計算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)與實踐PPT課件

1、計算機(jī)網(wǎng)絡(luò)應(yīng)用技術(shù)與實踐第第4 4章：使用章：使用DHCPDHCP管理管理IPIP地址地址阮曉/ http:/河南中醫(yī)學(xué)院管理信息工程學(xué)科河南中醫(yī)學(xué)院網(wǎng)絡(luò)信息中心2015.91 1河南中醫(yī)學(xué)院 / 阮曉龍 // http:/本章主要內(nèi)容pDHCP概述p工作原理p實訓(xùn)：在Windows Server上實現(xiàn)DHCPp實訓(xùn)：在Linux上實現(xiàn)DHCPp實訓(xùn)：配置DHCP客戶端pDHCP安全管理p案例：基于GNS3在局域網(wǎng)中構(gòu)建DHCP 服務(wù)2 2河南中醫(yī)學(xué)院 / 阮曉龍 // http:/1.DHCP概述p在計算機(jī)網(wǎng)絡(luò)中，

2、IP地址就相當(dāng)于計算機(jī)的門牌號，標(biāo)識著計算機(jī)在網(wǎng)絡(luò)中的位置，因此每臺計算機(jī)都需要配置至少一個IP地址。p當(dāng)網(wǎng)絡(luò)中只有少數(shù)幾臺計算機(jī)時，只需要通過手動的方式為每臺計算機(jī)配置IP地址。但如果網(wǎng)絡(luò)中有成千上萬臺計算機(jī)，顯然用手動方式為每一臺計算機(jī)配置IP地址就不可行，此時就需要使用DHCP服務(wù)。3 31.1簡介河南中醫(yī)學(xué)院 / 阮曉龍 // http:/1.DHCP概述pDHCP（Dynamic Host Configuration Protocol，動態(tài)主機(jī)配置協(xié)議）是一個局域網(wǎng)的網(wǎng)絡(luò)協(xié)議，使用UDP協(xié)議工作，主要有兩個用途：n給內(nèi)部網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)供應(yīng)商自動分配IP地址。

3、n給用戶或者內(nèi)部網(wǎng)絡(luò)管理員作為對所有計算機(jī)進(jìn)行中央管理的手段。4 41.1簡介河南中醫(yī)學(xué)院 / 阮曉龍 // http:/1.DHCP概述p通過DHCP服務(wù)，DHCP服務(wù)器可以為網(wǎng)絡(luò)中安裝了DHCP客戶端程序的計算機(jī)自動分配IP地址和其他相關(guān)配置（DNS，網(wǎng)關(guān)等），而不需要管理員對每個主機(jī)進(jìn)行逐一配置，極大的降低了管理成本。5 51.1簡介河南中醫(yī)學(xué)院 / 阮曉龍 // http:/1.DHCP概述p在管理基于TCP/IP的網(wǎng)絡(luò)中，使用DHCP有以下好處：n減少配置和管理的工作量，提高效率。n配置更加可靠。n便于管理。n節(jié)約IP資源。6 61

4、.2優(yōu)點(diǎn)河南中醫(yī)學(xué)院 / 阮曉龍 // http:/1.DHCP概述pDHCP也存在一些缺點(diǎn)。如果DHCP服務(wù)器設(shè)置有誤或出現(xiàn)故障，尤其是當(dāng)網(wǎng)絡(luò)中只有一臺DHCP服務(wù)器時，就會導(dǎo)致網(wǎng)絡(luò)中所有DHCP客戶端無法正常獲取IP地址，影響網(wǎng)絡(luò)通信。p通常在一個網(wǎng)絡(luò)中配置兩臺以上的DHCP服務(wù)器，當(dāng)其中一臺DHCP服務(wù)器失效時，由另一臺（或幾臺）DHCP服務(wù)器提供服務(wù)，不影響網(wǎng)絡(luò)的正常運(yùn)行。7 71.3缺點(diǎn)河南中醫(yī)學(xué)院 / 阮曉龍 // http:/1.DHCP概述pDHCP一般情況下用于以下場景中：n網(wǎng)絡(luò)規(guī)模較大，手工配置需要很大的工作量，并難以對整

