取证DHCP中继代理并演示中继代理的配置

第九章实施网络管理与应用功能任务9.2.3

理解自动专用寻址地址（APIPA）

APIPA（AutomaticPrivateIPAddressing，自动专用IP寻址）是DHCP出现故障后的一种接管机制，任何DHCP租用过程失败都由它来接管。APIPA的范围是～54，子网掩码为；一旦DHCP出现故障，客户端长时间得不到DHCP服务器颁发的有效IP地址，客户端就从APIPA自动专用IP地址池中随机选择一个可用的APIPA地址来进行自动配置，如图9.32所示，这个随机配置的地址不会与本地网络中的其他主机使用的APIPA地址冲突，因为它在完成自动配置之前，将使用类似于DHCP工作过程中的ARP冲突检测来确保地址在本地网络中的唯一性。当客户端使用APIPA地址对自己进行配置后，在默认情况下它会每5分钟进行一次检测，如果发现了一台可用的DHCP服务器，它将使用DHCP服务器颁发的IP地址来替代自动专用寻址地址。图9.32主机自动配置的APIPA地址

注意：APIPA不能替代DHCP的工作，它只是DHCP出现故障后解决本地子网通信的一种临时过渡解决方案，APIPA地址对于Internet而言是无效的，而且该地址无法被路由，只能在本地子网使用。任务9.2.4关于DHCP服务器的冲突检测

业内常有工程师提出这样一个问题：在一个子网内为了提高DHCP的冗余，同时架设了两台DHCP服务器，而且配置了相同的地址池范围（比如都是分配～54/24），那么两台DHCP服务器会把同一个IP地址做两次分配给不同的主机吗？比如：DHCP服务器A分配一个IP地址；DHCP服务器B又分配一个IP地址，这样就会在网络上造成IP地址冲突。答案是不会造成IP地址冲突，因为现在的DHCP多数都采取了冲突检测机制，也就是说，在DHCP服务器准备向网络上的某台主机提供IP地址之前做冲突检测。检测方式大致有两种：一是DHCP服务器向网络上发送一个关于机会IP地址（准备分配给DHCP客户端的IP地址）的ARP请求，无应答就表示地址没有被使用，当然也不希望得到ARP的回应，如果得到回应，则表示该地址已被使用，那么DHCP服务器不会把该地址分配出去；二是DHCP服务器在分配某个IP地址之前向网络上发送一个ICMP回显报文，如果没有主机应答，则证明该IP地址没有被使用，可以被分配出去，反之则不能。任务9.2.5

演示：思科路由器上DHCP帮助地址的配置

DHCP是基于广播和单播工作的，至少客户端发出的Discover消息肯定是广播，因为它要寻找网络中的DHCP服务器，都知道路由器是隔断网络广播的三层设备，那么，位于路由器不同接口上的DHCP服务器与客户端将无法进行正常工作，因为客户端的Discover消息被路由器给切断了。此时，在这种跨网段的DHCP部署环境中，提出一种概念叫作中继代理（RelayAgent），在思科的IOS中叫作帮助地址（Helperaddress），它能帮助DHCP客户端跨越路由器申请IP地址及其他的TCP/IP参数，从而解决由于广播域的分隔，导致DHCP不能正常工作的问题。关于DHCP中继代理的工作原理示意图如图9.33所示。图9.33DHCP中继代理的工作原理示意图任务9.2.5DHCP客户端发送DHCP的Discover广播寻找本地子网上的DHCP服务器，毫无疑问，这个寻找将失败，因为本地子网上根本没有部署DHCP服务器。但是，此时DHCP的中继代理路由器R1的E1/0（）会收到这个Discover广播消息。

中继代理路由器会帮助DHCP客户端到指定的DHCP服务器去申请IP地址。这里所谓指定的DHCP服务器，事实上，就是在中继路由器上声明了谁是DHCP服务器，比如声明为DHCP服务器，那么DHCP的中继路由器会将Discover消息单播到DHCP服务器（）。注意：此时中继使用单播的形式把Discover消息发送到DHCP服务器，因为中继明确地知道它该向哪台DHCP服务器进行申请

