行业网站网址,帐号登录,网站开发设计培训,网站内链越多越好嘛DHCP
DHCP的设计基于一种早期协议——称为Internet引导程序协议#xff08;BOOTP)[RFC0951][RFC1542]#xff0c;它目前已过时。BOOTP为客户提供有限的配置信息#xff0c;并且没有提供一种机制来支持改变已提供的信息。DHCP使用租用的概念来扩展BOOTP模型[GC89]#xff0…DHCP
DHCP的设计基于一种早期协议——称为Internet引导程序协议BOOTP)[RFC0951][RFC1542]它目前已过时。BOOTP为客户提供有限的配置信息并且没有提供一种机制来支持改变已提供的信息。DHCP使用租用的概念来扩展BOOTP模型[GC89]并且可提供主机操作所需的所有信息。租用允许客户机使用一个商定的时间来配置信息。
地址池和租用
在动态分配中DHCP 客户机请求分配一个 IP 地址。服务器从可用的地址池中选择一个地址作为响应。通常这个地址池是专门为 DHCP 分配的一段连续 IP 地址范围。
分配给客户机的地址在一定时间内有效这段时间称为租用期Lease Time。客户机可以在租用期内使用该地址并可在期满前申请续约。
租用期是 DHCP 服务器的重要配置参数长度可以从几分钟到几天不等甚至可以设置为“无限”不推荐除非在非常简单的网络中。
长租用期地址稳定、续约频率低网络负载小但地址池可能更快耗尽。 短租用期地址回收快资源利用率高但增加续租请求的频率和网络负载。
常见租用期设置
默认值通常为 1224 小时微软建议小型网络8 天大型网络1624 天
客户机在租用期过半时会开始尝试续订。
在发送请求时客户机会提供如主机名、所需租用期、曾使用的地址副本、MAC 地址等信息。服务器结合这些信息以及接收请求的接口和当前时间等决定分配的地址及配置内容并将租用信息保存在持久性存储中如非易失性内存或磁盘以保证服务器重启后租约依然有效。
DHCP和BOOTP格式
DHCP 扩展了早期的 BOOTP 协议并保持向后兼容性使 BOOTP 客户端能够在没有 DHCP 服务器的网络中继续使用现有的 BOOTP 服务。 整个消息格式包括如下主要字段
Op操作字段标识消息类型1 表示请求2 表示应答htype 和 hlen分别表示硬件类型如以太网为1和硬件地址长度以太网为6hops跳数字段初始由客户端设置为0每经过一个中继代理就加1xid事务 ID客户端生成的随机数用于将应答与请求匹配secs客户端启动以来的时间秒flags16 位标志字段目前定义了广播标志位指示客户端是否希望服务器使用广播方式回复ciaddr客户端 IP 地址如果已知yiaddr“你的” IP 地址由服务器提供siaddr下一服务器的 IP 地址通常用于引导或文件下载giaddr中继代理的 IP 地址chaddr客户端硬件地址通常是 MAC 地址用于标识客户端sname 和 file服务器名称和引导文件名称可选字段分别为 64 字节和 128 字节options可变长度的选项字段用于扩展 DHCP 功能也是 DHCP 与 BOOTP 的主要区别。
BOOTP 的原始格式由多个 RFC如 RFC 951、RFC 1542 和 RFC 2131定义DHCP 在其基础上增加了选项字段使协议具备更大的灵活性。选项字段用于承载如租用时间、服务器标识、请求参数列表等关键信息也是区分 DHCP 消息与传统 BOOTP 消息的主要方式。
DHCP和BOOTP选项
由于 DHCP 是对 BOOTP 的扩展原有 BOOTP 消息格式中缺少的一些字段功能通过“选项”机制实现。DHCP 选项采用标准格式每个选项以一个 8 位的标签Option Type开始紧接着可能是长度字节和实际值字节。简单选项直接使用固定字节长度的值而可变长度选项使用一个长度字段指明后续选项值的字节数。
目前广泛支持的 DHCP/BOOTP 选项由 [RFC2132] 定义常用选项包括