5、個網(wǎng)絡(luò)進(jìn)行集中管理，而服務(wù)器、網(wǎng)絡(luò)設(shè)備節(jié)點(diǎn)等使用靜態(tài)IP地址管理，這樣才能保證網(wǎng)絡(luò)暢通，且服務(wù)器能夠被正常訪問。n網(wǎng)絡(luò)中主機(jī)數(shù)目大于該網(wǎng)絡(luò)支持的IP地址數(shù)量，無法給每個主機(jī)分配一個固定的IP地址。例如，Internet接入服務(wù)提供商，限制同時接入網(wǎng)絡(luò)的用戶數(shù)目，大量用戶必須動態(tài)獲得自己的IP地址。n網(wǎng)絡(luò)中只有少數(shù)主機(jī)需要固定的IP地址，大多數(shù)主機(jī)沒有固定IP地址的需求。8 81.4應(yīng)用場景河南中醫(yī)學(xué)院 / 阮曉龍 // http:/1.DHCP概述pDHCP服務(wù)不僅提供簡單的IP地址自動分配的功能，還具有以下功能：n通過IP地址與MAC地址綁定，實現(xiàn)靜態(tài)IP地址的分配

6、。n可以自動配置客戶端的DNS服務(wù)器、WINS服務(wù)器（僅限于Windows操作系統(tǒng)中的DHCP服務(wù)器）和默認(rèn)網(wǎng)關(guān)。n利用IP地址排除功能，使靜態(tài)分配給其他主機(jī)的IP地址不再分配給另外的DHCP客戶端。n通過DHCP中繼功能，一個DHCP服務(wù)器可以為多個網(wǎng)段（或VLAN）中的DHCP客戶端分配不同地址池中的IP地址。9 91.5主要功能河南中醫(yī)學(xué)院 / 阮曉龍 // http:/1.DHCP概述pDHCP作用域是本地邏輯子網(wǎng)中可以使用的IP地址的集合，例如-54。DHCP服務(wù)器只能使用作用域中定義的IP地址來分配給DHCP客戶

7、端。p超級作用域是DHCP服務(wù)中的一種管理功能。使用超級作用域，可以將多個作用域組合為單個管理實體。在多網(wǎng)配置中，可以使用DHCP超級作用域來組合網(wǎng)絡(luò)上使用的單獨(dú)作用域范圍。通過這種方式，DHCP服務(wù)器可為單個物理網(wǎng)絡(luò)上的客戶端激活并提供來自多個作用域的租約。10101.6作用域河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理p整個DHCP服務(wù)一共有以下8種類型的報文：DHCP DISCOVER（請求報文）：用來發(fā)現(xiàn)網(wǎng)絡(luò)中的DHCP服務(wù)器。DHCP OFFER（應(yīng)答報文）：用來告知客戶端本服務(wù)器可以為其提供IP地址。DHCP REQUEST（請求報文）：告知D

8、HCP服務(wù)器，希望獲得分配的IP地址。DHCP ACK（應(yīng)答報文）：通知用戶可以使用分配的IP地址。DHCP NAK（應(yīng)答報文）：通知客戶端無法分配合適的IP地址。DHCP RELEASE（請求報文）：請求釋放相應(yīng)的IP地址。DHCP DECLINE（請求報文）：告知服務(wù)器分配的IP地址不可用，希望獲取 新的IP地址。11112.1報文分析河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pDHCP報文類型雖然多，但每種報文的格式基本相同。只是某些字段的取值不一樣。12122.1報文分析DHCP報文格式河南中醫(yī)學(xué)院 / 阮曉龍 // h

9、ttp:/2.工作原理pDHCP報文格式分析 nOP：Option，指定報文的操作類型，占8位。請求報文置1，應(yīng)答報文置2。nHtype、Hlen：分別指定客戶端的MAC地址類型及長度，各占8位。nHops：DHCP報文經(jīng)過的DHCP中繼的數(shù)目，占8位。13132.1報文分析河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pDHCP報文格式分析 nXid：客戶端通過DHCP DISCOVER報文發(fā)起一次IP地址請求時所選擇的隨機(jī)數(shù)，相當(dāng)于請求標(biāo)識，占32位。nSecs：表示DHCP客戶端從獲取到IP地址或續(xù)租過程開始到現(xiàn)在所消耗的時間，以秒為單位，占16位。1

