DCN-TS09DHCP协议原理与配置

1、 2Rfc951 BOOTSTRAP PROTOCOL (bootp)Rfc1533DHCP Options and BOOTP Vendor ExtensionsRfc1541Dynamic Host Configuration Protocol. Rfc2131Dynamic Host Configuration Protocol (Obsoletes: 1541 )Rfc3046DHCP Relay Agent Information OptionDHCP概述概述3DHCP概述概述 DHCP Dynamic Host Configuration Protocol 动态主机配置协议动态主机

2、配置协议 是一种提供传输配置信息到主机的方法是一种提供传输配置信息到主机的方法 客户机使用客户机使用UDP68端口发送请求报文，服务器使用端口发送请求报文，服务器使用UDP67端口端口回应回应 给客户机提供给客户机提供ip地址以及其它相关信息，如网络掩码、路由、地址以及其它相关信息，如网络掩码、路由、DNS服务器地址等服务器地址等 基于基于Client-Server模式模式 信息格式与信息格式与BOOTP类似类似4DHCP概述概述 DHCP支持三种地址分配方式支持三种地址分配方式自动分配自动分配 DHCP分配永久的分配永久的IP地址给主机地址给主机动态分配动态分配 DHCP分配给客户机一个地址

3、的租约（或直到主机声分配给客户机一个地址的租约（或直到主机声明放弃地址）明放弃地址）手动分配手动分配 主机主机IP地址由管理员指定地址由管理员指定 * 仅仅动态分配有地址回收机制仅仅动态分配有地址回收机制5DHCP术语术语 DHCP常见术语：常见术语： DHCP client：DHCP 客户机，通过客户机，通过DHCP 获得网络参数的主机获得网络参数的主机 DHCP server：DHCP 服务器，为服务器，为DHCP client提供网络参数的主机提供网络参数的主机 BOOTP relay agent：BOOTP 中继代理，在中继代理，在DHCP 服务器和服务器和DHCP 客户之间客户之间传

4、送传送DHCP 消息的主机或路由器消息的主机或路由器 DHCP relay agent：DHCP 中继代理，在中继代理，在DHCP 服务器和服务器和DHCP 客户之间传送客户之间传送dhcp 消息的主机或路由器消息的主机或路由器 binding：绑定、封装。将收集的配置参数（至少包括一个：绑定、封装。将收集的配置参数（至少包括一个ip地址），封装并地址），封装并分配给客户机。这个动作是由服务器处理的分配给客户机。这个动作是由服务器处理的6DHCP设计目标设计目标DHCP设计的目标：设计的目标： DHCP 应该是一种机制而并非一个策略。应该是一种机制而并非一个策略。DHCP 必须能允许本地系统管

5、理员管理必须能允许本地系统管理员管理参数参数 客户机应该不需要手动配置，每个主机应该在没有用户干涉的情况下发现（查找客户机应该不需要手动配置，每个主机应该在没有用户干涉的情况下发现（查找到）适合自己的配置并将该参数写入自己的配置中到）适合自己的配置并将该参数写入自己的配置中 网络中应该没有手动的配置的主机。正常情况下，网络管理员不需要为任何一台网络中应该没有手动的配置的主机。正常情况下，网络管理员不需要为任何一台主机手动配置网络参数主机手动配置网络参数 DHCP 不需要每个子网一个不需要每个子网一个DHCP server。DHCP 应该能穿过路由器或应该能穿过路由器或BOOTP/DHCP 中继

6、代理中继代理 DHCP server能够收到多个的配置请求报文，并正确处理处理能够收到多个的配置请求报文，并正确处理处理 DHCP 必须能与静态配置的其它网络协议共存必须能与静态配置的其它网络协议共存 DHCP 必须能实现必须能实现RFC 951中中BOOTP的描述的描述 DHCP必须能为当前的必须能为当前的BOOTP clients提供服务提供服务7DHCP设计目标设计目标DHCP在网络层的设计目标需求：在网络层的设计目标需求： 保证网络地址同一时间不被一个以上的主机使用。保证网络地址同一时间不被一个以上的主机使用。 保留一个重启的机器的配置，并尽可能的分配给其同样的网络参数（如保留一个重启

7、的机器的配置，并尽可能的分配给其同样的网络参数（如机器重启后得到与重启前相同的机器重启后得到与重启前相同的ip地址）。地址）。 服务器重启的过程中，保留服务器的配置，并在启动后尽可能的分配给服务器重启的过程中，保留服务器的配置，并在启动后尽可能的分配给与原客户端同样的网络参数（如与原客户端同样的网络参数（如server机器重启后，客户机得到与重启机器重启后，客户机得到与重启前相同的前相同的ip地址）地址） 允许自动给网络上新的主机分配网络参数。允许自动给网络上新的主机分配网络参数。 对特定的主机可以支持固定的（如固定的对特定的主机可以支持固定的（如固定的ip地址）或长期（租约）的参地址）或长期

