DHCP - Katedra Telekomunikacji AGH

Zasada działania
protokołu DHCP, sposoby
konfiguracji w
urządzeniach i hostach
Wydział Informatyki, Elektroniki i Telekomunikacji
Katedra Telekomunikacji
Kraków, 28.11.2016 r.
IPv6
Czyszczenie ustawień karty sieciowej:
•
-
netsh int ipv6 reset
netsh int ip reset
–
ipconfig /renew
RIP dla IPv6
•
–
–
–
–
–
–
R>enable
R#configure terminal
R(config)#ipv6 unicast-routing
R(config)#interface FastEthernet0/0
R(config-if)#ipv6 rip nazwa enable
R(config-if)#exit
RARP i BOOTP
RARP (ang. Reverse Address Resolution Protocol)
•
–
–
–
Pierwszy protokół dynamicznego przydzielania adresów IP
Przyznawał adres klientowi, który zgłaszał zapotrzebowanie przez
rozgłoszenie w sieci
Brak możliwości przyznania maski, bramy i innych danych TCP/IP
BOOTP (ang. Bootstrap Protocol)
•
–
–
–
Następca RARP
Ulepszone właściwości dynamicznego przyznawania adresów zastosowanie tzw. „magic cookie” – 64-bajtowy segment pakietu
BOOTP zawierający dane konfiguracyjne takie jak maska podsieci,
serwery DNS, itp.
Baza danych była statyczna (przechowywana w statycznym pliku
tekstowym), co ograniczało jego użyteczność
DHCP
• DHCP (ang. Dynamic Host Configuration Protocol – protokół
dynamicznego konfigurowania węzłów) – protokół
komunikacyjny umożliwiający komputerom uzyskanie od
serwera danych konfiguracyjnych, np. adresu IP hosta, adresu
IP bramy sieciowej, adresu serwera DNS, maski podsieci.
• Protokół DHCP jest zdefiniowany w RFC 2131 i jest następcą
BOOTP. DHCP został opublikowany jako standard w roku 1993.
• W kolejnej generacji protokołu IP, czyli IPv6, jako integralną
część dodano nową wersję DHCP, czyli DHCPv6. Jego
specyfikacja została opisana w RFC 3315.
Serwer DHCP
DHCP (ang. Dynamic Host Configuration Protocol)
•
–
–
–
–
–
Ulepszony następca BOOTP
Pakiet DHCP jest niemal identyczny jak BOOTP (obszar „magic
cookie” został powiększony, by pomieścić dodatkowe dane, np.
serwer DNS, serwer WINS)
Klient potrzebujący dynamicznego adresu IP uruchamia się i wysyła
rozgłoszeniem żądanie do wszystkich węzłów podsieci
Serwer nasłuchujący rozgłoszeń na porcie UDP 67 odpowiada na
żądanie klienta, przyznając adres IP z ustalonego z góry zakresu
Oprócz adresu IP do klienta wysyłane są wszystkie opcje
zdefiniowane w zakresie serwera:
•
•
•
•
Serwery DNS i WINS
Bramy domyślne
Maska podsieci
Wiele innych danych
Nagłówek DHCP
Nagłówek DHCP
• Operacja Typ nagłówka. 1 = BOOTREQUEST, 2 = BOOTREPLY
• Typ sprzętu Liczba z zakresu 1-28 oznaczająca typ sprzętu
(karty sieciowej). Dla sieci ethernetowej przyjmuje wartość 1.
• Długość adresu sprzętowego Oznaczenie długości
używanego adresu sprzętowego np. 6 dla Ethernetu 10 Mbps.
• Liczba skoków Pole jest opcjonalne. Zlicza liczbę pośrednich
ruterów biorących udział w transmisji pakietu.
• Identyfikator transakcji Wybierany losowo przez klienta
identyfikator (w sytuacji, gdy serwer nie będzie w stanie
"zrozumieć" adresu sprzętowego klienta. Wyśle odpowiedź na
broadcast, a xid będzie jedynym sposobem rozpoznania
odpowiedzi kierowanej do klienta).