10、4142.1報文分析河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pDHCP報文格式分析 nFlags：標(biāo)識位，占16位，第一位為廣播應(yīng)答標(biāo)識位，用來標(biāo)識DHCP應(yīng)答報文是用單播還是廣播發(fā)送的，置0表示單播，置1表示廣播。nCiaddr：指示DHCP客戶端的IP地址，占32位。nYiaddr：指示DHCP服務(wù)器分配給客戶端的IP地址，占32位。15152.1報文分析河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pDHCP報文格式分析 nSiaddr：指示下一個為DHCP客戶端分配IP地址的DHCP服務(wù)器IP地址。nGiad

11、dr：指示DHCP客戶端分配的MAC地址，占128位。nSname：指示為DHCP客戶端分配IP地址的DHCP服務(wù)器名稱（域名，占512位。16162.1報文分析河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pDHCP報文格式分析 nFile：指示DHCP服務(wù)器為DHCP客戶端指定的啟動配置文件名稱及路徑信息，占1024位。nOptions：字段中包含了DHCP客戶端自動獲取IP地址時的具體配置信息，長度可變。配置信息包括（報文類型、租約期限、續(xù)約時間、子網(wǎng)掩碼、默認(rèn)網(wǎng)關(guān)、域名稱、WINS服務(wù)器）17172.1報文分析河南中醫(yī)學(xué)院 / 阮曉龍 / 13938

12、213680 / http:/2.工作原理pDHCP客戶端從DHCP服務(wù)器獲得IP地址信息的整個分配過程分為以下4個階段：nIP租用請求nIP租用提供nIP租用選擇nIP租用確認(rèn)18182.2工作流程河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理19192.2工作流程DHCP工作流程河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pIP租用請求n當(dāng)DHCP客戶端第一次啟動網(wǎng)絡(luò)組件時，如果客戶端發(fā)現(xiàn)本機(jī)上沒有任何IP地址等相關(guān)參數(shù)時，就會向它所處的網(wǎng)絡(luò)內(nèi)廣播一個DHCP DISCOVER數(shù)據(jù)包，請求獲取IP配置信息。n當(dāng)客戶端

13、將第一個DHCP DISCOVER包發(fā)送出去之后，在1秒內(nèi)如果沒有得到回應(yīng)，就會進(jìn)行第二次DHCP DISCOVER廣播。如果一直得不到回應(yīng)，客戶端將在16秒之內(nèi)廣播4次DHCP DISCOVER。如果都沒有得到DHCP服務(wù)器的響應(yīng)，客戶端則會顯示錯誤信息，宣告DHCP DISCOVER失敗。n以后系統(tǒng)會每5分鐘嘗試與外界的DHCP服務(wù)器進(jìn)行聯(lián)系，重復(fù)上述的廣播過程。20202.2工作流程河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pIP租用提供n當(dāng)網(wǎng)絡(luò)中的任何一個DHCP服務(wù)器收到客戶端發(fā)出的DHCP DISCOVER廣播后，它會從可用地址中選擇最前面的

14、IP，連同其他TCP/IP設(shè)定（包括子網(wǎng)掩碼、網(wǎng)關(guān)地址、DNS地址、WINS服務(wù)器地址等參數(shù)），回應(yīng)給客戶端一個DHCP OFFER包。21212.2工作流程河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pIP租用選擇n如果客戶端收到網(wǎng)絡(luò)上多臺DHCP服務(wù)器的回應(yīng)，則會從中選擇一個DHCP OFFER（通常是最先到達(dá)的那個），并且會向網(wǎng)絡(luò)上發(fā)送一個DHCP REQUEST廣播數(shù)據(jù)包，告訴所有DHCP服務(wù)器它將指定哪一臺服務(wù)器提供的IP地址。n同時，客戶端還會向網(wǎng)絡(luò)上發(fā)送一個ARP（Address Resolution Protocol，地址解析協(xié)議）包，查詢

