扩展架设DHCP服务器.ppt

应用服务器规划 一 DHCP服务器规划 部门 姓名 文档类型 文档密级 主送对象 抄送对象 文档编号 审核人 学习目标 掌握DHCP工作原理掌握DHCP中继工作原理掌握DHCP服务器部署的各种方式掌握DHCP相关的安全设计掌握利用WindowsServer2003架设DHCP服务器 2 场景描述 接入层 汇聚层 核心层都已经架设完毕 网络连通性已经实现 校园网用户如何接入校园网呢 场景描述 校园网用户 学生或老师 的PC需要指定一个IP地址 场景描述 如何为校园网用户 学生或老师 的PC分配一个IP地址 使用手动配置IP地址的方式 不是所有的校园网用户清楚地知道如何正确的配置IP地址 网络中心维护人员要花费时间和精力来指导这部分用户配置IP地址 网络中心维护人员制作一份IP地址配置指导文档供用户自己阅读使用 但仍有用户会来询问配置问题 场景描述 使用手动配置IP地址的方式会存在什么问题 即使所有用户都很清楚地知道如何手动配置IP 网络中心维护人员仍然需要制定一张IP分配表 来规定哪个用户使用哪个IP地址 用户很有可能由于误配置设置成相同的IP地址 导致IP地址冲突 有没有一种方式可以做到1 降低用户配置IP地址的难度2 减轻网络中心维护人员的工作量3 避免由于误配置导致的IP地址冲突 课程内容 第一章DHCP工作原理第二章DHCP中继工作原理第三章DHCP服务器部署方式第四章DHCP相关安全设计第五章WindowsServer2003架设DHCP服务器 7 第一章DHCP工作原理 DHCP简介DHCP DynamicHostConfigurationProtocol 动态主机配置协议在RFC2131中定义 C S架构 为主机提供IP相关参数 IP地址 子网掩码 网关 DNS等 的自动配置 DHCP报文格式和BootP RFC951 RFC1542 报文兼容 保证了互操作DHCP优点减少对上网IP地址的需求量减少客户机的配置复杂度减少手工配置IP地址导致的错误集中管理 减少网络管理的工作量 第一章DHCP工作原理 DHCP系统组成DHCP客户机 client 普通用户PC 通过DHCP来获得网络配置参数DHCP服务器 server 提供网络设置参数给DHCP客户DHCP中继代理 relay 在DHCP客户机和服务器之间转发DHCP消息的网关设备 第一章DHCP工作原理 PC上的DHCP设置 第一章DHCP工作原理 PC上的DHCP设置释放通过DHCP方式获取到的IP地址 第一章DHCP工作原理 PC上的DHCP设置重新通过DHCP方式获取IP地址 第一章DHCP工作原理 DHCP工作过程 PC DHCP服务器 网关路由器 常见的DHCP报文交互过程包含4个报文 4个报文中会携带什么信息 才能够使主机可以动态获得IP地址等参数 第一章DHCP工作原理 DHCP报文介绍 DHCPDiscover该报文为PC发出的第一个请求报文 为广播报文 主要作用是用来发现DHCP服务器 但PC并不知道DHCP的IP地址 因此目的MAC和目的IP地址都为广播 第一章DHCP工作原理 DHCP报文介绍 DHCPOffer该报文为DHCP服务器返回的第一个报文 当网络中存在多台DHCP服务器时 PC只会保留先收到的DHCPOffer DHCPOffer中包含DHCP服务器可以为PC分配的IP地址 网关IP DNS参数等配置信息 第一章DHCP工作原理 DHCP报文介绍 DHCPRequestPC发出的第二条请求报文 PC根据服务器返回的Offer中的信息 发起正式申请 第一章DHCP工作原理 DHCP报文介绍 DHCPACK服务器收到PC的请求报文后 从地址池中分配相应的IP地址返回给PC 第一章DHCP工作原理 知识点回顾DHCP报文的目的IP和目的MAC是多少 DHCP报文是基于UDP还是基于TCP DHCP服务器返回的报文中都包含什么信息 问题当PC与DHCP服务器在同一LAN 网段 时 DHCP服务器的IP地址是否需要与地址池在同一网段 本章所描述的DHCP应用是在同一个LAN 网段 中 但在校园网中网段非常多 为每一个网段配置一台单独的DHCP服务器是不现实的 如何解决这个问题DHCP服务器如何搭建 课程内容 第一章DHCP工作原理第二章DHCP中继工作原理第三章DHCP服务器部署方式第四章DHCP相关安全设计第五章WindowsServer2003架设DHCP服务器 19 第一章DHCP中继工作原理 DHCP中继产生的背景当用户PC与DHCP服务器不在同一个网段时 即PC所发出的DHCPDiscover广播报文无法到达DHCP服务器时 三层网关交换机 PC DHCP服务器 三层交换机不转发广播报文 那么如何把PC的DHCP请求发给DHCP服务器呢 DHCP中继功能 第一章DHCP中继工作原理 DHCP中继工作过程将网关交换机开启DHCP中继功能 在PC和DHCP之间起到 代理 作用 三层网关交换机 PC DHCP服务器 DHCP中继功能 对PC而言 DHCP中继承当了DHCP服务器的角色 第一章DHCP中继工作原理 DHCP中继工作过程如果存在多个网段 那么DHCP服务器如何区分不同的请求 从而为不同网段的PC分配不同的IP地址 PC DHCP服务器 PC VLAN10 VLAN20 