DCN-TS09DHCP協(xié)議原理與配置

1、 2Rfc951 BOOTSTRAP PROTOCOL (bootp)Rfc1533DHCP Options and BOOTP Vendor ExtensionsRfc1541Dynamic Host Configuration Protocol. Rfc2131Dynamic Host Configuration Protocol (Obsoletes: 1541 )Rfc3046DHCP Relay Agent Information OptionDHCP概述概述3DHCP概述概述 DHCP Dynamic Host Configuration Protocol 動態(tài)主機配置協(xié)議動態(tài)主機

2、配置協(xié)議 是一種提供傳輸配置信息到主機的方法是一種提供傳輸配置信息到主機的方法 客戶機使用客戶機使用UDP68端口發(fā)送請求報文，服務(wù)器使用端口發(fā)送請求報文，服務(wù)器使用UDP67端口端口回應(yīng)回應(yīng) 給客戶機提供給客戶機提供ip地址以及其它相關(guān)信息，如網(wǎng)絡(luò)掩碼、路由、地址以及其它相關(guān)信息，如網(wǎng)絡(luò)掩碼、路由、DNS服務(wù)器地址等服務(wù)器地址等 基于基于Client-Server模式模式 信息格式與信息格式與BOOTP類似類似4DHCP概述概述 DHCP支持三種地址分配方式支持三種地址分配方式自動分配自動分配 DHCP分配永久的分配永久的IP地址給主機地址給主機動態(tài)分配動態(tài)分配 DHCP分配給客戶機一個地址

3、的租約（或直到主機聲分配給客戶機一個地址的租約（或直到主機聲明放棄地址）明放棄地址）手動分配手動分配 主機主機IP地址由管理員指定地址由管理員指定 * 僅僅動態(tài)分配有地址回收機制僅僅動態(tài)分配有地址回收機制5DHCP術(shù)語術(shù)語 DHCP常見術(shù)語：常見術(shù)語： DHCP client：DHCP 客戶機，通過客戶機，通過DHCP 獲得網(wǎng)絡(luò)參數(shù)的主機獲得網(wǎng)絡(luò)參數(shù)的主機 DHCP server：DHCP 服務(wù)器，為服務(wù)器，為DHCP client提供網(wǎng)絡(luò)參數(shù)的主機提供網(wǎng)絡(luò)參數(shù)的主機 BOOTP relay agent：BOOTP 中繼代理，在中繼代理，在DHCP 服務(wù)器和服務(wù)器和DHCP 客戶之間客戶之間傳

4、送傳送DHCP 消息的主機或路由器消息的主機或路由器 DHCP relay agent：DHCP 中繼代理，在中繼代理，在DHCP 服務(wù)器和服務(wù)器和DHCP 客戶之間傳送客戶之間傳送dhcp 消息的主機或路由器消息的主機或路由器 binding：綁定、封裝。將收集的配置參數(shù)（至少包括一個：綁定、封裝。將收集的配置參數(shù)（至少包括一個ip地址），封裝并地址），封裝并分配給客戶機。這個動作是由服務(wù)器處理的分配給客戶機。這個動作是由服務(wù)器處理的6DHCP設(shè)計目標(biāo)設(shè)計目標(biāo)DHCP設(shè)計的目標(biāo)：設(shè)計的目標(biāo)： DHCP 應(yīng)該是一種機制而并非一個策略。應(yīng)該是一種機制而并非一個策略。DHCP 必須能允許本地系統(tǒng)管