0 填充Pad1 子网掩码3 路由器地址6 域名服务器DNS15 域名50 请求的 IP 地址51 地址租用期52 选项超载53 DHCP 消息类型必需54 DHCP 服务器标识符55 参数请求列表56 DHCP 错误消息58 租约更新时间renewal59 重新绑定时间rebinding61 客户机标识符119 域搜索列表255 结束选项
其中DHCP 消息类型选项53 是关键字段用于标识 DHCP 消息的具体类型。其取值包括
1 DHCPDISCOVER发现服务器2 DHCPOFFER服务器提供配置3 DHCPREQUEST客户端请求配置4 DHCPDECLINE拒绝配置5 DHCPACK确认配置6 DHCPNAK拒绝确认7 DHCPRELEASE释放租用8 DHCPINFORM请求附加信息9 DHCPFORCERENEWRFC320310~13如 DHCPLEASEQUERY、DHCPLEASEUNASSIGNED 等由 RFC4388 定义
这些选项通常存放在消息尾部的 options 字段中但在空间不足的情况下也可以放置在 sname服务器名称和 file引导文件名字段中这种情况称为选项超载必须借助 选项 52Option Overload 来标明实际载荷字段位置。
对于超过 255 字节的数据[RFC3396] 提出了长选项机制同一选项可重复出现接收方需按顺序拼接内容作为一个整体选项进行处理。特别地若涉及选项超载解析顺序为options 字段 → 引导文件名字段 → 服务器名字段从后向前。
选项机制的应用范围非常广泛不仅能传递基本 TCP/IP 配置信息还支持多个扩展协议。常见的扩展选项包括
NetWare 简单配置RFC2241, RFC2242用户类标识RFC3004完全限定域名 FQDNRFC4702iSNS 存储服务RFC4174广播和组播服务控制器 BCMCSRFC4280时区配置RFC4833自动配置RFC2563子网选择RFC3011域名服务选择RFC2937网络接入认证PANA服务器RFC5192
DHCP协议操作 DHCP 消息是带有一组特殊选项的 BOOTP 消息。其基础结构和 BOOTP 一致但在操作上引入了更多动态配置机制。当一台新客户机连接到网络时它通过以下过程完成 IP 地址分配和配置参数获取
客户机首先发现网络中的可用 DHCP 服务器及其提供的地址客户机选择某台服务器及其提供的 IP 地址并发出请求若服务器仍保留该地址将通过确认分配此地址给客户机。
消息结构与发送行为
客户机发送的请求中op 字段被设置为 BOOTREQUESToptions 字段的前 4 字节为魔术 Cookie 值99 130 83 99来自 RFC2132使用 UDP/IP 数据报封装 源地址0.0.0.0:68目标地址255.255.255.255:67 服务器响应 源地址服务器 IP 和端口 67目标地址客户端广播地址和端口 68
DHCP 消息交换过程 DHCPDISCOVER发现 客户机通过广播 DHCPDISCOVER 消息查找服务器。 DHCPOFFER提供 每个接收到请求的服务器包括中继响应 DHCPOFFER 消息提供 IP 地址在 yiaddr 字段中子网掩码、DNS 等配置参数作为选项提供地址租用时间 T更新时间 T1默认 T/2重新绑定时间 T2默认 7T/8 DHCPREQUEST请求 客户机选择某个服务器发来的 DHCPOFFER并广播一个包含 请求的 IP 地址Option 50服务器标识符Option 54 的 DHCPREQUEST 消息。 DHCPACK 或 DHCPNAK 被选中的服务器发送 DHCPACK 表示成功分配若地址不可用被抢占或配置冲突则服务器发送 DHCPNAK 拒绝请求其他服务器清除该客户机相关状态。
地址冲突检测与释放
客户机收到 DHCPACK 后通常会通过 ARP 探测新地址是否被占用ACD如果检测到地址冲突发送 DHCPDECLINE 消息给服务器客户机等待默认的 10 秒后可重试如果在租约未过期前释放地址发送 DHCPRELEASE 消息。
已有地址的情况
