DHCP是什么?
RFC 1541(已被 RFC 2131 取代)定义的标准协议,该协议允许服务器向客户端动态分配 IP 地址和配置信息。
其中,RFC 2131是动态主机配置协议(DHCP)的官方规范,它定义了客户端和服务器之间交互的详细过程,包括报文结构、地址租赁和管理机制等。DHCP协议旨在简化网络管理,减少配置错误,并允许网络设备自动获取网络配置信息,如IP地址、子网掩码、默认网关和DNS服务器地址。
DHCP的作用于(最简单的解释)方式:
作用:用来为终端分配IP地址,并且对IP地址进行集中化管理的协议。
DHCP协议支持C/S(客户端/服务器)结构,主要分为两部分:
1、DHCP客户端:通常为网络中的PC、打印机等终端设备,使用从DHCP服务器分配下来的IP信息,包括IP地址、DNS等。
2、DHCP服务器:所有的IP网络设定信息都由DHCP服务器集中管理,并处理客户端的DHCP请求。
应用层协议; 传输层使用UDP协议进行数据封装,端口号67/68,其中68代表客户端;67代表服务端。
通常DHCP 服务器至少向客户端提供以下信息:
1、IP 地址
2、子网掩码
3、默认网关
还可以提供其他信息,如域名服务 (DNS) 服务器的地址和 Windows Internet 名称服务 (WINS) 服务器的地址。
DHCP服务器为客户端分配IP地址有三种形式:
1、管理员将一个IP地址固定分配给一个客户端。
2、随机地将地址永久性分配给客户端。
3、随机地将地址分配给客户端使用一段时间。
第三种是最常见的使用形式。地址的有效使用时间段称为租用期,租用期满之前,客户端必须向服务器请求继续租用。服务器接受请求后才能继续使用,否则无条件放弃。
默认情况下,路由器隔离广播包,不会将收到的广播包从一个子网发送到另一个子网。当DHCP服务器和客户端不在同一个子网时,充当客户端默认网关的路由器将广播包发送到DHCP服务器所在的子网,这一功能就称为DHCP中继(DHCP Relay)
DHCP所需要的报文类型
报文类型-----八种--6种(常用)
discover报文(广播报文)-----发现报文,用来发现网络中的DHCP服务器
源IP=0.0.0.0没有IP、
目的IP=255.255.255.255
使用目的IP地址255.255.255.255在计算机网络中通常表示一个本地子网内的广播地址。当一个设备想要向其所在的本地网络中的所有其他设备发送信息时,它会使用这个特殊的IP地址。这种广播机制允许消息被发送到子网内的所有设备,而无需知道每个设备的具体IP地址[1].
广播地址的工作原理
当一个设备发送一个目的地为255.255.255.255的广播数据包时,这个数据包会被子网内的所有其他设备接收并处理。这种通信方式在局域网(LAN)中非常常见,用于诸如设备发现、网络初始化或发送紧急消息等场景。
广播地址的限制
然而,广播通信也有其局限性。首先,广播数据包可能会导致网络拥塞,特别是在大型网络中,过多的广播可能会消耗大量的网络带宽,影响正常通信。其次,广播通信通常不会跨越路由器,这意味着广播数据包通常不会从一个子网传递到另一个子网,除非有特定的配置来支持广播中继。
广播地址与多播地址的区别
广播地址与多播地址在功能上有显著区别。虽然两者都可以实现向多个设备发送消息,但多播通信是基于订阅的,即只有订阅特定多播组的设备才会接收到多播数据包。相比之下,广播数据包会被子网内的所有设备接收,不论它们是否需要这些信息。多播机制在视频流、音频流等应用中更为常用,因为它能更高效地利用网络资源。
offer报文--------由服务器进行回复,当收到discover报文后,并且服务器本地存在可用IP地址,则回 复信息.服务器会先判断是否有该IP地址,如果有,会发送网关等等一些网络参数。单波或广播回复。这个报文客服端收到时,IP地址可能不能用。
request报文------正式向服务器请求IP地址 广播发送 可能有两个服务器,告知其他服务器 选择原因:快 源Ip不能为空。
ack报文----------服务器同意使用该IP地址 单播报文 offer报文一致
decline报文------当客户端检测到IP地址冲突时,发送给服务器,用以告知服务器,IP不可用
nak报文----服务器拒绝客户端使用该IP地址----一般看不到
release报文-----客户端主动释放IP地址。
IP地址租期----当PC申请下来IP地址后,会存在租期时间。能够合理使用该IP地址的时间
租期时间---24小时 当租期时间到达12小时,客户端就需要向服务器发起续租申请。 当第一次续租得到回复后,则客户端将租期时间刷新为24小时;
若没有回复(可能服务器故障),则等待租期时间仅剩下3小 时。 此时发送第二次续租申请,此时使用discover报文广播发送申请.
