移动互联网技术04-DHCP技术

DHCP协议 2 学习目标l了解DHCP协议产生的原因和解决的问题l理解DHCP协议的工作原理 l理解DHCP相关安全特性学习完本课程，您应该能够： 3 DHCP协议DHCP协议产生原因DHCP协议介绍DHCP协议实现原理DHCP安全特性介绍 4 DHCP协议产生的原因每 个 人 都 要 我亲 自 去 分 配 IP地 址 ， 太 烦 了。小 张 ， 我需 要 固 定的 IP地 址 唉 ， 我 的 地 址怎 么 又 和 别 人冲 突 了 ？ ？ 怎 么 办 ?使用DHCP协议就OK了 5 DHCP协议DHCP协议产生原因DHCP协议介绍DHCP协议实现原理DHCP安全特性介绍DHCP配置及实验 6 DHCP协议介绍l DHCP（Dynamic Host Configuration Protocol）协议是在Bootstrap Protocol（BOOTP）的基础上提出的，其作用是在TCP/IP网络中向Internet主机提供配置信息。其实现遵从RFC2131、RFC2132。l DHCP采用Client / Server模式，由客户端向服务器提出配置申请（包括分配的IP地址、子网掩码、缺省网关等参数），服务器根据策略返回相应配置信息。DHCP报文采用UDP进行封装识别采用知名端口号：CLIENT使用68，SERVER使用67。 7 DHCP协议特点l整个配置过程自动实现，Client端无需配置；l所有配置信息由DHCP Server统一管理，Server不仅能够为Client分配IP地址，还能够为Client指定其他信息；l通过IP地址租期管理，提高IP地址的使用效率；l采用广播方式实现报文交互，报文一般不能跨网段，如果需要跨网段，需要使用DHCP RELAY技术实现 。 8 DHCP协议DHCP协议产生原因DHCP协议介绍DHCP协议实现原理DHCP安全特性介绍DHCP配置及实验 9 DHCP协议系统组成l DHCP Client： DHCP Client通过DHCP协议来获得网络配置参数 通常是一台主机或网络设备l DHCP Server： DHCP Server提供网络设置参数给DHCP Client通常是一台服务器或网络设备l DHCP Relay：在DHCP客户机和服务器之间跨网段转发DHCP消息通常是网络设备（交换机或路由器） 10 DHCP地址分配种类l Automatic Allocation：为连接到网络的某些主机分配IP地址，该地址将长期由该主机使用。l Dynamic Allocation：DHCP Server为Client指定一个IP地址，同时为此地址规定了一个租用期限，如果租用时间到期，Client必须重新申请地址，这是Client申请地址最常用的方法。 l Manual Allocation：网络管理员为某些少数特定的Host绑定固定IP地址，且地址不会过期。 11 DHCP协议分配地址的优先级l DHCP Server数据库中与该Client的MAC地址静态绑定的IP地址。l该Client曾经使用过的地址。当Client端再次申请地址时，Client发送DHCP_Discover报文，其地址选项中会包含上次使用的IP地址，除非此IP地址被分配出去或此地址进行了其他不可用操作（例如：此IP地址被Forbidden等），否则Client端将再次使用此地址。 l顺序查找DHCP地址池中可供分配的IP地址，最先找到的可用IP地址，优先级高。l如果未找到可用的IP地址，则依次查询超过租期、发生冲突的IP地址，如果找到则进行分配，否则报告错误。 12 DHCP的报文组成hops(1)hlen(1) options (variable)file(128)sname(64)chaddr(16)giaddr(4)siaddr(4)yiaddr(4)ciaddr(4) flags(2)secs(2) xid(4)htype(1)op(1) 13 DHCP报文中各个部分的含义 八 位 中 最 左 边 的 一 位 置 位 代 表 广 播 ， 反 之 代 表 单 播 。flags 由 Client填 充 ， 从 Client开 始 获 得 地 址 或 地 址 续 借 后 所 使 用 了 的 秒数 。secs Transaction ID， 由 Client选 择 的 一 个 随 机 数 ， 被 Server和 Client用 来 在 它 们 之 间 交 流 messages和 responses。 由 客 户 设 置 并 由服 务 器 返 回 的 32 bit整 数 。 客 户 用 它 对 请 求 和 应 答 进 行 匹 配 。xid Client设 置 为 0， 也 能 被 一 个 代 理 服 务 器 设 置hops hardware address length， 6字 节 。hlen hardware address type， 1表 示 10 Mb/s的 以 太 网 ， 这 和 ARP请求 或 应 答 中 同 名 字 段 表 示 的 含 义 相 同 。htype message op code / message type“1“代 表 BOOTREQUEST ”2“代 表 BOOTREPLYop含义字段 14 DHCP报文中各个部分的含义 可选参数域，定义的选项列表。DHCP报文“options”域的头四个八位字节的十进制值分别为99、130、83、99，“options”域的剩余项包括一列tagged参数。RFC2132中介绍了全部的option的定义。options Boot file name，是一个空值终止串。DHCPDISCOVER中是“generic”名字或空字符；DHCPOFFER提供有效的目录路径全名。file “服务器主机名”字段是一个空值终止串，由服务器填写。sname Client hardware addresschaddr Relay代理的IP地址。giaddr bootstrap中，下一个Server的IP地址。siaddr your（Client）IP addressyiaddr Client IP address，只有Client已经获得IP地址，并且能响应ARP requests时，才能被填充。ciaddr 15 DHCP协议的8种报文l DHCP DISCOVER，此报文是Client开始DHCP过程的第一个报文；l DHCP OFFER，此报文是Server对DHCP DISCOVER报文的响应；l DHCP REQUEST，此报文是Client开始DHCP过程中对Server DHCP OFFER报文的回应，或者是Client续延IP地址租期时发出的报文。