• Liczba sekund Mierzony w sekundach czas, jaki upłynął od
momentu pierwszego wysłania przez klienta wiadomości typu
BOOTREQUEST.
Nagłówek DHCP
• Flagi W tej chwili używany tylko 1 bit (BROADCAST flag).
Pozostałe 15 bitów jest zarezerwowane na zastosowanie w
przyszłości.
• Adres IP klienta Pole nieobowiązkowe. Wypełniane w
przypadku np. odświeżania adresu.
• Przydzielony adres IP klienta Trzy możliwości przydzielania
adresu: ręcznie (na podstawie MAC), automatycznie (kolejność
zgłaszania) i dynamicznie (tylko na pewien okres).
• Adres IP serwera Ustawiane przez serwer.
• Adres IP bramki Ustawiane przez serwer.
• Adres sprzętowy klienta Adres MAC klienta.
• Nazwa serwera Pole opcjonalne. Nazwa hosta serwera.
DHCP – przydzielanie adresów IP
• przydzielanie ręczne oparte na tablicy adresów MAC oraz
odpowiednich dla nich adresów IP. Tworzone przez
administratora serwera DHCP. W takiej sytuacji prawo do pracy
w sieci mają tylko komputery zarejestrowane wcześniej przez
obsługę systemu.
• przydzielanie automatyczne, gdzie wolne adresy IP z zakresu
ustalonego przez administratora są przydzielane kolejnym
zgłaszającym się po nie klientom.
• przydzielanie dynamiczne, pozwalające na ponowne użycie
adresów IP. Administrator sieci nadaje zakres adresów IP do
rozdzielenia. Wszyscy klienci mają tak skonfigurowane interfejsy
sieciowe, że po starcie systemu automatycznie pobierają swoje
adresy. Każdy adres przydzielany jest na pewien czas. Taka
konfiguracja powoduje, że zwykły użytkownik ma ułatwioną
pracę z siecią.
DHCP – parametry przekazywane do
klienta
•
•
•
•
•
•
•
•
•
adres IP serwera DNS
nazwa DNS
adres IP bramy sieciowej (ang. gateway)
adres broadcast
maska podsieci
maksymalny czas oczekiwania na odpowiedź w protokole ARP
wartość MTU (maksymalny rozmiar pakietu)
adres IP serwera SMTP
adres serwera TFTP
APIPA
APIPA (ang. Automatic Private IP Addressing)
•
–
–
–
Proces wykorzystywany w sytuacji niedostępności serwera DHCP
Klienci APIPA automatycznie przydzielają sobie adresy IP z zakresu
169.254.0.0/16, co daje im podstawy łączności TCP/IP w małych
sieciach
Może sprawiać kłopot w dużych sieciach – gdy klient straci łączność z
serwerem DHCP i będzie musiał odświeżyć dzierżawę, przyzna sobie
adres z zakresu 169.254.0.0/16 – gdy serwer DHCP wróci do
eksploatacji, klient nie zarejestruje się w nim od razu i może być
odcięty od sieci
•
Rozwiązaniem jest klucz udostępniony przez Microsoft umożliwiający
wyłączenie APIPA
Agenty przekazujące DHCP
•
•
Stosowane w sieciach złożonych z wielu podsieci
Wykrywają pakiety rozgłoszeniowe i przekazują je do
serwera DHCP
DHCP i dynamiczny DNS
•
•
•
Za pomocą DNS klienci mogą automatycznie rejestrować
się w bazie danych dzięki mechanizmowi DDNS
(dynamiczny DNS)
DHCP w Win server integruje się bezpośrednio z DDNSem
Wszyscy klienci Windows 2000 i nowszych systemów
domyślnie wykonują tę operację sami lecz można
skonfigurować DHCP tak, by usługa serwera aktualizowała
rekord w dynamicznym DNSie za klienta
DHCP w systemie Windows Server
