DHCP
DHCP协议需求背景
减少错误
通过配置DHCP,把手工配置IP地址所导致的错误减少到最低程度,例如已分配的IP地址再次分配给另一设备所造成的地址冲突等将大大减少。
减少网络管理
- TCP/IP配置是集中化和自动完成的,不需要网络管理员手工配置。网络管理员能集中定义全局和特定子网的TCP/IP配置信息。
- 使用DHCP选项可以自动给客户机分配全部范围的附加TCP/IP配置值。客户机配置的地址变化必须经常更新,比如远程访问客户机经常到处移动,这样便于它在新的地点重新启动时,高效而又自动地进行配置。
- 同时大部分路由器能转发DHCP配置请求,这就减少了在每个子网设置DHCP服务器的必要,除非有其它原因要这样做。
DHCP概述与工作原理
DHCP是Bootstrap协议的一种扩展,基于UDP协议,客户端的端口号是68,服务端的端口号是67。
DHCP协议特性
- 保证任何IP地址在同一时刻只能由一台DHCP客户机所使用
- DHCP应当可以给用户分配永久固定的IP地址
- DHCP应当可以同用其他方法获得IP地址的主机共存(如手工配置IP地址的主机)
- DHCP服务器应当向现有的DHCP客户端提供服务
DHCP数据包结构
常用的Options
1 netmask
3 router
6 DNS
12 host name
51 ip address lease time
53 message type (dhcp报文8种类型,下一页介绍)
54 server identification
55 parameter request list (需要服务器给你提供哪些东西:ip地址,域名,网关)
61 client identification
82 relay agent
255 end
DHCP报文的八种类型
DHCP基本原理
- DHCP基本工作过程(一)
- DHCP基本工作过程(二)
DHCP配置与实现
DHCP中继(DHCP Relay)
DHCP Relay 基本工作原理
DHCP Relay 的基本配置实现
DHCP snooping概述
DHCP Snooping是 DHCP 的一种安全特性,主要应用在 交换机 上,作用是屏蔽接入网络中的非法的 DHCP 服务器。即开启 DHCP Snooping 功能后,网络中的客户端只有从管理员指定的 DHCP 服务器获取 IP 地址。
DHCP攻击
DHCP在设计上未从分考虑安全因素,从而留下了许多安全漏洞,使得DHCP很容易受到攻击。实际网络中,针对DHCP的攻击行为主要有以下三种:
-
DHCP饿死攻击
-
仿冒DHCP Server攻击
-
DHCP中间人攻击
DHCP Snooping
-
DHCP Snooping 用于防止 DHCP 饿死攻击
-
DHCP Snooping 用于防止 仿冒 DHCP Server 攻击
-
DHCP Snooping 用于防止 DHCP 中间人攻击
-
DHCP Snooping 技术与 IPSG 技术联动使用