Dhcp как работает: Как устроен и работает протокол DHCP

это что такое? Настройка DHCP, опции и конфигурация. Как включить или отключить DHCP?

Общеизвестно, что для работы с сетью каждое устройство, будь то компьютер, ноутбук, планшет или телефон, должно иметь определенный электронный идентификатор – IP-адрес, а также настроенные параметры маски, шлюза и данные о DNS-сервере. Этот адрес сетевой интерфейс при подключении сразу пытается получить от специального оборудования, которое занимается автоматической раздачей адресов. Если такое оборудование не находится, то пользователю приходится ввести параметры сети вручную. Если в сети множество компьютеров, то возможны ошибки в адресации и дублирование адресов, ведущие к сбоям в системе и замедлению производительности сети в целом. В домашней сети, при отсутствии автоматической раздачи адресов, приходится прописывать параметры сети вручную на каждом устройстве для подключения, например, к роутеру. Не каждый пользователь обладает достаточным объемом знаний и опыта для правильного изменения таких настроек. Поэтому в домашних условиях тоже многие пользователи стараются развернуть автоматическую раздачу адресов, то есть развернуть сервер DHCP.

DHCP – это что такое?

Разберемся в этом вопросе. Во избежание ошибок при адресации был реализован протокол динамического конфигурирования хостов (DHCP). Это функция, которая осуществляет динамическую раздачу сетевых настроек подключившимся клиентским машинам. Если на этих устройствах в настройках стоит параметр «получать IP-адрес только с DHCP сервера» и включена служба DHCP, то вся ответственность за правильную настройку сетевых параметров на клиентских компьютерах передается DHCP-серверу. Это значительно снижает стоимость поддержки и управления сетью, а также помогает избежать ошибок в раздаче адресов. Служба, включающая DHCP, по умолчанию запускается автоматически при включении любого устройства с поддержкой интерфейсов проводной или беспроводной сети. Например, на планшетах или телефонах достаточно включить Wi-Fi и среди найденных устройств, раздающих интернет, найти свое и подключиться к нему. При этом автоматическая раздача адресов исключает дублирование IP и, как следствие, помогает избежать конфликтов сети.

Как происходит раздача адресов

Во время подключения любого клиентского устройства к сети происходит специальная широковещательная отсылка запроса в сеть с целью поиска раздающего параметры этой сети сервера DHCP. Это что за сервер такой и чем он важен для большой сети? Так называется устройство, которое отвечает за раздачу адресов компьютерам в сети для автоматического применения их на различных клиентах. Если таковой сервер присутствует, то он создает пакет с ответом на запрос клиента, в который могут включаться такие настройки, как адрес IP, маска сети, параметры шлюза, адреса DNS-серверов, название домена и т. д. и отправляет этот пакет клиентскому устройству. Клиент принимает подтверждающий сигнал от сервера DHCP. Сформированный пакет данных является стандартизированным, поэтому его могут расшифровать и использовать практически любые операционные системы.

Параметры, выданные сервером для клиентского устройства, имеют ограниченный настраиваемый срок действия, у которого есть свое название — «время аренды». Адреса, выдаваемые сервером, анализируются на совпадение с действующими адресами с неистекшим временем аренды, поэтому дублирование адресов исключается. Обычно ставится срок аренды небольшой — от нескольких часов до 4-6 дней. По истечении этого срока устройство повторяет запрос к серверу и получает от него этот же адрес (если он еще свободен) или любой свободный.

Настройки клиента для получения автоматических параметров сети в ОС Windows

Для того чтобы клиент получил ответные сетевые параметры от DHCP, необходимо проверить несколько настроек в Панели управления компьютером (рассматривается на примере операционной системы Windows). Для этого заходим в меню Пуск, далее — в Панель управления (которую необходимо переключить к классическом виду) и выбрать пункт «Сетевые подключения». Выбираем сетевое подключение, которое планируется для работы с DHCP, щелкаем на нем правой кнопкой мышки и заходим в пункт «Свойства». В открывшемся окне заходим в Свойства протокола интернета TCP/IP. DHCP — это что? Это получение автоматических параметров сети. Поэтому мы отмечаем точками опции для автоматического получения IP-адреса и DNS. Сделав выбор, нажимаем «Ок». Настройка DHCP на клиенте завершена. Теперь устройство будет получать адрес с DHCP-сервера автоматически при запуске Windows.