5、理員管理必須能允許本地系統(tǒng)管理員管理參數(shù)參數(shù) 客戶機應(yīng)該不需要手動配置，每個主機應(yīng)該在沒有用戶干涉的情況下發(fā)現(xiàn)（查找客戶機應(yīng)該不需要手動配置，每個主機應(yīng)該在沒有用戶干涉的情況下發(fā)現(xiàn)（查找到）適合自己的配置并將該參數(shù)寫入自己的配置中到）適合自己的配置并將該參數(shù)寫入自己的配置中 網(wǎng)絡(luò)中應(yīng)該沒有手動的配置的主機。正常情況下，網(wǎng)絡(luò)管理員不需要為任何一臺網(wǎng)絡(luò)中應(yīng)該沒有手動的配置的主機。正常情況下，網(wǎng)絡(luò)管理員不需要為任何一臺主機手動配置網(wǎng)絡(luò)參數(shù)主機手動配置網(wǎng)絡(luò)參數(shù) DHCP 不需要每個子網(wǎng)一個不需要每個子網(wǎng)一個DHCP server。DHCP 應(yīng)該能穿過路由器或應(yīng)該能穿過路由器或BOOTP/DHCP 中繼

6、代理中繼代理 DHCP server能夠收到多個的配置請求報文，并正確處理處理能夠收到多個的配置請求報文，并正確處理處理 DHCP 必須能與靜態(tài)配置的其它網(wǎng)絡(luò)協(xié)議共存必須能與靜態(tài)配置的其它網(wǎng)絡(luò)協(xié)議共存 DHCP 必須能實現(xiàn)必須能實現(xiàn)RFC 951中中BOOTP的描述的描述 DHCP必須能為當(dāng)前的必須能為當(dāng)前的BOOTP clients提供服務(wù)提供服務(wù)7DHCP設(shè)計目標(biāo)設(shè)計目標(biāo)DHCP在網(wǎng)絡(luò)層的設(shè)計目標(biāo)需求：在網(wǎng)絡(luò)層的設(shè)計目標(biāo)需求： 保證網(wǎng)絡(luò)地址同一時間不被一個以上的主機使用。保證網(wǎng)絡(luò)地址同一時間不被一個以上的主機使用。 保留一個重啟的機器的配置，并盡可能的分配給其同樣的網(wǎng)絡(luò)參數(shù)（如保留一個重啟

7、的機器的配置，并盡可能的分配給其同樣的網(wǎng)絡(luò)參數(shù)（如機器重啟后得到與重啟前相同的機器重啟后得到與重啟前相同的ip地址）。地址）。 服務(wù)器重啟的過程中，保留服務(wù)器的配置，并在啟動后盡可能的分配給服務(wù)器重啟的過程中，保留服務(wù)器的配置，并在啟動后盡可能的分配給與原客戶端同樣的網(wǎng)絡(luò)參數(shù)（如與原客戶端同樣的網(wǎng)絡(luò)參數(shù)（如server機器重啟后，客戶機得到與重啟機器重啟后，客戶機得到與重啟前相同的前相同的ip地址）地址） 允許自動給網(wǎng)絡(luò)上新的主機分配網(wǎng)絡(luò)參數(shù)。允許自動給網(wǎng)絡(luò)上新的主機分配網(wǎng)絡(luò)參數(shù)。 對特定的主機可以支持固定的（如固定的對特定的主機可以支持固定的（如固定的ip地址）或長期（租約）的參地址）或長期

8、（租約）的參數(shù)配置。數(shù)配置。8DHCP與與BOOTPDHCP 是是 BOOTP 協(xié)議的延伸協(xié)議的延伸DHCP是支持是支持BOOTP客戶端的（客戶端的（BOOTP客戶端不需要任何附加協(xié)議），當(dāng)客戶端不需要任何附加協(xié)議），當(dāng)然一些新的交互只有然一些新的交互只有DHCP客戶端才支持。客戶端才支持。在在 DHCP 和和 BOOTP 之間有二種主要的不同之間有二種主要的不同DHCP 協(xié)議定義了每個客戶機的網(wǎng)絡(luò)參數(shù)的租約，允許不同的客戶機分配連協(xié)議定義了每個客戶機的網(wǎng)絡(luò)參數(shù)的租約，允許不同的客戶機分配連續(xù)的網(wǎng)絡(luò)地址續(xù)的網(wǎng)絡(luò)地址DHCP服務(wù)器能提供客戶機需要的所有網(wǎng)絡(luò)參數(shù)。服務(wù)器能提供客戶機需要的所有網(wǎng)絡(luò)參

