（计算机科学与技术专业论文）dhcp技术及其安全性的研究与优化.pdf

西北工业大学硕士学位论文 摘要 随着互联网的普及，人们的工作、学习和生活与网络联系越来越紧密， 搭建了许多不同的网络，如企业网、校园网和城区网等。由于采用d h c p 技术 动态地为主机配置参数，可以有效解决目前i p 地址资源不足和无线网络用户 的移动性等问题，并能极大地减轻大型网络管理员的工作量，减少手：r 网络 配置的错误，有利于快速地搭建一个大型网络或修改其网络配置。因此，网 络配置中越来越多地使用了d h c p 服务器及技术，随着网络应用的普及和深 入，应用范围会愈来愈广。但目前国内对d h c p 技术的研究只限于d h c p 服务 器的配置问题和d h c p 协议本身，很少有更深入的研究。网络协议在当初的设 计时一般都存在漏洞，d h c p 协议在设计时未考虑安全的因素，在使用d h c p 服务器为主机配置网络地址和参数的网络中面临着很多d h c p 威胁，有些威胁 致使整个网络的瘫痪。所以对d h c p 技术及安全性的研究具有重大意义。 论文以红盾在线科技公司开发的大型网络管理软件系统为背景，研究 d h c p 技术及其安全性的问题。具体来讲，本文的主要内容和工作有： ( 1 ) 介绍d h c p 协议和工作原理，d h c p 服务器与客户机交互过程和d h c p 服务器的数据库和配置文件内容等。 ( 2 ) 根据d h c p 原理，研究d h c p 技术的扩展和优化，研究多台d h c p 服务 器同时工作的负载平衡，提出分类分配i p 地址的优化服务的解决方案。 ( 3 ) 研究d h c p 协议的漏洞，分析采用d h c p 技术的网络中d h c p 所面临的 威胁，并针对不同的威胁提出消除威胁的解决方案。 ( 4 ) 根据各种容灾技术的特点，研究d h c p 服务器的容灾技术，并对d h c p 服务器的容灾方案进行设计和实现。 关键词：d h c p ，负载平衡，消息认证，失效转移 西北工业大学硕士学位论文 a b s t r a c t w i t ht h ep r e v a l e n c eo fi n t e r n e tt h er e l a t i o n sb e t w e e np e o p l e s l i r ea n dn e t w o r ka r em o r ea n dm o r et i g h t n e s sa n dv a r i o u sn e t w o r k ss u c h a se n t e r p r i s en e t w o r k ，c a m p u sn e t w o r ka n dp u b l i cn e t w o r ke t c a r eb e i n g b u i i t d h c ps e r v e r sa n dd h c pt e c h n o l o g yt oc o n f i g u r en e t w o r kp a r a m e t e r s c a ns o l u t et h ep r o b l e m so fs h o r t a g eo fi pa d d r e s s e sa n dm o b i l i t yo f w i r e l e s sn e t w o r k u s e r ，g r e a t l y1 i g h t e nt h ew o r k o fn e t w o r k a d 【i l i n i s t r a t o r r e d u c em i s t a k e sf r o mm a n u a lc o n f i g u r a t i o na n df a s t b u i l dal a r g e s c a l en e t w o r ko rm o d i f yi t sp a r a m e t e r s s od h c p t e c h n o l o g yw i l lb ea p p l i e dm o r ea n dm o r el a r g e l y i nn e t w o r k ，n o w r e s e a r c ha b o u td h c po n l yf o c u s e so nc o n f i g u r a t i o no fd h c ps e r v e ra n d d b c pp r o t o c o la n ds e l d o md o e ss o m e t h i n gd e e p l y t h e r ea r eh o l e s c o m m o n l yi nn e t w o r kp r o t o c o l sd e s i g n e d ，s od o e sd h c pp r o t o c o lw h e n i tw a sd e s i g n e d ，p e o p l eh a r d l yt o o ka c c o u n tf o rs e e u r