课程编码DHCP协议原理及配置-江西陶瓷工艺美术职业技术学院.ppt

HL-009 DHCP协议 ISSUE 1.1 江西陶瓷工艺美术职业技术学院 n 了解DHCP协议产生的原因和解决的 问题 n 理解DHCP协议的工作原理 n 理解DHCP相关安全特性 n 掌握华为3Com网络设备上关于DHCP 协议的配置 课程目标 学习完本课程，您应该能够： n DHCP协议产生原因 n DHCP协议介绍 n DHCP协议实现原理 n DHCP安全特性介绍 n DHCP配置及实验 目录 4 DHCP协议产生的原因 每个人都要我亲 自去分配IP地址 ，太烦了。 小张，我 需要固定 的IP地址 唉，我的地址 怎么又和别人 冲突了？ 怎么 办? 使用DHCP协议就OK了 n DHCP协议产生原因 n DHCP协议介绍 n DHCP协议实现原理 n DHCP安全特性介绍 n DHCP配置及实验 目录 6 DHCP协议介绍 l DHCP（Dynamic Host Configuration Protocol）是在 BOOTP （Bootstrap Protocol ）的基础上提出的 l 作用是在TCP/IP网络中向主机提供配置信息 l 采用Client/Server模式 由DHCP Client向DHCP Server提出配置申请，DHCP Server根据策略返回相应配置信息。 l DHCP报文采用UDP进行封装，识别采用端口号 DHCP Client使用68，DHCP Server使用67。 7 DHCP协议特点 l 整个配置过程自动实现，DHCP Client端无需配置 l 所有配置信息由DHCP Server统一管理 l 通过IP地址租期管理，提高IP地址的使用效率 l 采用广播实现报文交互，报文一般不能跨网段，如 果需跨网段，需要使用DHCP Relay技术实现 n DHCP协议产生原因 n DHCP协议介绍 n DHCP协议实现原理 n DHCP安全特性介绍 n DHCP配置及实验 目录 9 DHCP协议系统组成 l DHCP Client DHCP Client通过DHCP协议来获得网络配置参数 通常是一台主机或网络设备 l DHCP Server DHCP Server提供网络设置参数给DHCP Client 通常是一台服务器或网络设备 l DHCP Relay 在DHCP Client和DHCP Server之间跨网段转发DHCP消 息 通常是网络设备 10 DHCP地址分配种类 l Automatic Allocation 为连接到网络的某些主机分配IP地址，该地址将长期由 该主机使用 l Dynamic Allocation DHCP Server为DHCP Client指定一个IP地址，同时为 此地址规定了一个租用期限 如果租用时间到期，DHCP Client必须重新申请地址 l Manual Allocation 网络管理员为某些少数特定的主机绑定固定IP地址，且 地址不会过期 11 DHCP协议分配地址的优先级 l DHCP Server数据库中与该DHCP Client的MAC地址静 态绑定的IP地址 l 该DHCP Client曾经使用过的地址 l 顺序查找DHCP地址池中可供分配的IP地址，最先找到的 可用IP地址，优先级高 l 如果未找到可用的IP地址，则依次查询超过租期、发生冲 突的IP地址 l 找不到则报告错误 12 DHCP的报文组成 hops(1)hlen(1) options (variable) file(128) sname(64) chaddr(16) giaddr(4) siaddr(4) yiaddr(4) ciaddr(4) flags(2)secs(2) xid(4) htype(1)op(1) 13 DHCP报文中各个部分的含义 八位中最左边的一位置位代表广播，反之代表单播。flags 由DHCP Client填充，从DHCP Client开始获得地址或地址续借后 所使用了的秒数。 secs Transaction ID，由DHCP Client选择的一个随机数，被DHCP Server和DHCP Client用来在它们之间交流messages和 responses。由客户设置并由DHCP Server返回的32 bit整数。 客户用它对请求和应答进行匹配。 xid DHCP Client设置为0，也能被一个代理服务器设置hops hardware address length，6字节。hlen hardware address type，1表示10 Mb/s的以太网，这和ARP请求或 应答中同名字段表示的含义相同。 htype message op code / message type “1“代表BOOTREQUEST ”2“代表 BOOTREPLY op 含义字段 14 DHCP报文中各个部分的含义 可选参数域，定义的选项 列表。