Настройка DHCP в Windows 7 устанавливается аналогично, но местонахождение свойств адаптеров немного отличается от Windows XP. Так же заходим в Пуск — Панель управления – Центр управления сетями и общим доступом. Выбираем в левом меню пункт «Изменение параметров адаптера». Далее — аналогично вышесказанному по настройкам в Windows XP.

Настройка автоматической раздачи адресов в других операционных системах

На Linux- или Android-устройствах подключение при развернутом в сети DHCP-сервере проблем не составляет никаких. Достаточно только включить сетевой интерфейс (проводной или беспроводной), подождать, пока пройдет обмен данными между устройством и сервером DHCP и убедиться, что сетевые настройки получены и применены успешно. Службы DHCP практически на всех устройствах включены по умолчанию.

Если соединения не произошло, то необходимо проверить статус автоматического приема адресов. Например, на ОС Android для этого необходимо зайти в Настройки — Беспроводныве сети — Настройки Wi-Fi — Дополнительно и убедиться в том, что опция «использовать статический IP-адрес» отключена.

Данные, передаваемые DHCP

Опции DHCP – это параметры, которые передается от сервера клиенту. Все эти передаваемые параметры делятся на категории. Есть обязательные опции, например IP-адрес и маска сети. Есть ненастраиваемые служебные опции, которые, к примеру, показывают начало и конец опций в передаваемом пакете. По своей сути опции – это типичные пары значение-ключ, которые можно увидеть и настроить в политиках безопасности.

Основные параметры DHCP в пакете, кроме IP-адреса и маски, это 3 (Gateways), 6 (Domain Name Servers), 44 (NBT Name Servers), 46 (NBT Node Type). Эти параметры групповые, то есть могут иметь несколько значений. Например, может быть несколько адресов шлюзов или DNS-серверов. Значения опций конфигурируются в настройках DHCP-сервера.

Настройки DHCP на сервере

Перед конфигурированием настроек необходимо произвести несколько расчетов основных опций DHCP. Это что еще за опции такие? — спросите вы. Опции — это все те параметры сети, которые передаются от сервера клиенту. Две основные опции – диапазон раздаваемых адресов и маска подсети. Весь диапазон адресов организации обычно разделяется на несколько сегментов, предназначенных для различных задач, таких как телекоммуникации, статические адреса серверов и пр. Чтобы статические адреса не участвовали в раздаче, создавая дополнительную нагрузку на сервере, диапазоны раздаваемых адресов можно ограничить. Например, при рабочем диапазоне 192.168.1.1-192.168.1.254 можно адреса от 1 до 10 определить на коммуникации, с 11 по 30 – под сервера, а для DHCP выделить диапазон от 31 по 254. То есть любой адрес от сервера, выданный клиенту, будет лежать только в этом диапазоне. Также можно настроить в раздаваемом диапазоне адреса-исключения, и они тоже не будут раздаваться клиентским устройствам.

Далее, перед тем как настроить DHCP сервер, необходимо определиться, какие опции он еще будет раздавать. Есть ли необходимость раздавать, например, параметры шлюза или DNS. После этого данные вводятся на сервере, запускается его активация и сервер начинает раздачу адресов.

Домашний DHCP-сервер

Дома в качестве DHCP-сервера часто используют роутеры, которые получаемый от провайдера контент раздают домашней технике – компьютерам, ноутбукам, телефонам, телевизорам и другим устройствам, подключенным к сети проводным или беспроводным способом. При этом создается что-то типа виртуального сервера, раздающего адреса пользователям. С внешней стороны это выглядит так, как будто один пользователь открыл на одном своем компьютере несколько страничек в браузере. При этом фактически к внешней сети подключен только один роутер. Это позволяет существенно сэкономить на количестве подключаемых линий.