续租客户机直接发送 DHCPREQUEST 请求当前地址服务器回应 DHCPACK 或 DHCPNAK仅请求额外信息使用 DHCPINFORM 消息表示地址已存在但需要其他配置参数例如 DNS、NTP 等服务器回应 DHCPACK 提供附加信息。
DHCP状态机
DHCP 协议在客户机和服务器中运行一个状态机用于指示下一步应处理的消息类型。状态机的转换由消息的发送、接收或定时器超时触发。
客户机的状态机从 INIT初始状态开始此时客户机尚未获得任何网络配置。状态机的主要流程如下
INIT客户机没有任何信息广播发送 DHCPDISCOVER 消息。SELECTING接收来自多个服务器的 DHCPOFFER 消息等待选择合适的服务器和 IP 地址。REQUESTING客户机决定使用某个 DHCPOFFER 后发送包含服务器标识符的 DHCPREQUEST 消息。 若收到 DHCPACK进入 BOUND 状态若收到 DHCPNAK返回 INIT 状态若收到不需要的地址的 DHCPACK发送 DHCPDECLINE 并返回 INIT 状态。 BOUND客户机已获得有效 IP 地址和配置可正常通信。此状态下地址有效期受到租约时间 T 的限制。在 BOUND 状态下 当租约的一半时间T1到期客户机进入 RENEWING 状态尝试与原服务器更新租约 若收到 DHCPACK成功更新返回 BOUND若失败等待 T2。 当 T2 到期客户机进入 REBINDING 状态尝试与任意服务器重新获得地址 若仍失败租约到期客户机释放地址返回 INIT 或断开网络连接。 DHCPv6
随着 IPv6 的引入原有的基于 IPv4 的 DHCP 协议已无法满足需求因此定义了新的 DHCPv6 协议详见 [RFC8415]。DHCPv6 的设计目标是为 IPv6 网络提供动态地址分配和其他配置参数的传输。
地址分配方式 支持 无状态 和 有状态 两种配置方式 无状态Stateless仅分发其他配置信息如 DNS不分发地址。有状态Stateful与 DHCPv4 类似负责地址分配和管理。 与 IPv6 的自动配置机制SLAAC协同工作。
IPv6生命周期 IPv6地址可能会经历以下几个主要状态 临时Tentative状态 地址刚刚被生成或分配后尚未完成重复地址检测DAD。在该状态下地址通常不可用于一般通信但可以用于邻居发现Neighbor Discovery详见第8章。重复地址检测用于确保网络中没有其他设备使用相同地址。 乐观Optimistic状态 一种改进的DAD机制 [RFC4429]。在DAD未完成前允许该地址有限用途例如尽快响应某些延迟敏感服务。尽管地址尚未完全通过DAD验证但它可以临时参与部分通信。该地址可能同时处于乐观状态和其他如“废弃”等状态表示在逻辑上仍未可用。 首选Preferred状态 地址已完成DAD检查可以正常用于所有通信。地址处于有效使用期内可以作为源地址或目标地址。所有正常通信在此状态下进行。 废弃Deprecated状态 首选地址的有效期Preferred Lifetime过期后进入该状态。地址仍可用于已有连接如 TCP 会话但不可用于新连接的发起。此状态用于平滑迁移防止中断已有通信。 无效Invalid状态 地址的整体有效期Valid Lifetime过期后将被完全撤销。此时地址不能用于任何用途必须从接口中删除。
DHCPv6消息格式
DHCPv6 消息通过 UDP/IPv6 数据报进行封装客户端使用端口 546服务器使用端口 547详细内容见第10章。消息通常从客户端发送到 DHCPv6 服务器或中继代理使用主机的链路本地地址作为源地址。
DHCPv6 消息格式有两种类型。一种是基本格式适用于客户端与服务器之间的通信结构中包含消息类型、事务 ID 和一组可扩展的选项。选项部分可用于传递分配的地址、DNS、租约时间等配置信息。 另一种是中继消息格式适用于中继代理和服务器之间的通信。它在基本格式的基础上增加了链路地址和对等方地址字段。链路地址字段表示客户端所在链路的地址而对等方地址字段表示中继代理接收到该消息时的源地址即客户端的地址。
被中继的原始 DHCP 消息则封装在一个选项中。需要注意的是中继转发可能是链式的一个中继代理可以转发来自另一个中继代理的消息这种机制提升了 DHCPv6 在复杂网络结构中的适应能力。
