DHCPserver分配原則分析

1、DHCP幾個概念：DHCP Client：DHCP客戶端，通過DHCP協(xié)議請求IP地址的客戶端。DHCP客戶端是接口級的概念，如果一個主機有多個以太接口，則該主機上的每個接口都可以配置成一個DHCP 客戶端。交換機上每個Vlan接口也可以配置成一個DHCP客戶端。DHCP Server：DHCP 服務端，負責為DHCP客戶端提供IP地址，并且負責管理分配的IP地址。DHCP Relay：DHCP中繼器，DHCP客戶端跨網段申請IP地址的時候，實現(xiàn)DHCP報文的轉發(fā)功能。DHCP Security：DHCP安全特性，實現(xiàn)合法用戶IP地址表的管理功能DHCP Snooping：DHCP監(jiān)聽，記錄通

2、過二層設備申請到IP地址的用戶信息發(fā)現(xiàn)階段：即DHCP客戶端尋找DHCP服務端的過程，對應于客戶端發(fā)送DHCP Discovery，因為DHCP Server對應于DHCP客戶端是未知的，所以DHCP 客戶端發(fā)出的DHCP Discovery報文是廣播包，源地址為0.0.0.0目的地址為255.255.255.255。網絡上的所有支持TCP/IP的主機都會收到該DHCP Discovery報文，但是只有DHCP Server會響應該報文。如果網絡中存在多個DHCP Server，則多個DHCP Server均會回復該DHCP Discovery報文。如果同一個vlan內沒有DHCP Serve

3、r，而該VlanIf配置了DHCP Relay功能，則該Vlanif即為DHCP中繼，DHCP中繼會將該DHCP報文的源IP地址修改為該Vlanif的IP地址，而目的地址則為DHCP Relay配置的DHCP Server的IP地址。同時修改DHCP報文中，giaddress為VlanIf的IP地址。并以單播將DHCP Discovery發(fā)送到DHCP Server端。DHCP Server 提供階段：DHCP Server提供階段，即為DHCP Server響應DHCP Discovery所發(fā)的DHCP Offer階段DHCP Server收到DHCP Discovery報文后，解析該報文請

4、求IP地址所屬的Subnet。并從dhcpd.conf文件中與之匹配的subnet中取出一個可用的IP地址(從可用地址段選擇一個IP地址后，首先發(fā)送ICMP報文來ping該IP地址，如果收到該IP地址的ICMP報文，則拋棄該IP地址，重新選擇IP地址繼續(xù)進行ICMP報文測試，直到找到一個網絡中沒有人使用的IP地址，用以達到防治動態(tài)分配的IP地址與網絡中其他設備IP地址沖突，這個IP地址沖突檢測機制，可配置)，設置在DHCP Discovery報文中yiaddress字段中，表示為該客戶端分配的IP地址，并且為該Lease設置該Subnet配置的Option，例如默認leases租期，最大租期，

5、router等信息。DHCP從地址池中選擇IP地址，以如下優(yōu)先級進行選擇：1、當前已經存在的Ip Mac的對應關系2、Client以前的IP地址3、讀取Discovery報文中的Requested Ip Address Option的值，如果存在并且IP地址可用4、從配置的Subnet中選擇IP地址：DHCP Server解析DHCP Discovery請求的IP所屬的Subnet，首先看該DHCP Discovery報文中giaddress是否有DHCP Relay，如果有，則從giaddress所述的subnet中可用IP地址段中獲取，并分配IP。如果giaddress沒有IP地址，則從該

6、DHCP Server綁定的接口的IP地址所屬的網段分配IP地址。DHCP Client 選擇階段：DHCP Client收到若干個DHCP Server響應的DHCP Offer報文后，選擇其中一個DHCP Server作為目標DHCP Server。選擇策略通常為選擇第一個響應的DHCP Offer報文所屬的DHCP Server。然后以廣播方式回答一個DHCP Request報文，該報文中包含向目標DHCP請求的IP地址等信息。之所以是以廣播方式發(fā)出的，是為了通知其他DHCP Server自己將選擇該DHCP Server所提供的IP地址。DHCP Server確認階段：當DHCP Se

7、rver收到DHCP Client發(fā)送的DHCP Request后，確認要為該DHCP Client提供的IP地址后，便想該DHCP Client響應一個包含該IP地址以及其他Option的報文，來告訴DHCP Client可以使用該IP地址了。然后DHCP Client即可以將該IP地址與網卡綁定。另外其他DHCP Server都將收回自己之前為DHCP Client提供的IP地址。DHCP Client重新登錄網絡：當DHCP Client重新登錄后，發(fā)送一個以包含之前DHCP Server分配的IP地址信息的DHCP Request報文，當DHCP Server收到該請求后，會嘗試讓DH

8、CP客戶端繼續(xù)使用該IP地址。并回答一個ACK報文。但是如果該IP地址無法再次分配給該DHCP Client后，DHCP回復一個NAK報文，當DHCP Client收到該NAK報文后，會重新發(fā)送DHCP Discovery報文來重新獲取IP地址。DHCP Client更新租約：DHCP獲取到的IP地址都有一個租約，租約過期后，DHCP Server將回收該IP地址，所以如果DHCP Client如果想繼續(xù)使用該IP地址，則必須更新器租約。更新的方式就是，當當前租約期限過了一半后，DHCP Client都會發(fā)送DHCP Renew報文來續(xù)約租期。一、DHCP Server的地址分配與釋放遵循著四