15、網(wǎng)絡(luò)上有沒有其他機(jī)器使用該IP地址；如果發(fā)現(xiàn)該IP地址已被占用，客戶端則會發(fā)送一個DHCP DECLINE數(shù)據(jù)包給DHCP服務(wù)器，拒絕接受其DHCP OFFER包，并重新發(fā)送DHCP DISCOVER信息。22222.2工作流程河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pIP租用確認(rèn)n當(dāng)DHCP服務(wù)器接收到客戶端的DHCP REQUEST廣播數(shù)據(jù)包后，會向客戶端發(fā)出DHCP ACK回應(yīng)，以確認(rèn)IP租約的正式生效，也就結(jié)束了一個完整的DHCP工作過程。23232.2工作流程河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理p

16、當(dāng)DHCP客戶端租到IP地址后，不能長期占用，而是有一個使用期限，即租期。IP地址的續(xù)租的過程如下：n當(dāng)IP地址使用時間到達(dá)租期的一半時，將向DHCP服務(wù)器發(fā)送一個新的DHCP請求，以續(xù)租該IP地址。如果續(xù)租成功，則DHCP客戶端將開始一個新的租用周期。n當(dāng)IP地址使用時間到達(dá)租期的一半時，如果續(xù)租失敗，DHCP客戶端仍然繼續(xù)使用原來的IP地址及其配置，在租期達(dá)到87.5%時，DHCP客戶端會再次利發(fā)送一個DHCP請求信息，如果續(xù)租成功，則重新開始一個新的租用周期。24242.3 IP租約的更新與續(xù)租河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理n租期達(dá)到8

17、7.5%時，如果仍續(xù)租失敗，則該DHCP客戶端會立即放棄正在使用的IP地址，以便重新向DHCP服務(wù)器獲得一個新的IP地址。n當(dāng)DHCP客戶端重啟后，不管IP地址的租期有沒有到期，都會重新請求使用原來的IP地址信息。如果沒有DHCP服務(wù)器對此請求應(yīng)答，并且原來的租期還沒到期，則DHCP客戶端將繼續(xù)使用該IP地址。25252.3 IP租約的更新與續(xù)租河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理p在DHCP客戶端初次從DHCP服務(wù)器獲取地址過程中，所有從DHCP客戶端發(fā)出的請求報文和所有DHCP服務(wù)器返回的應(yīng)答報文均是以廣播的方式進(jìn)行發(fā)送的，因此，DHCP服務(wù)只

18、適用于DHCP客戶端和DHCP服務(wù)器處于同一個子網(wǎng)的情況。pDHCP中繼代理很好的解決了這一問題，使得DHCP服務(wù)能夠跨網(wǎng)絡(luò)使用。p通過DHCP中繼代理服務(wù)，與DHCP服務(wù)器不在同一子網(wǎng)的DHCP客戶端可以通過DHCP中繼代理（通常是三層交換機(jī)或路由器）與其他網(wǎng)段的DHCP服務(wù)器通信，使得DHCP客戶端能夠自動獲取到IP地址。26262.4中繼代理河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2727DHCP中繼代理河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理pDHCP客戶端通過DHCP中繼代理從DHCP服務(wù)器自動獲取IP地址的過程

19、與不通過DHCP中繼代理從DHCP服務(wù)器自動獲取IP地址的過程相類似，都需要經(jīng)歷發(fā)現(xiàn)、提供、選擇和確認(rèn)四個階段。p中繼代理只是充當(dāng)一個中介代理角色，負(fù)責(zé)轉(zhuǎn)發(fā)DHCP客戶端與DHCP服務(wù)器之間交互的請求和應(yīng)答報文。28282.4中繼代理河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2929中級代理工作流程河南中醫(yī)學(xué)院 / 阮曉龍 // http:/2.工作原理nDHCP客戶端以廣播方式向本網(wǎng)段發(fā)送DHCP DISCOVER或DHCP REQUEST請求報文。此時只有網(wǎng)絡(luò)中的DHCP中繼代理設(shè)備會接收該DHCP請求報文。nDHCP中繼代理設(shè)備在接收

