收藏
下载资源

第5章DHCP技术教程文件

上传人:yulij****0329 文档编号:138581005 上传时间:2020-07-16 格式:PPT 页数:54 大小:1.19MB
返回 下载 相关 举报
第5章DHCP技术教程文件_第1页
第1页 / 共54页
第5章DHCP技术教程文件_第2页
第2页 / 共54页
第5章DHCP技术教程文件_第3页
第3页 / 共54页
第5章DHCP技术教程文件_第4页
第4页 / 共54页
第5章DHCP技术教程文件_第5页
第5页 / 共54页
点击查看更多>>
资源描述

《第5章DHCP技术教程文件》由会员分享,可在线阅读,更多相关《第5章DHCP技术教程文件(54页珍藏版)》请在金锄头文库上搜索。

1、第5章 DHCP协议,ISSUE 1.0,华为3Com网络学院第三学期,2,学习目标,了解DHCP协议产生的原因和解决的问题 理解DHCP协议的工作原理 理解DHCP相关安全特性 掌握华为3Com网络设备上关于DHCP 协议的配置,学习完本课程,您应该能够:,3,DHCP协议,DHCP协议产生原因 DHCP协议介绍 DHCP协议实现原理 DHCP安全特性介绍 DHCP配置及实验,4,DHCP协议产生的原因,每个人都要我亲自去分配IP地址,太烦了。,小张,我需要固定的IP地址,唉,我的地址怎么又和别人冲突了?,怎么办?,6,DHCP协议介绍,DHCP(Dynamic Host Configura

2、tion Protocol)协议是在Bootstrap Protocol(BOOTP)的基础上提出的,其作用是在TCP/IP网络中向Internet主机提供配置信息。其实现遵从RFC2131、RFC2132。 DHCP采用Client / Server模式,由客户端向服务器提出配置申请(包括分配的IP地址、子网掩码、缺省网关等参数),服务器根据策略返回相应配置信息。DHCP报文采用UDP进行封装识别采用知名端口号:CLIENT使用68,SERVER使用67。,7,DHCP协议特点,整个配置过程自动实现,Client端无需配置; 所有配置信息由DHCP Server统一管理,Server不仅能够

3、为Client分配IP地址,还能够为Client指定其他信息; 通过IP地址租期管理,提高IP地址的使用效率; 采用广播方式实现报文交互,报文一般不能跨网段,如果需要跨网段,需要使用DHCP RELAY技术实现 。,8,DHCP协议,DHCP协议产生原因 DHCP协议介绍 DHCP协议实现原理 DHCP安全特性介绍 DHCP配置及实验,9,DHCP协议系统组成,DHCP Client: DHCP Client通过DHCP协议来获得网络配置参数 通常是一台主机或网络设备 DHCP Server: DHCP Server提供网络设置参数给DHCP Client 通常是一台服务器或网络设备 DHCP

4、 Relay: 在DHCP客户机和服务器之间跨网段转发DHCP消息 通常是网络设备(交换机或路由器),10,DHCP地址分配种类,Automatic Allocation:为连接到网络的某些主机分配IP地址,该地址将长期由该主机使用。 Dynamic Allocation:DHCP Server为Client指定一个IP地址,同时为此地址规定了一个租用期限,如果租用时间到期,Client必须重新申请地址,这是Client申请地址最常用的方法。 Manual Allocation:网络管理员为某些少数特定的Host绑定固定IP地址,且地址不会过期。,11,DHCP协议分配地址的优先级,DHCP

5、Server数据库中与该Client的MAC地址静态绑定的IP地址。 该Client曾经使用过的地址。当Client端再次申请地址时,Client发送DHCP_Discover报文,其地址选项中会包含上次使用的IP地址,除非此IP地址被分配出去或此地址进行了其他不可用操作(例如:此IP地址被Forbidden等),否则Client端将再次使用此地址。 顺序查找DHCP地址池中可供分配的IP地址,最先找到的可用IP地址,优先级高。 如果未找到可用的IP地址,则依次查询超过租期、发生冲突的IP地址,如果找到则进行分配,否则报告错误。,12,DHCP的报文组成,hops(1),hlen(1),opt

6、ions (variable),file(128),sname(64),chaddr(16),giaddr(4),siaddr(4),yiaddr(4),ciaddr(4),flags(2),secs(2),xid(4),htype(1),op(1),13,DHCP报文中各个部分的含义,14,DHCP报文中各个部分的含义,可选参数域,定义的选项列表。DHCP报文“options”域的头四个八位字节的十进制值分别为99、130、83、99,“options”域的剩余项包括一列tagged参数。RFC2132中介绍了全部的option的定义。,options,Boot file name,是一个空

7、值终止串。DHCPDISCOVER中是“generic”名字或空字符;DHCPOFFER提供有效的目录路径全名。,file,“服务器主机名”字段是一个空值终止串,由服务器填写。,sname,Client hardware address,chaddr,Relay代理的IP地址。,giaddr,bootstrap中,下一个Server的IP地址。,siaddr,your(Client)IP address,yiaddr,Client IP address,只有Client已经获得IP地址,并且能响应ARP requests时,才能被填充。,ciaddr,15,DHCP协议的8种报文,DHCP D

8、ISCOVER,此报文是Client开始DHCP过程的第一个报文; DHCP OFFER,此报文是Server对DHCP DISCOVER报文的响应; DHCP REQUEST,此报文是Client开始DHCP过程中对Server DHCP OFFER报文的回应,或者是Client续延IP地址租期时发出的报文。如果DHCP REQUEST报文中包含“server identifier”选项,那么这个报文是来响应DHCP OFFER的,否则,这个报文是用来请求检验和扩展已存在的租约的; DHCP DECLINE,当Client发现Server分配给它的IP地址无法使用,如IP地址冲突时,将发出此

