《DHCP技术》PPT课件

第4章DHCP协议,ISSUE1.1,日期：,杭州华三通信技术有限公司版权所有，未经授权不得使用与传播,了解DHCP协议产生的原因和解决的问题理解DHCP协议的工作原理理解DHCP相关安全特性掌握华为3Com网络设备上关于DHCP协议的配置,课程目标,学习完本课程，您应该能够：,DHCP协议产生原因DHCP协议介绍DHCP协议实现原理DHCP安全特性介绍DHCP配置及实验,目录,DHCP协议产生的原因,每个人都要我亲自去分配IP地址，太烦了。,小张，我需要固定的IP地址,唉，我的地址怎么又和别人冲突了？,怎么办?,DHCP协议产生原因DHCP协议介绍DHCP协议实现原理DHCP安全特性介绍DHCP配置及实验,目录,DHCP协议介绍,DHCP（DynamicHostConfigurationProtocol）是在BOOTP（BootstrapProtocol）的基础上提出的作用是在TCP/IP网络中向主机提供配置信息采用Client/Server模式由DHCPClient向DHCPServer提出配置申请，DHCPServer根据策略返回相应配置信息。DHCP报文采用UDP进行封装，识别采用端口号DHCPClient使用68，DHCPServer使用67。,DHCP协议特点,整个配置过程自动实现，DHCPClient端无需配置所有配置信息由DHCPServer统一管理通过IP地址租期管理，提高IP地址的使用效率采用广播实现报文交互，报文一般不能跨网段，如果需跨网段，需要使用DHCPRelay技术实现,DHCP协议产生原因DHCP协议介绍DHCP协议实现原理DHCP安全特性介绍DHCP配置及实验,目录,DHCP协议系统组成,DHCPClientDHCPClient通过DHCP协议来获得网络配置参数通常是一台主机或网络设备DHCPServerDHCPServer提供网络设置参数给DHCPClient通常是一台服务器或网络设备DHCPRelay在DHCPClient和DHCPServer之间跨网段转发DHCP消息通常是网络设备,DHCP地址分配种类,AutomaticAllocation为连接到网络的某些主机分配IP地址，该地址将长期由该主机使用DynamicAllocationDHCPServer为DHCPClient指定一个IP地址，同时为此地址规定了一个租用期限如果租用时间到期，DHCPClient必须重新申请地址ManualAllocation网络管理员为某些少数特定的主机绑定固定IP地址，且地址不会过期,DHCP协议分配地址的优先级,DHCPServer数据库中与该DHCPClient的MAC地址静态绑定的IP地址该DHCPClient曾经使用过的地址顺序查找DHCP地址池中可供分配的IP地址，最先找到的可用IP地址，优先级高如果未找到可用的IP地址，则依次查询超过租期、发生冲突的IP地址找不到则报告错误,DHCP的报文组成,DHCP报文中各个部分的含义,DHCP报文中各个部分的含义,可选参数域，定义的选项列表。DHCP报文“options”域的头四个八位字节的十进制值分别为99、130、83、99，“options”域的剩余项包括一列tagged参数。RFC2132中介绍了全部的option的定义。,options,Bootfilename，是一个空值终止串。DHCPDISCOVER中是“generic”名字或空字符；DHCPOFFER提供有效的目录路径全名。,file,“服务器主机名”字段是一个空值终止串，由服务器填写。,sname,Clienthardwareaddress,chaddr,DHCPRelay代理的IP地址。,giaddr,bootstrap中，下一个Server的IP地址。,siaddr,your（Client）IPaddress,yiaddr,ClientIPaddress，只有DHCPClient已经获得IP地址，并且能响应ARPrequests时，才能被填充。,ciaddr,含义,字段,DHCP协议的8种报文,DHCPDISCOVER此报文是DHCPClient开始DHCP过程的第一个报文DHCPOFFER此报文是DHCPServer对DHCPDISCOVER报文的响应DHCPREQUEST此报文是DHCPClient开始DHCP过程中对DHCPOFFER报文的回应，或者是DHCPClient续延IP地址租期时发出的报文DHCPDECLINE当DHCPClient发现DHCPServer分配给它的IP地址无法使用，将发出此报文，通知DHCPServer禁止使用该IP地址,DHCPACKDHCPServer对DHCPClient的DHCPREQUEST报文的确认响应报文DHCPNAKDHCPServer对DHCPClient的DHCPREQUEST报文的拒绝响应报文DHCPRELEASEDHCPClient主动释放DHCPServer分配给它的IP地址的报文DHCPINFORMDHCPClient已经获得了IP地址，发送此报文，只是为了从DHCPServer处获取其他的一些网络配置信息,DHCP协议的8种报文（续）,DHCP的通信过程,DHCP的通信过程分析,DHCP续订租约,T,DHCPRelay的通信过程,Unicast或Broadcast,Unicast或Broadcast,DHCPClient和DHCPRelay间的所有报文，从初始状态获取IP地址时，DISCOVER和REQUEST都是广播的，OFFER和ACK根据请求报文中的广播标志位来决定广播还是单播，如果请求标注位为广播，则OFFER和ACK就是广播的，否则就是单播的。