20、到DHCP客戶端發(fā)來的DHCP DISCOVER或DHCP REQUEST請求報文后，將請求報文以單播方式轉(zhuǎn)發(fā)給DHCP服務(wù)器。nDHCP服務(wù)器在收到由DHCP中繼代理設(shè)備轉(zhuǎn)發(fā)的DHCP DISCOVER或DHCP REQUEST請求報文后，以單播方式向DHCP中繼代理返回對應(yīng)的DHCP OFFER或DHCP ACK應(yīng)答報文。nDHCP中繼設(shè)備在收到DHCP服務(wù)器應(yīng)答報文后，以廣播方式將帶有DHCP配置信息的對應(yīng)應(yīng)答報文轉(zhuǎn)發(fā)給DHCP客戶端，完成對客戶端的動態(tài)配置。30302.4中繼代理河南中醫(yī)學(xué)院 / 阮曉龍 // http:/3.在Windows Server上實

21、現(xiàn)DHCPp在Windows Server操作系統(tǒng)已經(jīng)內(nèi)置了DHCP服務(wù)，只需要通過簡單的安裝配置，即可通過Windows Server實現(xiàn)DHCP服務(wù)。31313.1安裝DHCP服務(wù)河南中醫(yī)學(xué)院 / 阮曉龍 // http:/3232現(xiàn)場演示：n Windows Server 2012平臺上安裝DHCP服務(wù)組件。n DHCP服務(wù)的管理：啟動、暫停、重啟、停止。河南中醫(yī)學(xué)院 / 阮曉龍 // http:/3.在Windows Server上實現(xiàn)DHCPpDHCP服務(wù)安裝部署后，設(shè)置DHCP服務(wù)的基本流程如下。n新建作用域n設(shè)置排斥地址n設(shè)置默

22、認(rèn)租期n設(shè)置默認(rèn)網(wǎng)關(guān)n設(shè)置DNS服務(wù)器n設(shè)置WINS服務(wù)器n激活作用域33333.2設(shè)置DHCP服務(wù)河南中醫(yī)學(xué)院 / 阮曉龍 // http:/3434現(xiàn)場演示：n 在Windows Server 2012平臺上實現(xiàn)DHCP服務(wù)。n DHCP服務(wù)的作用域創(chuàng)建。n DHCP服務(wù)的排斥地址、默認(rèn)租期、網(wǎng)關(guān)、DNS服務(wù)器、WINS服務(wù)器設(shè)置。n DHCP服務(wù)中激活作用域。河南中醫(yī)學(xué)院 / 阮曉龍 // http:/3.在Windows Server上實現(xiàn)DHCPp保留IP地址在網(wǎng)絡(luò)中，某些計算機(jī)需要每次都獲得相同的IP地址，就需要用到保留地址。設(shè)置

23、保留地址是將一個IP與某個DHCP客戶端網(wǎng)卡的MAC地址進(jìn)行綁定。pDHCP篩選器利用篩選器，可以設(shè)置允許和拒接規(guī)則，從而實現(xiàn)只為網(wǎng)絡(luò)中特定的計算機(jī)分配IP地址，或者拒絕為某些計算機(jī)分配地址。篩選器也同樣是通過MAC地址來識別計算機(jī)的p新建超級作用域添加超級作用域，可以用來擴(kuò)充網(wǎng)絡(luò)中可以使用的IP地址。35353.3.設(shè)置保留IP地址河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4.在Linux上實現(xiàn)DHCPpLinux系統(tǒng)平臺上使用DHCP服務(wù)，需要通過DHCP軟件。pDHCP服務(wù)由DHCP軟件提供。36364.1安裝DHCP服務(wù)+ DHCP河南中醫(yī)學(xué)院 / 阮曉龍

24、// http:/4.在Linux上實現(xiàn)DHCPp在CentOS 7上安裝DHCP服務(wù)命令如下所示。37374.1安裝DHCP服務(wù)河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4.在Linux上實現(xiàn)DHCPp輸入以下命令，查看dhcp.conf的內(nèi)容。38384.2DHCP配置文件河南中醫(yī)學(xué)院 / 阮曉龍 // http:/3939河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4040河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4141河南中醫(yī)學(xué)院 / 阮曉龍 / 13