Automatyzacja tworzenia i przywracania kopii zapasowych
bazy danych DHCP
•
–
–
Brak potrzeby eksportowania kluczy rejestru i ręcznego
przenoszenia baz danych pomiędzy serwerami w celu migracji
DHCP
Migrację przeprowadza się bezpośrednio z konsoli zarządzania
serwerem DHCP
Alternatywne ustawienia sieci klienta DHCP
•
–
–
Możliwość ustawienia statycznego adresu IP, z którego
komputery klienckie będą korzystały w przypadkach
niedostępności serwera DHCP
Eliminuje automatyczny przydział adresu APIPA
DHCP – procedury awaryjne
Usługa DHCP nie posiada żadnej metody dynamicznej
współpracy z innym serwerem DHCP pozwalającej
synchronizować dzierżawy klientów i informacje zakresów
Możliwość konfiguracji zapasowego środowiska DHCP,
które zapewni redundancję na wypadek awarii lub
niedostępności serwera
Metody zapewniające nadmiarowość
•
•
•
–
–
–
–
–
Metoda 50/50
Metoda 80/20
Metoda 100/100
Metoda zakresów rezerwowych
Klastry serwerów DHCP
DHCP – procedury awaryjne
metoda 50/50
Polega na użyciu dwóch serwerów DHCP, z których każdy obsługuje taką
samą część żądań klientów w podsieci
Oba serwery dysponują podobnymi zakresami lecz przedziały adresów IP
muszą być w nich różne, aby uniknąć konfliktów adresowania
•
•
•
Po zażądaniu przez klienta adresu
IP przyjęty zostanie pierwszy z serwera,
który odpowie na nie, co mniej więcej równoważy obciążenie serwerów
•
Zastrzeżenia:
–
–
Nierównomierne rozmieszczenie klientów skutkujące wyczerpaniem puli u jednego z
serwerów
Konieczność wykluczenia przedziału adresów dla zakresu istniejącego w drugim
serwerze
DHCP – procedury awaryjne
metoda 80/20
Polega na użyciu dwóch serwerów DHCP, z których każdy obsługuje
część żądań klientów w podsieci
Dostępna pula z zakresu serwera DHCP wyznaczonego na zapasowy
zawiera tylko 20% dostępnej puli adresów IP
W większości przypadków serwer mieszczący te 20% będzie
położony w jakiejś odległej podsieci – nie będzie więc
odpowiedzialny za większość dzierżaw klientów
Serwer z 80% puli będzie położony bliżej użytkowników obsługując
przez to większość klientów ponieważ jego czas odpowiedzi będzie
krótszy
W przypadku awarii Serwera1, Serwer2 będzie odpowiadał na
żądania klientów, dopóki nie przywrócimy pierwszego serwera do
pracy
Zastrzeżenia:
•
•
•
•
•
•
–
–
W przypadku zbyt długiej nieobecności Serwera1, w Serwerze2 w końcu
wyczerpie się pula adresów do dzierżawienia i ponawianie dzierżawy przez
klientów stanie się niemożliwe
Konieczność wykluczenia przedziału adresów dla zakresu istniejącego w
drugim serwerze
DHCP – procedury awaryjne
metoda 100/100
Najskuteczniejszy sposób osiągania wysokiej dostępności środowiska
DHCP
Polega na użyciu dwóch serwerów DHCP, z których każdy obsługuje tę
samą sieć organizacji
Zakresy w obu serwerach zawierają jednak różne pule adresów o zbliżonej
wielkości, z których każda jest wystarczająco duża, by obsłużyć
wszystkich klientów w danej podsieci
Jeśli jeden z serwerów DHCP
przestanie być dostępny
i odpowiadać na żądania,
drugi przejmuje jego rolę
odpowiadając klientom i
pozwalając im zmieniać adresy
