收藏
下载资源 加入VIP免费专享

第5章DHCP技术.ppt

上传人:本田雅阁 文档编号:2531879 上传时间:2019-04-05 格式:PPT 页数:54 大小:1.25MB
返回 下载 相关 举报
第5章DHCP技术.ppt_第1页
第1页 / 共54页
第5章DHCP技术.ppt_第2页
第2页 / 共54页
第5章DHCP技术.ppt_第3页
第3页 / 共54页
亲,该文档总共54页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《第5章DHCP技术.ppt》由会员分享,可在线阅读,更多相关《第5章DHCP技术.ppt(54页珍藏版)》请在三一文库上搜索。

1、第5章 DHCP协议,ISSUE 1.0,华为3Com网络学院第三学期,2,学习目标,了解DHCP协议产生的原因和解决的问题 理解DHCP协议的工作原理 理解DHCP相关安全特性 掌握华为3Com网络设备上关于DHCP 协议的配置,学习完本课程,您应该能够:,3,DHCP协议,DHCP协议产生原因 DHCP协议介绍 DHCP协议实现原理 DHCP安全特性介绍 DHCP配置及实验,4,DHCP协议产生的原因,每个人都要我亲自去分配IP地址,太烦了。,小张,我需要固定的IP地址,唉,我的地址怎么又和别人冲突了?,怎么办?,5,DHCP协议,DHCP协议产生原因 DHCP协议介绍 DHCP协议实现原

2、理 DHCP安全特性介绍 DHCP配置及实验,6,DHCP协议介绍,DHCP(Dynamic Host Configuration Protocol)协议是在Bootstrap Protocol(BOOTP)的基础上提出的,其作用是在TCP/IP网络中向Internet主机提供配置信息。其实现遵从RFC2131、RFC2132。 DHCP采用Client / Server模式,由客户端向服务器提出配置申请(包括分配的IP地址、子网掩码、缺省网关等参数),服务器根据策略返回相应配置信息。DHCP报文采用UDP进行封装识别采用知名端口号:CLIENT使用68,SERVER使用67。,7,DHCP协

3、议特点,整个配置过程自动实现,Client端无需配置; 所有配置信息由DHCP Server统一管理,Server不仅能够为Client分配IP地址,还能够为Client指定其他信息; 通过IP地址租期管理,提高IP地址的使用效率; 采用广播方式实现报文交互,报文一般不能跨网段,如果需要跨网段,需要使用DHCP RELAY技术实现 。,8,DHCP协议,DHCP协议产生原因 DHCP协议介绍 DHCP协议实现原理 DHCP安全特性介绍 DHCP配置及实验,9,DHCP协议系统组成,DHCP Client: DHCP Client通过DHCP协议来获得网络配置参数 通常是一台主机或网络设备 DH

4、CP Server: DHCP Server提供网络设置参数给DHCP Client 通常是一台服务器或网络设备 DHCP Relay: 在DHCP客户机和服务器之间跨网段转发DHCP消息 通常是网络设备(交换机或路由器),10,DHCP地址分配种类,Automatic Allocation:为连接到网络的某些主机分配IP地址,该地址将长期由该主机使用。 Dynamic Allocation:DHCP Server为Client指定一个IP地址,同时为此地址规定了一个租用期限,如果租用时间到期,Client必须重新申请地址,这是Client申请地址最常用的方法。 Manual Allocati

5、on:网络管理员为某些少数特定的Host绑定固定IP地址,且地址不会过期。,11,DHCP协议分配地址的优先级,DHCP Server数据库中与该Client的MAC地址静态绑定的IP地址。 该Client曾经使用过的地址。当Client端再次申请地址时,Client发送DHCP_Discover报文,其地址选项中会包含上次使用的IP地址,除非此IP地址被分配出去或此地址进行了其他不可用操作(例如:此IP地址被Forbidden等),否则Client端将再次使用此地址。 顺序查找DHCP地址池中可供分配的IP地址,最先找到的可用IP地址,优先级高。 如果未找到可用的IP地址,则依次查询超过租期

6、、发生冲突的IP地址,如果找到则进行分配,否则报告错误。,12,DHCP的报文组成,hops(1),hlen(1),options (variable),file(128),sname(64),chaddr(16),giaddr(4),siaddr(4),yiaddr(4),ciaddr(4),flags(2),secs(2),xid(4),htype(1),op(1),13,DHCP报文中各个部分的含义,14,DHCP报文中各个部分的含义,可选参数域,定义的选项列表。DHCP报文“options”域的头四个八位字节的十进制值分别为99、130、83、99,“options”域的剩余项包括一列

