09 dhcp

1、9 DHCP,,9.1 DHCP的概念,DHCP 是 Dynamic Host Configuration Protocol(動(dòng)態(tài)主機(jī)分配協(xié)議)縮寫，它的前身是 BOOTP。BOOTP 原本是用于無磁盤主機(jī)連接的網(wǎng)絡(luò)上面的﹕網(wǎng)絡(luò)主機(jī)使用 BOOT ROM 而不是磁盤起動(dòng)并連接上網(wǎng)絡(luò)，BOOTP 則可以自動(dòng)地為那些主機(jī)設(shè)定 TCP/IP 環(huán)境。但 BOOTP 有一個(gè)缺點(diǎn)：您在設(shè)定前須事先獲得客戶端的硬件地址，而且，與 IP 的對(duì)應(yīng)是靜

2、態(tài)的。換而言之，BOOTP 非常缺乏 "動(dòng)態(tài)性" ，若在有限的 IP 資源環(huán)境中，BOOTP 的一對(duì)一對(duì)應(yīng)會(huì)造成非?？捎^的浪費(fèi)。  DHCP 可以說是 BOOTP 的增強(qiáng)版本，它分為兩個(gè)部份﹕一個(gè)是服務(wù)器端，而另一個(gè)是客戶端。所有的 IP 網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由 DHCP 服務(wù)器集中管理，并負(fù)責(zé)處理客戶端的 DHCP 要求﹔而客戶端則會(huì)使用從服務(wù)器分配下來的IP環(huán)境數(shù)據(jù)。比較起 BOOTP ，DHCP 透過

3、 "租約" 的概念，有效且動(dòng)態(tài)的分配客戶端的 TCP/IP 設(shè)定，而且，作為兼容考慮，DHCP 也完全照顧了 BOOTP Client 的需求。,9.1.1 DHCP的設(shè)計(jì)目標(biāo),客戶不需要進(jìn)行手工配置。DHCP不需要在每個(gè)子網(wǎng)上要一個(gè)服務(wù)器，為了經(jīng)濟(jì)的原因，它DHCP服務(wù)器必須可以和路由器和BOOTP轉(zhuǎn)發(fā)代理一起工作。DHCP客戶必須可能對(duì)多個(gè)DHCP服務(wù)器提供的服務(wù)作出響應(yīng)。出于網(wǎng)絡(luò)穩(wěn)定與安全的考慮，有時(shí)需要為

4、網(wǎng)絡(luò)加入多個(gè)DHCP服務(wù)器。不允許有幾個(gè)客戶同時(shí)使用一個(gè)網(wǎng)絡(luò)地址。在DHCP客戶重新啟動(dòng)后仍然能夠保留它原先的配置參數(shù)，如果可能，客戶應(yīng)該被指定為相同的配置參數(shù)。,9.1.2 DHCP的分配形式,首先，必須至少有一臺(tái) DHCP 服務(wù)器工作在網(wǎng)絡(luò)上面，它會(huì)監(jiān)聽網(wǎng)絡(luò)的 DHCP 請(qǐng)求，并與客戶端搓商 TCP/IP 的設(shè)定環(huán)境。它提供兩種 IP 定位方式：Automatic Allocation ：自動(dòng)分配，其情形是﹕一旦 DHCP 客

5、戶端第一次成功的從 DHCP 服務(wù)器端租用到 IP 地址之后，就永遠(yuǎn)使用這個(gè)地址。Dynamic Allocation ：動(dòng)態(tài)分配，當(dāng) DHCP 第一次從 HDCP 服務(wù)器端租用到 IP 地址之后，并非永久的使用該地址，只要租約到期，客戶端就得釋放(release)這個(gè) IP 地址，以給其它工作站使用。當(dāng)然，客戶端可以比其它主機(jī)更優(yōu)先的更新(renew)租約，或是租用其它的 IP 地址。,,動(dòng)態(tài)分配顯然比自動(dòng)分配更加靈活，尤其是當(dāng)實(shí)際