interfacevlan10ipaddress172 16 10 1255 255 255 0interfacevlan20ipaddress172 16 20 1255 255 255 0 在DHCP服务器上配置了两个地址池172 16 10 0 24172 16 20 0 24 通常是网关SVI接口IP地址 服务器收到DHCP请求报文后 将这个字段的IP地址与服务器所配置的地址池网段进行比较 如果网段匹配 则为该DHCP请求分配该地址池里的IP地址信息 第一章DHCP中继工作原理 DHCP中继工作过程如果存在多个网段 那么DHCP服务器如何区分不同的请求 从而为不同网段的PC分配不同的IP地址 不同的网段内的DHCP请求广播报文被网关交换机的SVI接口接收到后 会对DHCP报文进行中继 单播方式发送给DHCP服务器 同时将本SVI地址填充在RelayagentIPaddress字段 DHCP服务器收到后将这个字段的IP地址与地址池网段进行匹配 如果匹配成功 则为该DHCP请求从该地址池中分配相应的IP地址 第一章DHCP中继工作原理 知识点回顾DHCP中继和DHCP服务器之间的DHCP报文时单播还是广播 DHCP服务器如何为不同网段的DHCP请求分配IP地址 问题经过中继后的DHCP报文与不经过中继的DHCP报文有区别吗 DHCP服务器本身的IP地址该如何配置 课程内容 第一章DHCP工作原理第二章DHCP中继工作原理第三章DHCP服务器部署方式第四章DHCP相关安全设计第五章WindowsServer2003架设DHCP服务器 25 第三章DHCP服务器部署方式 如何在用户数量 设备数量庞大的校园网中部署DHCP服务呢 第三章DHCP服务器部署方式 校园网中常见的DHCP服务部署方式 网关交换机作为DHCP服务器 将汇聚网关交换机配置为其下联主机的DHCP服务器 第三章DHCP服务器部署方式 校园网中常见的DHCP服务部署方式 网关交换机作为DHCP服务器每台汇聚网关交换机上都为其下联用户PC网段配置DHCP地址池 汇聚网关交换机的DHCP地址池配置servicedhcpipdhcppoolVLAN10 POOLnetwork172 16 10 0255 255 255 0default router172 16 10 1dns server202 106 0 20211 0 23 32ipdhcppoolVLAN20 POOLnetwork172 16 20 0255 255 255 0default router172 16 20 1dns server202 106 0 20211 0 23 32interfacevlan10ipaddress172 16 10 1255 255 255 0interfacevlan20ipaddress172 16 20 1255 255 255 0 VLAN10内用户的DHCP地址池信息 VLAN20内用户的DHCP地址池信息 Showipdhcpbinding查看DHCP地址池中已分配出去的地址 第三章DHCP服务器部署方式 校园网中常见的DHCP服务部署方式 网关交换机作为DHCP中继 在服务器区部署一台专用的DHCP服务器 DHCP服务器 第三章DHCP服务器部署方式 校园网中常见的DHCP服务部署方式 网关交换机作为DHCP中继 在服务器区部署一台专用的DHCP服务器要保证作为DHCP中继的汇聚网关交换机与DHCP服务器之间IP可达 汇聚网关交换机的DHCP中继配置servicedhcpiphelper address服务器IP地址 第三章DHCP服务器部署方式 校园网中常见的DHCP服务部署方式网关交换机作为DHCP服务器优势 节省一台服务器资源劣势 地址池配置分散在网络中多台汇聚网关交换机上 无法集中管理网关交换机作为DHCP中继 在服务器区部署一台专用的DHCP服务器优势 集中管理劣势 需要占用一台服务器资源 第三章DHCP服务器部署方式 知识点回顾将汇聚网关交换机配置为DHCP中继的两条命令 在汇聚网关交换机配置DHCP地址池的关键命令 汇聚网关交换机的DHCP地址池配置servicedhcpipdhcppoolVLAN10 POOLnetwork172 16 10 0255 255 255 0default router172 16 10 1dns server202 106 0 20211 0 23 32 没有在汇聚网关交换机上配置interfacevlan10 还能否为VLAN10内的用户分配IP地址呢 课程内容 第一章DHCP工作原理第二章DHCP中继工作原理第三章DHCP服务器部署方式第四章DHCP相关安全设计第五章WindowsServer2003架设DHCP服务器 33 第四章DHCP相关安全设计 DHCP应用服务在校园网运营过程中可能存在的问题 用户架设非法DHCP服务器如果存在恶意用户私自架设了一台DHCP服务器 那么将会使用户获取到错误的IP地址 导致无法接入进校园网用户使用静态IP地址接入部分用户手动配置IP地址 但DHCP服务器是不知道的 因此在为DHCP用户分配IP地址的时候 用户通过DHCP获取到的IP地址 在网络中是已经使用的 导致了IP地址冲突 第四章DHCP相关安全设计 DHCP应用服务在校园网运营过程中可能存在的问题 