9、报文,通知Server禁止使用该IP地址;,16,DHCP ACK,Server对Client的DHCP REQUEST报文的确认响应报文,Client收到此报文后,才真正获得了IP地址和相关的配置信息; DHCP NAK,Server对Client的DHCP REQUEST报文的拒绝响应报文,Client收到此报文后,一般会重新开始新的DHCP过程; DHCP RELEASE,Client主动释放Server分配给它的IP地址的报文,当Server收到此报文后,就可以回收这个IP地址,能够分配给其他的Client; DHCP INFORM,Client已经获得了IP地址,发送此报文,只是为了

10、从Server处获取其他的一些网络配置信息,如网关地址、DNS地址等。,DHCP协议的8种报文(续),17,DHCP的通信过程,DHCP CLIENT,DHCP SERVER,IP网,18,DHCP的通信过程,19,DHCP续订租约,DHCP CLIENT,DHCP SERVER,T1:使用时间达到租期的50%,T,T2:使用时间达到租期的87.5%,IP网,20,DHCP RELAY的通信过程,Relay在收到Client发来的DHCP请求报文后,将收到该报文的接口地址填入报文,然后转发,这样DHCP服务器根据收到的报文中的接口地址就可以确定需要分配哪个子网的IP地址。 DHCP Relay

11、在收到服务器的回应报文后,根据报文中的FLAG标记位是否置位来选择单播或广播的方式向DHCP Client发送报文。,21,DHCP RELAY 的通信过程,Unicast Or Broadcast,Unicast Or Broadcast,Client和Relay间的所有报文,从初始状态获取IP地址时,DISCOVER和REQUEST都是广播的,OFFER和ACK根据请求报文中的广播标志位来决定广播还是单播,如果请求标注位为广播,则OFFER和ACK就是广播的,否则就是单播的。,DHCP CLIENT,DHCP SERVER,子网1,子网2,22,DHCP RELAY 的通信过程,23,DH

12、CP RELAY 的通信过程,24,DHCP RELAY续订租约,CLIENT,DHCP SERVER,DHCP ACK(UNICAST),DHCP ACK(UNICAST),T,T1:使用时间达到租期的50%,T2:使用时间达到租期的87.5%,子网1,子网2,25,如果DHCP报文中的“giaddr”字段非空,那么服务器就会采用单播的方式把返回报文发送给“giaddr”字段所代表的IP地址。 如果“giaddr”字段为空并且“ciaddr”非空,那么服务器也会采用单播的方式把DHCPOFFER和DHCPACK报文发送给“ciaddr”字段所代表的IP地址。 如果“giaddr”和“ciad

13、dr”字段都为空,并且flag域中的广播位置位,那么服务器返回DHCPOFFER和DHCPACK报文的时候就采用广播方式。 如果广播位没有置位,那么服务器就把这些报文单播给“yiaddr”代表的IP地址。 如果在某些情况下不能使用单播,那么服务器就采用广播方式。另外,当giaddr字段为空的时候,服务器返回DHCPNAK报文采用的都是广播方式。,DHCP报文的广播与单播,26,DHCP协议,DHCP协议产生原因 DHCP协议介绍 DHCP协议实现原理 DHCP安全特性介绍 DHCP配置及实验,27,DHCP的安全特性,DHCP RELAY地址合法性检查 DHCP SNOOPING DHCP O

14、PTION 82,28,DHCP RELAY地址合法性检查,为了防止不经过IP申请的非法用户上网。DHCP Relay安全特性维护了一张IP和MAC的对应表。在用户通过DHCP Relay申请IP地址时,会增加记录表项。 当在网络设备一个接口上使用了DHCP Relay安全特性后,ARP模块就会根据DHCP Relay安全特性提供的这张表对IP地址和MAC地址匹配的合法性检查,如果IP和MAC对应的关系在表中找不到匹配项时,就丢弃ARP报文。 注意:如果作DHCP Relay的设备不是网关时,则报文的转发不受影响。,29,DHCP RELAY地址合法性检查,192.168.0.2,192.16

15、8.0.1,192.168.1.2,192.168.0.6 00EF-AABB-CF08,192.168.0.5 00EF-AABB-CF08,ARP请求,192.168.3.0,30,DHCP SNOOPING,支持DHCP SNOOPING功能的设备可以对DHCP客户端与服务器端交互的DHCP协议报文进行监听。 设备可以对自身的端口属性进行配置 ,将连接合法DHCP服务器的端口设为信任端口,其余端口设为非信任端口。 信任端口可以正常转发DHCP OFFER及DHCP ACK报文,而非信任端口将拒绝这些报文。从而确保子网中的客户端仅能从合法DHCP服务器获得正确的DHCP配置信息,避免了非法

16、DHCP服务器的恶意攻击。,31,DHCP SNOOPING,Legal DHCP server,DHCP Client,Illegal DHCP server,32,DHCP OPTION 82,DHCP OPTION 82称为DHCP报文中的中继代理信息选项(Relay Agent Information option),是DHCP报文中option内容的一部分。 DHCP relay设备可以同支持option 82的服务器共同配合实现DHCP客户端合法性检查,可控静态IP地址分配,可控DHCP relay设备部署等许多安全功能。 Option 82中可以包含最多255个sub-option,若定义了option 82,至少要定义一个sub-option。 目前option 82中常用的是sub-option 1、sub-option 2和sub-option 5。,33,DHCP OPTION 82 报文结构,Code:标识了中继代理信息选项的

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 中学教育 > 教学课件 > 高中课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号