25、938213680 / http:/4.在Linux上實現(xiàn)DHCPp配置文件的語句說明如表所示。42424.3配置DHCP河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4.在Linux上實現(xiàn)DHCP43434.3配置DHCP河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4444dhcp.conf配置示例-1河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4545dhcp.conf配置示例-2河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4646現(xiàn)場演示：n 在CentOS 7平臺上實現(xiàn)DHCP服務(wù)。n

26、 DHCP服務(wù)軟件的安裝、配置，創(chuàng)建作用域等。n DHCP服務(wù)的排斥地址、默認(rèn)租期、網(wǎng)關(guān)、DNS服務(wù)器設(shè)置。n DHCP服務(wù)的多作用域、超級作用域的配置。河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4.在Linux上實現(xiàn)DHCPp定義多個作用域和超級作用域的區(qū)別在于：n定義多個作用域可以通過中繼代理為不同網(wǎng)絡(luò)中的DHCP客戶端分配IP地址；n超級作用域盡管包含了多個作用域范圍，但只能算作一個作用域，只不過這個作用域包含了兩個網(wǎng)段的IP地址，且超級作用域也只能為一個網(wǎng)絡(luò)內(nèi)的DHCP客戶端分配IP地址，只有當(dāng)其中一個網(wǎng)段的IP地址分配完畢時，才會分配另一個網(wǎng)絡(luò)的IP地址。

27、47474.4多作用域IP地址分配河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4.在Linux上實現(xiàn)DHCPp如圖，PC1與DHCP服務(wù)器同屬于VALN 10，網(wǎng)關(guān)為，PC2屬于VLAN 20，網(wǎng)關(guān)為。pDHCP服務(wù)器地址為0，三層交換機(jī)開啟中繼功能。48484.4多作用域IP地址分配河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4.在Linux上實現(xiàn)DHCPp假設(shè)DHCP服務(wù)器配置了兩個作用域，作用域1的范圍為00-00，作用域2的

28、范圍為00-00。p當(dāng)PC1和PC2向DHCP服務(wù)器發(fā)送請求后，若兩個作用域內(nèi)的IP地址都未分配完畢，則PC1會獲取到/24網(wǎng)段的IP地址，PC2會獲取到/24網(wǎng)段的IP地址。若對應(yīng)網(wǎng)段的IP地址已經(jīng)分配完畢，則PC1和PC2通過DHCP服務(wù)就獲取不到IP地址。49494.4多作用域IP地址分配河南中醫(yī)學(xué)院 / 阮曉龍 // http:/4.在Linux上實現(xiàn)DHCPp如果DHCP服務(wù)器配置的是一個超級作用域，作用域范圍為00-00

29、，00-00。p當(dāng)PC1和PC2向DHCP發(fā)送請求后，若兩個網(wǎng)段的IP地址都未分配完畢，則PC1會獲取到/24網(wǎng)段的IP地址，而PC2獲取不到IP地址，因為PC2（VLAN 20）與DHCP服務(wù)器（VLAN 10）不在同一個網(wǎng)絡(luò)內(nèi)，而超級作用域只能為一個網(wǎng)絡(luò)分配IP地址；若/24網(wǎng)段的IP地址已經(jīng)分配完畢，則PC1就會獲取到/24網(wǎng)段的IP地址，PC2仍獲取不到IP地址。50504.4多作用域IP地址分配河南中醫(yī)學(xué)院 / 阮曉龍 // http:/5.D

30、HCP客戶端的配置51515.1在Windows上配置DHCP在Windows上配置DHCP河南中醫(yī)學(xué)院 / 阮曉龍 // http:/5.DHCP客戶端的配置52525.2在Linux上配置DHCP在Linux上配置DHCP河南中醫(yī)學(xué)院 / 阮曉龍 // http:/5.DHCP客戶端的配置53535.3在Android上配置DHCP在Android上配置DHCP河南中醫(yī)學(xué)院 / 阮曉龍 // http:/5.DHCP客戶端的配置54545.4在IOS上配置DHCP在IOS上配置DHCP河南中醫(yī)學(xué)院 / 阮曉龍 /