IP na dostępne w jego zakresie
Zastrzeżenia:
•
•
•
•
•
–
–
Konieczność zapewnienia klientom dużej
liczby adresów IP, ponad dwukrotnie
większej niż normalnie (trudne, a czasem nawet niemożliwe)
Konieczność wykluczenia przedziału adresów dla zakresu istniejącego w drugim
serwerze
DHCP – procedury awaryjne
Metoda zakresów rezerwowych
•
–
–
–
Rezerwowy serwer DHCP jest serwerem z zainstalowaną
usługą DHCP i skonfigurowanymi zakresami, lecz usługa nie
jest włączona
Zakresy muszą być zdefiniowane w różnych pulach adresów
lecz pozostają uśpione, dopóki nie będą potrzebne
Zaleta:
•
Usługę DHCP można zainstalować w serwerze, w którym
normalnie nie będzie zajmowała dodatkowych zasobów – w razie
problemów wystarczy aktywować uśpione zakresy (można w tym
celu wykorzystać zautomatyzowane narzędzie lub skrypt)
Klastry serwerów DHCP
•
–
–
Jeśli jeden serwer ulegnie awarii, drugi serwer w klastrze
przejmie usługę DHCP
Rozwiązanie to wymaga inwestycji w sprzęt i powinno być
brane pod uwagę jedynie w razie konieczności
DHCP – zaawansowane pojęcia
Superzakresy DHCP (ang. superscope)
•
–
Stosowane w środowiskach, w których wiele podsieci składa
się na jedno środowisko zakresu
•
W takim przypadku można utworzyć superzakres złożony z wielu
zakresów, które będą od niego zależne (jeśli wyłączymy
superzakres, zakresy też zostaną dezaktywowane)
Zakresy multiemisji (ang. multicast)
•
–
Tworzone, aby móc przydzielać klientom adresy IP
multiemisji, czyli takie, w których wszystkie docelowe hosty
mogą mieć ten sam adres IP (np. wideokonferencje)
Delegowanie administracji DHCP
•
–
–
Administrator DHCP
Przydzielenie użytkownika do powyższej grupy pozwala łatwo
oddelegować do niego zarządzanie usługą DHCP
DHCP – Netsh
Narzędzie wiersza poleceń Netsh
•
–
–
–
Umożliwia wykonywanie praktycznie wszystkich zadań administracyjnych
z poziomu wiersza poleceń
Dla użytkowników preferujących zarządzanie z linii komend
Umożliwia wykonywanie skryptów i plików wsadowych automatyzujących
procesy administracji
DHCP – bezpieczeństwo
•
•
•
•
Protokół DHCP nie jest w praktyce bezpieczny
Nie ma sposobu ustalenia czy żądanie klienta jest
pełnoprawne i czy nie ma złych intencji
Atak na serwer DHCP może mieć postać odmowy usługi
przez użytkownika poprzez żądanie wszystkich dostępnych
adresów z puli, uniemożliwiając tym samym otrzymanie
adresów przez pełnoprawnych użytkowników
Powinno być zapewnione wysokie bezpieczeństwo fizyczne
sieci
DHCP – zagadnienia i mechanizmy
zabezpieczeń
Autoryzacja DHCP
•
–
DHCP jest usługą nie stosującą uwierzytelniania
•
–
Począwszy od Win 2k stosuje się autoryzację serwerów DHCP
w domenie Active Directory
•
–
Każdy może założyć serwer DHCP w sieci i zacząć obsługiwać
klientów przydzielając im błędne adresy lub przekierowując z
nieuczciwych powodów
Po autoryzacji serwera DHCP przez odpowiednie władze domeny
może on zacząć przyznawać dzierżawy klientom
Wada:
•
Można dodać do sieci nieautoryzowany serwer NT 4.0
–
Aby ustalić położenie nielegalnych serwerów DHCP może okazać się
konieczne użycie analizatorów sieci