i t y d u r i n gt h e p r o c e d u r eo fu s i n gd h c ps e r v e rt oc o n f i g u r en e t w o r ka d d r e s s e sa n d p a r a m e t e r sf o rc l i e n t s ，t h e r ea r em a n yt h r e a t sa n ds o m ec a nl e a dt h e w h o l en e t w o r kt od i s o r d e r s oi t i sm e a n i n g f u lt or e s e a r c hd h c p t e c h n o l o g ya n di t ss e c u r i t y b a s e do nt h ep r o j e c to fl a r g en e t w o r km a n a g e m e n ts o f t w a r es y s t e m o f h o n g d u no n 一1 i n et e c h n o l o g yd e v e l o p m e n tc o m p a n y t h i so a p e r r e s e a r c h e sd h c pt e c h n o l o g ya n di t ss e c u r i t y t h ec o n t r i b u t i o nj nt h e p a p e rin c l u d e s ： ( 1 ) i tw i l li n t r o d u c ed h c pp r o t o c o la n dw o r kp r i n c i p l e s ，t h e e x c h a n g eb e t w e e nd h c ps e r v e ra n dc l i e n ta n dt h ec o n t e n to fd a t a b a s e a n dc o n f i g u r a t i o nf i l e o fd h c ps e r v e r ( 2 ) a c c o r d i n gt od h c pp r i n c i p l e si tw i l lr e s e a r c ht h ee x t e n t i o n a n do p t i m i z a t i o no fd h c pa n dl o a d i n gb a l a n c ew h e ns e v e r a ld h c ps e r v e r s w o r kt o g e t h e ra n db r i n gf o r w a r dt h eo p t i m i z i n gs e r v i c et oc o n f i g u r e d i f f e r e n ti pa d d r e s s e si nv i e wo fd i f f e r e n tu s e s ( 3 ) i tw i l lr e s e a r c ht h eh o l e so fd h c pp r o t o c o l ，a n a l y z ed h c p t h r e a t si nn e t w o r ka p p l y i n gd h c pt e c h n o l o g ya n dd e s i g nt h es o l u t i o n t oe l i m i n a t et h e ma c c o r d i n gt od i f f e r e n tt h r e a t s ( 4 ) i tw i l lr e s e a r c hd i s a s t e rr e c o v e r yo fd h c ps e r v e r ，i n c l u d i n g i t sd e s i g n sa n di m p l e m e n t a t i o n 1 1 西北工业大学顾士学位论文 k e y w o r d s ：d y n a m i ch o s tc o n f i g u r a t i o np r o t o c o l ，l o a d i n gb a l a n c e m e s s a g ea u t h e n t i c a t i o n ，f a i l o v e r ， 1 1 1 西北t 业大学硕士学位论文 第一章绪论 第一章绪论 1 1 论文背景 t c p i p 网络在t n t e r n e t 和i n t r a n e t 领域中占据越来越大的比重，人们 日常的工作、学习、生活正同网络日益密切在联结在一起，网络如同呼吸一 样，正成为许多人赖以生存发展的工具。网络对企业有着更为重要的作用。 网络这一高速的信息流动媒体，是企业内部加快物流、资金流，加快信息的 流动，实现资源共享、加强企业内部管理的一个重要手段。 但是，t c p i p 网络基本是手动配置的，需要很大的工作量。