31、/ http:/6.DHCP安全管理5555pDHCP協(xié)議是在UDP和IP協(xié)議的基礎(chǔ)上運(yùn)行，有很多不安全因素。pDHCP服務(wù)安全問題分為服務(wù)器與客戶端兩個部分。p服務(wù)器方面的主要安全問題在于DHCP服務(wù)器的冒充，即DHCP欺騙；客戶端方面的主要安全問題在于非法用戶采用手動配置，非法入侵到網(wǎng)絡(luò)中，這時需要用到DHCP強(qiáng)制，強(qiáng)制計算機(jī)必須使用DHCP自動獲取的IP才能夠上網(wǎng)。河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理56566.1 DHCP欺騙p客戶機(jī)是依據(jù)DHCP服務(wù)器響應(yīng)的快慢來決定選取為自己服務(wù)的DHCP服務(wù)器的。p如

32、果在某個子網(wǎng)內(nèi)存在一臺偽DHCP服務(wù)器，而這臺偽DHCP服務(wù)器的響應(yīng)速度要比需要中繼代理的真正DHCP服務(wù)器響應(yīng)快，那么客戶機(jī)就會從子網(wǎng)中的偽DHCP服務(wù)器獲取IP配置信息。也就是說，使用DHCP服務(wù)時，無法保證客戶機(jī)只從管理員所設(shè)置的DHCP服務(wù)器中獲取合法的IP地址。p在網(wǎng)絡(luò)中存在偽服務(wù)器，對網(wǎng)絡(luò)的危害是巨大的，可導(dǎo)致整個網(wǎng)絡(luò)的癱瘓，還會造成信息的泄密。河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理57576.1 DHCP欺騙p解決DHCP欺騙問題的方法有以下幾種。n通過域控制器對非法DHCP服務(wù)器進(jìn)行過濾通過將合法的DHCP服務(wù)器添加到活動目錄

33、中，利用網(wǎng)絡(luò)中加入域的DHCP服務(wù)器比沒有加入域的DHCP服務(wù)器優(yōu)先級高的原則，可以有效的防范非法DHCP服務(wù)器。該方法只適用于非法DHCP服務(wù)器是Windows操作系統(tǒng)，且需要用到域和活動目錄，配置較復(fù)雜。n通過訪問控制列表屏蔽非法DHCP服務(wù)器在路由器或交換機(jī)上利用訪問控制列表（ACL）來屏蔽合法DHCP服務(wù)器以外的所有DHCP應(yīng)答包（即屏蔽UDP 68號端口）。這種方法的不足在于ACL會影響路由交換設(shè)備的性能。河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理58586.1 DHCP欺騙p解決DHCP欺騙問題的方法有以下幾種。nDHCP Snoop

34、ing技術(shù)pDHCP Snooping是一種通過在交換機(jī)上建立DHCP Snooping綁定表，過濾非信任的DHCP消息，從而保證網(wǎng)絡(luò)的安全。pDHCP Snooping綁定表包含不信任區(qū)域的用戶MAC地址、IP地址、租用期、VLAN ID接口等信息。當(dāng)交換機(jī)開啟了DHCP Snooping后，會對DHCP報文進(jìn)行偵聽，并可以從接收到的DHCP REQUEST或DHCP ACK報文中提取并記錄IP地址和MAC地址信息。pDHCP Snooping允許將某個物理端口設(shè)置為信任端口或不信任端口。信任端口可以正常接收并轉(zhuǎn)發(fā)DHCP OFFER報文，而不信任端口會將接收到的DHCP OFFER報文丟棄

35、。這樣可以完成交換機(jī)對假冒DHCP 服務(wù)器的屏蔽作用，確保客戶端從合法的DHCP服務(wù)器獲取IP地址。河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理p一次DHCP欺騙案例分析。n如圖，PC1與PC2同屬于VLAN 10，DHCP服務(wù)器屬于VLAN 20，三層交換機(jī)開啟DHCP中繼功能。nPC2是一個偽裝的DHCP服務(wù)器。59596.1 DHCP欺騙河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理p一次DHCP欺騙案例分析。nPC1希望通過DHCP服務(wù)來獲取IP地址及其他網(wǎng)絡(luò)配置信息，并接入網(wǎng)絡(luò)。于是PC1就會向