DHCP续租的工作流程描述如下:
1、在使用租期过去50%时刻处, 客户端向服务器发送单播DHCP REQUEST报文续延租期。
2、如果收到服务器的DHCP ACK报文,则租期相应向前延长,续租成功。如果没有收到DHCP ACK报文,则客户端继续使用这个IP地址。在使用租期过去87.5%时刻处,向服务器发送广播DHCP REQUEST报文续延租期。
3、如果收到服务器的DHCP ACK报文,则租期相应向前延长,续租成功。如果没有收到DHCP ACK报文,则客户端继续使用这个IP地址。在使用租期到期时,客户端自动放弃使用这个IP地址,并开始新的DHCP过程
DHCP是否什么情况都适用?
不是,原因如下:
1.静态IP地址需求:有些设备或服务可能需要固定的IP地址,以保证网络服务的连续性和可靠性。在这种情况下,手动配置静态IP地址比使用DHCP更为合适。
2.安全性考虑:在高度安全敏感的网络环境中,动态分配IP地址可能会带来安全风险,因为攻击者可能利用DHCP服务的漏洞来获取网络访问权限。
3.网络规模有限:在小型网络或家庭网络中,由于设备数量有限,网络管理员可能更愿意手动配置IP地址,而不是设置和维护DHCP服务器。
4.特定设备或应用程序要求:某些设备或应用程序可能需要特定的网络配置,这些配置可能与DHCP提供的标准配置不兼容。
5.网络设计限制:在使用无边界路由器和分布式DNS服务器的复杂网络设计中,DHCP可能不适用,因为这些设计可能需要更精细的网络地址管理策略。
6.网络隔离和分段:在需要严格网络隔离的场合,可能会避免使用DHCP,以减少不同网络段之间的潜在通信。
举例子:有些企业单位和国家机构为了出于安全性考虑,采取分保(全保和半保)的方式。
分保的概念及其目的
分保,即分区保护,是一种网络安全措施,旨在通过将网络划分为不同的区域或安全域来提高整体的安全性。全保通常指的是对整个网络进行严格的安全控制,而半保则可能是对网络的一部分实施额外的安全措施。这些措施可能包括访问控制、网络隔离、安全监控等。
手动配置IP地址的安全性考量
在一些企业单位和国家机构中,出于安全性的考虑,可能会选择手动配置IP地址而非使用DHCP自动分配。这样做可以减少网络中的未知设备,因为手动配置的IP地址不会被随机分配给新设备,从而降低了未经授权设备接入网络的风险。此外,固定的IP地址有助于网络管理员追踪和管理网络流量,以及实施更精确的安全策略.
实例说明
例如,政府机关或军事机构可能会实施严格的网络安全措施,其中包括手动配置IP地址。这样的做法有助于确保只有经过验证和授权的设备才能接入网络,同时便于网络安全团队监控网络活动,及时发现和响应潜在的安全威胁.
强调手动配置IP地址在特定环境下的应用
手动配置IP地址在那些需要高度安全控制的环境中非常有用。通过这种方式,网络管理员可以更好地控制网络资源的使用,减少安全漏洞,并确保关键网络资产的保护。这种做法虽然可能增加网络管理的复杂性,但在确保网络安全方面提供了额外的层次.
如果发生信息泄露,最粗糙的隔离方式是拔网线(物理),然后报警。