身份关联
身份关联IA是 DHCPv6 中客户机与服务器之间用于标识一组地址的标识符。每个请求地址的客户机接口必须至少包含一个 IA并通过唯一的 IAID身份关联标识符标识。每个 IA 只能关联一个接口。
IA 包含的配置信息包括一个或多个 IPv6 地址以及每个地址对应的租约信息首选生命周期、有效生命周期和租期控制参数T1 和 T2。这些地址可以是常规地址也可以是临时地址。临时地址通过引入随机数生成有助于提升用户隐私通常与常规地址同时分配并定期更新。 当服务器为某个 IA 分配地址时会根据链路、客户机标识如 DUID及其他请求选项执行策略决策从而选择适当的地址集返回给客户端。
DHCP唯一标识符
DHCP唯一标识符DUID用于标识一台DHCPv6客户机或服务器并被设计为可持续一段时间。服务器用它标识所选地址作为IA的一部分对应的客户机和配置信息客户机用它标识感兴趣的服务器。DUID长度是可变的对于大多数用途来说客户机和服务器将它看作一个不透明的值。
协议操作 判断是否启用 DHCPv6 客户端接收 ICMPv6 路由器通告查看其中的 M 位和 O 位 M 1使用 DHCPv6 获取地址。O 1使用 DHCPv6 获取附加信息如 DNS。M 0 且 O 0完全使用无状态地址自动配置SLAAC。 初始化阶段 客户端生成链路本地地址。执行路由器发现操作确认网络是否有路由器存在。 发现服务器四消息交换 客户端组播发送 DHCPSOLICIT 消息寻找 DHCPv6 服务器。一个或多个服务器响应 DHCPADVERTISE 消息提供配置信息。客户端发送 DHCPREQUEST选择其中一个服务器进行请求。服务器回复 DHCPREPLY确认地址和配置信息完成绑定。 简化流程两消息交换 如果客户端已知服务器位置或仅需获取非地址类信息可跳过前两步。客户端直接发送 DHCPREQUEST服务器回复 DHCPREPLY。 绑定标识与管理 每个地址绑定由以下三要素标识 DUID客户端标识符IA 类型临时、非临时或前缀IAID身份关联标识符 每个绑定可能包含多个地址租约一个事务可处理多个绑定。
DHCP中继
DHCP 中继代理的作用是将客户机的广播请求转发到远端的 DHCP 服务器并将服务器的应答消息返回给客户端。这一机制允许网络中只部署少量中心化的 DHCP 服务器同时服务多个子网从而简化网络管理并提高灵活性。 网段A含客户端 – 中继代理 – DHCP服务器 – 网段B。
中继代理的关键操作包括
接收广播请求如 DHCPDISCOVERv4或 DHCPSOLICITv6封装并转发为单播消息发送到指定的 DHCP 服务器将服务器响应转回客户端解封装并广播或单播转发给对应客户端。
在 DHCPv4 中中继使用 giaddr 字段标识客户端所属子网在 DHCPv6 中中继使用 RELAY-FORW 和 RELAY-REPL 消息并包括 link-address 和 peer-address 等字段。
DHCP认证 认证选项格式
Code90Length认证选项总长度不含 Code 和 LengthProtocol / Algorithm / RDM指定使用的协议、认证算法和重放检测机制Replay Detection Field用于检测消息重放例如时间戳、序列号Authentication Information认证信息字段可包括共享密钥或消息认证码MAC
认证方法
简单认证协议和算法字段为 0
使用一个共享的静态令牌如密码、文本字符串客户机和服务器必须配置相同的令牌缺乏强加密易被截获安全性较差可防止误配置和偶发错误
延期认证协议和算法字段为 1
客户机在 DHCPDISCOVER 或 DHCPINFORM 中加入认证选项服务器在 DHCPOFFER 和 DHCPACK 中返回认证信息使用消息认证码MAC确保消息来源可信且内容完整需要客户机与服务器之间预共享密钥
重放攻击检测Replay Detection