9、數(shù)。9DHCP報文報文op（1）htype（1）hlen（1）hops（1）xid（4）secs（2）flags（2） ciaddr（4）yiaddr（4）siaddr （4）giaddr （4）chaddr （16）sname （64）file （128）options（variable） DHCP消息報文格式10DHCP報文報文DHCP報文字段說明：報文字段說明：op：消息：消息boot類型碼，如類型碼，如1 = BOOTREQUEST, 2 = BOOTREPLYhtype：物理地址類型：物理地址類型hlen： 物理地址長度物理地址長度hops：物理類型，：物理類型，Client set

10、s to zero，通過中繼代理時中繼代理可以填自定義值。，通過中繼代理時中繼代理可以填自定義值。xid：傳輸?shù)模簜鬏數(shù)膇d序號序號secs：時間，從第一次申請到當(dāng)前的時間差。：時間，從第一次申請到當(dāng)前的時間差。flags：標(biāo)志，：標(biāo)志，ciaddr：客戶端地址，：客戶端地址，only filled in if client is in BOUND, RENEW or REBINDING state and can respond to ARP requests.yiaddr：客戶端地址：客戶端地址siaddr：服務(wù)器地址：服務(wù)器地址(為客戶機提供引導(dǎo)程序的服務(wù)器，一般填為客戶機提供引導(dǎo)程序的

11、服務(wù)器，一般填server的的ip)giaddr：中繼代理：中繼代理chaddr：客戶端物理地址：客戶端物理地址sname：server 服務(wù)器名服務(wù)器名file：啟動文件名：啟動文件名options (variable)：變長選項：變長選項11DHCP工作過程工作過程DHCP交互交互分配網(wǎng)絡(luò)地址過程：分配網(wǎng)絡(luò)地址過程： 客戶機在其所在的物理網(wǎng)絡(luò)上廣播一個客戶機在其所在的物理網(wǎng)絡(luò)上廣播一個 DHCPDISCOVER 消息消息 每個服務(wù)器都回應(yīng)一個每個服務(wù)器都回應(yīng)一個DHCPOFFER消息消息 客戶機會從一個或多個服務(wù)器收到一個或多個客戶機會從一個或多個服務(wù)器收到一個或多個DHCPOFFER消息

12、消息客戶機廣播一個客戶機廣播一個DHCPREQUEST消息，消息中的服務(wù)器地址段中填寫剛消息，消息中的服務(wù)器地址段中填寫剛才選擇的服務(wù)器的才選擇的服務(wù)器的ip地址地址服務(wù)器收到廣播的服務(wù)器收到廣播的DHCPREQUEST 消息，將請求的客戶參數(shù)封裝在消息，將請求的客戶參數(shù)封裝在DHCPACK消息中發(fā)回客戶機消息中發(fā)回客戶機 客戶端收到包含配置參數(shù)的客戶端收到包含配置參數(shù)的DHCPACK消息，然后開始配置網(wǎng)絡(luò)參數(shù)消息，然后開始配置網(wǎng)絡(luò)參數(shù) 客戶端可以選擇送一個客戶端可以選擇送一個DHCPRELEASE 消息來撤銷對一個地址的租用消息來撤銷對一個地址的租用 12DHCP工作過程工作過程DHCP交互

13、交互已分配過網(wǎng)絡(luò)地址過程：已分配過網(wǎng)絡(luò)地址過程：假如客戶機記得自己地址并想再使用這個地址，可省略一些步驟假如客戶機記得自己地址并想再使用這個地址，可省略一些步驟客戶機廣播一個客戶機廣播一個 DHCPDISCOVER 消息，在該消息的消息，在該消息的requested IP address 域中填上其地址域中填上其地址服務(wù)器回應(yīng)一個服務(wù)器回應(yīng)一個DHCPACK消息消息 ，其中包含客戶機的配置參數(shù)（如果客，其中包含客戶機的配置參數(shù)（如果客戶機的請求非法，如客戶機已經(jīng)移動到新的網(wǎng)絡(luò)，服務(wù)器應(yīng)該返回一個戶機的請求非法，如客戶機已經(jīng)移動到新的網(wǎng)絡(luò)，服務(wù)器應(yīng)該返回一個DHCPNAK 消息消息 ） 客戶收到