任务9.2.5DHCP服务器会以单播的形式回应中继的Discover消息，并发送Offer消息，该消息中包括了DHCP服务器可以给中继提供的机会IP地址（），关于DHCP服务器提供给中继的Offer消息如图9.34所示，这个Offer消息以单播的形式发送，因为DHCP服务器知道中继是谁，并且在该消息中包括了中继的IP地址。值得提出的是，DHCP服务器在向中继提供机会IP地址（）之前，它还是会做一个IP地址冲突检测，它需要知道这个IP地址在网络上是否有主机正在使用，检测方式是发送一个目标地址为的ICMP回显消息，如果没有回应，则说明该地址没有被使用，可以被分配出去，反之则不能；DHCP服务器还会检测与中继的连通性，确保中继能成功地得到这个Offer消息。关于这个过程可以通过如图9.35所示的数据帧来证实。在这里DHCP服务器为什么不使用ARP进行IP地址冲突探测？原因很简单，因为在通过中继申请IP地址的DHCP环境中，DHCP服务器提供的IP地址通常都不在本地子网的IP地址范围内，ARP不能穿越路由器工作。图9.34DHCP服务器发送给中继的Offer消息图9.35使用ICMP检测IP地址冲突任务9.2.5中继向DHCP服务器发起DHCP的Request请求消息，该消息仍然以单播的形式发送，这与本地子网上DHCP的工作原理不同，在本地子网上这个过程应该是以广播的形式进行发送的，而在中继环境中，中继以单播发送，因为在这种情况下，通信双方是很明确的，不可能存在其他的DHCP服务器向中继提供IP地址。有两个原因：第一个原因是中继设备上会明确指示它该向哪台DHCP服务器申请IP地址；第二个原因是中继发起DHCP的Discover消息时，就是单播发送的，不会有第二台DHCP服务器来为中继提供IP地址，因为它不会自作多情。DHCP服务器收到中继的单播Request消息后，会回应一个ACK消息给中继，指示IP地址的租期正式生效。注意：该消息仍然是以单播的形式发送，前面已经描述了原因，这里不再重复描述。

事实上，上述第2步到第5步对于DHCP客户端而言是完全透明的，它看不见中继为它完成IP地址申请的过程。它只能看见中继与自己的DHCP消息交互过程，当DHCP的中继成功地从DHCP服务器获得地址后，中继会给DHCP客户端发送一个DHCP的Offer消息，告诉DHCP客户端可以提供给它的IP地址。注意：此时中继就无须再检测该IP地址在网络上是否有冲突的可能性了，因为这个过程在上述的第3步中已经做了检测。

任务9.2.5DHCP客户端在收到DHCP中继所提供的Offer消息后，会向DHCP的中继发送一个DHCP的Request消息，正式请求IP地址。该消息以广播的形式发送，为什么会以广播的形式发送？在标准的DHCP环境中已经有明确说明。

DHCP中继收到客户端的Request消息后，会回应一个ACK消息给DHCP客户端，声明租约正式生效，然后DHCP客户端在得到ACK消息后，会将DHCP中继颁发给它的IP地址使用“免费的ARP（请求的目标IP地址和源IP地址一样，它不希望得到任何回应）”做一个最终的地址冲突检测，最后正式使用该IP地址。

注意：DHCP中继，就其本身而言，它没有任何资格颁发IP地址及其他的TCP/IP属性，它只是代理DHCP客户端向DHCP服务器做申请，中继与DHCP服务器交互DHCP消息的过程对于DHCP客户端而言是透明的。任务9.2.5演示：思科路由器上DHCP帮助地址的配置