6、 IP 地址不足的時(shí)候。例如，若 ISP只能提供 200 個(gè)IP地址用來給撥接客戶，但并不意味著您的客戶最多只能有 200 個(gè)。因?yàn)榭蛻魝儾豢赡苋客粫r(shí)間上網(wǎng)。這樣，就可以將這 200 個(gè)地址，輪流的租用給撥接上來的客戶使用。這也是為什么查看 IP 地址時(shí)，會(huì)因每次撥接而有不同的IP地址 ( 除非申請(qǐng)的是一個(gè)固定 IP ，通常的 ISP 都可以滿足這樣的要求)。DHCP 除了能動(dòng)態(tài)的設(shè)定 IP 地址之外，還可以將一些 IP 保留

7、下來給一些特殊用途的機(jī)器使用，它可以按照硬件地址來固定的分配 IP 地址，這樣可以有更大的設(shè)計(jì)空間。同時(shí)，DHCP 還可以幫客戶端指定 router﹑netmask﹑DNS Server﹑WINS Server﹑等等項(xiàng)目，用戶在客戶端上面除了將 DHCP 選項(xiàng)打勾之外，幾乎無需做任何的 IP 環(huán)境設(shè)定。,9.1.4 DHCP的工作流程,DHCP客戶端為了獲取合法的動(dòng)態(tài)IP地址，在不同階段與服務(wù)器之間交互不同的信息，通常存在以下三種模

8、式：首次登錄再次登錄延長(zhǎng)租期,1、DHCP客戶端首次登錄網(wǎng)絡(luò),1）發(fā)現(xiàn)階段，即DHCP客戶機(jī)尋找DHCP服務(wù)器的階段。DHCP客戶機(jī)以廣播方式（因?yàn)镈HCP服務(wù)器的IP地址對(duì)于客戶機(jī)來說是未知的）發(fā)送DHCP discover發(fā)現(xiàn)信息來尋找DHCP服務(wù)器，即向地址255.255.255.255發(fā)送特定的廣播信息。網(wǎng)絡(luò)上每一臺(tái)安裝了TCP/IP協(xié)議的主機(jī)都會(huì)接收到這種廣播信息，但只有DHCP服務(wù)器才會(huì)做出響應(yīng)（如下圖）。,2）提供階

9、段，即DHCP服務(wù)器提供IP地址的階段。在網(wǎng)絡(luò)中接收到DHCP discover發(fā)現(xiàn)信息的DHCP服務(wù)器都會(huì)做出響應(yīng)，它從尚未出租的IP地址中挑選一個(gè)分配給DHCP客戶機(jī)，向DHCP客戶機(jī)發(fā)送一個(gè)包含出租的IP地址和其他設(shè)置的DHCP offer提供信息（如下圖）。DHCP SERVER在發(fā)出DHCPOFFER之前，先進(jìn)行了兩次PING檢測(cè)，在地址不沖突的情況下，才發(fā)出DHCPOFFER。,3）選擇階段，即DHCP客戶機(jī)選擇某臺(tái)DHC

10、P服務(wù)器提供的IP地址的階段。如果有多臺(tái)DHCP服務(wù)器向DHCP客戶機(jī)發(fā)來的DHCP offer提供信息，則DHCP客戶機(jī)只接受第一個(gè)收到的DHCP offer提供信息，然后它就以廣播方式回答一個(gè)DHCP request請(qǐng)求信息，該信息中包含向它所選定的DHCP服務(wù)器請(qǐng)求IP地址的內(nèi)容。之所以要以廣播方式回答，是為了通知所有的DHCP服務(wù)器，他將選擇某臺(tái)DHCP服務(wù)器所提供的IP地址（如下圖）。,4）確認(rèn)階段，即DHCP服務(wù)器確認(rèn)所提供