14、客戶收到DHCPACK消息，再進行最后一次參數(shù)檢測，并且注意指定的消息，再進行最后一次參數(shù)檢測，并且注意指定的租期租期如果客戶端檢測到地址已經(jīng)被別人使用了（如通過使用如果客戶端檢測到地址已經(jīng)被別人使用了（如通過使用arp），就必須要），就必須要發(fā)送一個發(fā)送一個DHCPDECLINE消息給服務(wù)器，并且重新開始消息給服務(wù)器，并且重新開始dhcp交互交互如果收到一個如果收到一個DHCPNAK 消息，證明它不能使用記憶中的網(wǎng)絡(luò)地址。它消息，證明它不能使用記憶中的網(wǎng)絡(luò)地址。它必須重新啟動配置進程以重新申請一個地址了，這時就開始上面必須重新啟動配置進程以重新申請一個地址了，這時就開始上面“分配分配網(wǎng)絡(luò)地址

15、網(wǎng)絡(luò)地址”部分的步驟部分的步驟 13DHCP工作過程工作過程客戶機已有客戶機已有IP地址的情況：地址的情況：如果一個客戶機通過其它方法獲得一個網(wǎng)絡(luò)地址（如手動配置）如果一個客戶機通過其它方法獲得一個網(wǎng)絡(luò)地址（如手動配置）,它可能它可能需要使用需要使用DHCPINFORM消息來獲得其它配置參數(shù)?？蛻魴C構(gòu)建一個消息來獲得其它配置參數(shù)?？蛻魴C構(gòu)建一個DHCPINFORM消息發(fā)送給服務(wù)器。服務(wù)器收到這個消息發(fā)送給服務(wù)器。服務(wù)器收到這個DHCPINFORM消消息，構(gòu)建一個息，構(gòu)建一個DHCPACK消息返回。消息返回。DHCPACK消息中不填充分配的新消息中不填充分配的新地址，不為該地址檢查合法性，不填充

16、地址，不為該地址檢查合法性，不填充yiaddr域以及租期等。域以及租期等。服務(wù)器應(yīng)該檢查服務(wù)器應(yīng)該檢查DHCPINFORM消息中地址的可靠性，但不能檢查是否消息中地址的可靠性，但不能檢查是否有已經(jīng)存在的租約。服務(wù)器將客戶機需求的其它參數(shù)構(gòu)建到一個有已經(jīng)存在的租約。服務(wù)器將客戶機需求的其它參數(shù)構(gòu)建到一個DHCPACK消息中，并直接單點傳送傳送到客戶機。消息中，并直接單點傳送傳送到客戶機。14DHCP 協(xié)議規(guī)范協(xié)議規(guī)范 DHCP client-server 協(xié)議規(guī)范需要注意的一些問題：協(xié)議規(guī)范需要注意的一些問題：客戶機客戶機DHCP消息有一些用到廣播，在廣播報文中消息有一些用到廣播，在廣播報文中i

17、p地址填寫為地址填寫為0服務(wù)器不需要對所有的服務(wù)器不需要對所有的DHCPDISCOVER和和DHCPREQUEST消息進行回應(yīng)消息進行回應(yīng)服務(wù)器需要一個唯一的標(biāo)志來標(biāo)識客戶機的租期服務(wù)器需要一個唯一的標(biāo)志來標(biāo)識客戶機的租期DHCP客戶機可以從收到客戶機可以從收到DHCPOFFER消息的服務(wù)器中自由的選擇一個服務(wù)器消息的服務(wù)器中自由的選擇一個服務(wù)器服務(wù)器地址分配機制：服務(wù)器地址分配機制：依次嘗試下面的地址：客戶端當(dāng)前的地址、客戶端以前使用的地址、客戶端在依次嘗試下面的地址：客戶端當(dāng)前的地址、客戶端以前使用的地址、客戶端在Requested IP Address域中填充的地址、一個地址池中的新的地