8、（租约）的参数配置。数配置。8DHCP与与BOOTPDHCP 是是 BOOTP 协议的延伸协议的延伸DHCP是支持是支持BOOTP客户端的（客户端的（BOOTP客户端不需要任何附加协议），当客户端不需要任何附加协议），当然一些新的交互只有然一些新的交互只有DHCP客户端才支持。客户端才支持。在在 DHCP 和和 BOOTP 之间有二种主要的不同之间有二种主要的不同DHCP 协议定义了每个客户机的网络参数的租约，允许不同的客户机分配连协议定义了每个客户机的网络参数的租约，允许不同的客户机分配连续的网络地址续的网络地址DHCP服务器能提供客户机需要的所有网络参数。服务器能提供客户机需要的所有网络参

9、数。9DHCP报文报文op（1）htype（1）hlen（1）hops（1）xid（4）secs（2）flags（2） ciaddr（4）yiaddr（4）siaddr （4）giaddr （4）chaddr （16）sname （64）file （128）options（variable） DHCP消息报文格式10DHCP报文报文DHCP报文字段说明：报文字段说明：op：消息：消息boot类型码，如类型码，如1 = BOOTREQUEST, 2 = BOOTREPLYhtype：物理地址类型：物理地址类型hlen： 物理地址长度物理地址长度hops：物理类型，：物理类型，Client set

10、s to zero，通过中继代理时中继代理可以填自定义值。，通过中继代理时中继代理可以填自定义值。xid：传输的：传输的id序号序号secs：时间，从第一次申请到当前的时间差。：时间，从第一次申请到当前的时间差。flags：标志，：标志，ciaddr：客户端地址，：客户端地址，only filled in if client is in BOUND, RENEW or REBINDING state and can respond to ARP requests.yiaddr：客户端地址：客户端地址siaddr：服务器地址：服务器地址(为客户机提供引导程序的服务器，一般填为客户机提供引导程序的

11、服务器，一般填server的的ip)giaddr：中继代理：中继代理chaddr：客户端物理地址：客户端物理地址sname：server 服务器名服务器名file：启动文件名：启动文件名options (variable)：变长选项：变长选项11DHCP工作过程工作过程DHCP交互交互分配网络地址过程：分配网络地址过程： 客户机在其所在的物理网络上广播一个客户机在其所在的物理网络上广播一个 DHCPDISCOVER 消息消息 每个服务器都回应一个每个服务器都回应一个DHCPOFFER消息消息 客户机会从一个或多个服务器收到一个或多个客户机会从一个或多个服务器收到一个或多个DHCPOFFER消息

12、消息客户机广播一个客户机广播一个DHCPREQUEST消息，消息中的服务器地址段中填写刚消息，消息中的服务器地址段中填写刚才选择的服务器的才选择的服务器的ip地址地址服务器收到广播的服务器收到广播的DHCPREQUEST 消息，将请求的客户参数封装在消息，将请求的客户参数封装在DHCPACK消息中发回客户机消息中发回客户机 客户端收到包含配置参数的客户端收到包含配置参数的DHCPACK消息，然后开始配置网络参数消息，然后开始配置网络参数 客户端可以选择送一个客户端可以选择送一个DHCPRELEASE 消息来撤销对一个地址的租用消息来撤销对一个地址的租用 12DHCP工作过程工作过程DHCP交互

13、交互已分配过网络地址过程：已分配过网络地址过程：假如客户机记得自己地址并想再使用这个地址，可省略一些步骤假如客户机记得自己地址并想再使用这个地址，可省略一些步骤客户机广播一个客户机广播一个 DHCPDISCOVER 消息，在该消息的消息，在该消息的requested IP address 域中填上其地址域中填上其地址服务器回应一个服务器回应一个DHCPACK消息消息 ，其中包含客户机的配置参数（如果客，其中包含客户机的配置参数（如果客户机的请求非法，如客户机已经移动到新的网络，服务器应该返回一个户机的请求非法，如客户机已经移动到新的网络，服务器应该返回一个DHCPNAK 消息消息 ） 客户收到

14、客户收到DHCPACK消息，再进行最后一次参数检测，并且注意指定的消息，再进行最后一次参数检测，并且注意指定的租期租期如果客户端检测到地址已经被别人使用了（如通过使用如果客户端检测到地址已经被别人使用了（如通过使用arp），就必须要），就必须要发送一个发送一个DHCPDECLINE消息给服务器，并且重新开始消息给服务器，并且重新开始dhcp交互交互如果收到一个如果收到一个DHCPNAK 消息，证明它不能使用记忆中的网络地址。它消息，证明它不能使用记忆中的网络地址。它必须重新启动配置进程以重新申请一个地址了，这时就开始上面必须重新启动配置进程以重新申请一个地址了，这时就开始上面“分配分配网络地址

15、网络地址”部分的步骤部分的步骤 13DHCP工作过程工作过程客户机已有客户机已有IP地址的情况：地址的情况：如果一个客户机通过其它方法获得一个网络地址（如手动配置）如果一个客户机通过其它方法获得一个网络地址（如手动配置）,它可能它可能需要使用需要使用DHCPINFORM消息来获得其它配置参数。客户机构建一个消息来获得其它配置参数。客户机构建一个DHCPINFORM消息发送给服务器。服务器收到这个消息发送给服务器。服务器收到这个DHCPINFORM消消息，构建一个息，构建一个DHCPACK消息返回。消息返回。DHCPACK消息中不填充分配的新消息中不填充分配的新地址，不为该地址检查合法性，不填充