必须配置的 网络参数包括i p 地址、子网掩码、网关地址、d n s 地址。另一方面，随着笔 记本电脑的普及，大量的移动用户入网时需要配置网络参数；企业内部用户 因工程、项目的组合和分解，也常会变动用户计算枧所在的网络。这些因素 使网络具有了很强的动态性，加重了网络配置的难度。“据保守的估计，对每 个i p 的更改都要花费大约1 5 分钟。那么，对于一个有i 0 0 节点的小网络来 说，个网络管理员要花费近2 5 个小时来做这些必要的修改。随着网络的扩 展，这种工作将变得越来越难以负担，并极易发生错误。” 如何成功的配置这些系统，把握好对t c p i p 网络的控制权，让差异很大 的网络用户能够顺利地联网，享受高可靠性的网络软、硬件系统带来的丰裕 网络资源，同时，又能让网络管理者拥有对网络资源的灵活、方便的可视能 力及管理能力，从而保证建立在网络上的企业重要信息的顺畅流转，是包括 拥有企业网、校园网、公众网等的大型企业、院校、网络接入提供商( i s p ) 的必须认真和严肃对待的问题。 d h c p 技术可以解决上述问题。所以在网络中越来越多的采用了d h c p 服务 器来配置网络。这也是它成为我的研究课题的原因。下面详细说踢研究d l c p 技术及其安全性的重要意义。 i i i 研究d h c p 技术的重要性 1 解决i p 地址缺乏 i n t e r n e t 规划时，采用的是i pv 4 ( i p 第4 版) 的协议标准，即3 2 b i t 的i p 地址标准。i n t e r n e t 的迅猛发展使得i p v 4 当初的规划已经捉襟见肘。 如果全世界所有的能够上网的计算机同时连接i n t e r n e t ，i p 地址资源已经不 够了。尽管目前正在制订新的i p 协议标准i pv 6 ( 采用1 2 8 b i t 来表示i p 西北工业大学硕士学位论文 第一章绪论 地址) ，但由于i p v 4 已经得到广泛的应用，因此i p v 6 的普及还需要时f 7 。 采用d h c p 服务器来分配i p 地址可以缓解i p 地址紧张的局面。如果静态 分配i p 地址，你必须为每一台计算机提供一个唯一的i p 地址。计算机将占 据这个地址。无论它们是否开着。但是，通常并不是所有的计算机在所有的 时间都在使用当中。 在这种情况下，d h c p 可以按是否需要的原则分配i p 地址。这样就把你从 必须确保你有足够的地址用于每一台计算机的窘况中解脱出来。取而代之的 是，你只需要确保在任何给定的时间有足够的i p 地址用于使用当中的计算机 就行了。所以i n t e r n e t 上的i s p ( i n t e r n e ts e r v i c e sp r o v i d e r ，i n t e r n e t 服务提供商) 对普通的联网用户也是使用d h c p 服务来分配动态的i p 地址。 2 解决计算机经常移动的问题 更重要的是，在许多组织中，在整个建筑或者建筑之间经常移动计算机 是非常常见的一种情况。在这种情况下，如果使用固定i p 地址，每次你移动 计算机，可能你就必须修改成为另一个子网中的i p 地址，而如果你使用d h c p ， 计算机将自动联系d h c p 服务器并且取得适合新的子网的! p 地址。 3 快速配置修改大型网络避，免手工配置出错 在常见的小型网络中( 例如家庭网络和学生宿舍网) ，网络管理员都是采 用手工分配i p 地址的方法，而到了中、大型网络，这种方法就不太适用了。 在中、大型网络，特别是大型网络中，往往有超过i 0 0 台的客户机，主机i p 地址的分配和管理是管理员面临的重要任务之一。如果所有主机的i p 地址都 靠管理员的手工设置，这种方式很容易出错，造成地址冲突。因此，为了解 决手动分配i p 地址方法存在的弊端，必须引入一种高效的i p 地址分配方法 d h c p ( d y n a m i ch o s tc o n f i g u r a t i o np r o t o c 0 1 ) 。 d h c p 在快速发送客户网络配置方面很有用场。当配置客户系统时。管理 员可以选择d h c p ，并不必输入i p 地址、子网掩码、网关、或d n s 眼务器。 客户从d h c p 服务器中检索这些信息。d h c p 在管理员想改变大量系统的i p 地址时也大有用途。与其重新配置所有系统，管理员只需编辑服务器上的一 个d h c p 配置文件即可获得新i p 地址集合。如果某机构的b n s 服务器改变 了，这种改变只需在d h c p 服务器上而不必在d h c p 客户上进行。一旦客户 的网络被重新启动( 或客户重新引导系统) ，改变就会生效。 d h c p 服务具有许多优点： 西北工业大学硕士学位论文 第一章绪论 ( 1 ) 网络管理员可以验证i p 地址和其它配置参数，而不用去检查每个 主机； ( 2 ) d h c p 不会同时租借相同的i p 地址给两台主机； ( 3 ) d h c p 管理员可以约束特定的计算机使用特定的i p 地址； ( 4 ) 可以为每个d h c p 作用域设置很多选项； ( 5 ) 客户机在不同子网间移动时不需要重新设置i p 地址。 