9、個原則。通過這幾個原則，對于分析DHCP Server地址分配問題大有裨益。如下：1、對于動態(tài)分配地址的情況，當一個MAC地址獲取到DHCP Server分配的地址時，此分配的IP地址就會放到ip-in-use的表項中，默認情況下1天時間內，若此MAC下線或者沒有及時續(xù)約，則此地址在MAC下線后就被放入過期池中，成為過期表項。當此MAC再次上線申請時，若expired表中還有此MAC的記錄，就會將這個地址再分給這個MAC；2、 對于一個新上線申請的MAC，設備會檢查是地址池中是否還有可分配的地址，若有，則將IP地址最小的地址分配給此MAC，若沒有則將過期池中的過期地址釋放給此MAC，原則是將過

10、期地址時間最長的那個地址分給此MAC；3、對于一個新上線申請的MAC，若地址池中ip-in-used、expired、conflict、forbidden的總數(shù)已經達到DHCP Server的最大規(guī)格時，會將過期池中的過期地址釋放給此MAC；4、在地址池中仍有地址可分的情況下，過期池里的過期地址永遠不會老化，只有一種情況會老化，即在當過期地址達到最大規(guī)格的4/5時，這時才會將過期池中時間最長的地址釋放，即過期池中的過期表項數(shù)量不會超過最大規(guī)格的4/5。二、在交換機上使用“display dhcp server free-ip”命令顯示為空的說明：該命令只顯示從未被分配過的ip地址，如果ip地址

11、被分配過給pc并且由于pc超期沒有續(xù)約，那么該IP是不會被放回到free-ip地址池中的，它將被作為expired的ip地址被重新分配。-三、交換機記錄DHCP Server分配IP地址沖突的情況如下：情況1，server每次分配IP地址都會發(fā)送一個ICMP報文，去探測網絡中有沒有PC使用這個IP地址，如果有，就記錄一個沖突。情況2，有時候，server的ICMP沒有人應答，比如server和client不再同一個網絡中。此時PC剛拿到這個IP地址，還會發(fā)送一個ARP去查看本網絡內有沒有人使用這個IP地址，如果有，就給server發(fā)送一個decline報文報文，server也將這個地址記錄成沖

12、突地址。需要說明的是，軟件內部有一個計時器，只有該計時器超時才會將曾經沖突的地址繼續(xù)分配給客戶端，該計時器無法手工定義或修改。除非使用reset dhcp server conflict命令手工清除記錄才可以將這些曾經沖突的地址繼續(xù)分配下去DHCP有三種機制分配IP地址：1) 自動分配方式（Automatic Allocation），DHCP服務器為主機指定一個永久性的IP地址，一旦DHCP客戶端第一次成功從DHCP服務器端租用到IP地址后，就可以永久性的使用該地址。2) 動態(tài)分配方式（Dynamic Allocation），DHCP服務器給主機指定一個具有時間限制的IP地址，時間到期或主機明

13、確表示放棄該地址時，該地址可以被其他主機使用。3) 手工分配方式（Manual Allocation），客戶端的IP地址是由網絡管理員指定的，DHCP服務器只是將指定的IP地址告訴客戶端主機。三種地址分配方式中，只有動態(tài)分配可以重復使用客戶端不再需要的地址。-對于DHCP故障,相處理DHCP故障的技巧和步驟。 第一：檢查物理連接是否暢通。 在客戶端與服務器連接的網卡上配置IP地址，確保該IP地址與服務器端接口GigabitEthernet1/0/0的IP地址在同一網段。從客戶端ping GigabitEthernet1/0/0接口的IP地址，如果可以ping通，則說明連接暢通，那么物理線路故障

14、便可被排除。也可以在服務器端打開DHCP的調試開關，查看是否可以收到客戶端的DHCPDISCOVER報文。 第二：DHCP服務器的配置是否正確。1.執(zhí)行命令dhcp enable。2.執(zhí)行命令display dhcp server tree all，查看全局地址池是否存在，且地址池中的IP地址與接口GigabitEthernet1/0/0的IP地址是否在同一個網段中。如果不存在，執(zhí)行命令dhcp server ip-pool pool-name和命令network ip-address mask mask mask-length 創(chuàng)建地址池和配置地址池中可動態(tài)分配的IP地址范圍。如果地址池存在

15、，但地址池中的IP地址與接口GigabitEthernet1/0/0的IP地址不在同一個網段，則修改地址池中的IP地址或修改接口GigabitEthernet1/0/0的IP地址，使二者在一個網段中。3.系統(tǒng)視圖下執(zhí)行命令dhcp select global all interface interface-type interface-number 或在GigabitEthernet1/0/0接口視圖下執(zhí)行命令dhcp select global，確保GigabitEthernet1/0/0下的客戶從全局地址池獲取地址。 第三：地址池內是否有可用IP地址、過期IP地址或沖突IP地址。1.執(zhí)行命令display dhcp server free-ip，檢查全局地址池內是否還有可用IP地址。2.如果沒有可用地址，執(zhí)行命令display dhcp server expired pool pool-name，查看是否有過期的IP地址。3.如果不存在過期IP地址，執(zhí)行命令display dhcp server conflict all，查看是否有沖突的IP地址。如果有的話，查看其探測時間(Discover Time