, and the house assignment of addresses NAT gateway and routers generally do not apply. DHCP use in the DNS server marginal routers. DHCP security issues in the network security is not to neglect the issue of the internal network and the network service provider in the allocation of IP address of the conflict and DHCP server IP, forgery attack. This article explains how to prevent and resolve the problem of methods and procedures. Keyword: Computer、DHCP、Safety、Attack
网络管理员:现在用户真是不省心,自己改个IP地址;私接AP、忘关DHCP,还有的下个小黑客程序,就想在你内网里试试。单靠交换机能管吗? 测试工程师:能!很多交换机上的小功能都可帮大忙。 测试实况: IP与MAC绑定 思科的Catalyst 3560交换机支持DHCPSnooping功能,交换机会监听DHCP的过程,交换机会生成一个IP和MAC地址对应表。思科的交换机更进一步的支持IP sourceguard和Dynamic ARP Inspection功能,这两个功能任启一个都可以自动的根据DHCPSnooping监听获得的IP和MAC地址对应表,进行绑定,防止私自更改地址。 Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击(见图4)。 思科在DHCP Snooping上还做了一些非常有益的扩展功能,比如Catalyst3560交换机可以限制端口通过的DHCP数据包的速率,粒度是pps,这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst3560交换机还支持DHCPTracker,在DHCP请求中插入交换机端口的ID,从而限制每个端口申请的IP 地址数目,防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。华硕虽然不能调整速率,但是也会限制DHCP请求的数量。 DHCP(动态主机配置协议)是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供了一种有效的方法:即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。 在基于TCP/IP协议的网络中,每台计算机都必须有唯一的IP地址才能访问网络上的资源,网络中计算机之间的通信是通过IP地址来实现的,并且通过IP地址和子网掩码来标识主计算机及其所连接的子网。在局域网中如果计算机的数量比较少,当然可以手动设置其IP地址,但是如果在计算机的数量较多并且划分了多个子网的情况下,为计算机配置IP地址所涉及的管理员工作量和复杂性就会相当繁重,而且容易出错,如在实际使用过程中,我们经常会遇到因IP地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP 地址等问题。 DHCP则很好地解决了上述的问题,通过在网络上安装和配置DHCP服务器,启用了DHCP的客户机可在每次启动并加入网络时自动地获得其上网所需的IP地址和相关的配置参数。从而减少了配置管理,提供了安全而可靠的配置。 配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关,以及DNS服务器的地址。DHCP避免了因手工设置IP地址及子网掩码所产生的错误,也避免了把一个IP地址分配给多台主机所造成的地址冲突。降低了IP 地址管理员的设置负担,使用DHCP服务器可以大大地缩短配置网络中主机所花费的时间。 但是,随着DHCP服务的广泛应用,也产生了一些问题。首先,DHCP服务允许在一个子网内存在多台DHCP服务器,这就意味着管理员无法保证客户端只能从管理员所设置的DHCP服务器中获取合法的IP地址,而不从一些用户自建的非法DHCP 服务器中取得IP地址;其次,在部署DHCP服务的子网中,指定了合法的IP地址、掩码和网关的主机也可以正常地访问网络,而DHCP服务器却仍然会有可能将该地