所以o h c p 服务可以简化管理员的i p 地址分配工作，适合规模较大、变 动频繁的网络使用。 1 1 。2 研究d h c p 技术安全的必要性 自互联网诞生之日起，安全就一直是一个突出问题。时至今臼，网络安 全状况不仅没有得到些许改善，相反却从恶作剧的病毒传播发展到盗窃犯罪， 并且随着黑客数量的大量增加，木马、间谍软件的急剧泛滥，呈现出一派江 河r 下之势。安全已经成为勒在互联网脖子上的一道绞索。 c h i n a b y t e 4 月2 8 日消息据周二( 4 月2 7 日) 出版的英国贸易和工业部的 2 0 0 4 年信息安全事件调查称，在过去的一年中，有三分之二的英国企业 曾受到过网络攻击。每次严重的安全事件造成的平均损失由2 0 0 2 年的5 4 0 0 0 美元下降到了1 8 0 0 0 美元，但由于恶意攻击数量增加，i t 安全事故造成的损 失并没有减少。调查显示。许多大企业因i t 安全事故受到的损失数以百万英 磅计。每次对太企业的严重攻击造成的损失平均为2 1 5 0 0 0 美元。大企业平均 每个月受到4 次攻击。对于所有企业而言，这一数字为每月1 次。 当然采用了d h c p 技术的企业网、校园网、公众网等的大型企业、院校、 网络接入提供商( i s p ) 也同样面临着有关d h c p 技术安全性的问题。因为在 大的企业网d h c p 服务一向是公司内部网络中一个最重要的部份。没有了它， 大半的公司计算机都会突然使用1 6 9 。2 5 4 x x 网络，那些p a c k e t 就像脱了 缰的野马乱飞一通，不言而喻，这将会给企业造成严重的损失。 其次在于互连协议的产生本来就是为了更方便债息的交流，因此设计者 对安全方面很少甚至不去考虑。因此，安全的协议分析成为攻击最厉害的一 招。几乎所有u n i x 实现的协议族中，都存在着一个广为人知的漏洞，这个漏 洞使得窃取t c p 连接成为可能。同样d b c p 协议同样也存在不足之处。在设计 d h c p 协议的时候未考虑有关d h e p 应用的安全因素，d h c p 协议不能进行消息 的认证。所以怎么减少d h c p 安全漏洞，对于一个使用d h c p 服务器配置i p 地 址的网络是具有重大意义的。 采用d h c p 技术的网络常面临着一个非法用户伪装成为合法用户而盗用网 西北工业大学硕士学位论文第一章绪论 络资源或者避免合法检查的威胁来进行网络欺诈行为。网络欺诈行为通常冒 充银行、销售商、信用卡公司给受害者发送消息然后获取用户信息进行犯罪 活动。最近g a r t n e r 组织的一个研究表明：每年由于网络欺诈行为导致的经 济损失高达2 0 亿美元。网络欺诈行为带来的损失越来越大。 公司可以要求i s p 更仔细地过滤攻击行为( i s p 一般使用d h c p 服务器分 配i p 地址和其他网络参数) 。目前，i s p 在避免其网络成为攻击的渠道方面所 做的工作少得令人吃惊。其实可以在d h c p 为客户分配i p 地址的时候结合网 络访问控制来检测出网络中的恶意计算机( 可能网络欺诈攻击) 。 从另外一个方面考虑。网络中如果应用d h c p 服务器，就要考虑d h c p 服 务器失效的后果，即工作站没了i p 地址，无法进行通信，必将导致整个网络 的瘫痪。对应用造成重大影响和损失，根据有关机构统计，对关键业务运行 要求最高的银行业，每次计算机系统宕机导致的损失平均为一千万美元，同 时还会导致对公司声誉无法估量的无形资产损失，而采取灾难恢复方案总共 花费平均只有一百万美元。因此，必须保证网络的安全性和系统的正常工作。 1 1 3 课题来源和目标 本项目来源于红盾科技在线公司开发的一个网络管理软件产品。现有网络 管理软件的管理范围都是网络的主干，它最小的管理对象是服务器。在网络 应用还不那么普及，一个公司只有重要的几个部门或者是一个部门中的几个 关键职员能够拥有或操作网络中的计算机时，操作计算机终端的人员很少， 公司出现任何的问题，例如商业机密的泄漏或者硬件的丢失，这些都可以最 终落实到个人，计算机终端的管理和监控还显示不出它的重要性。但是随着 网络应用的普遍化和广泛化，在一个公司或者企业中许多岗位都配备了计算 机，每个职员都要操作计算机，甚至一个公司实现无纸办公，这时公司的管 理就是对网络的管理，这时对网络的管理也提出了更高的要求。网络管理员 通过网管软件不仅能够对整个网络进行规划和管理，并且能深入到对每个计 算机终端的管理和监测。 本项目的目标是弥补现在网络管理软件中的不足，能够达到对每个计算 机终端的硬件信息、软件信息、用户信息进行管理和检测；能自动规划网络 拓扑结构，自动地为网络中的计算机动态的分配i p 地址，动态的更新d n s ； 并且能够对网络进行统计、对用户权限验证和管理；能够兼容目前大型网络 管理软件并协同一起工作。 4 西北工业大学硕士学位论文第一章绪论 1 。2 论文的研究内容 1 2 1d h c p 协议及相关协议的研究 首先是了解d h c p 协议中所规范的为网络中的主机动态地配置i p 地址和网 络参数的过程。