手动配置了172 16 10 2 通过DCHP获取到172 16 10 2 IP地址冲突 都无法正常接入网络 第四章DHCP相关安全设计 DHCP应用服务在校园网运营过程中可能存在的问题 获得错误的13 0 0 1地址 校园网 第四章DHCP相关安全设计 如何解决上面描述的两个DHCP应用的安全问题 在接入交换机上使用DHCPSnooping相关功能 可以实现1 防止下联用户架设非法DHCP服务器 校园网 DHCP服务器 汇聚交换机 接入交换机 PC 非法DHCP服务器 DHCPDiscover DHCPDiscover 非法DHCPOffer 合法DHCPOffer DHCPRequest DHCPAck 问题的关键就是在从连接用户的下联端口接收并转发了非法的DHCP响应报文 第四章DHCP相关安全设计 如何解决上面描述的两个DHCP应用的安全问题 在接入交换机上使用DHCPSnooping相关功能 可以实现1 防止下联用户架设非法DHCP服务器 校园网 DHCP服务器 汇聚交换机 接入交换机 PC 非法DHCP服务器 DHCPSnoopingTrust接口 DHCPSnoopingUntrust接口 DHCPOffer ACK ipdhcpsnoopinginterfacef0 24ipdhcpsnoopingtrust F0 24 第四章DHCP相关安全设计 如何解决上面描述的两个DHCP应用的安全问题 使用DHCPSnooping相关功能 可以实现2 防止下联用户使用静态IP地址接入网络 ipsourceguard功能 校园网 DHCP服务器 汇聚交换机 接入交换机 PC 通过DHCP动态获取的IP地址 10 1 100 1 24 手工配置静态IP地址 10 1 100 1 24 F0 24 F0 1 F0 2 ipdhcpsnoopinginterfacef0 1ipverifysourceport securityinterfacef0 2ipverifysourceport security 接入交换机会窥探DHCP报文交互的过程 并从DHCPACK报文中提取相关IP和MAC信息 将其绑定在硬件表项中 这样只有经过DHCP方式获取IP地址的主机 其IP和MAC才会被交换机所允许转发 而非DHCP方式设置IP地址 这样的报文会被交换机丢弃 第四章DHCP相关安全设计 DHCPSnooping数据库DHCP Snooping记录合法DHCP用户的信息 IP MAC 所属VLAN 端口 租约时间等 形成DHCP Snooping数据库 该数据库可以提供 IP报文过滤提供依据 ARP报文过滤提供依据使用showipdhcpsnooping查看dhcpsnooping数据库DHCP Snooping数据库具有添加 更新和删除的功能 当客户端成功申请到IP地址后 会添加相关记录到DHCP Snooping数据库中 当客户端成功续约后 会更新DHCP Snooping数据库中的租约时间 当客户端发出DHCPRELEASE报文或者地址租约到期后 会删除对应的DHCP Snooping数据库表项 DHCP Snooping数据库还允许进行手工添加和删除 配置静态绑定用户 第四章DHCP相关安全设计 IPSourceGuardIPSourceGuard维护一个IP源地址绑定数据库 IPSourceGuard可以在对应的接口上的主机报文进行基于源IP 源IP加源MAC的报文过滤 从而保证只有IP源地址绑定数据库中的主机才能正常使用网络IPSourceGuard功能和DHCPSnooping结合的 基于接口的IPSourceGuard仅仅在DHCPSnooping控制范围内的非信任口上生效 在其他信任口或者非DHCPSnooping控制范围内的接口上配置该功能 功能将不生效 IPSourceGuard会自动将DHCPSnooping绑定数据库中的合法用户绑定同步到IPSourceGuard的IP源地址绑定数据库 这样IPSourceGuard就可以在打开DHCPSnooping设备上对客户端的进行严格过滤 使用showipsourcebinding查看IP源地址绑定数据库使用showipverifysource查看ipsourceguard过滤表项使用ipsourcebindingmac地址vlanlan号ip地址interface接口号在源地址绑定数据库中添加静态表项 第四章DHCP相关安全设计 知识点回顾DHCP应用中常见的两种安全问题是什么 课程内容 第一章DHCP工作原理第二章DHCP中继工作原理第三章DHCP服务器部署方式第四章DHCP相关安全设计第五章WindowsServer2003架设DHCP服务器 43 第五章Windows2003Server架设DHCP服务器 安装DHCP服务器 第五章Windows2003Server架设DHCP服务器 Windows2003Server中DHCP服务器的位置 第五章Windows2003Server架设DHCP服务器 配置DHCP服务步骤 第五章Windows2003Server架设DHCP服务器 配置DHCP服务步骤 第五章Windows2003Server架设DHCP服务器 配置DHCP服务步骤 第五章Windows2003Server架设DHCP服务器