11、的IP地址的階段。當(dāng)DHCP服務(wù)器收到DHCP客戶機(jī)回答的DHCP request請(qǐng)求信息之后，它便向DHCP客戶機(jī)發(fā)送一個(gè)包含它所提供的IP地址和其他設(shè)置的DHCP ack確認(rèn)信息，告訴DHCP客戶機(jī)可以使用它所提供的IP地址。然后DHCP客戶機(jī)便將其TCP/IP協(xié)議與網(wǎng)卡綁定（如下圖）。,2、DHCP客戶端再次登錄網(wǎng)絡(luò),當(dāng)DHCP客戶端再次登錄網(wǎng)絡(luò)時(shí)，主要通過以下幾個(gè)步驟與DHCP服務(wù)器建立聯(lián)系。DHCP客戶端首次正確登錄網(wǎng)絡(luò)后，

12、以后再登錄網(wǎng)絡(luò)時(shí)，只需要廣播包含上次分配IP地址的DHCP_Request報(bào)文即可，不需要再次發(fā)送DHCP_Discover報(bào)文；DHCP服務(wù)器收到DHCP_Request報(bào)文后，如果客戶端申請(qǐng)的地址沒有被分配，則返回DHCP_ACK確認(rèn)報(bào)文，通知該DHCP客戶端繼續(xù)使用原來的IP地址；如果此IP地址無法再分配給該DHCP客戶端使用（例如已分配給其它客戶端），DHCP服務(wù)器將返回DHCP_NAK報(bào)文?？蛻舳耸盏胶?，重新發(fā)送DHCP_

13、Discover報(bào)文請(qǐng)求新的IP地址；,3、DHCP客戶端延長(zhǎng)IP地址的租用有效期,DHCP服務(wù)器分配給客戶端的動(dòng)態(tài)IP地址通常有一定的租借期限，期滿后服務(wù)器會(huì)收回該IP地址。如果DHCP客戶端希望繼續(xù)使用該地址，需要更新IP租約（如延長(zhǎng)IP地址租約）。在實(shí)際使用中，DHCP客戶端缺省在IP地址租約期限達(dá)到一半時(shí)，DHCP客戶端會(huì)自動(dòng)向DHCP服務(wù)器發(fā)送DHCP_Request報(bào)文，以完成IP租約的更新。如果此IP地址有效，則DHCP

14、服務(wù)器回應(yīng)DHCP_ACK報(bào)文，通知DHCP客戶端已經(jīng)獲得新的租約。,,DHCP客戶機(jī)運(yùn)行著T1和T2兩個(gè)計(jì)時(shí)器。缺省情況下，T1設(shè)置為租用時(shí)間的50%，T2為87.5%。當(dāng)IP地址的租用到了T1限定的時(shí)間后，客戶端就進(jìn)入更新階段，向租借給它地址的服務(wù)器申請(qǐng)更新。如果服務(wù)器返回一個(gè)DHCP ACK響應(yīng)包，地址租用就被更新，T1和T2也相應(yīng)地重新設(shè)置（T2的計(jì)時(shí)期限還根本沒有到達(dá)）。如果服務(wù)器沒有響應(yīng)，客戶機(jī)會(huì)在T2期限之前繼續(xù)使用該

15、地址。到達(dá)T2期限的時(shí)候，客戶機(jī)就進(jìn)入重新綁定階段，向所有的服務(wù)器發(fā)出DHCP REQUEST廣播。任何發(fā)回DHCP ACK響應(yīng)的服務(wù)器都可以更新這個(gè)租用，并成為這個(gè)客戶機(jī)的授權(quán)服務(wù)器。如果還是沒有服務(wù)器響應(yīng)，地址租用就過期了，客戶機(jī)不再擁有IP地址。也就是說，它不能再使用Internet。,9.1.5 DHCP的評(píng)價(jià),DHCP服務(wù)優(yōu)點(diǎn)：網(wǎng)絡(luò)管理員可以驗(yàn)證IP地址和其它配置參數(shù)，而不用去檢查每個(gè)主機(jī)；DHCP不會(huì)同時(shí)租借相同的IP