,DHCPClient,DHCPServer,子网1,子网2,DHCPRelay的通信过程分析,DHCPRelay的通信过程分析（续）,DHCPRelay续订租约,当giaddr字段为空的时候，DHCPServer返回DHCPNAK报文采用的都是广播方式如果giaddr字段非空，那么DHCPServer就会采用单播的方式把返回报文发送给giaddr字段所代表的IP地址如果giaddr字段为空并且ciaddr非空，那么DHCPServer也会采用单播的方式把DHCPOFFER和DHCPACK报文发送给ciaddr字段所代表的IP地址,DHCP报文的广播与单播,DHCP报文的广播与单播（续）,如果giaddr和ciaddr字段都为空，并且flags字段中的广播位置位，那么DHCPServer返回DHCPOFFER和DHCPACK报文的时候就采用广播方式。如果广播位没有置位，那么DHCPServer就把这些报文单播给yiaddr代表的IP地址如果在某些情况下不能使用单播，那么DHCPServer就采用广播方式,DHCP协议产生原因DHCP协议介绍DHCP协议实现原理DHCP安全特性介绍DHCP配置及实验,目录,DHCP的安全特性,DHCPRelay地址合法性检查DHCPSnoopingDHCPOption82,DHCPRelay地址合法性检查,DHCPRelay安全特性维护了一张IP和MAC的对应表用户通过DHCPRelay申请IP地址时，会增加记录表项启了DHCPRelay安全特性后，ARP模块就会根据这张对应表对IP地址和MAC地址匹配的合法性检查如果IP和MAC对应的关系在表中找不到匹配项时，就丢弃ARP报文如果作DHCPRelay的设备不是默认网关，则报文的转发不受影响,DHCPRelay地址合法性检查,192.168.0.2,192.168.0.1,192.168.1.2,192.168.0.600EF-AABB-CF08,192.168.0.500EF-AABB-CF08,192.168.3.0,Check,ARP请求,DHCPSnooping,DHCPSnooping设备可以对DHCPClient与DHCPServer端交互的DHCP协议报文进行监听设备可以对自身的端口属性进行配置，将连接合法DHCPServer的端口设为信任端口，其余端口设为非信任端口信任端口可以正常转发DHCPOFFER及DHCPACK报文，而非信任端口将拒绝这些报文,LegalDHCPserver,DHCPClient,IllegalDHCPserver,DHCPSnooping,DHCPOption82,DHCPOption82称为DHCP报文中的中继代理信息选项（RelayAgentInformationOption）DHCPRelay设备可以同支持Option82的DHCPServer共同配合，实现DHCPClient合法性检查、可控静态IP地址分配、可控DHCPRelay设备部署等Option82中可以包含最多255个sub-option，若定义了option82，至少要定义一个sub-option。目前option82中常用的是sub-option1、sub-option2和sub-option5。,DHCPOption82报文结构,Code标识了中继代理信息选项的序号。本报文中序号为82，即Option82Len指明AgentInformationField的长度AgentInformationField指定了使用的sub-option,Code,LEN,i1,i2,.,iN,AgentInformationField,DHCPOption82子选项报文结构,SubOpt1表示代理电路ID（CircuitID）子项2表示代理远程ID（RemoteID）子项5表示链路选择（LinkSelection）子项Len标识Sub-optionValue的长度。Sub-optionValuesub-option的值,SubOpt,LEN,i1,i2,.,iN,Sub-optionValue,DHCPOption82子选项介绍,sub-option1代理电路ID（CircuitID）子项。sub-option2代理远程ID（RemoteID）子项。sub-option5链路选择（LinkSelection）子项。