Windows 网络服务架构系列课程详解(一) ---------DHCP服务器的搭建与配置 实验背景: 企业网络环境中在没有配置DHCP服务器时,经常会遇到这样的情况,用户不懂怎么去配置IP地址;IP地址经常冲突;管理员单个配置IP地址会经常出错;笔记本计算机的客户,经常从一个子网移动到另一个子网,需要不断地手动更换IP地址;IP地址资源不足,但实际在同一时间段内使用的用户小于IP地址的数量等等。 实验目的: 1、了解Windows DHCP服务器的安装过程 2、了解Windows DHCP服务器的工作过程 3、掌握Windows DHCP服务器的配置和管理 4、理解DHCP中继代理概念,会用windows客户机或者路由器做DHCP中继代 理获取TCP/IP参数。 5、掌握备份和还原DHCP数据库 6、浅谈路由器做DHCP服务器或DHCP中继代理 实验网络拓扑:
实验说明 本实验是在域环境下搭建的,因为,windows的大部分服务只有在域的环境下才能发挥初更好的效果来;其次,本实验无论是从域的角度去看,还是从DHCP 服务器以及DHCP中继代理的角度去看都实现的是双备份冗余服务。因为,只有这样具有备份冗余的环境才能使企业的网络更加稳定,安全。 实验步骤 1.配置DHCP服务器的安装过程(主要配置DC—域控制器 上DHCP服务器,BDC-副域控制器上的原理与DC上配置相同) 1.1、配置之前,首先要知道DHCP服务器的要求。DHCP服务器要求在 Windows Server 版的计算机上运行,本实验是在Windows Server 2003上运行的配置。由于DHCP服务器要运行稳定,必须有静态的IP地址、子网掩码和其他的TCP/IP参数。 下面是在DC上配置的TCP/IP参数。可以看出DHCP服务器的地址是,DNS服务器的地址也是,网关(R1路由接口E0/1的IP地址
利用DHCP中继代理解决不同网段IP自动分配 DHCP(Dynamic Host Configure Protocol)就是客户机通过广播向服务器请求获取ip地址、子网掩码、默认网关、DNS服务器地址等信息在租期内使用的一种技术。有这种技术后,一个网络管理员真省事多了!如果一个公司有200台机器,如果要管理员一台一台去配的话,可真要抓狂了,重复着无聊的活,太浪费时间了,万一有一台的信息配错的话,日后的排错工作就多了!所以说啊DHCP既可以减小管理员的工作量,又能减小错误输入的可能性,还能避免IP地址冲突和提高了IP地址的利用率!所以能有不用DHCP的理由么!呵呵! 但随着局域网的逐步扩大,一个网络通常要被划分多个不同的子网来实现不同子网的特殊管理要求,但vlan是分隔广播域的,那是不是必须在各个不同子网分别创建一台DHCP服务器来分别为每个子网提供服务呢?如果真是这样,不但操作复杂,而且不利于局域网的管理。那应该怎么办呢?其实可以利用DHCP中继代理功能就可以非常轻松的完美解决问题了。下面,笔者就以一台DHCP服务器同时为两个子网提供分配IP地址分配服务为例,详细介绍如果使用DHCP中继代理,协助不同子网的工作站完成跨子网获取IP地址的任务。 例子背景情况:某公司有两个部门,为了便于管理被划分在两个子网,就用路由器把两网段实现网段内通讯,而且用一个DHCP服务器为两个子网分配IP地址 实验拓扑:只要有双网卡的服务器加上启用‘路由和远程访问服务’服务就可以轻松充当路由器实现简单的路由转发功能了!如果一个管理员向老板提交购买路由器从而实现目的的方案,我想老板肯定不愉悦的,说不定老板还质疑你的能力了!所以啊!从经济学来说要尽量用现成的设备来实现目的啊!为了减轻笔记本的负担,所以用DHCP中继代理服务器充当路由器了,所以实验拓扑以下 两个服务器的ip信息: RAW(DHCP服务器)IP:192.168.11.10,网关:192.168.11.5(指向中继代理的ip地址) DHCP:两个作用域:192.168.11.150—192.168.11.200,192.168.12.150—192.168.12.200