16、地址給兩臺(tái)主機(jī)；DHCP管理員可以約束特定的計(jì)算機(jī)使用特定的IP地址；可以為每個(gè)DHCP作用域設(shè)置很多選項(xiàng)；客戶機(jī)在不同子網(wǎng)間移動(dòng)時(shí)不需要重新設(shè)置IP地址。DHCP的缺點(diǎn)：DHCP不能發(fā)現(xiàn)網(wǎng)絡(luò)上非DHCP客戶機(jī)已經(jīng)在使用的IP地址；當(dāng)網(wǎng)絡(luò)上存在多個(gè)DHCP服務(wù)器時(shí)，一個(gè)DHCP服務(wù)器不能查出已被其它服務(wù)器租出去的IP地址；DHCP服務(wù)器不能跨路由器與客戶機(jī)通信，除非路由器允許BOOTP轉(zhuǎn)發(fā)。,9.1.6 DHCP relay 原理,,

17、交互過程,1 當(dāng)dhcp client 啟動(dòng)并進(jìn)行dhcp 初始化時(shí)，它會(huì)在本地網(wǎng)絡(luò)廣播配置請(qǐng)求報(bào)文2 如果本地網(wǎng)絡(luò)存在dhcp server，則可以直接進(jìn)行dhcp 配置，不需要dhcp relay。3 如果本地網(wǎng)絡(luò)沒有dhcp server，則與本地網(wǎng)絡(luò)相連的具有dhcp relay 功能的網(wǎng)絡(luò)設(shè) 備收到該廣播報(bào)文后，將進(jìn)行適當(dāng)處理并轉(zhuǎn)發(fā)給指定的其它網(wǎng)絡(luò)上的dhcp server。dhcp relay設(shè)備修改dhcp消息中的相

18、應(yīng)字段，把dhcp的廣播包改成單播包，并負(fù)責(zé)在服務(wù)器與客戶機(jī)之間轉(zhuǎn)換。4 dhcp server 根據(jù)dhcp client 提供的信息進(jìn)行相應(yīng)的配置，并通過dhcp relay 將配置信息發(fā)送給dhcp client，完成對(duì)dhcp client 的動(dòng)態(tài)配置。,實(shí)驗(yàn),內(nèi)容：R2為DHCP服務(wù)器，R3為DHCP中繼器。DHCP服務(wù)器管理兩個(gè)子網(wǎng)，分別分配地址給R5和R4所在子網(wǎng)。觀察客戶端從服務(wù)器獲取IP地址的過程。,,R2上配置：

19、R3上配置：,實(shí)驗(yàn)1：觀察R5獲取IP地址過程,步驟：在R5上進(jìn)入f0/0的接口模式，輸入命令shutdown在R5到SW1的鏈路上啟動(dòng)抓包（還是在R5上f0/0的接口模式）輸入命令do show ip int b，確認(rèn)f0/0接口已經(jīng)沒有IP地址（還是在R5上f0/0的接口模式）輸入命令no shutdown（還是在R5上f0/0的接口模式）輸入命令do show ip int b結(jié)果：do show ip

20、int b命令執(zhí)行結(jié)果可以看到f0/0接口已經(jīng)有IP地址查看抓包結(jié)果，如下圖（還可以看到每2.5分鐘續(xù)租，圖中未顯示）：,實(shí)驗(yàn)2：觀察R4獲取IP地址過程,步驟：在R4上進(jìn)入f0/0的接口模式，輸入命令shutdown在R4到SW2、R3到SW1的鏈路上分別啟動(dòng)抓包（還是在R4上f0/0的接口模式）輸入命令do show ip int b，確認(rèn)f0/0接口已經(jīng)沒有IP地址（還是在R4上f0/0的接口模式）輸入命令no shut

21、down（還是在R4上f0/0的接口模式）輸入命令do show ip int b結(jié)果：do show ip int b命令執(zhí)行結(jié)果可以看到f0/0接口已經(jīng)有IP地址查看抓包結(jié)果，如后圖：,,R4所在LAN使用廣播方式通信：DHCP中繼和DHCP服務(wù)器使用單播方式通信：DHCP服務(wù)器在收到DHCP discover后，使用ping，探測(cè)將要分配的IP地址是否已被占用。而DHCP中繼在發(fā)出arp之后，無回復(fù)，因此，p