搜集目前应用d h c p 协议的领域，分析d h c p 服务器在与客户 主机交互信息的过程和为客户主机配置的选项信息，对d h c p 服务器数据库内 容和配置文件内容的研究。研究在最新的应用领域中对d h c p 的选项信息的定 义和内容的扩展，以及有关d h c p 方面的最新的技术动态。对目前使用d h c p 服务器分配i p 地址和参数的性能上的优化和扩展。 1 2 2d h c p 面临的人为威胁及解决措施 查阅大量资料，了解网络中面临的威胁和网络安全的关键技术。对网络 安全的关键技术数据加密技术、访问控制技术、网络入侵检钡9 技术、黑 客诱骗技术、网络安全扫描技术、防火墙技术逐个研究和分析。结合d h c p 工 作原理和d h c p 服务器与客户机交互的工程，分析在采用d h c p 技术网络中， 对d h c p 服务器和客户端的网络威胁。针对这些威胁产生的原因及对网络的 危害程度和其危害原理，根据d h c p 服务器工作的特点，研究对应的方法和策 略。 1 2 3d h c p 服务器容灾技术 了解最新的容灾技术，包括数据容灾和应用容灾。对比不同的容灾技术 和方法进行详细比较，总结出不同的容灾技术对应的不同场合。研究d h c p 服 务器应用的范围，和工作特点，针对d h c p 服务器的应用找出适合的方法和技 术。在出现灾难或者意外时，为网络的畅通使用，d i t c p 服务器的容灾技术不 仅仅是数据上的备份，还要在应用上保证为网络中的计算机提供连贯的i p 服 务，保证d h c p 服务器配置文件和活动租约信息等所有数据的完整性和安全性。 在发生故障时，备用d h c p 服务器平滑的接替灾难中的d h c p 服务器提供正常 的i p 服务。 1 3 论文的结构和章节安排 第一章简要介绍了本文的研究背景和意义，以及论文内容的安排。 第二章介绍d h c p 协议，工作原理，数据库内容，配置文件内容和对d h c p 服务器对配置i p 地址的优化及多台d h c p 服务器实现负载平衡的原理。 西北工业大学硕士学位论文第一章绪论 第三章研究常见的网络安全漏洞以及网络安全的关键技术，分析d h c p 威胁因素，并针对这些威胁提出主动检测，检查m a c 地址和d h c p 消息认证的 方法。 第四章介绍容灾技术的概念和评测参数，容灾技术的分类，研究实现 d h c p 服务器容灾的可行方法为d h c p 雕 务器提供冗余服务器。针对新方法 设计d h c p 服务器失效转移的功能和可行方案，并对功能进行测试。 第五章结束语，总结论文的研究成果，并展望后续的研究工作。 6 西北工业大学硕士学位论文 第二章d h c p 技术 2 1d h c p 概述 第二章d h c p 技术 2 1 1d h c p 是什么 d h c p 是d y n a m i ch o s tc o n f i g u r a t i o np r o t o c o l ( 动态主机分配协议) 的 缩写，代表动态主机配置协议。d b c p 是对允许无盘工作站连接到网络并且自 动获取一个i p 地址的b o o t p 协议的个扩展。 d h c p 向网络主机提供配置参数，它由两个基本部分组成：一部分是向网 络主机传送专用的配置信息，另一部分是给主机分配网络地址。d h c p 可以向 每一个网络客户提供一个i p 地址，子网掩码，缺省网关，一个w i n s 服务器 的i p 地址，以及一个d n s 服务器的i p 地址等等。 d h c p 是基于客户服务器模式的，这种模式下，专门指定的主机分配网络 地址，传送网络配置参数给需要的网络主机，被指定的主机称为服务器。我 们以后将提供d h c p 服务的主机称为服务器，把接收信息的主枫称为客户。 d h c p 支持三种i p 地址分配方法。第一种是自动分配，d h c p 给用户分配 一个永久的i p 地址。第二种是动态分配，在这种情况下，用户可以取得一个 i p 地址，但有时间限制。第三种是手工分配，在这种方法下，用户的i p 地址 是由管理员手工指定的，在这种情况下，d h c p 服务器只需要将这个指定的i p 地址传送给用户即可。至于用什么样的分配方法，不同的网络各不相同。 动态分配是唯一一种允许自动重用地址的机制。因此，这种方法对于有 临时上网用户，且网络的i p 地址资源比较紧缺情况下特别有用。而手工指定 方法对于管理不希望使用动态i p 地址的用户十分方便，不会因为手工指定而 和d h c p 冲突或和别的已经分配的地址冲突。d h c p 是一种相对集中式的管理方 式。 2 1 2 协议格式和各字段含义 d h c p 的消息格式是建立在b o o t p 消息格式上的，这样可以利用b o o t p 的中 继代理功能来避免在每个物理网络都建立一个d h c ps e r v e r ，同时还允许现有 的b o o t pc l i e n t 使用d h c ps e r v e r 。 西北工业大学硕士学位论文 第二章d h c p 技术 2 1 2 1 协议格式及各字段含义 d h c p 协议的格式如表2 1 。 