由 RDMReplay Detection Method字段决定若 RDM 为 0重放检测字段为单调递增值如时间戳检测机制能阻止攻击者捕获、存储、重放旧消息
应用限制
尽管认证机制提升了安全性但在实际应用中并不常见原因包括
客户机和服务器之间需分发和维护共享密钥部署复杂认证机制提出较晚DHCP 已广泛部署难以回溯修改
无状态地址自动配置
无状态地址自动配置Stateless Address Autoconfiguration, SLAAC允许主机无需人工干预或 DHCP 服务器就能自动配置 IP 地址特别适用于链路本地通信。对于全球可路由地址仍可能需要路由器协助或 DHCP 参与。
IPv4链路本地地址的动态配置
主机在没有手动配置和 DHCP 响应时随机从地址池中选择一个地址。使用 ARP 检查该地址是否冲突冲突则重试。
标准RFC3927地址范围169.254.1.0 至 169.254.254.255子网掩码 255.255.0.0
仅在本地链路通信中有效不能跨路由器使用。常用于简易的点对点或小型局域网环境中。
链路本地地址的IPv6 SLAAC
定义于 [RFC4862]目标是主机自动生成链路本地 IPv6 地址。可独立工作无路由器也可与路由器通告结合生成全球地址。可配合 DHCPv6无状态模式获取额外配置项
SLAAC 地址生成流程如下 生成链路本地地址地址前缀为 fe80::/10接口标识符来自 MAC 地址或临时生成地址设为“临时”状态进行重复地址检测DAD。 重复地址检测DAD发送 ICMPv6 邻居请求判断地址是否被使用。收到邻居通告即判定地址冲突放弃使用。DAD 失败时需手动配置或重新尝试地址生成。
全球地址生成当有路由器时路由器通告RA中提供前缀及标志主机将前缀 接口标识符组合成全球地址地址有效性和首选时间由通告中字段决定。
IPv6 自动配置通常不适用于需要精确地址管理的网络。链路本地地址如 fe80::不可用于 Internet 通信仅适用于局部网络、无路由器环境或简单设备初始化。 自动配置成功 ≠ 网络配置成功DNS/路由常需另配 DHCP和DNS交互
DHCP 客户机获取 IP 地址时通常同时获取 DNS 服务器地址。DNS 服务器用于将域名解析为 IP 地址是访问互联网的基础没有 DNS用户几乎无法访问现代网络资源。
本地 DNS 可处理局域网中的专用域名映射如 .home一般需手工配置繁琐且易出错。
动态 DNS 可自动更新名称与 IP 地址的映射DHCP/DNS 可集成于同一服务中如 Linux dnsmasq。
集成式 DHCP/DNS 示例机制
客户机发送 DHCPREQUEST包含客户端标识符或主机名DHCP 服务器分配 IP 并发送 DHCPACK在回应前DNS 内部数据库同步更新映射后续 DNS 请求可直接解析该客户机的主机名与 IP 地址 实现自动化的主机名解析简化局域网管理避免手动同步主机名与 IP 地址减少配置错误。 以太网上的PPP
PPPoEPPP over Ethernet用于在以太网链路上传输PPP协议常用于宽带接入如 DSL。替代DHCP用于网络配置支持身份认证、加密、压缩和IP地址协商。
PPPoE 的主要优势
点对点连接模型每个用户建立独立的 PPP 会话支持差异化配置支持认证机制例如 PAP、CHAP可绑定用户名密码可计费与审计ISP 可追踪用户行为和使用时间适用于 ISP 无需分配公网 IP、客户端仍能上网的场景结合 NAT
协议过程 发现阶段消息交换PADPPPoE Active Discovery
消息方向描述PADI客户机 → 广播寻找PPPoE服务器PADO服务器 → 客户机响应请求提供连接信息PADR客户机 → 服务器选择一个服务器发起连接请求PADS服务器 → 客户机确认连接分配会话IDPADT任意一方 → 对方终止PPP会话
所有消息都封装在以太网帧中使用 EtherType 0x8863发现或 0x8864PPP会话消息格式中包含 Version通常为1TypeCode区分消息类型Session IDPayload使用 TLVType-Length-Value结构类似 DHCP 选项