7、tagged参数。RFC2132中介绍了全部的option的定义。,options,Boot file name,是一个空值终止串。DHCPDISCOVER中是“generic”名字或空字符;DHCPOFFER提供有效的目录路径全名。,file,“服务器主机名”字段是一个空值终止串,由服务器填写。,sname,Client hardware address,chaddr,Relay代理的IP地址。,giaddr,bootstrap中,下一个Server的IP地址。,siaddr,your(Client)IP address,yiaddr,Client IP address,只有Client已经

8、获得IP地址,并且能响应ARP requests时,才能被填充。,ciaddr,15,DHCP协议的8种报文,DHCP DISCOVER,此报文是Client开始DHCP过程的第一个报文; DHCP OFFER,此报文是Server对DHCP DISCOVER报文的响应; DHCP REQUEST,此报文是Client开始DHCP过程中对Server DHCP OFFER报文的回应,或者是Client续延IP地址租期时发出的报文。如果DHCP REQUEST报文中包含“server identifier”选项,那么这个报文是来响应DHCP OFFER的,否则,这个报文是用来请求检验和扩展已存在

9、的租约的; DHCP DECLINE,当Client发现Server分配给它的IP地址无法使用,如IP地址冲突时,将发出此报文,通知Server禁止使用该IP地址;,16,DHCP ACK,Server对Client的DHCP REQUEST报文的确认响应报文,Client收到此报文后,才真正获得了IP地址和相关的配置信息; DHCP NAK,Server对Client的DHCP REQUEST报文的拒绝响应报文,Client收到此报文后,一般会重新开始新的DHCP过程; DHCP RELEASE,Client主动释放Server分配给它的IP地址的报文,当Server收到此报文后,就可以回收

10、这个IP地址,能够分配给其他的Client; DHCP INFORM,Client已经获得了IP地址,发送此报文,只是为了从Server处获取其他的一些网络配置信息,如网关地址、DNS地址等。,DHCP协议的8种报文(续),17,DHCP的通信过程,DHCP CLIENT,DHCP SERVER,IP网,18,DHCP的通信过程,19,DHCP续订租约,DHCP CLIENT,DHCP SERVER,T1:使用时间达到租期的50%,T,T2:使用时间达到租期的87.5%,IP网,20,DHCP RELAY的通信过程,Relay在收到Client发来的DHCP请求报文后,将收到该报文的接口地址填

11、入报文,然后转发,这样DHCP服务器根据收到的报文中的接口地址就可以确定需要分配哪个子网的IP地址。 DHCP Relay在收到服务器的回应报文后,根据报文中的FLAG标记位是否置位来选择单播或广播的方式向DHCP Client发送报文。,21,DHCP RELAY 的通信过程,Unicast Or Broadcast,Unicast Or Broadcast,Client和Relay间的所有报文,从初始状态获取IP地址时,DISCOVER和REQUEST都是广播的,OFFER和ACK根据请求报文中的广播标志位来决定广播还是单播,如果请求标注位为广播,则OFFER和ACK就是广播的,否则就是单

12、播的。,DHCP CLIENT,DHCP SERVER,子网1,子网2,22,DHCP RELAY 的通信过程,23,DHCP RELAY 的通信过程,24,DHCP RELAY续订租约,CLIENT,DHCP SERVER,DHCP ACK(UNICAST),DHCP ACK(UNICAST),T,T1:使用时间达到租期的50%,T2:使用时间达到租期的87.5%,子网1,子网2,25,如果DHCP报文中的“giaddr”字段非空,那么服务器就会采用单播的方式把返回报文发送给“giaddr”字段所代表的IP地址。 如果“giaddr”字段为空并且“ciaddr”非空,那么服务器也会采用单播的

13、方式把DHCPOFFER和DHCPACK报文发送给“ciaddr”字段所代表的IP地址。 如果“giaddr”和“ciaddr”字段都为空,并且flag域中的广播位置位,那么服务器返回DHCPOFFER和DHCPACK报文的时候就采用广播方式。 如果广播位没有置位,那么服务器就把这些报文单播给“yiaddr”代表的IP地址。 如果在某些情况下不能使用单播,那么服务器就采用广播方式。另外,当“giaddr“字段为空的时候,服务器返回DHCPNAK报文采用的都是广播方式。,DHCP报文的广播与单播,26,DHCP协议,DHCP协议产生原因 DHCP协议介绍 DHCP协议实现原理 DHCP安全特性介

14、绍 DHCP配置及实验,27,DHCP的安全特性,DHCP RELAY地址合法性检查 DHCP SNOOPING DHCP OPTION 82,28,DHCP RELAY地址合法性检查,为了防止不经过IP申请的非法用户上网。DHCP Relay安全特性维护了一张IP和MAC的对应表。在用户通过DHCP Relay申请IP地址时,会增加记录表项。 当在网络设备一个接口上使用了DHCP Relay安全特性后,ARP模块就会根据DHCP Relay安全特性提供的这张表对IP地址和MAC地址匹配的合法性检查,如果IP和MAC对应的关系在表中找不到匹配项时,就丢弃ARP报文。 注意:如果作DHCP Re

