H3C高级交换网络中的DHCP技术

1、华为3Com培训中心第第5章章 DHCP协议协议华为3Com网络学院第三学期2学习目标学习目标l了解了解DHCP协议产生的原因和解决协议产生的原因和解决的问题的问题l理解理解DHCP协议的工作原理协议的工作原理l理解理解DHCP相关安全特性相关安全特性l掌握华为掌握华为3Com网络设备上关于网络设备上关于DHCP 协议的配置协议的配置学习完本课程，您应该能够：学习完本课程，您应该能够：3DHCP协议协议DHCP协议产生原因协议产生原因DHCP协议介绍协议介绍DHCP协议实现原理协议实现原理DHCP安全特性介绍安全特性介绍DHCP配置及实验配置及实验4DHCP协议产生的原因协议产生的原因每个人都

2、要我每个人都要我亲自去分配亲自去分配IPIP地址，太烦了地址，太烦了。小张，我小张，我需要固定需要固定的的IP地址地址唉，我的地址唉，我的地址怎么又和别人怎么又和别人冲突了？冲突了？怎么办怎么办? ?使用使用DHCP协议就协议就OK了了5DHCP协议协议DHCP协议产生原因协议产生原因DHCP协议介绍协议介绍DHCP协议实现原理协议实现原理DHCP安全特性介绍安全特性介绍DHCP配置及实验配置及实验6DHCP协议介绍协议介绍lDHCP（Dynamic Host Configuration Protocol）协议是在Bootstrap Protocol（BOOTP）的基础上提出的，其作用是在TC

3、P/IP网络中向Internet主机提供配置信息。其实现遵从RFC2131、RFC2132。lDHCP采用Client / Server模式，由客户端向服务器提出配置申请（包括分配的IP地址、子网掩码、缺省网关等参数），服务器根据策略返回相应配置信息。DHCP报文采用UDP进行封装识别采用知名端口号：CLIENT使用68，SERVER使用67。7DHCP协议特点协议特点l整个配置过程自动实现，Client端无需配置；l所有配置信息由DHCP Server统一管理，Server不仅能够为Client分配IP地址，还能够为Client指定其他信息；l通过IP地址租期管理，提高IP地址的使用效率；l

4、采用广播方式实现报文交互，报文一般不能跨网段，如果需要跨网段，需要使用DHCP RELAY技术实现 。8DHCP协议协议DHCP协议产生原因协议产生原因DHCP协议介绍协议介绍DHCP协议实现原理协议实现原理DHCP安全特性介绍安全特性介绍DHCP配置及实验配置及实验9DHCP协议系统组成协议系统组成lDHCP Client：DHCP Client通过DHCP协议来获得网络配置参数 通常是一台主机或网络设备lDHCP Server：DHCP Server提供网络设置参数给DHCP Client通常是一台服务器或网络设备lDHCP Relay：在DHCP客户机和服务器之间跨网段转发DHCP消息通

5、常是网络设备（交换机或路由器）10DHCP地址分配种类地址分配种类lAutomatic Allocation：为连接到网络的某些主机分配IP地址，该地址将长期由该主机使用。lDynamic Allocation：DHCP Server为Client指定一个IP地址，同时为此地址规定了一个租用期限，如果租用时间到期，Client必须重新申请地址，这是Client申请地址最常用的方法。lManual Allocation：网络管理员为某些少数特定的Host绑定固定IP地址，且地址不会过期。11DHCP协议分配地址的优先级协议分配地址的优先级lDHCP Server数据库中与该Client的MAC地

6、址静态绑定的IP地址。l该Client曾经使用过的地址。当Client端再次申请地址时，Client发送DHCP_Discover报文，其地址选项中会包含上次使用的IP地址，除非此IP地址被分配出去或此地址进行了其他不可用操作（例如：此IP地址被Forbidden等），否则Client端将再次使用此地址。l顺序查找DHCP地址池中可供分配的IP地址，最先找到的可用IP地址，优先级高。l如果未找到可用的IP地址，则依次查询超过租期、发生冲突的IP地址，如果找到则进行分配，否则报告错误。12DHCP的报文组成的报文组成hops(1)hlen(1)options (variable)file(128

7、)sname(64)chaddr(16)giaddr(4)siaddr(4)yiaddr(4)ciaddr(4)flags(2)secs(2)xid(4)htype(1)op(1)13DHCP报文中各个部分的含义报文中各个部分的含义八位中最左边的一位置位代表广播，反之代表单播。flags由Client填充，从Client开始获得地址或地址续借后所使用了的秒数。secsTransaction ID，由Client选择的一个随机数，被Server和Client用来在它们之间交流messages和responses。由客户设置并由服务器返回的32 bit整数。客户用它对请求和应答进行匹配。xidCl