dhcp服务器如何设置 在一个使用TCP/IP协议的网络中,每一台计算机都必须至少有一个IP地址,才能与其他计算机连接通信。为了便于统一规划和管理网络中的IP地址,DHCP (Dynamic Host Configure Protocol,动态主机配置协议)应运而生了。这种网络服务有利于对校园网络中的客户机IP地址进行有效管理,而不需要一个一个手动指定IP地址。 DHCP服务的安装 DHCP指的是由服务器控制一段IP地址范围,客户机登录服务器时就可以自动获得服务器分配的IP地址和子网掩码。首先,DHCP服务器必须是一台安装有Windows 2000 Server/Advanced Server系统的计算机;其次,担任DHCP服务器的计算机需要安装TCP/IP协议,并为其设置静态IP地址、子网掩码、默认网关等内容。默认情况下,DHCP作为Windows 2000 Server的一个服务组件不会被系统自动安装,必须把它添加进来: 1. 依次点击“开始→设置→控制面板→添加/删除程序→添加/删除Windows组件”,打开相应的对话框。 添加IP地址范围 当DHCP服务器被授权后,还需要对它设置IP地址范围。通过给DHCP服务器设置IP地址范围后,当DHCP客户机在向DHCP服务器申请IP地址时,DHCP 服务器就会从所设置的IP地址范围中选择一个还没有被使用的IP地址进行动态分配。添加IP地址范围的操作如下: 1. 点击“开始→程序→管理工具→DHCP”,打开DHCP控制台窗口。 2. 选中DHCP服务器名,在服务器名上点击鼠标右键,在出现的快捷菜单中选择“新建作用域”,在出现的窗口中单击[下一步]按钮,在出现的对话框中输入相关信息,单击[下一步]按钮,如图1所示。 3. 在图1所示的窗口中,根据自己网络的实际情况,对各项进行设置,然后单击[下一步]按钮,出现如图2所示的窗口。 4. 在图2所示的窗口中,输入需要排除的IP地址范围。由于校园网络中有很多网络设备需要指定静态IP地址(即固定的IP地址),如服务器、交换机、路由
DHCP服务在实际应用中的常见问题 1、在一个子网内是否可以存在多台DHCP服务器,如果存在的话,那么该子网中的客户机能否正确获取地址,将会获取哪个DHCP服务器所分配的地址,是否能控制客户机器能从管理人员所设置的DHCP服务器中获取地址而不会从一些非法用户自建的DHCP服务器中取得非法得IP? 2、如果网络中存在多个子网,而子网的客户机需要DHCP服务器提供地址配置,那么是采取在各个子网都安装一台DHCP服务器,还是只在某一个子网中安装DHCP服务器,让它为多个子网的客户机分配IP地址,应该如何实现? 3、如果采取在一个子网中安装DHCP服务器,让它为多个子网的客户机分配IP地址,那么应该需要在一台DHCP服务器中创建多个不同范围的作用域,而我们如何可以准确地保证相应范围的地址分配给相应子网地主机呢? 4、如果客户机器无法从DHCP服务器中获取IP地址,那么Windows2000客户机器将会如何处理自己的TCP/IP设置? DHCP是一个基于广播的协议,它的操作可以归结为四个阶段,这些阶段是A:IP租用请求、B:IP租用提供、C:IP租用选择、D:IP租用确认。 A、IP租用请求:在任何时候,客户计算机如果设置为自动获取IP地址,那么在它开机时,就会检查自己当前是否租用了一个IP地址,如果没有,它就向DCHP请求一个租用,由于该客户计算机并不知道DHCP服务器的地址,所以会用255.255.255.255作为目标地址,源地址使用0.0.0.0,在网络上广播一个DHCPDISCOVER消息,消息包含客户计算机的媒体访问控制(MAC)地址(网卡上内建的硬件地址)以及它的NetBIOS名字。 