,DHCPRelay支持Option82时的工作机制,DHCPClient在初始化时以广播的形式发送请求报文DHCPRelay设备检查报文中是否已有Option82选项，进行相应的处理如果已有Option82，按照配置的策略对该报文进行处理，然后将请求报文转发给DHCPServer若没有Option82选项，则将Option82选项添加到报文中后转发给DHCPServer,DHCPServer收到转发来的DHCP请求报文后，记录报文中Option选项信息，按照既定的针对Option82的安全规则进行处理DHCPServer将带着DHCP配置信息以及Option82信息的报文发给DHCPRelayDHCPRelay收到DHCPServer的返回报文后，剥离报文中的Option82信息DHCPRelay将带有DHCP配置信息的报文转发给DHCPClient,DHCPRelay支持Option82时的工作机制（续）,DHCP协议产生原因DHCP协议介绍DHCP协议实现原理DHCP安全特性介绍DHCP配置及实验,目录,DHCPServer配置任务,启动DHCP服务配置本地DHCPServer的地址分配方式创建DHCP全局地址池（全局地址池方式必配）配置动态分配的IP地址范围（全局地址池方式必配）配置DHCPClient的默认网关IP地址（全局地址池方式必配）配置DHCPClient的DNS服务地址（选配）配置地址池中IP地址的租期（选配）,DHCPServer配置,启动DHCP服务启动DHCP服务，在系统视图下配置dhcpenable,DHCPServer配置（续）,配置本地DHCPServer从全局地址池进行地址分配配置当前VLAN接口从全局地址池分配地址，在接口视图下配置dhcpselectglobal配置多个VLAN接口从全局地址池分配地址，在系统视图下配置dhcpselectglobalinterfacevlan-interfacevlan_idtovlan-interfacevlan_id|all配置本地DHCPServer从接口地址池进行地址分配配置从当前接口地址池分配地址，在接口视图下配置dhcpselectinterface配置多个VLAN接口从接口地址池分配地址，在系统视图下配置dhcpselectinterfaceinterfacevlan-interfacevlan_idtovlan-interfacevlan_id|all,DHCPServer配置（续）,创建DHCP全局地址池请在系统视图下进行下列配置dhcpserverip-poolpool-name配置动态分配的IP地址范围请在DHCP地址池视图下进行下列配置networkip-addressmasknetmask配置DHCPClient的默认网关IP地址请在DHCP地址池视图下进行下列配置gateway-listip-addressip-address,DHCPServer配置（续）,配置DHCPClient的DNS服务器地址请在DHCP地址池视图下进行下列配置dns-listip-address&配置全局地址池中IP地址的租期请在DHCP地址池视图下进行下列配置expireddaydayhourhourminuteminute|unlimited配置VLAN接口DHCP地址池的IP地址租用有效期限请在VLAN接口视图下进行下列配置dhcpserverexpireddaydayhourhourminuteminute|unlimited,DHCPServer显示和调试,查看DHCPServer的冲突相关信息displaydhcpserverconflictall|ipip-address查看DHCP地址池的可用地址范围displaydhcpserverfree-ip查看DHCP地址池中地址绑定信息displaydhcpserverip-in-useipip-address|poolpool-name|interfacevlan-interfacevlan_id|all查看DHCPServer的统计信息displaydhcpserverstatisticsDHCPserver的调试debuggingdhcpserver,DHCPRelay配置任务,启动DHCP服务配置接口工作在DHCPRelay模式,DHCPRelay配置,配置接口工作在DHCPRelay模式配置DHCPServer组中DHCPServer的地址，请在系统视图下进行下列配置dhcp-servergroupNoipip-address1ipaddress-list配置接口与DHCPServer组的归属关系，请在接口视图下进行下列配置dhcp-servergroupNo,DHCPRelay显示和调试,显示DHCPServer组的相关信息displaydhcp-servergroupNo显示VLAN接口对应的DHCPServer组的相关信息displaydhcp-serverinterfacevlan-interfacevlan-id显示DHCPServer组的合法用户地址表中所有用户的地址信息displaydhcp-securityip-address|dynamic|static|trackerDHCPRelay的调试debuggingdhcp-relay,DHCP安全特性配置任务,配置DHCPRe