8、ient设置为0，也能被一个代理服务器设置hopshardware address length，6字节。hlenhardware address type，1表示10 Mb/s的以太网，这和ARP请求或应答中同名字段表示的含义相同。htypemessage op code / message type“1“代表BOOTREQUEST ”2“代表 BOOTREPLYop含义含义字段字段14DHCP报文中各个部分的含义报文中各个部分的含义可选参数域，定义的选项列表。DHCP报文“options”域的头四个八位字节的十进制值分别为99、130、83、99，“options”域的剩余项包括一列tag

9、ged参数。RFC2132中介绍了全部的option的定义。optionsBoot file name，是一个空值终止串。DHCPDISCOVER中是“generic”名字或空字符；DHCPOFFER提供有效的目录路径全名。file“服务器主机名”字段是一个空值终止串，由服务器填写。snameClient hardware addresschaddrRelay代理的IP地址。giaddrbootstrap中，下一个Server的IP地址。siaddryour（Client）IP addressyiaddrClient IP address，只有Client已经获得IP地址，并且能响应ARP r

10、equests时，才能被填充。ciaddr15DHCP协议的协议的8种报文种报文lDHCP DISCOVER，此报文是Client开始DHCP过程的第一个报文；lDHCP OFFER，此报文是Server对DHCP DISCOVER报文的响应；lDHCP REQUEST，此报文是Client开始DHCP过程中对Server DHCP OFFER报文的回应，或者是Client续延IP地址租期时发出的报文。如果DHCP REQUEST报文中包含“server identifier”选项，那么这个报文是来响应DHCP OFFER的，否则，这个报文是用来请求检验和扩展已存在的租约的；lDHCP DEC

11、LINE，当Client发现Server分配给它的IP地址无法使用，如IP地址冲突时，将发出此报文，通知Server禁止使用该IP地址；16lDHCP ACK，Server对Client的DHCP REQUEST报文的确认响应报文，Client收到此报文后，才真正获得了IP地址和相关的配置信息；lDHCP NAK，Server对Client的DHCP REQUEST报文的拒绝响应报文，Client收到此报文后，一般会重新开始新的DHCP过程；l DHCP RELEASE，Client主动释放Server分配给它的IP地址的报文，当Server收到此报文后，就可以回收这个IP地址，能够分配给其他

12、的Client；l DHCP INFORM，Client已经获得了IP地址，发送此报文，只是为了从Server处获取其他的一些网络配置信息，如网关地址、DNS地址等。DHCP协议的协议的8种报文（续）种报文（续）17DHCP的通信过程的通信过程DHCP DISCOVERDHCP OFFERDHCP REQUESTDHCP ACK/NAKDHCP DECLINEDHCP CLIENTDHCP SERVERIP网18DHCP的通信过程的通信过程19DHCP续订租约续订租约DHCP REQUEST（UNICAST）DHCP CLIENTDHCP SERVERDHCP ACK（UNICAST）T1:使

13、用时间达到租期的50% DHCP REQUEST（BROADCAST）DHCP ACK（UNICAST）TT2:使用时间达到租期的87.5% IP网20DHCP RELAY的通信过程的通信过程lRelay在收到Client发来的DHCP请求报文后，将收到该报文的接口地址填入报文，然后转发，这样DHCP服务器根据收到的报文中的接口地址就可以确定需要分配哪个子网的IP地址。lDHCP Relay在收到服务器的回应报文后，根据报文中的FLAG标记位是否置位来选择单播或广播的方式向DHCP Client发送报文。21DHCP RELAY 的通信过程的通信过程DHCP DISCOVERDHCP DISC

14、OVERDHCP OFFERDHCP OFFERDHCP REQUESTDHCP REQUESTDHCP ACK/NAKDHCP ACK/NAKDHCP DECLINEUnicast Or BroadcastUnicast Or BroadcastClient和和Relay间的所有报文，从初始状态获取间的所有报文，从初始状态获取IP地址时，地址时，DISCOVER和和REQUEST都是广播都是广播的，的，OFFER和和ACK根据请求报文中的广播标志位来决定广播还是单播，如果请求标注位为广根据请求报文中的广播标志位来决定广播还是单播，如果请求标注位为广播，则播，则OFFER和和ACK就是广播的，

15、否则就是单播的。就是广播的，否则就是单播的。 DHCP CLIENTDHCP SERVER子网1子网222DHCP RELAY 的通信过程的通信过程23DHCP RELAY 的通信过程的通信过程24DHCP RELAY续订租约续订租约CLIENTDHCP SERVERDHCP ACK（UNICAST）DHCP REQUEST(BROADCAST)DHCP REQUEST（UNICAST）DHCP REQUEST(UNICAST)DHCP ACK（UNICAST）DHCP ACK（UNICAST）TT1:使用时间达到租期的50% T2:使用时间达到租期的87.5% 子网1子网225l如果DHCP