DHCP报文“options”域的头四个八位 字节的十进制值分别为 99、130、83、99，“options”域的剩余项包 括一列tagged参数。RFC 2132中介绍了全部的option的定义。 options Boot file name，是一个空值终 止串。DHCPDISCOVER中是“generic”名 字或空字符；DHCPOFFER提供有效的目录路径全名。 file “服务器主机名”字段是一个空值终 止串，由服务器填写。sname Client hardware addresschaddr DHCP Relay代理的IP地址。giaddr bootstrap中，下一个Server的IP地址。siaddr your（Client）IP addressyiaddr Client IP address，只有DHCP Client已经获 得IP地址，并且能响应ARP requests时，才能被填充。 ciaddr 含义字段 15 DHCP协议的8种报文 l DHCPDISCOVER 此报文是DHCP Client开始DHCP过程的第一个报文 l DHCPOFFER 此报文是DHCP Server对DHCP DISCOVER报文的响应 l DHCPREQUEST 此报文是DHCP Client开始DHCP过程中对 DHCPOFFER报文的回应，或者是DHCP Client续延IP 地址租期时发出的报文 l DHCPDECLINE 当DHCP Client发现DHCP Server分配给它的IP地址无 法使用，将发出此报文，通知DHCP Server禁止使用该 IP地址 16 l DHCPACK DHCP Server对DHCP Client的DHCPREQUEST报文的 确认响应报文 l DHCPNAK DHCP Server对DHCP Client的DHCPREQUEST报文的 拒绝响应报文 l DHCPRELEASE DHCP Client主动释放DHCP Server分配给它的IP地址的 报文 l DHCPINFORM DHCP Client已经获得了IP地址，发送此报文，只是为了 从DHCP Server处获取其他的一些网络配置信息 DHCP协议的8种报文（续） 17 DHCP的通信过程 DHCPDISCOVER DHCPOFFER DHCPREQUEST DHCPACK/NAK DHCPDECLINE DHCP Client DHCP Server IP网 18 DHCP的通信过程分析 19 DHCP续订租约 T DHCPREQUEST（UNICAST） DHCP Client DHCP Server DHCPACK（UNICAST） T1:使用时 间达到租 期的50% DHCPREQUEST（BROADCAST） DHCPACK（UNICAST） T2:使用时 间达到租 期的87.5% IP网 20 DHCP Relay 的通信过程 DHCPDISCOVERDHCPDISCOVER DHCPOFFERDHCPOFFER DHCPREQUESTDHCPREQUEST DHCPACK/NAK DHCPACK/NAK DHCPDECLINE Unicast或 Broadcast Unicast或 Broadcast DHCP Client和DHCP Relay间的所有报文，从初始状态获取IP地址时，DISCOVER和REQUEST都是广 播的，OFFER和ACK根据请求报文中的广播标志位来决定广播还是单播，如果请求标注位为广播，则 OFFER和ACK就是广播的，否则就是单播的。 DHCP Client DHCP Server 子网1子网2 21 DHCP Relay 的通信过程分析 22 DHCP Relay 的通信过程分析（续 ） 23 DHCP Relay续订租约 DHCP Client DHCP Server DHCPACK（UNICAST） DHCPREQUEST(BROADC AST) DHCPREQUEST（UNICAST） DHCPREQUEST(UNICAST) DHCPACK（UNICAST） DHCPACK（UNICAST） T T1:使用时 间达到租 期的50% T2:使用时 间达到租 期的87.5% 子网1子网2 24 l 当giaddr字段为空的时候，DHCP Server返回 DHCPNAK报文采用的都是广播方式 l 如果 giaddr字段非空，那么DHCP Server就会采 用单播的方式把返回报文发送给giaddr字段所代 表的IP地址 l 如果giaddr字段为空并且ciaddr非空，那么DHCP Server也会采用单播的方式把DHCPOFFER和 DHCPACK报文发送给ciaddr字段所代表的IP地 址 DHCP报文的广播与单播 25 DHCP报文的广播与单播（续） l 如果giaddr和ciaddr字段都为空，并且flags字段中 的广播位置位，那么DHCP Server返回 DHCPOFFER和DHCPACK报文的时候就采用广播 方式。 