取证和配置DHCP协议

第九章实施网络管理与应用功能任务9.2配置思科设备上的应用功能特性

思科的IOS除了集成了强大的网络管理功能以外，它还提供了许多的网络应用功能，在本节主要描述CCNA认证考试和实践工程环境中必须掌握的网络应用功能，包括：动态主机配置协议（DHCP）、邻居发现协议（CDP）、域名解析协议（DNS）、网络地址翻译功能（NAT）。理解并取证：DHCP的工作原理任务9.2.1DHCP（DynamicHostConfigurationProtocol,动态主机配置协议）被设计用于动态地为网络中的主机分配IP地址及其他相关的TCP/IP属性，它属于客户/服务器模式的应用程序，使用UDP协议号67（服务端）和68（客户端）工作。DHCP代替了网络管理员手工为网络中的计算机配置IP地址及其他TCP/IP属性的工作，如果网络中的计算机数量较大，使用人工静态配置IP地址容易造成配置错误，比如把一个IP地址配置到两台不同的计算机上，当配置量过大时，这种失误是很有可能发生的，造成过大的管理成本开销，所以，在中、大型网络中通常都使用DHCP为计算机自动配置IP地址及其他相关的TCP/IP属性。本小节将以描述DHCP的工作原理与演示DHCP在思科路由器上的配置为重点。任务9.2.1DHCP的前生是BOOTP（BootstrapProtocol），要理解DHCP，就不得不说明一下这个BOOTP（BootstrapProtocol）。BOOTP比DHCP出现得更早，与DHCP提供类似的服务，用于网络早期的无盘工作站，这个无盘工作站在现今的网络应用中基本上已经退出应用市场了，如果还能看到它的影子，那就是超市和商场所用的收银机。BOOTP的功能就是为这些无盘终端自动地分配IP地址、子网掩码、默认网关、DNS地址。

理解DHCP的雏形BOOTP（BootstrapProtocol）

DHCP为什么要替代BOOTP，它们的区别在哪里

由于DHCP的出现，BOOTP逐渐被DHCP所替代，因为DHCP有更完善、更安全的工作机制，能够提供更灵活的IP地址分配方式，能够为客户机自动配置更多的TCP/IP参数。更具体地讲就是，BOOTP在分配IP地址时，IP地址和请求主机的MAC地址必须被预置到BOOTP服务器上，如果BOOTP客户端发来的IP地址请求消息中，请求主机的源MAC地址在BOOTP服务器上有记录，并对应了一个IP地址，那么BOOTP服务器将对应的IP地址发放给BOOTP客户端；如果没有对应的记录存在，那么请求会话将失败，这是BOOTP缺乏灵活性的一种典型代表；另外，DHCP支持发放IP地址的“租约”机制，但是BOOTP不支持，关于“租约”机制，后面会有详细的描述；BOOTP最多只能分配4个网络参数，分别是IP地址、子网掩码、默认网关、DNS地址，而DHCP可以提供更多的TCP/IP属性的自动配置。任务9.2.1理解DHCP的工作原理与每个过程的数据帧取证

现在来理解DHCP的工作原理并取证每个工作过程的数据帧。如图9.22所示为DHCP的工作过程，这4个过程基本上是现今网络领域公认的4大过程，但事实上，DHCP的工作原理在这4个公认的过程中还有一些小插曲，关于这一点，取证了如图9.23所示的完整的DHCP工作过程的数据帧，所以现在拟订一个清晰的学习思路。理解DHCP的4个工作过程，并分析每个工作过程的数据帧。理解为什么在这4个工作过程中会携带两个ARP请求消息，并分析这两个ARP请求消息。图9.22DHCP的工作过程图9.23通过协议分析器捕获完整的DHCP工作过程任务9.2.1DHCP客户端向本地子网发送一个DHCP的Discover消息，该消息是以广播的形式被发送到网络上的，源MAC地址是发送源主机的MAC地址，源IP地址是，因为此时的客户端还没有被DHCP动态地配置IP地址，目标MAC地址是广播MAC地址（FFFF.FFFF.FFFF），目标IP地址是广播IP地址（55）。为什么该消息会是广播？因为客户端现在根本就不知道网络上谁是DHCP服务器。关于DHCP客户端发送的DHCPDiscover消息的数据帧如图9.24所示。图9.24DHCP的Discover消息数据帧任务9.2.1在执行DHCP第二步Offer消息前的一个小插曲当收到客户端发来的Discover消息后，DHCP服务器会立即查询自己可对外提供IP地址的地址池，提供一个可以分配给DHCP客户端的机会IP地址，比如。注意：此时并不是立即将这个地址分配出去，这只是一个可供分配的机会IP地址，DHCP服务器会以自己的MAC作为源MAC地址，自己的IP作为源IP地址，向网络中发送一个目标IP地址为（事实上，就是那个机会IP地址）的ARP请求，目的在于确认这个它（DHCP服务器）认为可以分配给某个客户端的IP地址，是否正在被别的主机使用，如果网络上有主机正在使用这个IP地址，那么可能是管理员人工输入的，该主机就会对这个ARP请求应答，这说明这个地址正在被使用；反之，没有应答，就表示DHCP服务器可以将这个地址分配给某个DHCP客户端。关于DHCP服务器检测机会IP地址是否被其他主机使用的数据帧如图9.25所示。

图9.25DHCP服务器对机会IP地址的使用检测数据帧任务9.2.1DHCP服务器必须完成上述的小插曲后，方可确定机会IP地址可以提供给DHCP客户端，这也是为什么在DHCP的4个工作过程中会出现一个ARP消息的原因。此时DHCP服务器向网络中发送一个Offer消息，为客户端提供IP地址。

