DHCP及DHCP SNOOPING
一、DHCP
- 使用UDP协议,67和68
- 局域网协议,服务器和客户端需在同一个广播域下,如果不在同一个网段,则需要DHCP中继。
1、DHCP 报文
- DHCP discover:广播消息,客户端向服务器请求网路参数(IP、掩码、网关、dns);
- offer:单播消息,服务器提供给客户端网络配置消息;
- Request:广播消息,回复offer报文,客户端初始化;客户端重启后,发送广播的DHCP request报文来确认先前被分配的IP地址等配置;当客户端已经和某个IP地址绑定后,发送DHCP request单播或者广播来更新IP地址的租约;
- ACK:服务器回复客户端确认消息,真正的获得可用地址;
- NAK:服务器对客户端request的拒绝响应报文;
- Decline:当客户端发现服务器分配给他的IP地址发生冲突时会通过发送此报文来通知服务器,并且会重新向服务器申请地址(ensp中s5700交换机没有decline,只有ARP检测地址冲突,如果地址冲突不重新发放地址,路由器里面有)
- Release:客户端释放IP地址,主动释放/租约到期/中继设备释放客户端
- Infrom:DHCP客户端获取IP地址后,如果需要向DHCP服务器获取更为详细的配置信息(网关地址、DNS服务器地址),则向DHCP服务器发送此报文来请求。
2、DHCP中继
实现不通网段间的DHCP服务器和客户端中间的报文交互,将DHCP discover的广播消息转成单播消息,将客户端的单播消息转为广播,比如request消息。
3、DHCP续租
到达50%的租期之后,客户端就会向服务器续约request报文。服务器同意发送ACK,不同意发送NAK。续约成功时间会清零,到下个50%再次续约。
等租约时间的7/8的时候,客户端会将request报文变成广播,等待服务器的回应,如果无回应则到达100%的时候释放地址。
4、DHCP option字段选项
用来存放普通协议中没有定义的控制信息和参数。
比如option82选项记录DHCP client的位置信息
二、DHCP SNOOPING
是DHCP的一种安全特性,用于保证DHCP客户端从合法的DHCP服务器获取IP地址,并记录DHCP客户端IP地址与MAC地址等参数的对应关系,防止网路上针对DHCP攻击。
1、具体功能与应用
1、DHCP snooping信任功能分为信任端口和非信任端口;
2、信任端口可以接受ACK、NAK、offer报文;
3、非信任端口收不到上述报文;
4、DHCP snooping功能需应用在二层网络中的接入设备或者第一个DHCP relay中。
5、DHCP snooping server record记录非法服务器的位置
本章问答环节
问:DHCP如何备份?可以做两个一摸一样的地址池吗?
答:DHCP备份只能把一个大的地址池砍成两半,部署在两个服务器上面,不可以同一个网络使用两个一样的DHCP地址池,因为会产生地址冲突。
问:DHCP报文如何自我防环?
答:DHCP有跳数限制,每经过一个中继设备+1。
问:为什么request是广播的消息?完全可以是单播向上个回复自己的服务器进行请求呀!
答:因为同一个网络中,不一定只有一个DHCP服务器,先到先得,谁先发个我地址,我就要谁的!
问:为什么一个设备重启之后拿地址还是上次拿的同一个地址?
答:服务器有记录,如果服务器查询到你之前的地址没有被使用的话,这个地址会被重新分配给你。
问:中继设备到服务器需不需要路由?服务器到中继需要不需要路由?为什么?
答:中继到服务器不需要路由,因为一般中继和服务器是直连,但是服务器到中继需要路由,因为服务器到中继的接口无法到达。