表2 1d h c p 消息格式 o ph t y p e h l e n h o p s x i d s e c s f l a g s c i a d d r y i a d d r s i a d d r g i a d d r c h a d d r ( 1 6 个字节) s h a m e ( 6 4 个字节) f il e ( 1 2 8 个字节) o p t i o n s ( 可变长) 协议格式中各字段含义如表2 2 。 o p t i o n s 是可变长的( 除了选项0 和选项2 5 5 ) ，最小长度是3 1 2 个字节， 这样，d h c p 报文的最小长度是5 7 6 个字节，主机准备接收的最小的i p 数据报 的长度。d h c p 客户机可以通过“最大d h c p 报文长度”来协商使用更大的d h c p 报文。选项字段格式如图2 1 。 0 8 1 62 3 图2 1 选项码格式 d h c p 的选项字段和b o o t p 的厂商特定区域字段的格式相同，并且d h c p 理解所有为b o o t p 定义的厂商特定信息。其中，代码字段难一的标识一个选 项，长度字段指定数据字段的长度，不包括代码字段和长度字段。 2 1 2 2 注意事项 在客户使用d h c p 进行配置的时候，d h c p 需要使用t c p i p 软件，在配置 好i p 地址之前，t c p i p 软件应该能够接收并转发发送到客户硬件地址上的 i p 包；d h c p 服务器和b o o t p 转发代理在t c p i p 软件未配置好之前不能向客 户单播传送d h c p 消息。如果客户在t c p i p 软件未能配置好之前实在不能接 西北工业大学硕士学位论文第二章d h c p 技术 收i p 单播报文，d h c p 可以使用“标记”字段进行工作。请注意图2 3 中的b 代表广播标记；其它各位，它们是保留的，它们的值只能由客户设置为0 。服 务器和转发代理不会理会这一字段的内容。 表2 ，2 协议中各字段的说明 字段字节描述 o p i 消息o p 代码消息类型l = b 0 0 t r e q u e s t ，2 = b o o t r e p l y b t y p e 1 硬件地址类型 h l e nl 硬件地址长度 h o p s 1 客户需要将这一项设置为零，当通过转发代理启 动时可以供转发代理使用。 x i d4 操作i d ，这是一个随机数，用于客户和服务器之 间同步消息和消息的响应。 s e c s2 由客户指定的时间，指的是开始地址获取和更新 进行后的时间。 f l a g s 2 请参阅图2 。2 。 c i a d d r 4 用户i p 地址，此字段仅当用户处于b o u n d ，r e n e w 或r e b i n d i n g 状态和能够响应a r p 请求时使用。 y i a d d r 4 客户i p 地址 s i a d d r 4 用于b o o t s t r a p 过程中的i p 地址 g i a d d r 4 转发代理i p 地址 c h a d d r 1 6 客户硬件地址 s n a m e6 4 可选的服务器主机名 f i l e1 2 8 启动文件名 o p t l o n s不定可选的参数字段 b 为广播标记位 图2 2 标记字段 9 西北工业大学硕上学位论文第二章d h c p 技术 图2 2 表示了标记位的格式。前面已经提到：d h c p 的一个重要功能就是 能够向客户提供网络配置参数，这种存储模型实际上就是d h c p 服务器为每个 客户设置了个关键字，这个关键字中保存了用户特有的标记和客户的配置 参数。关键字可能是一个二元组( i p 子网号，硬件地址) ，这种设计考虑到 不同子网内的硬件地址可能是一样的，所以要加入一个子网号加以区别。当 然关键字也可以是( i p 子网号，主机名) ，这是为了照顾客户机会经常在不 同予网间转换，或者经常改变物理地址的情况。在协议规定中，关键字需要 是( i p 子网号，物理地址) ，当然了，如果客户在信息包中显式地应用了“客 户标记”这一字段的话就不这样使用了。客户可以通过查询d h c p 服务器取得 配置信息。 2 2d h c p 工作原理及过程 2 。2 1d h c p 服务器与客户交互的消息种类【z d h c p 服务器和客户间交互的消息种类有8 种，选项码定义了各个消息。 081 62 3 图2 3 选项码5 3 格式 代码5 3 中消息类型1 - 8 各数据指定报文的类型见表2 3 。 2 2 2 获取地址状态 当客户使用d h c p 服务器获取其i p 地址时，它处于六个状态之一，如图 2 4 所示。 当客户机第一次启动时，它进入i n i t i a l i z e ( 初始化) 状态。为了 开始获取一个i p 地址，客户先与本地网络上所有d h c p 服务器联系，为此， 客户机广播一个d h c p d i s c o v e r 报文，并转移到s e l e c t ( 选择) 状态。由于协 议是对b o o t p 的扩充，客户机在一个u d p 数据报中发送d h c p d i s c o v e r 报文， u d p 数据报中目的端口设为b o o t p 端口( 即端口6 7 ) 。