16、报文中的“giaddr”字段非空，那么服务器就会采用单播的方式把返回报文发送给“giaddr”字段所代表的IP地址。l如果“giaddr”字段为空并且“ciaddr”非空，那么服务器也会采用单播的方式把DHCPOFFER和DHCPACK报文发送给“ciaddr”字段所代表的IP地址。l如果“giaddr”和“ciaddr”字段都为空，并且flag域中的广播位置位，那么服务器返回DHCPOFFER和DHCPACK报文的时候就采用广播方式。l如果广播位没有置位，那么服务器就把这些报文单播给“yiaddr”代表的IP地址。l如果在某些情况下不能使用单播，那么服务器就采用广播方式。另外，当giaddr

17、字段为空的时候，服务器返回DHCPNAK报文采用的都是广播方式。DHCP报文的广播与单播报文的广播与单播26DHCP协议协议DHCP协议产生原因协议产生原因DHCP协议介绍协议介绍DHCP协议实现原理协议实现原理DHCP安全特性介绍安全特性介绍DHCP配置及实验配置及实验27DHCP的安全特性的安全特性lDHCP RELAY地址合法性检查地址合法性检查lDHCP SNOOPINGlDHCP OPTION 8228DHCP RELAY地址合法性检查地址合法性检查l为了防止不经过IP申请的非法用户上网。DHCP Relay安全特性维护了一张IP和MAC的对应表。在用户通过DHCP Relay申请I

18、P地址时，会增加记录表项。l当在网络设备一个接口上使用了DHCP Relay安全特性后，ARP模块就会根据DHCP Relay安全特性提供的这张表对IP地址和MAC地址匹配的合法性检查，如果IP和MAC对应的关系在表中找不到匹配项时，就丢弃ARP报文。l注意：如果作DHCP Relay的设备不是网关时，则报文的转发不受影响。29DHCP RELAY地址合法性检查地址合法性检查192.168.0.2192.168.0.1192.168.1.2192.168.0.600EF-AABB-CF08192.168.0.500EF-AABB-CF08192.168.3.030DHCP SNOOPINGl支

19、持DHCP SNOOPING功能的设备可以对DHCP客户端与服务器端交互的DHCP协议报文进行监听。l设备可以对自身的端口属性进行配置 ，将连接合法DHCP服务器的端口设为信任端口，其余端口设为非信任端口。l信任端口可以正常转发DHCP OFFER及DHCP ACK报文，而非信任端口将拒绝这些报文。从而确保子网中的客户端仅能从合法DHCP服务器获得正确的DHCP配置信息，避免了非法DHCP服务器的恶意攻击。31DHCP SNOOPINGLegal DHCP serverDHCP ClientIllegal DHCP serverLegal DHCP INFOIllegal DHCP INFOL

20、egal DHCP INFO32DHCP OPTION 82lDHCP OPTION 82称为DHCP报文中的中继代理信息选项（Relay Agent Information option），是DHCP报文中option内容的一部分。lDHCP relay设备可以同支持option 82的服务器共同配合实现DHCP客户端合法性检查，可控静态IP地址分配，可控DHCP relay设备部署等许多安全功能。lOption 82中可以包含最多255个sub-option，若定义了option 82，至少要定义一个sub-option。l目前option 82中常用的是sub-option 1、sub-

21、option 2和sub-option 5。 33DHCP OPTION 82 报文结构报文结构lCode：标识了中继代理信息选项的序号。本报文中序号为82，即option 82。option 82在其他option之后，在end option之前。lLen：为代理信息域（Agent Information Field）的长度。lAgent Information Field：代理信息域。在该字段中指定了使用的sub-option。CodeLENi1i2.iNAgent Information Field34DHCP OPTION 82 子选项报文结构子选项报文结构lSubOpt：子选项序号，

22、各子选项含义如下：1表示代理电路ID（Circuit ID）子项2表示代理远程ID（Remote ID）子项5表示链路选择（Link Selection）子项lLen：标识Sub-option Value域的长度。lSub-option Value：sub-option的值。SubOptLENi1i2.iNSub-option Value35DHCP OPTION 82子选项介绍子选项介绍lsub-option 1：是option 82的一个子选项，为代理电路ID（Circuit ID）子项。lsub-option 2：是option 82的一个子选项，为代理远程ID（Remote ID）子项

