1.DHCP引入
(1)簡介
DHCP(動態主機設置協議)是一個局域網的網絡協議,使用UDP協議工作,主要作用是集中的管理、分配IP地址,使網絡環境中的主機動態的獲得IP地址、Gateway地址、DNS服務器地址等信息,並能夠提升地址的使用率。
(2)功能
a. 保證任何IP地址在同一時刻只能由一臺DHCP客戶機所使用。
b. DHCP應當可以給用戶分配永久固定的IP地址。
c. DHCP應當可以同用其他方法獲得IP地址的主機共存(如手工配置IP地址的主機)。
d. DHCP服務器應向現有的BOOTP客戶端提供服務!
(3)分配方式
自動分配方式:DHCP服務器爲主機指定一個永久性的IP地址,一旦DHCP客戶端第一次成功從DHCP服務器端租用到IP地址後,就可以永久性的使用該地址。
動態分配方式:DHCP服務器給主機指定一個具有時間限制的IP地址,時間到期或主機明確表示放棄該地址時,該地址可以被其他主機使用。
3)手工分配方式:客戶端的IP地址是由網絡管理員指定的,DHCP服務器只是將指定的IP地址告訴客戶端主機。
(4)三個端口
a. UDP67: DHCP Server服務端口
b. UDP68: DHCP Client服務端口
c. UDP546: 用於DHCPv6 Client,而不用於DHCPv4,是爲DHCP failover服務,這是需要特別開啓的服務,DHCP failover是用來做"雙機熱備"的.
(5)DHCP優缺點
a. DHCP協議主機配置方式最重要的特徵就是整個配置過程自動實現,而且所有配置信息在一個地方集中控制,這就是DHCP SERVER的作用。
b. 最初的DHCP協議是在同一個物理子網中使用廣播方式實現的,無法穿越路由器擴展到不同的物理子網中,也就是要使用DHCP協議的每一個網絡(廣播域)中必須配置一臺DHCP服務器,爲了克服這一缺陷,採用了DHCP RELAY(DHCP中繼服務器)的方式使得DHCP協議能夠穿越路由器實現。
c. DHCP協議一般採用終端的硬件地址來唯一標識一個終端設備。
d. DHCP協議通過設置IP地址使用租期,可以達到IP地址的分時複用效果,解決IP地址資源短缺的問題。
e. DHCP協議基本上是一個單向驅動協議,SERVER完全是被動的,其動作、行爲基本完全由CLIENT的請求行爲而激發,即SERVER端無法主動控制CLIENT端。因此其交互性和安全性就沒有PPP協議那麼完善,這是DHCP協議的一個安全風險點。
2.簡單理解
3.DHCP報文類型
DHCP Discover
DHCP客戶端請求地址時,並不知道DHCP服務器的位置,因此DHCP客戶端會在本地網絡內以廣播方式發送請求報文,這個報文成爲Discover報文,目的是發現網絡中的DHCP服務器,所有收到Discover報文的DHCP服務器都會發送回應報文,DHCP客戶端據此可以知道網絡中存在的DHCP服務器的位置。
DHCP Offer
DHCP服務器收到Discover報文後,就會在所配置的地址池中查找一個合適的IP地址,加上相應的租約期限和其他配置信息(如網關、DNS服務器等),構造一個Offer報文,發送給用戶(可以廣播、也可以單播),告知用戶本服務器可以爲其提供IP地址。(注意,只是告訴client可以提供,是預分配,還需要client通過ARP檢測該IP是否重複)
DHCP Request
客戶端會在兩種情況下發送DHCP Request
1) DHCP客戶端可能會收到來自DHCP服務器的很多Offer,所以必須在這些迴應中選擇一個。Client通常選擇第一個迴應Offer報文的服務器作爲自己的目標服務器,並回應一個廣播Request報文,通告選擇的服務器。注意,"Client通常選擇第一個迴應Offer報文的服務器作爲自己的目標服務器"這裏存在一個安全問題,如果我們的僞DHCP服務器能比原始DHCP服務器先發送Offer數據包,就能達到欺騙的目的,從而劫持目標用戶的流量
2) 獲取DHCP客戶端成功獲取IP地址後,在地址使用租期過去1/2時,會向DHCP服務器發送單播Request報文續延租期,如果沒有收到DHCP ACK報文,在租期過去3/4時,發送廣播Request報文續延租期。
DHCP ACK
DHCP服務器收到Request報文後,根據Request報文中攜帶的用戶MAC來查找有沒有相應的租約記錄(即之前的預分配過程中登記的那個MAC),如果有則發送ACK報文作爲迴應,通知用戶可以使用分配的IP地址。
DHCP NAK
如果DHCP服務器收到Request報文後,沒有發現有相應的租約記錄或者由於某些原因無法正常分配IP地址,則發送NAK報文作爲迴應,通知用戶無法分配合適的IP地址。
DHCP Release
當用戶不再需要使用分配IP地址時,就會"主動"向DHCP服務器發送Release報文,告知服務器用戶不再需要分配IP地址,DHCP服務器會釋放被綁定的租約(在數據庫中清除某個MAC對某個IP的租約記錄,這樣,這個IP就可以分配給下一個請求租約的MAC)
. DHCP Decline
DHCP客戶端收到DHCP服務器迴應的ACK報文後,通過地址衝突檢測發現服務器分配的地址衝突或者由於其他原因導致不能使用,則發送Decline報文,通知服務器所分配的IP地址不可用,我們在手工設置靜態IP、或者DHCP分配中有時會遇到"檢測到IP衝突"的提示就是因爲客戶端利用ARP機制來在當前內網中確認當前指定的IP是否已經被佔用
DHCP Inform
DHCP客戶端如果需要從DHCP服務器端獲取更爲詳細的配置信息,則發送Inform報文向服務器進行請求,服務器收到該報文後,將根據租約進行查找,找到相應的配置信息後,發送ACK報文迴應DHCP客戶端
4.H3C配置DHCP
(1)DHCP服務器基本配置
---啓動DHCP服務
[Router]dhcp enable
---創建DHCP地址池
[Router]dhcp server ip-pool pool-name
---配置動態分配的地址範圍
[Router-dhcp-pool-0]network network-address [mask-length | mask mask]
---配置爲DHCP客戶端分配的網關地址
[Router-dhcp-pool-0]gateway-list ip-address &<1-8>
(2)DHCP服務器可選配置
---配置爲DHCP客戶端分配的DNS服務器地址
[Router-dhcp-pool-0]dns-list ip-address & <1-8>
---配置DHCP地址池中不參與分配的IP地址
[Router]dhcp server sforbidden-ip start-ip-address [end-ip-address]
---配置動態分配的IP地址的租用有效期限
[Router-dhcp-pool-0]expried {day day [hour hour [minute minute [second second]]] | unlimited }
(3)DHCP服務器基本配置實例
[Router] dhcp enable
[Router] dhcp server forbidden-ip 192.168.1.10
[Router] dhcp server forbidden-ip 192.168.1.254
[Router] dhcp server ip-pool 0
[Router-dhcp-pool-0] network 192.168.1.0 mask 255.255.255.0
[Router-dhcp-pool-0] gateway-list 192.168.1.10
[Router-dhcp-pool-0] expried day 5