l 如果广播位没有置位，那么DHCP Server就把这些 报文单播给yiaddr代表的IP地址 l 如果在某些情况下不能使用单播，那么DHCP Server就采用广播方式 n DHCP协议产生原因 n DHCP协议介绍 n DHCP协议实现原理 n DHCP安全特性介绍 n DHCP配置及实验 目录 27 DHCP的安全特性 l DHCP Relay地址合法性检查 l DHCP Snooping l DHCP Option 82 28 DHCP Relay地址合法性检查 l DHCP Relay安全特性维护了一张IP和MAC的对应表 l 用户通过DHCP Relay申请IP地址时，会增加记录表项 l 启了DHCP Relay安全特性后，ARP模块就会根据这张对 应表对IP地址和MAC地址匹配的合法性检查 l 如果IP和MAC对应的关系在表中找不到匹配项时，就丢弃 ARP报文 l 如果作DHCP Relay的设备不是默认网关，则报文的转发 不受影响 29 DHCP Relay地址合法性检查 00EF-AABB-CF08 00EF-AABB-CF08 Check ARP请求 30 DHCP Snooping l DHCP Snooping设备可以对DHCP Client与 DHCP Server端交互的DHCP协议报文进行监听 l 设备可以对自身的端口属性进行配置，将连接合 法DHCP Server的端口设为信任端口，其余端口 设为非信任端口 l 信任端口可以正常转发DHCPOFFER及 DHCPACK报文，而非信任端口将拒绝这些报文 31 Legal DHCP server DHCP Client Illegal DHCP server Legal DHCP INFO Illegal DHCP INFO Legal DHCP INFO DHCP Snooping 32 DHCP Option 82 l DHCP Option 82称为DHCP报文中的中继代理信息选 项（Relay Agent Information Option） l DHCP Relay设备可以同支持Option 82的DHCP Server共同配合，实现DHCP Client合法性检查、可 控静态IP地址分配、可控DHCP Relay设备部署等 l Option 82中可以包含最多255个sub-option，若定义 了option 82，至少要定义一个sub-option。 l 目前option 82中常用的是sub-option 1、sub-option 2和sub-option 5。 33 DHCP Option 82 报文结构 l Code 标识了中继代理信息选项的序号。本报文中序号 为82，即Option 82 l Len 指明Agent Information Field的长度 l Agent Information Field 指定了使用的sub-option CodeLENi1i2iN Agent Information Field 34 DHCP Option 82 子选项报文结构 l SubOpt 1表示代理电路ID（Circuit ID）子项 2表示代理远程ID（Remote ID）子项 5表示链路选择（Link Selection）子项 l Len 标识Sub-option Value的长度。 l Sub-option Value sub-option的值 SubOptLENi1i2iN Sub-option Value 35 DHCP Option 82子选项介绍 l sub-option 1 代理电路ID（Circuit ID）子项。 l sub-option 2 代理远程ID（Remote ID）子项。 l sub-option 5 链路选择（Link Selection）子项。 36 DHCP Relay支持Option 82时的工作机 制 l DHCP Client在初始化时以广播的形式发送请求 报文 l DHCP Relay设备检查报文中是否已有Option 82选项，进行相应的处理 如果已有Option 82，按照配置的策略对该报文进行处 理，然后将请求报文转发给DHCP Server 若没有Option 82选项，则将Option 82选项添加到报 文中后转发给DHCP Server 37 l DHCP Server收到转发来的DHCP请求报文后， 记录报文中Option选项信息，按照既定的针对 Option 82的安全规则进行处理 l DHCP Server将带着DHCP配置信息以及Option 82信息的报文发给DHCP Relay l DHCP Relay收到DHCP Server的返回报文后， 剥离报文中的Option 82信息 l DHCP Relay将带有DHCP配置信息的报文转发 