HCP服務的介紹和安裝
一 DHCP概述
DHCP(Dynamic Host Configuration Protocol,動態主機配置協議)是由IETF(Internet工作任務小組)設計開發的,專門用于為TCP/IP網絡中的計算機自動分配TCP/IP參數的協議
·DHCP的作用:為網絡中計算機自動分配TCP/IP參數的協議,即自動分配IP地址
·DHCP的好處:減少管理員的工作量、避免輸入錯誤的可能、避免IP沖突、提高了IP地址的利用率、方便客戶端的配置
·DHCP的分配方式:
自動分配 :分配到一個IP地址后永久使用
手動分配:由DHCP服務器管理員專門指定IP地址
動態分配:使用完后釋放該IP,供其它客戶機使用
·DHCO的工作原理
客戶機請求IP
當一個DHCP客戶機啟動時,客戶機還沒有IP地址,所以客戶機要通過DHCP獲取一個合法的地址。此時DHCP客戶機以廣播方式(因為DHCP服務器的IP地址對客戶機來說是未知的)發送DHCP Discover發現信息來尋找DHCP服務器。廣播信息中包含DHCP客戶機的MAC地址和計算機名,以便DHCP服務器確定是哪個客戶機發送的請求。
服務器響應
當DHCP服務器接收到來自客戶機請求IP地址的信息時,它就在自己的IP地址池中查找是否有合法的IP地址提供給客戶機,如果有,DHCP服務器就將此IP地址做上標記,加入到DHCP Offer的消息中,然后DHCP服務器就廣播一則包含DHCP客戶機的MAC地址、DHCP服務器提供的合法IP地址、子網掩碼、租約的期限、DHCP服務器的IP地址等信息的DHCP Offer消息。
客戶機選擇IP
DHCP客戶機從接收到的第一個DHCP Offer消息中提取IP地址,發出IP地址的DHCP服務器將該地址保留,這樣該地址就不能提供給另一個DHCP客戶機。當客戶機從第一個DHCP服務器接收DHCP Offer消息并提取了IP地址后,客戶機將DHCP Request消息廣播到所有的DHCP服務器,表明它接受提供的內容,DHCP Request消息包括為客戶機提供IP配置的服務器的服務標示符(服務器IP地址),DHCP服務器查看服務器標識符字段,以確定提供的IP地址是否被接受,如果DHCP Offer被拒絕,則DHCP服務器將會取消并保留其IP地址以提供給下一個IP租約的請求。
服務器確定租約
DHCP服務器接收到DHCP Request消息后,以DHCP ACK消息的形式向客戶機廣播成功的確認。該消息包含有IP地址的有效租約和其他可配置的信息,雖然服務器確認了客戶機的租約請求,但是客戶機還沒有接收到服務器的DHCP ACK消息。當客戶機收到DHCP ACK消息時,它就配置了IP地址,完成TCP/IP的初始化。
重新登錄
DHCP客戶機每次重新登錄網絡時,不需要再發送DHCP Discover信息,而是直接發送包含前一次所分配的IP地址的DHCP Request請求信息。當DHCP服務器接收到這一信息后,它會嘗試讓DHCP客戶機繼續使用原來的IP地址,并回答一個DHCP ACK確認信息。如果此IP地址已無法再分配給原來的DHCP客戶機使用時(比如IP已經分配給其他的DHCP客戶機使用),DHCP服務器給DHCP客戶機回答一個DHCP Nack否認信息。當原來的DHCP客戶機收到此DHCP Nack否認信息后,它就必須重新發送DHCP Discover發現信息來請求新的IP地址。
更新租約
當DHCP服務器向客戶機出租的IP地址租期達到50%時,就需要重新更新租約,客戶機直接向提供租約的服務器發送DHCP Request包,要求更新現有的地址租約。
如果DHCP客戶機無法找到DHCP服務器,它將從B類網段169.254.0.0中挑選一個IP地址作為自己的地址,每隔五分鐘會再次嘗試與DHCO服務器進行通信
二 配置DHC服務
·在安裝DHCP服務之前,需要規劃以下信息
·確定DHCP服務器應分發給客戶機的IP地址范圍。
·為客戶機確定正確的子網掩碼
·確定DHCP服務器不應向客戶機分發的所有IP地址。(保留一些固定IP地址提供給打印服務器等使用)