36、它所在的網(wǎng)絡(luò)發(fā)送DHCP請求的廣播包。正常情況下只有DHCP服務(wù)器會接收PC1發(fā)來的DHCP請求，并給予回應(yīng)。但是PC2處存在一個偽DHCP服務(wù)器，也會接收PC1發(fā)來的DHCP請求，并給予回應(yīng)。60606.1 DHCP欺騙河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理p一次DHCP欺騙案例分析。nPC2和DHCP服務(wù)器在接收到PC1發(fā)來的DHCP請求后，都會給予回應(yīng)。由于PC2域PC1同屬于一個子網(wǎng)，中間未經(jīng)過路由設(shè)備，所以PC2給予的DHCP欺騙回應(yīng)要比DHCP服務(wù)器通過中繼代理給予的回應(yīng)要快，于是PC1就會采用PC2所給的IP配置信息。61616

37、.1 DHCP欺騙河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理p一次DHCP欺騙案例分析。n為了解決上述問題，使用DHCP Snooping功能。配置交換機(jī)，在VLAN 10內(nèi)的所有端口設(shè)置為非信任端口。這樣，所有的DHCP應(yīng)答報文，在非信任端口都會被過濾掉，PC1就只會接收到來自DHCP服務(wù)器的回應(yīng)。62626.1 DHCP欺騙河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理pDHCP服務(wù)能夠自動為連接到網(wǎng)絡(luò)的計算機(jī)提供包括IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)地址以及DNS服務(wù)器地址等信息，通過DHCP服務(wù)分配IP地

38、址后DHCP客戶機(jī)可以順利上網(wǎng)。p在DHCP環(huán)境下，如果客戶機(jī)不將網(wǎng)絡(luò)參數(shù)設(shè)置為“自動獲得地址”方式而是手工指定上述地址信息，且設(shè)置得和DHCP服務(wù)器分配一致并正確的話，客戶機(jī)依舊可以正常上網(wǎng)。63636.2 DHCP強(qiáng)制河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理p為了解決上述問題，需要采用DHCP強(qiáng)制，強(qiáng)制客戶端計算機(jī)必須使用DHCP服務(wù)才能夠順利上網(wǎng)。p采用DHCP強(qiáng)制，需要使用DHCP Snooping技術(shù)，并在交換機(jī)進(jìn)行配置。眾多的網(wǎng)絡(luò)設(shè)備生產(chǎn)廠商都提供了相應(yīng)的技術(shù)來實現(xiàn)DHCP強(qiáng)制，進(jìn)而提升DHCP的安全性。p以Cisco交換機(jī)為例，介

39、紹其實現(xiàn)DHCP強(qiáng)制的方法。64646.2 DHCP強(qiáng)制河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6.DHCP安全管理pCisco的交換機(jī)在啟用DHCP Snooping后，每次客戶機(jī)通過DHCP服務(wù)獲取IP地址都會生成一個ip-mac-port綁定表，即IP地址、客戶機(jī)MAC地址、交換機(jī)端口號對應(yīng)關(guān)系表。p經(jīng)過ip-mac-port綁定后，客戶機(jī)必須使用ip-mac-port綁定表中的IP地址才能夠聯(lián)網(wǎng)。65656.2 DHCP強(qiáng)制河南中醫(yī)學(xué)院 / 阮曉龍 // http:/7.基于GNS3在局域網(wǎng)中構(gòu)建DHPC服務(wù)p在局域網(wǎng)中構(gòu)建DHC

40、P服務(wù)的具體流程如下：n構(gòu)建網(wǎng)絡(luò)拓?fù)鋘IP地址規(guī)劃n配置DHCP服務(wù)器n配置DHCP中級代理n啟用DHCP Snooping實現(xiàn)安全管理n配置多臺DHCP服務(wù)器6666河南中醫(yī)學(xué)院 / 阮曉龍 // http:/6767局域網(wǎng)拓?fù)浜幽现嗅t(yī)學(xué)院 / 阮曉龍 // http:/6868河南中醫(yī)學(xué)院 / 阮曉龍 // http:/7.基于GNS3在局域網(wǎng)構(gòu)建DHPC服務(wù)p根據(jù)上表IP地址的規(guī)劃，DHCP服務(wù)器采用如下配置：n作用域1：作用域地址范圍：00-00 網(wǎng)關(guān)：54 DNS服務(wù)器地址：1