演示目标：1、配置思科的帮助地址，为分隔的广播域完成DHCP的地址申请。2、在一台路由器上配置多个DHCP地址池，为不同的VLAN分配相应的IP地址段。演示背景：企业网络管理员为了集中配置和管理DHCP服务，他将不同子网的IP地址池配置到了一台思科路由器（R1）上，现在要求根据实际环境，让路由器R1成功地为VLAN2、VLAN3、远程子网的主机动态分配IP地址及相关的TCP/IP参数。演示环境：任务9.2.5演示步骤：配置实验网络基础环境，为各个网络设备配置IP地址、激活接口、VLAN、VLAN间的单臂路由、动态路由等。具体配置如下。路由器R1的基础配置：R1(config)#interfaces2/0R1(config-if)#encapsulationpppR1(config-if)#ipaddress52R1(config-if)#noshutdownR1(config)#interfacee1/0R1(config-if)#noipaddressR1(config-if)#noshutdownR1(config-if)#exitR1(config)#interfacee1/0.1R1(config-subif)#encapsulationdot1Q2*配置VLAN2的默认网关R1(config-subif)#ipaddressR1(config-subif)#noshutdownR1(config)#interfacee1/0.2R1(config-subif)#encapsulationdot1Q3*配置VLAN3的默认网关R1(config-subif)#ipaddressR1(config-subif)#noshutdownR1(config-subif)#exit任务9.2.5R1(config)#routerripR1(config-router)#noauto-summaryR1(config-router)#version2R1(config-router)#networkR1(config-router)#networkR1(config-router)#networkR1(config-router)#exit交换机S1的基础配置：S1#vlandatabaseS1(vlan)#vlan2namev2*在交换机上建立VLAN2S1(vlan)#vlan3namev3*在交换机上建立VLAN3S1(config)#interfacefastEthernet0/1S1(config-if)#switchportmodetrunk*在交换机上配置单臂路由所需要的干道S1(config-if)#switchporttrunkencapsulationdot1qS1(config-if)#noshutdownS1(config)#interfacefastEthernet0/2S1(config-if)#switchportaccessvlan2*划分接口到VLAN2S1(config-if)#noshutdownS1(config-if)#exitS1(config)#interfacefastEthernet0/3S1(config-if)#switchportaccessvlan3*划分接口到VLAN3S1(config-if)#noshutdownS1(config-if)#exit任务9.2.5路由器R2的基础配置：R2(config)#interfacee1/0R2(config-if)#ipaddressR2(config-if)#noshutdownR2(config-if)#exitR2(config)#interfaces2/0R2(config-if)#ipaddress52R2(config-if)#encapsulationpppR2(config-if)#noshutdownR2(config-if)#exitR2(config)#routerripR2(config-router)#noauto-summaryR2(config-router)#version2R2(config-router)#networkR2(config-router)#networkR2(config-router)#exit在路由器R1上完成多个DHCP地址池的配置。任务9.2.5路由器R1上多个DHCP地址池的配置：R1(config)#ipdhcppoolnet*建立一个叫“net”的DHCP地址池R1(dhcp-config)#network/24R1(dhcp-config)#default-routerR1(dhcp-config)#domain-nameR1(dhcp-config)#dns-server54R1(dhcp-config)#lease7R1(dhcp-config)#exitR1(config)#ipdhcppoolnet*建立一个叫“net”的DHCP地址池R1(dhcp-config)#network/24R1(dhcp-config)#default-routerR1(dhcp-config)#domain-nameR1(dhcp-config)#dns-server54R1(dhcp-config)#lease7R1(dhcp-config)#exitR1(config)#ipdhcppoolnet*建立一个叫“net”的DHCP地址池R1(dhcp-config)#network/24R1(dhcp-config)#default-routerR1(dhcp-config)#domain-nameR1(dhcp-config)#dns-server54R1(dhcp-config)#lease7R1(dhcp-config)#exit任务9.2.5

首先来检测连接路由器R2的子网的主机能否得到DHCP路由器R1颁发的IP地址。就目前的配置情况而言，处于子网的主机应该无法得到R1颁发的IP地址，因为DHCP服务器与DHCP客户端被分隔在两个不同的广播域中，子网的主机无法直接发现DHCP路由器R1，此时应该配置DHCP中继（在思科的IOS中叫作IPHelperaddress）来代理DHCP客户端向DHCP服务器发送地址请求，帮助地址应该配置在路由器R2上，在配置前必须保证路由器R2能成功地与DHCP路由器R1通信，所以在配置前进行连通性测试，如图9.37所示，显示成功通信。关于帮助地址的配置如下。

图9.37检测DHCP中继与DHCP路由器的连通性在中继路由器R2上配置DHCP的帮助地址：R2(config)#interfacee1/0R2(config-if)#iphelper-address*指定DHCP服务器的IP地址R2(config-if)#exit任务9.2.5

注意：IPHelper-address只能被配置在需要请求IP地址子网段的那个接口上，在演示环境中就是路由器R2的E1/0接口，不能被配置到S2/0接口上。有两个原因：一个原因是为了能够成功地接收该网段DHCP客户端的Discover广播；另一个原因是这个接口的IP地址将被用作DHCP中继的信源地址，DHCP服务器如果存在多个IP地址池，它将根据中继的信源地址来判断将哪个子网的IP地址分配给远程客户端。任务