15、lay的设备不是网关时,则报文的转发不受影响。,29,DHCP RELAY地址合法性检查,192.168.0.2,192.168.0.1,192.168.1.2,192.168.0.6 00EF-AABB-CF08,192.168.0.5 00EF-AABB-CF08,ARP请求,192.168.3.0,30,DHCP SNOOPING,支持DHCP SNOOPING功能的设备可以对DHCP客户端与服务器端交互的DHCP协议报文进行监听。 设备可以对自身的端口属性进行配置 ,将连接合法DHCP服务器的端口设为信任端口,其余端口设为非信任端口。 信任端口可以正常转发DHCP OFFER及DHCP

16、 ACK报文,而非信任端口将拒绝这些报文。从而确保子网中的客户端仅能从合法DHCP服务器获得正确的DHCP配置信息,避免了非法DHCP服务器的恶意攻击。,31,DHCP SNOOPING,Legal DHCP server,DHCP Client,Illegal DHCP server,32,DHCP OPTION 82,DHCP OPTION 82称为DHCP报文中的中继代理信息选项(Relay Agent Information option),是DHCP报文中option内容的一部分。 DHCP relay设备可以同支持option 82的服务器共同配合实现DHCP客户端合法性检查,可控

17、静态IP地址分配,可控DHCP relay设备部署等许多安全功能。 Option 82中可以包含最多255个sub-option,若定义了option 82,至少要定义一个sub-option。 目前option 82中常用的是sub-option 1、sub-option 2和sub-option 5。,33,DHCP OPTION 82 报文结构,Code:标识了中继代理信息选项的序号。本报文中序号为82,即option 82。option 82在其他option之后,在end option之前。 Len:为代理信息域(Agent Information Field)的长度。 Agent

18、Information Field:代理信息域。在该字段中指定了使用的sub-option。,Code,LEN,i1,i2,iN,Agent Information Field,34,DHCP OPTION 82 子选项报文结构,SubOpt:子选项序号,各子选项含义如下: 1表示代理电路ID(Circuit ID)子项 2表示代理远程ID(Remote ID)子项 5表示链路选择(Link Selection)子项 Len:标识Sub-option Value域的长度。 Sub-option Value:sub-option的值。,SubOpt,LEN,i1,i2,iN,Sub-option

19、 Value,35,DHCP OPTION 82子选项介绍,sub-option 1:是option 82的一个子选项,为代理电路ID(Circuit ID)子项。 sub-option 2:是option 82的一个子选项,为代理远程ID(Remote ID)子项。 sub-option 5:是option 82的一个子选项,为链路选择(Link Selection)子项。,36,DHCP中继支持OPTION 82时的工作机制,DHCP客户端在初始化时以广播的形式发送请求报文,与本网络相连的DHCP中继设备对该广播报文进行相应的处理。DHCP中继设备将检查报文中是否已有option 82选项

20、,进行相应的处理。 如果报文中已有option 82,设备按照配置的策略对该报文进行处理(丢弃、用中继设备本身的option 82项替代报文中原有的option 82项或保持报文原有的option 82项),然后将请求报文转发给DHCP服务器。 若请求报文中没有option 82选项,则DHCP中继设备将option 82选项添加到报文中后转发给DHCP服务器。此时,请求报文中将包含了DHCP客户端所连接的交换机端口的MAC地址、所属的VLAN以及DHCP中继设备本身的MAC地址。 DHCP服务器收到DHCP中继设备转发的DHCP请求报文后,将记录报文中option选项所携带的信息,按照DHC

21、P服务器设定的针对option82的安全规则进行处理,然后将带着DHCP配置信息以及option 82信息的报文发给DHCP中继。 DHCP中继收到DHCP服务器的返回报文后将剥离报文中的option 82信息,然后将带有DHCP配置信息的报文转发给DHCP客户端。,37,DHCP协议,DHCP协议产生原因 DHCP协议介绍 DHCP协议实现原理 DHCP 安全特性介绍 DHCP配置及实验,38,DHCP服务器配置,DHCP服务器配置任务: 使能DHCP服务 配置本地DHCP服务器的地址分配方式 创建DHCP全局地址池(全局地址池方式必配) 配置动态分配的IP地址范围(全局地址池方式必配) 配