16、地址，不为该地址检查合法性，不填充yiaddr域以及租期等。域以及租期等。服务器应该检查服务器应该检查DHCPINFORM消息中地址的可靠性，但不能检查是否消息中地址的可靠性，但不能检查是否有已经存在的租约。服务器将客户机需求的其它参数构建到一个有已经存在的租约。服务器将客户机需求的其它参数构建到一个DHCPACK消息中，并直接单点传送传送到客户机。消息中，并直接单点传送传送到客户机。14DHCP 协议规范协议规范 DHCP client-server 协议规范需要注意的一些问题：协议规范需要注意的一些问题：客户机客户机DHCP消息有一些用到广播，在广播报文中消息有一些用到广播，在广播报文中i

17、p地址填写为地址填写为0服务器不需要对所有的服务器不需要对所有的DHCPDISCOVER和和DHCPREQUEST消息进行回应消息进行回应服务器需要一个唯一的标志来标识客户机的租期服务器需要一个唯一的标志来标识客户机的租期DHCP客户机可以从收到客户机可以从收到DHCPOFFER消息的服务器中自由的选择一个服务器消息的服务器中自由的选择一个服务器服务器地址分配机制：服务器地址分配机制：依次尝试下面的地址：客户端当前的地址、客户端以前使用的地址、客户端在依次尝试下面的地址：客户端当前的地址、客户端以前使用的地址、客户端在Requested IP Address域中填充的地址、一个地址池中的新的地

18、址域中填充的地址、一个地址池中的新的地址对于地址池中地址的分配：地址基于从哪个子网收到消息（如果对于地址池中地址的分配：地址基于从哪个子网收到消息（如果giaddr 是是 0）或）或是中继代理的地址（是中继代理的地址（giaddr 不是不是 0）15DHCP安全性安全性 DHCP协议基于协议基于UDP and IP，因此具有先天性的安全问题。同时，因此具有先天性的安全问题。同时，DHCP用于比较容易的主机或无盘工作站等，配置起来若要用到口令、用于比较容易的主机或无盘工作站等，配置起来若要用到口令、密钥等就太麻烦了。因此当前的密钥等就太麻烦了。因此当前的DHCP是不安全的。是不安全的。 非授权的

19、非授权的DHCP服务器可以很容易的建立起来。这些服务器可能发送服务器可以很容易的建立起来。这些服务器可能发送发送错误信息给客户机。诸如错误的发送错误信息给客户机。诸如错误的ip地址、错误的路由信息、错误地址、错误的路由信息、错误的的DNS服务器地址等。恶意的服务器地址等。恶意的DHCP客户机可以伪装成合法的客户机，客户机可以伪装成合法的客户机，并得到合法客户可以得到的信息。使用动态配置的方法，恶意客户并得到合法客户可以得到的信息。使用动态配置的方法，恶意客户机可以得到所有的合法资源，而导致合法客户机却被拒绝。机可以得到所有的合法资源，而导致合法客户机却被拒绝。 16DHCP协议交互过程协议交互

20、过程 17Dhcp server配置步骤配置步骤1. 启动启动/关闭关闭DHCP服务器功能服务器功能2. 配置配置DHCP地址池地址池（1） 创建创建/删除删除DHCP地址池地址池（2） 配置动态配置动态DHCP地址池的参数地址池的参数（3） 配置手工配置手工DHCP地址池的参数地址池的参数3. 启动记录地址冲突的日志功能启动记录地址冲突的日志功能4. 配置发配置发ping包的个数和超时时间包的个数和超时时间 18Dhcp server配置步骤配置步骤1-启动启动/关闭关闭DHCP服务器功能服务器功能Switch(Config)# service dhcp19Dhcp server配置步骤配置

21、步骤2.1-配置配置DHCP地址池（动态）地址池（动态）Switch(Config)#ip dhcp pool ASwitch(dhcp-A-config)#network 10.16.1.0 24Switch(dhcp-A-config)#lease 3Switch(dhcp-A-config)#default-route 10.16.1.200 10.16.1.201 Switch(dhcp-A-config)#dns-server 10.16.1.202Switch(dhcp-A-config)#netbios-name-server 10.16.1.209Switch(dhcp-A-c

22、onfig)#exitSwitch(Config)#ip dhcp excluded-address 10.16.1.200 10.16.1.210Switch(Config)#ip dhcp excluded-address 10.16.2.200 10.16.2.21020Dhcp server配置步骤配置步骤2.2 -配置配置DHCP地址池（手工地址池（手工）Switch(Config)#ip dhcp pool BSwitch(dhcp-A1config)#host 10.16.1.210Switch(dhcp-A1-config)#hardware-address 0003.2223.dcab21Dhcp server配置步骤配置步骤3 -启动记录地址冲突的日志功能启动记录地址冲突的日志功能Switch(Confi