注意：行业工程师一直在争论着一个问题——Offer消息到底是以单播的形式进行发送，还是以广播的形式进行发送？然后，在进行协议分析时，有时会出现广播消息的Offer数据帧，有时会出现单播消息的数据帧，这是怎么回事？任务9.2.1首先说明：DHCP服务器发送的Offer消息，既可以是单播形式，也可以是广播形式，这要分情况而定，如果将Offer消息单纯地定义为广播或者单播发送都是不严密的定义，事实上DHCP的Offer消息是广播还是单播，这取决于DHCP客户端的具体情况，它可以从如图9.26所示DHCP报文中的两个关键字段来做出定义，即由客户端IP地址（CIAddr）和标志（Flags）中的Broadcastflag来决定。如果Broadcastflag被转置位为1，则表示客户端不允许DHCP服务器的Offer消息以单播的形式回应，所以必须使用广播回应。在如图9.26所示的数据帧中Broadcastflag被转置位为0，所以DHCP服务器可以选择以单播的形式发送Offer消息。如果客户端IP地址（CIAddr）有一个明确的IP地址，这个已经存在的IP地址可能是上次引导计算机时DHCP服务器提供的IP地址，那么此时DHCP服务器的Offer消息将以单播的形式回应。如果Broadcastflag和客户端IP地址（CIAddr）都是0，那么此时DHCP服务器既可以使用广播进行Offer消息发送，也可以使用上一步小插曲中的ARP记录进行单播发送。因为在小插曲中提到的机会IP地址检测说明网络上没有主机使用这个地址，此时DHCP服务可以假定这个IP地址可供请求主机使用，所以可以使用单播的形式回送Offer消息给DHCP客户端，但事实上，请求主机此时还没有真正地获得这个IP地址。

任务9.2.1图9.26DHCP的Offer消息数据帧任务9.2.1当DHCP客户端收到服务器发来的Offer消息后，它会以广播的形式发出一个DHCP的Request消息，正式向DHCP服务器申请IP地址。注意：该消息并不是只发给提供机会IP地址的DHCP服务器，而是以广播的形式发送给网络中的所有DHCP服务器，因为一个网络上有可能存在多台DHCP服务器，现在DHCP客户端正是使用这个DHCP的Request广播向整个网络中可能存在的所有DHCP服务器讲：“我现在准备申请这台DHCP服务器所提供的这个IP地址（如图9.27所示），其他的DHCP服务器，你们的好意心领了！”相当于委婉地拒绝了其他的DHCP服务器提供相应的IP地址。也就是说，如果网络上还有其他的DHCP服务器，它们收到这个Request广播后，拆开广播帧，发现该数据帧里面的DHCP服务器Identifier字段为，就视作客户端对自己的拒绝。图9.27DHCP的Request消息数据帧任务9.2.1

当DHCP服务器收到客户端发来的Request消息后，提供IP地址的DHCP服务器会给DHCP客户端发送一个DHCP的ACK消息，目的在于告诉DHCP客户端分配的IP地址的“租期”生效，并且告之什么时间可以提交“续租请求”，以及什么时候被分配的IP地址将从客户端解除绑定，如图9.28所示。所谓IP地址的“租期”指示IP地址在客户端存在的有效时间，思科路由器一般“租期”为24小时（１天）。“续租请求”指示当“租期”已经使用了一天的一半时间即12小时时，DHCP客户端可以发送续订这个IP地址的请求，如果DHCP服务器有更多的地址可供分配给其他主机，那么DHCP服务器将答应客户端的“续租请求”，然后将“租期”时间重新复位到24小时；如果此时DHCP服务器上的地址池很紧张，已经没有多余的IP地址可供分配给其他主机，那么DHCP服务器将拒绝“租期”，但是它暂时不会回收IP地址，直到解除绑定时间到期，它仍然没有多余的IP地址可供分配，那么DHCP服务器将回收已经分配出去的IP地址。关于DHCP服务器发送ACK消息的类型，可以是单播，也可以是广播，这与第二步中的DHCPOffer消息一样，关键取决于DHCP客户端的几个关键字段，在这里就不再重复描述了。

图9.28DHCP的ACK消息数据帧任务9.2.1当DHCP客户端完成IP地址申请后的一个小插曲当完成上述DHCP的4个工作过程后，得到IP地址的主机为了最终确保在网络中没有其他主机正在使用分配给它的IP地址，DHCP客户端会向网络中发送一个IP地址冲突检测的ARP消息，如图9.29所示，源和目标IP地址都是自己的IP地址，源MAC地址为DHCP客户端的MAC地址，目标MAC地址全为0。这个ARP请求将永远不希望得到回应，因为“自己请求解析自己，如果网络上有一个相同的自己（冒牌货，实际上就是地址冲突）”，那么这个ARP请求永远不可能得到回应，如果主机回应了这个ARP请求，就表示网络上有两台主机正在使用相同的IP地址，此时，DHCP客户端会给DHCP服务器发送一个DHCP的Decline消息，意思就是“DHCP服务器，我被你忽悠了！现在我不要你的IP地址了”。

图9.29DHCP客户端检测IP地址冲突的ARP请求任务9.2.2思科路由器上DHCP服务的配置

演示目标：在思科路由器上完成DHCP的基本配置。演示环境：将如图9.22所示的环境作为演示环境。演示背景：配置路由器R1为DHCP服务器，让它为E1/0接口连接主机群，自动分配/24子网的IP地址，默认网关：；DNS地址：54；域名：；改变租期为7天。演示步骤：完成路由器R1的基础配置，然后根据演示背景的要求，配置路由器R1为DHCP服务器。具体配置如下。路由器R1上DHCP的配置：R1(config)#interfacee1/0R1(config-if)#ipaddressR1(config-if)#noshutdownR1(config)#ip