本地网上所有d h c p 服 务器接收报文，那些被设计成能响应特定客户机的服务器发送一个d h c p o f f e r 报文。因此，客户机可能收到零个或多个响应。 处于s e l e c t 状态时，客户机从d h c p 服务器收集d h c p o f f e r 响应。 每个响应提供了用于客户机的配置信息，还有服务器可提供租用给客户机的 一个i p 地址。客户机必须选择其中个响应( 如第一个到达的响应) ，并与 1 0 西北工业大学硕士学位论文 第= 章d h c p 技术 服务器协商租用。为此，客户机发送给服务器一个d h c p r e q u e s t 报文，并 进入r e q u e s t 状态。服务器为确认已接受请求并开始租用，服务器响应发 出一个d h c p a c k 报文。客户机收到确认后转移到b o u n d ( 已绑定) 状态， 此时客户机可开始使用此地址。 表2 3 消息类型的说明 类型字段d h c p 报文类型功能 l d h c p d i s c o v e r客户进行广播以确定本地可用的服务器。 2d h c p o f f e r 服务器给客户的应答，在其中包括了配置参 数。 3 d i - l c p r e q u e s t此消息是客户发送给服务器的，作用有三个： 客户从一台服务器上请求配置信息( 在这个 时候客户也就拒绝了其它服务器发来的地 址，客户就用这个一地址了) ；在系统重新启 动后，客户利用这个消息确认原来分配的网 络地址仍然有效；客户还可以附这个地址对 特定的网络地址租用时间要求延期。 4d h c p d e c l i n e 客户发向服务器的消息，告知服务器此地址 已被使用。 5d h c p a c k 服务器发向用户的消息，包括了配置参数和 网络地址。 6d h c p n a k 服务器发向用户的消息，告知客户当前使用 的网络地址无效或租期已满。 7d h c p r e l e a s e 客户发向服务器的消息，告知服务器此地址 不再使用。 8d h c p i n f o 贼 客户发向服务器的消息，要求服务器发送本 地配置信息，客户已经配置好了网络地址， 不需要再发送网络地址了。 当客户机使用一个分配的地址时，它保持并处于绑定状态。如果客户机 有辅助存储器，客户机可以存储分配给它的i p 地址，并在再次重启动时申请 同一个地址。但在某些情况下，处于绑定状态的客户机可能发现它不再需要 一个i p 地址了，此时，d h c p 允许客户机终止租用，不再等待租用期过期。这 在服务器可以提供的i p 地址比连接到网络的计算机数少时显得特别重要。如 果客户机不再需要i p 地址时及时终止租用，服务器就可以将此地址分配给其 他客户机。为了提早终止租用，客户机发送一个d h c p r e l e a s e 报文到服务器， 西北工业大学硕士学位论文第二章d h c p 技术 释放地址是阻止客户机继续使用地址，所以，发送释放报文后，客户机就不 再使用此地址发送其他数据报。根据状态转移图所示的，发出d h c p r e l e a s e 报文的主机离开绑定状态，并且在使用i p 地址前必须重新从初始化状态开始。 图2 4 状态转移图 当一个d h c p 客户机获取地址时，它就转移到绑定状态。进入绑定状态以 后，客户机设置三个定时器，控靠4 租用更新、重新绑定和到期。一个d h c p 服 务器给客户机分配地址时，可为定时器指定确定的值；如果服务器未指定定 时器值，客户机就使用默认值。第一个定时器的默认值通常是总租用期的一 半。当第一个定时器到期，客户机必须尝试更新租用期。为请求更新，客户 机发送一个d h c p r e q u e s t 报文到获得租用处的服务器，转移到更新状态等待 响应。d h c p r e q u e s t 包含一个客户机正使用的i p 地址，并请求服务器延长对 此地址的租用。服务器可以用两种方式之一响应客户机的更新请求：指示客 户机停止使用该地址或同意客户机继续使用此地址。如果服务器同意客户机 继续使用此地址就发送d h c p a c k ，在d h c p a c k 中也可含有客户机定时器的新的 数值。如果服务器不同意继续使用，它就发送一个d h c p n a k ，使客户机立即停 止地址的使用。客户机收到d h c p a c k 报文则返回到绑定状态继续使用地址， 如果收到d h c p n a k 就立即停止使用地址并返回初始化状态。 第二个定时器在客户机进入绑定状态后开始设置，默认值为总租用期的 8 7 5 ，客户机发送请求报文后保持在更耨状态等待服务器的响应，如果在第 二个定时器到期之前还没有收到服务器的响应，则第二个定时器到期时使客 1 2 西北t 业文学硕士学位论文第= 章d h c p 技术 户机从更新状态转移到重新绑定状态，在转移时，客户机假定原来的服务器 不可用，开始广播d h c p r e q u e s t 报文到本地网上的任意服务器。可为客户机 提供服务的任意服务器可能响应肯定( 即延长租用) ，或否定( 即拒绝继续使 用地址) 。如果客户机收到一个肯定响应它就返回到绑定状态并重置两个定 时器。