如果DHCP REQUEST报文中包含“server identifier”选项，那么这个报文是来响应DHCP OFFER的，否则，这个报文是用来请求检验和扩展已存在的租约的； l DHCP DECLINE，当Client发现Server分配给它的IP地址无法使用，如IP地址冲突时，将发出此报文，通知Server禁止使用该IP地址； 16 l DHCP ACK，Server对Client的DHCP REQUEST报文的确认响应报文，Client收到此报文后，才真正获得了IP地址和相关的配置信息；l DHCP NAK，Server对Client的DHCP REQUEST报文的拒绝响应报文，Client收到此报文后，一般会重新开始新的DHCP过程；l DHCP RELEASE，Client主动释放Server分配给它的IP地址的报文，当Server收到此报文后，就可以回收这个IP地址，能够分配给其他的Client； l DHCP INFORM，Client已经获得了IP地址，发送此报文，只是为了从Server处获取其他的一些网络配置信息，如网关地址、DNS地址等。DHCP协议的8种报文（续） 17 DHCP的通信过程DHCP DISCOVERDHCP OFFERDHCP REQUESTDHCP ACK/NAK DHCP DECLINEDHCP CLIENT DHCP SERVERIP网 18 DHCP续订租约DHCP REQUEST（UNICAST）DHCP CLIENT DHCP SERVERDHCP ACK（UNICAST）T1:使用时间达到租期的50% DHCP REQUEST（BROADCAST） DHCP ACK（UNICAST）TT2:使用时间达到租期的87.5% IP网 19 DHCP RELAY的通信过程l Relay在收到Client发来的DHCP请求报文后，将收到该报文的接口地址填入报文，然后转发，这样DHCP服务器根据收到的报文中的接口地址就可以确定需要分配哪个子网的IP地址。l DHCP Relay在收到服务器的回应报文后，根据报文中的FLAG标记位是否置位来选择单播或广播的方式向DHCP Client发送报文。 20 DHCP RELAY 的通信过程DHCP DISCOVER DHCP DISCOVERDHCP OFFERDHCP OFFERDHCP REQUEST DHCP REQUESTDHCP ACK/NAKDHCP ACK/NAK DHCP DECLINE Unicast Or BroadcastUnicast Or BroadcastClient和Relay间的所有报文，从初始状态获取IP地址时，DISCOVER和REQUEST都是广播的，OFFER和ACK根据请求报文中的广播标志位来决定广播还是单播，如果请求标注位为广播，则OFFER和ACK就是广播的，否则就是单播的。 DHCP CLIENT DHCP SERVER子网1子网2 21 DHCP RELAY续订租约CLIENT DHCP SERVERDHCP ACK（UNICAST） DHCP REQUEST(BROADCAST)DHCP REQUEST（UNICAST）DHCP REQUEST(UNICAST)DHCP ACK（UNICAST）DHCP ACK（UNICAST）TT1:使用时间达到租期的50% T2:使用时间达到租期的87.5% 子网1子网2 22 l如果DHCP报文中的“giaddr”字段非空，那么服务器就会采用单播的方式把返回报文发送给“giaddr”字段所代表的IP地址。l如果“giaddr”字段为空并且“ciaddr”非空，那么服务器也会采用单播的方式把DHCPOFFER和DHCPACK报文发送给“ciaddr”字段所代表的IP地址。l如果“giaddr”和“ciaddr”字段都为空，并且flag域中的广播位置位，那么服务器返回DHCPOFFER和DHCPACK报文的时候就采用广播方式。 l如果广播位没有置位，那么服务器就把这些报文单播给“yiaddr”代表的IP地址。l如果在某些情况下不能使用单播，那么服务器就采用广播方式。另外，当giaddr字段为空的时候，服务器返回DHCPNAK报文采用的都是广播方式。DHCP报文的广播与单播 23 DHCP协议DHCP协议产生原因DHCP协议介绍DHCP协议实现原理DHCP安全特性介绍 24 DHCP的安全特性lDHCP RELAY地址合法性检查lDHCP SNOOPINGlDHCP OPTION 82 25 DHCP RELAY地址合法性检查l为了防止不经过IP申请的非法用户上网。DHCP Relay安全特性维护了一张IP和MAC的对应表。在用户通过DHCP Relay申请IP地址时，会增加记录表项。l当在网络设备一个接口上使用了DHCP Relay安全特性后，ARP模块就会根据DHCP Relay安全特性提供的这张表对IP地址和MAC地址匹配的合法性检查，如果IP和MAC对应的关系在表中找不到匹配项时，就丢弃ARP报文。 l注意：如果作DHCP Relay的设备不是网关时，则报文的转发不受影响。 26 DHCP RELAY地址合法性检查192.168.0.2192.168.0.1 192.168.1.2 192.168.0.600EF-AABB-CF08 192.168.0.500EF-AABB-CF08192.168.3.0 27 DHCP SNOOPINGl支持DHCP SNOOPING功能的设备可以对DHCP客户端与服务器端交互的DHCP协议报文进行监听。l设备可以对自身的端口属性进行配置 ，将连接合法DHCP服务器的端口设为信任端口，其余端口设为非信任端口。l信任端口可以正常转发DHCP OFFER及DHCP ACK报文，而非信任端口将拒绝这些报文。从而确保子网中的客户端仅能从合法DHCP服务器获得正确的DHCP配置信息，避免了非法DHCP服务器的恶意攻击。 28 DHCP SNOOPING Legal DHCP serverDHCP Client Illegal DHCP server Legal DHCP INFOIllegal DHCP INFOLegal DHCP INFO 29 总结l DHCP协议产生原因和解决的问题l DHCP协议的基本工作原理