23、。lsub-option 5：是option 82的一个子选项，为链路选择（Link Selection）子项。36DHCP中继支持中继支持OPTION 82时的工作机制时的工作机制 lDHCP客户端在初始化时以广播的形式发送请求报文，与本网络相连的DHCP中继设备对该广播报文进行相应的处理。DHCP中继设备将检查报文中是否已有option 82选项，进行相应的处理。l如果报文中已有option 82，设备按照配置的策略对该报文进行处理（丢弃、用中继设备本身的option 82项替代报文中原有的option 82项或保持报文原有的option 82项），然后将请求报文转发给DHCP服务器。l若

24、请求报文中没有option 82选项，则DHCP中继设备将option 82选项添加到报文中后转发给DHCP服务器。此时，请求报文中将包含了DHCP客户端所连接的交换机端口的MAC地址、所属的VLAN以及DHCP中继设备本身的MAC地址。lDHCP服务器收到DHCP中继设备转发的DHCP请求报文后，将记录报文中option选项所携带的信息，按照DHCP服务器设定的针对option82的安全规则进行处理，然后将带着DHCP配置信息以及option 82信息的报文发给DHCP中继。lDHCP中继收到DHCP服务器的返回报文后将剥离报文中的option 82信息，然后将带有DHCP配置信息的报文转发

25、给DHCP客户端。37DHCP协议协议DHCP协议产生原因协议产生原因DHCP协议介绍协议介绍DHCP协议实现原理协议实现原理DHCP 安全特性介绍安全特性介绍DHCP配置及实验配置及实验38DHCP服务器配置服务器配置lDHCP服务器配置任务：l使能DHCP服务l配置本地DHCP服务器的地址分配方式l创建DHCP全局地址池（全局地址池方式必配）l配置动态分配的IP地址范围（全局地址池方式必配）l配置DHCP客户端网关IP地址（全局地址池方式必配）l配置DHCP客户端DNS服务地址（选配）l配置地址池中IP地址的租期（选配）39DHCP服务器配置服务器配置l使能DHCP服务使能DHCP服务，在

26、系统视图下配置 dhcp enable40DHCP服务器配置服务器配置l配置本地DHCP服务器从全局地址池进行地址分配配置当前VLAN接口从全局地址池分配地址，在接口视图下配置 dhcp select global 配置多个VLAN接口从全局地址池分配地址 ，在系统视图下配置 dhcp select global interface vlan-interface vlan_id to vlan-interface vlan_id | all l配置本地DHCP服务器从接口地址池进行地址分配配置从当前接口地址池分配地址，在接口视图下配置 dhcp select interface 配置多个VLA

27、N接口从接口地址池分配地址，在系统视图下配置 dhcp select interface interface vlan-interface vlan_id to vlan-interface vlan_id | all 41DHCP服务器配置服务器配置l创建DHCP全局地址池请在系统视图下进行下列配置 dhcp server ip-pool pool-name l配置动态分配的IP地址范围请在DHCP地址池视图下进行下列配置 network ip-address mask netmask l配置DHCP客户端网关IP地址请在DHCP地址池视图下进行下列配置 gateway-list ip-ad

28、dress ip-address 42DHCP服务器配置服务器配置l配置DHCP客户端DNS服务器地址请在DHCP地址池视图下进行下列配置 dns-list ip-address&l配置全局地址池中IP地址的租期请在DHCP地址池视图下进行下列配置 expired day day hour hour minute minute | unlimited l配置VLAN接口DHCP地址池的IP地址租用有效期限 请在VLAN接口视图下进行下列配置 dhcp server expired day day hour hour minute minute | unlimited 43DHCP服务器

29、显示和调试服务器显示和调试l查看DHCP服务器的冲突相关信息display dhcp server conflict all | ip ip-address l查看DHCP地址池的可用地址范围display dhcp server free-ipl查看DHCP地址池中地址绑定信息display dhcp server ip-in-use ip ip-address | pool pool-name | interface vlan-interface vlan_id | all l查看DHCP服务器的统计信息display dhcp server statisticslDHCP server

30、的调试debugging dhcp server44DHCP RELAY配置配置lDHCP中继配置任务：使能DHCP服务配置接口工作在DHCP中继模式45DHCP RELAY配置配置l配置接口工作在DHCP中继模式配置DHCP服务器组中DHCP服务器的地址，请在系统视图下进行下列配置 dhcp-server groupNo ip ip-address1 ipaddress-list 配置接口与DHCP服务器组的归属关系 ，请在接口视图下进行下列配置 dhcp-server groupNo 46DHCP RELAY显示和调试显示和调试l显示DHCP Server组的相关信息 display dhcp-server groupNo l显示VLAN接口对应的DHCP Server组的相关信息 display dhcp-server interface vlan-interface vlan-id l