B、IP租用提供:当DHCP服务器接收到一个来自客户的IP租用请求时,它会根据自己的作用域地址池为该客户保留一个IP地址并且在网络上广播一个来实现,该消息包含客户的MAC地址、服务器所能提供的IP地址、子网掩码、租用期限,以及提供该租用的DHCP 服务器本身的IP地址。 C、IP租用选择:如果子网还存在其它DHCP服务器,那么客户机在接受了某个DHCP服务器的DHCPOFFER消息后,它会广播一条包含提供租用的服务器的IP地址的DHCPREQUEST 消息,在该子网中通告所有其它DHCP服务器它已经接受了一个地址的提供,其他DHCP服务器在接收到这条消息后,就会撤销为该客户提供的租用。然后把为该客户分配的租用地址返回到地址池中,该地址将可以重新作为一个有效地址提供给别的计算机使用。
DHCP中继(DHCP Relay)配置实例 配置实例 文章出处:https://www.doczj.com/doc/989832052.html,整理 早期的DHCP协议只适用于DHCP客户端和服务器处于同一个网段内的情况,不能跨网段。因此,为进行动态主机配置,需要在每个网段置一个DHCP服务器,这显然是很不经济的。DHCP中继(DHCP Relay)功能的引入解决了这一难题:客户端可以通过DHCP 中继与其他网段的DHCP服务器通信,最终取得合法的IP地址。这样,多个网段的DHCP 客户端可以使用同一个DHCP服务器,既节省了成本,又便于进行集中管理。 一般来说,DHCP中继既可以是主机,也可以是路由器,只要在设备上启动DHCP中继代理的服务程序即可。 DHCP Relay工作原理如下: 1、当DHCP Client启动并进行DHCP初始化时,它会在本地网络广播配置请求报文。 2、如果本地网络存在DHCP Server,则可以直接进行DHCP配置,不需要DHCP Relay。 3、如果本地网络没有DHCP Server,则与本地网络相连的具有DHCP Relay功能的网络设备收到该广播报文后,将进行适当处理并转发给指定的其它网络上的DHCP Server。 4、DHCP Server根据DHCP Client提供的信息进行相应的配置,并通过DHCP Relay将配置信息发送给DHCP Client,完成对DHCP Client的动态配置。
事实上,从开始配置到最终完成配置,可能存在多次这样的交互过程。下面为大家介绍一个在华为路由器上实现DHCP中继的配置实例。 一、组网需求 如下图,DHCP客户端所在的网段为10.100.0.0/16,而DHCP服务器所在的网段为202.40.0.0/16。需要通过带DHCP中继功能的路由设备中继DHCP报文,使得DHCP客户端可以从DHCP服务器上申请到IP地址等相关配置信息。 DHCP服务器应当配置一个10.100.0.0/16网段的IP地址池,DNS服务器地址为 10.100.1.2/16,NetBIOS服务器地址10.100.1.3/16,出口网关地址10.100.1.4,并且DHCP服务器上应当配置有到10.100.0.0/16网段的路由。 二、配置思路 DHCP服务器的配置思路如下: 1、开启DHCP中继服务器RouterA的DHCP功能 2、配置要实现DHCP中继功能的接口POS2/0/0 3、在接口GE1/0/0配置IP中继地址并开启接口的DHCP中继功能 4、配置DHCP服务器RouterB到RouterA的接口GE1/0/0的路由 5、开启RouterB的DHCP功能 6、配置RouterB的接口POS1/0/0下的客户端从全局地址池中获取IP地址 7、在RouterB上配置全局地址池