18、址域中填充的地址、一個地址池中的新的地址對于地址池中地址的分配：地址基于從哪個子網(wǎng)收到消息（如果對于地址池中地址的分配：地址基于從哪個子網(wǎng)收到消息（如果giaddr 是是 0）或）或是中繼代理的地址（是中繼代理的地址（giaddr 不是不是 0）15DHCP安全性安全性 DHCP協(xié)議基于協(xié)議基于UDP and IP，因此具有先天性的安全問題。同時，因此具有先天性的安全問題。同時，DHCP用于比較容易的主機或無盤工作站等，配置起來若要用到口令、用于比較容易的主機或無盤工作站等，配置起來若要用到口令、密鑰等就太麻煩了。因此當(dāng)前的密鑰等就太麻煩了。因此當(dāng)前的DHCP是不安全的。是不安全的。 非授權(quán)的

19、非授權(quán)的DHCP服務(wù)器可以很容易的建立起來。這些服務(wù)器可能發(fā)送服務(wù)器可以很容易的建立起來。這些服務(wù)器可能發(fā)送發(fā)送錯誤信息給客戶機。諸如錯誤的發(fā)送錯誤信息給客戶機。諸如錯誤的ip地址、錯誤的路由信息、錯誤地址、錯誤的路由信息、錯誤的的DNS服務(wù)器地址等。惡意的服務(wù)器地址等。惡意的DHCP客戶機可以偽裝成合法的客戶機，客戶機可以偽裝成合法的客戶機，并得到合法客戶可以得到的信息。使用動態(tài)配置的方法，惡意客戶并得到合法客戶可以得到的信息。使用動態(tài)配置的方法，惡意客戶機可以得到所有的合法資源，而導(dǎo)致合法客戶機卻被拒絕。機可以得到所有的合法資源，而導(dǎo)致合法客戶機卻被拒絕。 16DHCP協(xié)議交互過程協(xié)議交互

20、過程 17Dhcp server配置步驟配置步驟1. 啟動啟動/關(guān)閉關(guān)閉DHCP服務(wù)器功能服務(wù)器功能2. 配置配置DHCP地址池地址池（1） 創(chuàng)建創(chuàng)建/刪除刪除DHCP地址池地址池（2） 配置動態(tài)配置動態(tài)DHCP地址池的參數(shù)地址池的參數(shù)（3） 配置手工配置手工DHCP地址池的參數(shù)地址池的參數(shù)3. 啟動記錄地址沖突的日志功能啟動記錄地址沖突的日志功能4. 配置發(fā)配置發(fā)ping包的個數(shù)和超時時間包的個數(shù)和超時時間 18Dhcp server配置步驟配置步驟1-啟動啟動/關(guān)閉關(guān)閉DHCP服務(wù)器功能服務(wù)器功能Switch(Config)# service dhcp19Dhcp server配置步驟配置

21、步驟2.1-配置配置DHCP地址池（動態(tài)）地址池（動態(tài)）Switch(Config)#ip dhcp pool ASwitch(dhcp-A-config)#network 10.16.1.0 24Switch(dhcp-A-config)#lease 3Switch(dhcp-A-config)#default-route 10.16.1.200 10.16.1.201 Switch(dhcp-A-config)#dns-server 10.16.1.202Switch(dhcp-A-config)#netbios-name-server 10.16.1.209Switch(dhcp-A-c

22、onfig)#exitSwitch(Config)#ip dhcp excluded-address 10.16.1.200 10.16.1.210Switch(Config)#ip dhcp excluded-address 10.16.2.200 10.16.2.21020Dhcp server配置步驟配置步驟2.2 -配置配置DHCP地址池（手工地址池（手工）Switch(Config)#ip dhcp pool BSwitch(dhcp-A1config)#host 10.16.1.210Switch(dhcp-A1-config)#hardware-address 0003.2223.dcab21Dhcp server配置步驟配置步驟3 -啟動記錄地址沖突的日志功能啟動記錄地址沖突的日志功能Switch(Confi