给DHCP Client DHCP Relay支持Option 82时的工作机制（续 ） 38 n DHCP协议产生原因 n DHCP协议介绍 n DHCP协议实现原理 n DHCP安全特性介绍 n DHCP配置及实验 目录 39 DHCP Server配置任务 l 启动DHCP服务 l 配置本地DHCP Server的地址分配方式 l 创建DHCP全局地址池（全局地址池方式必配） l 配置动态分配的IP地址范围（全局地址池方式必配 ） l 配置DHCP Client的默认网关IP地址（全局地址池方 式必配） l 配置DHCP Client的DNS服务地址（选配） l 配置地址池中IP地址的租期（选配） 40 DHCP Server配置 l 启动DHCP服务 启动DHCP服务，在系统视图下配置 dhcp enable 41 DHCP Server配置（续） l 配置本地DHCP Server从全局地址池进行地址分配 配置当前VLAN接口从全局地址池分配地址，在接口视图下配置 dhcp select global 配置多个VLAN接口从全局地址池分配地址 ，在系统视图下配置 dhcp select global interface vlan-interface vlan_id to vlan- interface vlan_id | all l 配置本地DHCP Server从接口地址池进行地址分配 配置从当前接口地址池分配地址，在接口视图下配置 dhcp select interface 配置多个VLAN接口从接口地址池分配地址，在系统视图下配置 dhcp select interface interface vlan-interface vlan_id to vlan- interface vlan_id | all 42 DHCP Server配置（续） l 创建DHCP全局地址池 请在系统视图下进行下列配置 dhcp server ip-pool pool-name l 配置动态分配的IP地址范围 请在DHCP地址池视图下进行下列配置 network ip-address mask netmask l 配置DHCP Client的默认网关IP地址 请在DHCP地址池视图下进行下列配置 gateway-list ip-address ip-address 43 DHCP Server配置（续） l 配置DHCP Client的DNS服务器地址 请在DHCP地址池视图下进行下列配置 dns-list ip-address& l 配置全局地址池中IP地址的租期 请在DHCP地址池视图下进行下列配置 expired day day hour hour minute minute | unlimited l 配置VLAN接口DHCP地址池的IP地址租用有效期限 请在VLAN接口视图下进行下列配置 dhcp server expired day day hour hour minute minute | unlimited 44 DHCP Server显示和调试 l 查看DHCP Server的冲突相关信息 display dhcp server conflict all | ip ip-address l 查看DHCP地址池的可用地址范围 display dhcp server free-ip l 查看DHCP地址池中地址绑定信息 display dhcp server ip-in-use ip ip-address | pool pool-name | interface vlan-interface vlan_id | all l 查看DHCP Server的统计信息 display dhcp server statistics l DHCP server 的调试 debugging dhcp server 45 DHCP Relay配置任务 l 启动DHCP服务 l 配置接口工作在DHCP Relay模式 46 DHCP Relay配置 l 配置接口工作在DHCP Relay模式 配置DHCP Server组中DHCP Server的地址，请在系统 视图下进行下列配置 dhcp-server groupNo ip ip-address1 ipaddress-list 配置接口与DHCP Server组的归属关系 ，请在接口视图 下进行下列配置 dhcp-server groupNo 47 DHCP Relay显示和调试 l 显示DHCP Server组的相关信息 display dhcp-server groupNo l 显示VLAN接口对应的DHCP Server组的相关信息 display dhcp-server interface vlan-interface vlan-id l 显示DHCP Server组的合法用户地址表中所有用 户的地址信息 display dhcp-secu