Cisco解决在DHCP环境下私自指定IP和私自搭建DHCP服 务器的方法 网络管理员:现在用户真是不省心,自己改个IP地址;私接AP、忘关DHCP,还有的下个小黑客程序,就想在你内网里试试。单靠交换机能管吗, 测试工程师:能~很多交换机上的小功能都可帮大忙。 测试实况: IP与MAC绑定 思科的Catalyst 3560交换机支持DHCPSnooping功能,交换机会监听DHCP的过程,交换机会生成一个IP和MAC地址对应表。思科的交换机更进一步的支持IP sourceguard和Dynamic ARP Inspection功能,这两个功能任启一个都可以自动的根据DHCPSnooping监听获得的IP和MAC地址对应表,进行绑定,防止私自更改地址。 Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间人攻击(见图4)。 思科在DHCP Snooping上还做了一些非常有益的扩展功能,比如Catalyst3560交换机可以限制端口通过的DHCP数据包的速率,粒度是pps,这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst3560交换机还支持DHCPTracker,在DHCP请求中插入交换机端口的ID,从而限制每个端口申请的IP 地址数目,防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。华硕虽然不能调整速率,但是也会限制DHCP请求的数量。 DHCP(动态主机配置协议)是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供了一种有效的方法:即管理网络中客户机IP地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。
DHCP中继配置举例 1. 组网需求 ?DHCP 客户端所在网段为10.10.1.0/24,DHCP 服务器Switch B 的IP 地址为10.1.1.1/24, Switch C 的IP 地址为10.2.1.1/24; ?由于DHCP 客户端和所有DHCP 服务器都不在同一网段,因此,需要在客户端所在网段设置 DHCP 中继设备,以便客户端可以从DHCP 服务器申请到10.10.1.0/24 网段的IP 地址及相关 配置信息; ?Switch A 作为DHCP 中继通过端口(属于VLAN1)连接到DHCP 客户端所在的网络,交换 机VLAN 接口1 的IP 地址为10.10.1.1/24。 2. 组网图 图3-3 DHCP 中继组网示意图 3. 配置步骤 # 配置各接口的IP 地址(略)。 # 使能DHCP 服务。
4.5 DHCP服务器的建立与管理 4.5.1 实训目的 (1)掌握DHCP服务器的安装、配置和管理。 (2)掌握DHCP服务的组成。 (3)掌握DHCP服务的测试。 4.5.2 实训内容 (1)安装DHCP服务组件。 (2)为DHCP服务器授权。 (3)创建DHCP作用域。 (4)配置DHCP作用域选项。 (5)配置DHCP保留地址。 4.5.3 实训理论基础 1.DHCP DHCP即Dynamic Host Configuration Protocol(动态主机配置协议)。DHCP服务器利用租约生成(lease generation)过程,为客户机分配在指定时间内有效的IP地址。IP地址通常是临时的,因此DHCP客户机必须通过DHCP服务器周期性地尝试更新它们的租约。即可以通过DHCP服务器自动地为DHCP客户机分配IP地址,减少了管理员逐个配置客户机所带来的工作量和因为手工操作而引起的错误机会。
2.DHCP工作过程 DHCP租约生成分4个阶段: (1)请求IP租约。当某个客户机第一次启动或初始化TCP/IP时,租约生成过程开始,客户机为IP寻址信息广播一个DHCPDISCOVER消息,并且以0.0.0.0作为源地址,使用255.255.255.255作为目的地址,即消息广播。租约请求是以广播的形式向网络上发出的,网络上的所有DHCP服务器都能够接收到这个请求。 (2)提供IP租约。对于DHCP服务器,如果有一个IP地址,而且对该客户机连接的网络段来说是合法的IP地址,那所有这样的DHCP服务器都要回答一个DHCPOFFER消息,这个消息包含内容为: 客户机的硬件地址 所提供IP地址 子网掩码 租约期限长度 服务器标示符(即提供DHCP服务的服务器IP的地址)(3)选择IP租约。DHCP客户机在它接收到的第一个提供(OFFER)后,广播一个DHCPREQUEST消息作为回应,这个消息包括该服务器(即发出该提供并已经被接收的服务器)的标识。然后,所有其他DHCP服务器将收回它们的提供。 (4)确认IP租约。提供被接受的DHCP服务器将广播一个DHCPACK 消息,确认这个成功的租约,此消息包含针对这个IP地址的合法租约以及其他配置信息,比如默认网关地址、DNS服务器地址。DHCP客户机接收到这个确认消息后,TCP/IP即利用DHCP服务器提供的配置信息初始化。 3.DHCP服务的组成 (1)作用域。一个作用域就是一个地址池,是一些IP地址的组合,就是一个合法的IP地址范围,DHCP服务器利用该范围向客户机出租或分配IP地址。为了防止发生重复的IP地址问题,不应在多个作用域中使用相同的IP地址。作用域可以利用作用域选项向客户机提供其他的配置信息,如默认网关、DNS服务器的IP地址。 (2)排除地址。可以指定一个或多个要从作用域中排除的范围,被排除的地址将不被指定给DHCP客户机。这些被排除的IP地址通常用于打印机或服务器等使用静态IP地址的计算机。 (3)子网掩码。提供给DHCP客户机的子网掩码。为了配置这个参数,输入构成该子网掩码的二进制位数,或者输入该子网掩码的IP地址。 注意:当创建了一个作用域后,不能修改该作用域指定的子网掩码。为了修改这个参数,需要先删除该作用域,再重新利用正确的信息创建该作用域。 (4)租约期限。IP地址租约的时间长度,用天数、小时和分钟表示。默认时间是8天,表示DHCP客户机可以使用它所得到的IP地址租约
解决在DHCP环境下私自指定IP和私自搭建DHCP服务器的方法 现在用户真是不省心,自己改个IP地址;私接AP、忘关DHCP,还有的下个小 黑客程序,就想在你内网里试试。单靠交换机能管吗? IP与MAC绑定 思科的Catalyst 3560交换机支持DHCP Snooping功能,交换机会监听DHCP的过程,交换机会生成一个IP和MAC地址对应表。思科的交换机更进一 步的支持IP source guard和Dynamic ARP Inspection功能,这两个功能任启 一个都可以自动的根据DHCP Snooping监听获得的IP和MAC地址对应表,进行绑定,防止私自更改地址。 Dynamic ARP Inspection功能还有一个好处是可以防范在2层网络的中间 人攻击(见图4)。 思科在DHCP Snooping上还做了一些非常有益的扩展功能,比如Catalyst 3560交换机可以限制端口通过的DHCP数据包的速率,粒度是pps,这样可以防止对DHCP服务器的进行地址请求的DoS攻击。另外Catalyst 3560交换机还支持DHCP Tracker,在DHCP请求中插入交换机端口的ID,从而限制每个端口申请的IP地址数目,防止黑客程序对DHCP服务器进行目的为耗尽IP地址池的攻击。华硕虽然不能调整速率,但是也会限制DHCP请求的数量。 DHCP(动态主机配置协议)是一种简化主机IP地址配置管理的TCP/IP标准。该标准为DHCP服务器的使用提供了一种有效的方法:即管理网络中客户机IP 地址的动态分配以及启用网络上DHCP客户机的其它相关配置信息。 在基于TCP/IP协议的网络中,每台计算机都必须有唯一的IP地址才能访问网络上的资源,网络中计算机之间的通信是通过IP地址来实现的,并且通过IP 地址和子网掩码来标识主计算机及其所连接的子网。在局域网中如果计算机的数量比较少,当然可以手动设置其IP地址,但是如果在计算机的数量较多并且划分了多个子网的情况下,为计算机配置IP地址所涉及的管理员工作量和复杂性就会相当繁重,而且容易出错,如在实际使用过程中,我们经常会遇到因IP 地址冲突、网关或DNS服务器地址的设置错误导致无法访问网络、机器经常变动位置而不得不频繁地更换IP地址等问题。 DHCP则很好地解决了上述的问题,通过在网络上安装和配置DHCP服务器,启用了DHCP的客户机可在每次启动并加入网络时自动地获得其上网所需的IP地址和相关的配置参数。从而减少了配置管理,提供了安全而可靠的配置。 配置DHCP服务的服务器可以为每一个网络客户提供一个IP地址、子网掩码、缺省网关,以及DNS服务器的地址。DHCP避免了因手工设置IP地址及子网掩码所产生的错误,也避免了把一个IP地址分配给多台主机所造成的地址冲突。