如果客户机收到否定响应，它就转移到初始化状态，并且停止使用l p 地址，在继续使用i p 地址前必须重新获取一个新地址。 如果客户机在重新绑定状态广播请求报文后在第三个定时器超时前还没 有从任何一个服务器收到响应，则客户机必须停止使用i p 地址，返回到初始 化状态，并开始申请一个新地址。 2 2 3 客户主机与d h c p 服务器的交互 2 2 3 1i n i t 请求一个i p 地址 当一个客户没有i p 地址时，会首先进行广播，见图2 5 。它在本子网段 内广播一个d h c p d i s c o v e r 消息，这个消息内包括了它希望租用的网络地址和 租用时间。b o o t p 中继代理可以将这个消息传送到不在这个网段内的d h c p 服 务器上。 l 。开始初始化，即d h c p 客户机寻找d h c p 服务器的阶段。d h c p 客户机以广播 方式( 因为d h c p 服务器的i p 地址对于客户机来说是未知的) 发送 d h c p d i s c o v e r 消息寻找d h c p 服务器，即向地址2 5 5 2 5 5 2 5 5 z 5 5 发送特定的 广播信息。网络上每一台安装了t c p i p 协议的主机都会接收到这种广播信息， 但只有d h c p 服务器才会做出响应。 2 决定配置，即d h c p 服务器提供i p 地址的阶段。在网络中接收到 d h c p d i s c o v e r 消息的d h c p 服务器都会做出响应，d h c p 服务器从尚未出租的 i p 地址中挑选一个分配给d h c p 客户机，向d h c p 客户机发送一个包含出租的 i p 地址和其他设置的d h c p o f f e r 提供信息。 3 决定应答，即d t i c p 客户机选择某台d h c p 服务器提供的i p 地址的阶段。如 果有多台d h c p 服务器向d h c p 客户机发来d h c p o f f e r 消息，则9 h c p 客户机只 接受第一个收到的d h c p o f f e r 消息，然后它就以广播方式回答一个 d i c p r e q u e s t 消息，该信息中包含向它所选定的d i c p 服务器请求i p 地址的内 容。之所以要以广播方式回答，是为了通知所有的d h c p 服务器，它将选择某 台d h c p 服务器所提供的i p 地址。 4 提交配置，即d h c p 服务器确认所提供的i p 地址的阶段。当d l i c p 服务器收 到d h c p 客户机回答的d h c p r e q u e s t 请求信息之后，它便向d h c p 客户机发送 西北工业大学硕士学位论文第二章d h c p 技术 一个包含它所提供的i p 地址和其他设置的d h c p a c k 确认信息，告诉d h c p 客 户机可以使用它所提供的i p 地址。然后d h c p 客户机便将其t c p i p 协议与网 卡绑定，另外，除d h c p 客户机选中的服务器外，其他的d h c p 服务器都将收 回曾提供的i p 地址。 5 从容关闭，即d h c p 客户机在租约还未到期时主动向d h c p 服务器提n 不再 使用此i p 地址。d t l c p 服务器将相应的网络地址标记为未分配，同时保留相应 的配置参数，因为客户机很有可能会在不久的将来重新申请这一网络地址和 配置参数。 来选择的服务器 客户机 决定配置 开始韧始化 d t c p d i s c 0 1 i z r ，卜、 一一一一一。1 、一一 、收囊应替 选择的服务器 d m p d i s c o v e r 一、： 、； 决定配置 d h c p o f f e r j 决定配置 d h c p r e q i j e ：s t ，卞、d i 茁p r e q l i e s t 一l 一裔a - 嘉谨 目a d f i c p & c k j ，： ， ! ，一； l ，7 劫始靶宪毕韧始化宪毕 从熊隧d 唧r e l 蚴 ：、一、 图2 5 申请i p 地址 1 4 、j 职梢租约 西北工业大学硕士学位论文第= 章d h c p 技术 2 2 3 2i n i t - r e b o o t 重新开机 未进择的服务器 客户机 选择的服务器 i 开女脚始化 ；，一一一一一一一一一d h c ，p i 讴q u e s t 一，一一一一一一，7 j 、一一一一一一d ，h c p r e q u e s t 一一一一一一一。 ：!： 决定配置 决定配置 ：、：翻栅，j ： 、d h c p a 傩：，一 、初始化完毕 、 、 ： ： ：趣略其他 的d f l 。1 p a c k 图2 6 登录重启 以后d h c p 客户机每次重新登录网络时，就不需要再发送d h c p d i s c o v e r 消息，而是直接发送包含前一次所分配的i p 地址的d h c r e q u e s t 消息，见图 2 6 。当d h c p 服务器收到这一信息后，它会尝试让d h c p 客户机继续使用原来 的i p 地址，并回答一个d h c p a c k 消息。如果此i p 地址己无法再分配给