·決定IP地址的租期期限。默認值為 8 天。通常,租用期限應等于該子網上的客戶端的平均活動時間。例如,如果客戶端是很少關閉的桌面計算機,理想的期限可以比 8 天長,如果客戶端是經常離開網絡或在子網之間移動的移動設備,該期限可以少于 8 天
·DHCP的安裝要求
·服務器具有靜態IP地址
·在域環境下需要使用活動目錄服務器授權DHCP服務(授權是一種措施,可以防止未經授權的DHCP服務器在網絡中分配IP地址)
·安裝DHCP服務器(windows server 2008)
1 打開服務器管理器
2 添加角色
3 添加DHCP服務器
3 顯示DHCP服務器介紹,默認下一步
4 顯示選擇網絡連接綁定,如果有兩個網卡,則進行選擇或全選
5 顯示指定IPv4和DNS,暫時可不寫,默認下一步
6 要求指定WINS服務器設置,wins用于主機名和IP之間的解析,已過時,默認下一步
7 要求添加作用域,可添加也可稍后再添加,這里默認下一步
8 配置DHCPv6無狀態模式,v6還沒有廣泛應用,這里默認下一步
9 顯示指定Ipv6和DNS,暫時可不寫,默認下一步
10 確認安裝,等待安裝完成
11 安裝成功
DHCP Snooping是DHCP的一種安全特性,用來保證DHCP客戶端能夠正確的從DHCP服務器獲取IP地址,防止網絡中針對DHCP的攻擊。
DHCP,動態主機配置協議,在IPv4網絡中為客戶端動態分配IP地址,采用客戶端/服務器通信模式,由客戶端(DHCP Client)向服務器(DHCP Server)提出申請,服務器返回為客戶端分配的IP信息,包括IP地址、缺省網關、DNS Server等參數。
DHCP組網中包括以下兩種角色:
DHCP Server仿冒攻擊:非法用戶通過仿冒DHCP Server,為客戶端分配錯誤的IP地址,導致客戶端無法正常接入網絡。
DHCP報文仿冒攻擊:
1、已獲取到IP地址的合法用戶通過向服務器發送DHCP Request報文用以續租IP地址。非法用戶冒充合法用戶不斷向DHCP Server發送DHCP Request報文來續租IP地址,導致到期的IP地址無法正常回收,新的合法用戶不能再獲得IP地址。
2、已獲取到IP地址的合法用戶通過向服務器發送DHCP Release報文用以釋放IP地址。非法用戶仿冒合法用戶向DHCP Server發送DHCP Release報文,使合法用戶異常下線。
DHCP報文泛洪攻擊:
非法用戶在短時間內發送大量DHCP報文,使DHCP Server無法正常處理報文,從而無法為客戶端分配IP地址。
DHCP Server拒絕服務攻擊
1、非法用戶通過惡意申請IP地址,使DHCP服務器中的IP地址快速耗盡,無法為合法用戶再分配IP地址
2、DHCP Server通常僅根據DHCP Request報文中的CHADDR(Client Hardware Address)字段來確認客戶端的MAC地址。非法用戶通過不斷改變CHADDR字段向DHCP Server申請IP地址,使DHCP服務器中的IP地址快速耗盡,無法為合法用戶再分配IP地址。
DHCP Server仿冒攻擊
配置接入交換機與DHCP Server相連的接口為信任接口,只有信任接口能夠接收和轉發DHCP報文。
DHCP報文仿冒攻擊
在DHCP Server為客戶端分配IP地址過程中,根據DHCP報文生成DHCP Snooping綁定表,該綁定表記錄MAC地址、IP地址、租約時間、VLAN ID、接口等信息,然后通過DHCP報文與綁定表的合法性檢查,丟棄非法報文,防止DHCP報文仿冒攻擊。
DHCP報文泛洪攻擊
限制DHCP報文上送CPU的速率。
DHCP Server拒絕服務攻擊
1、通過限制DHCP Snooping綁定表的個數,限制用戶接入數。當用戶數達到指定值時,任何用戶將無法通過此接口申請到IP地址。
2、通過檢查DHCP Request報文幀頭MAC與DHCP數據區中CHADDR字段的一致性,丟棄不一致的報文,防止非法用戶攻擊。
DHCP PC1和DHCP PC2通過SwitchA向DHCP Server申請IP地址。通過在SwitchA上配置DHCP Snooping功能,防止以下類型的攻擊:
S交換機的配置方法如下:
1、全局和接口下使能DHCP Snooping功能。
[SwitchA] dhcp enable //需要先全局使能DHCP功能 [SwitchA] dhcp snooping enable [SwitchA] interface gigabitethernet 0/0/1 [SwitchA-GigabitEthernet0/0/1] dhcp snooping enable [SwitchA-GigabitEthernet0/0/1] quit [SwitchA] interface gigabitethernet 0/0/2 [SwitchA-GigabitEthernet0/0/2] dhcp snooping enable [SwitchA-GigabitEthernet0/0/2] quit
2、連接DHCP Server的接口配置為信任接口,防止DHCP Server仿冒者攻擊。
[SwitchA] interface gigabitethernet 0/0/4 [SwitchA-GigabitEthernet0/0/4] dhcp snooping enable [SwitchA-GigabitEthernet0/0/4] dhcp snooping trusted [SwitchA-GigabitEthernet0/0/4] quit
3、DHCP報文與綁定表的合法性檢查,防止DHCP報文仿冒攻擊。
[SwitchA] dhcp enable [SwitchA] dhcp snooping check dhcp-request enable vlan 10 //對VLAN 10內的用戶進行合法性檢查
4、限制DHCP報文上送CPU的個數,防止DHCP報文泛洪攻擊。
[SwitchA] dhcp snooping check dhcp-rate enable //使能對DHCP報文上送CPU的速率檢測功能 [SwitchA] dhcp snooping check dhcp-rate 90 //每秒最多處理90個DHCP報文
5、配置DHCP Snooping綁定表個數和DHCP Request報文幀頭源MAC地址與CHADDR字段一致性檢查功能,防止DHCP Server拒絕服務攻擊。
態主機配置協議DHCP(Dynamic Host Configuration Protocol)
是一種用于集中對用戶IP地址進行動態管理和配置的技術,省流:就是自動下發IP地址
即使規模較小的網絡,通過DHCP也可以使后續增加網絡設備(特別是主機)變得簡單快捷。
DHCP允許計算機動態地獲取IP地址,而不是靜態為每臺主機指定地址。
DHCP能夠分配其他配置參數,例如客戶端的啟動配置文件,使客戶端僅用一個消息就獲取它所需要的所有配置信息。
降低客戶端的配置和維護成本
DHCP易配置部署,對于非技術用戶,DHCP能夠將客戶端與配置相關的操作降至最低,并能夠降低遠程部署和維護成本。
集中管理
DHCP服務器可以管理多個網段的配置信息,當某個網段的配置發生變化時,管理員只需要更新DHCP服務器上的相關配置即可。
system-view 進入系統視圖
sysname R1 設置設備名稱
dhcp enable 使能DHCP
ip pool 1 創建地址池1
network 10.1.1.0 mask 255.255.255.0 配置地址池中的網段
gateway-list 10.1.1.1 配置網段的網關地址
excluded-ip-address 10.1.1.100 10.1.1.254 配置禁止下發的IP
lease day 0 hour 3 minute 0 配置租期
dns-list 8.8.8.8 222.222.222.222 配置DNS
quit 退出
interface GigabitEthernet0/0/0 進入接口視圖
ip address 10.1.1.1 255.255.255.0 配置IP
dhcp select global 在接口下配置DHCP的全局地址池方式
quit
save 用戶視圖下保存
驗證:PC1>ipconfig