22、置DHCP客户端网关IP地址(全局地址池方式必配) 配置DHCP客户端DNS服务地址(选配) 配置地址池中IP地址的租期(选配),39,DHCP服务器配置,使能DHCP服务 使能DHCP服务,在系统视图下配置 dhcp enable,40,DHCP服务器配置,配置本地DHCP服务器从全局地址池进行地址分配 配置当前VLAN接口从全局地址池分配地址,在接口视图下配置 dhcp select global 配置多个VLAN接口从全局地址池分配地址 ,在系统视图下配置 dhcp select global interface vlan-interface vlan_id to vlan-interf

23、ace vlan_id | all 配置本地DHCP服务器从接口地址池进行地址分配 配置从当前接口地址池分配地址,在接口视图下配置 dhcp select interface 配置多个VLAN接口从接口地址池分配地址,在系统视图下配置 dhcp select interface interface vlan-interface vlan_id to vlan-interface vlan_id | all ,41,DHCP服务器配置,创建DHCP全局地址池 请在系统视图下进行下列配置 dhcp server ip-pool pool-name 配置动态分配的IP地址范围 请在DHCP地址池视图

24、下进行下列配置 network ip-address mask netmask 配置DHCP客户端网关IP地址 请在DHCP地址池视图下进行下列配置 gateway-list ip-address ip-address ,42,DHCP服务器配置,配置DHCP客户端DNS服务器地址 请在DHCP地址池视图下进行下列配置 dns-list ip-address& 配置全局地址池中IP地址的租期 请在DHCP地址池视图下进行下列配置 expired day day hour hour minute minute | unlimited 配置VLAN接口DHCP地址池的IP地址租用有效期限 请在VL

25、AN接口视图下进行下列配置 dhcp server expired day day hour hour minute minute | unlimited ,43,DHCP服务器显示和调试,查看DHCP服务器的冲突相关信息 display dhcp server conflict all | ip ip-address 查看DHCP地址池的可用地址范围 display dhcp server free-ip 查看DHCP地址池中地址绑定信息 display dhcp server ip-in-use ip ip-address | pool pool-name | interface vlan

26、-interface vlan_id | all 查看DHCP服务器的统计信息 display dhcp server statistics DHCP server 的调试 debugging dhcp server,44,DHCP RELAY配置,DHCP中继配置任务: 使能DHCP服务 配置接口工作在DHCP中继模式,45,DHCP RELAY配置,配置接口工作在DHCP中继模式 配置DHCP服务器组中DHCP服务器的地址,请在系统视图下进行下列配置 dhcp-server groupNo ip ip-address1 ipaddress-list 配置接口与DHCP服务器组的归属关系 ,

27、请在接口视图下进行下列配置 dhcp-server groupNo,46,DHCP RELAY显示和调试,显示DHCP Server组的相关信息 display dhcp-server groupNo 显示VLAN接口对应的DHCP Server组的相关信息 display dhcp-server interface vlan-interface vlan-id 显示DHCP Server组的合法用户地址表中所有用户的地址信息 display dhcp-security ip-address | dynamic | static | tracker DHCP relay的调试 debuggin

28、g dhcp-relay,47,DHCP 安全特性配置,DHCP安全性配置包括: 配置DHCP relay地址合法性检查 配置DHCP Snooping功能 配置DHCP relay支持OPTION 82,48,DHCP 安全特性配置,配置DHCP relay地址合法性检查 手工配置DHCP用户地址表项 ,请在系统视图下配置 dhcp-security static ip-address mac-address 使能DHCP中继的地址匹配检查功能 ,请在接口视图下配置 address-check enable 配置DHCP SNOOPING 开启交换机DHCP-Snooping功能 ,请在系统

29、视图下配置 dhcp-snooping 指定连接到DHCP服务器方向的端口为信任端口,请在接口视图下配置 dhcp-snooping trust 配置DHCP relay支持option 82,请在系统视图下配置 dhcp relay information enable,49,DHCP服务器实验,HostA,SWA,2.2.2.2/24,Eth1,50,DHCP RELAY和DHCP RELAY 的地址合法性检查,HostA,SWB,2.2.2.2,Eth1,HostB,2.2.2.1,Eth3,SWA,Vlanif 300,3.3.3.254,3.3.3.10,Eth1,Eth2,51,DHCP SNOOPING,HostA,SWB,Vlanif 300 3.3.3.254,Eth1,Eth2,SWA,Eth1,DHCP SNOOPING,52,DHCP OPTION 82,HostC,HostB,2.2.2.2,Eth3,SWA,Eth1,2.2.2.1,HostA,Eth2,Vlanif 300,3.3.3.254,53,总结,DHCP协议产生原因和解决的问题 DHCP协议的基本工作原理 华为3Com网络设备上的DHCP配置,华为3Com技术有限公司,华为3Com公司网址: www.huawei- 华为3Com技术论坛网址: forum.huawei-,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1