Настройка автоматической адресации на роутере

Для настройки автоматической раздачи адресов домашним устройствам необходимо подсоединить роутер к компьютеру (ноутбуку) сетевым кабелем. В любом браузере прописываем адрес роутера (обычно это 192.168.0.1). В предложенные поля запроса логина и пароля по умолчанию вводим «admin» (часто эти данные указаны в руководстве по эксплуатации роутера). В результате увидим меню настроек роутера. Заходим в разделы Lan или Network (названия могу отличаться) и находим подменю с настройками DHCP. Как включить на роутере раздачу адресов? Просто поставив галочку напротив строчки enable DHCP и перезагрузим роутер.

Конфигурирование DHCP роутера

Если настройки по умолчанию не устраивают, то можно изменить конфигурацию параметров. В том же меню, где мы включили функцию раздачи адресов, можно ввести диапазон раздачи IP-адресов, например 192.153.0.1 – 192.153.0.3. Для работы можно указать и всего два адреса, например, для ноутбука и мобильного телефона. Это ограничивает количество одновременно работающих устройств, что является самой простой защитой соединения.

Далее настраиваем шлюз (Gataway). Это IP-адрес устройства, через которое проходит интернет для устройств. Обычно этот параметр такой же, как и IP-адрес роутера.

Создав основные настройки, необходимо их сохранить и перезагрузить роутер. Сразу после перезагрузки параметры вступят в силу.

Перед тем как отключить DHCP, необходимо убедиться в том, что на устройствах установлены статические адреса. Для отключения автоматической раздачи нужно снять галочку с параметра DHCP в настройках роутера, сохранить изменения и перезагрузить устройство.

DHCP-сервер: установка, включение и настройка

С каждым днем число вопросов о компьютерах становится все больше. И многие из них связаны в первую очередь со всемирной сетью. Среди вопросов, которыми задаются многие пользователи, часто упоминается DHCP-служба. Как ее установить и настроить? Прочитав написанное ниже, вы поймете, для чего необходим этот сервер, как работать с ним.

Основная информация о DHCP

Абсолютно каждый пользователь, компьютер которого работает под управлением Windows серверного типа, способен инсталлировать такую службу, как DHCP-сервер. Однако иногда подобный процесс сопровождается некоторыми проблемами. В связи с этим в вышеописанной операционной системе имеется такая концепция, которая делает возможной авторизацию при помощи Active Directory. Это происходит непосредственно перед обслуживанием поступивших от клиента запросов. В том случае, если сервер, который входит в домен, не будет авторизован в Active Directory, службу запустить никак не получится.

Что необходимо знать, чтобы произвести установку требуемого сервера?

Службу под названием DHCP Servers можно установить только на тот компьютер, который управляется операционной системой серверного типа Windows. Для того чтобы инсталлировать такой сервер, потребуется следующее:

1. Зайти в «Установку и удаление программ», которая располагается в «Панели управления».

2. Потребуется выбрать вкладку «Добавление и удаление компонентов», которая находится на панели слева.

3. После этого должен запуститься «Мастер компонентов». Потребуется нажать на кнопку «Далее».

4. Следует произвести выбор такого раздела, как «Сетевые службы», и нажать на кнопку под названием «Состав».

5. Потребуется выделить запись «Dynamic Host Configuration» и щелкнуть по кнопке «Ок».

6. После этого потребуется нажать на клавишу «Готово», а потом на пункт «Закрыть».

Теперь можно сказать, что DHCP-сервер для Windows XP и других систем подобного семейства полностью установлен.

Как пройти процедуру авторизации службы?

Для того чтобы авторизовать DHCP-сервер, потребуется произвести некоторые важные действия:

1. Пройти процедуру регистрации, приняв при этом права члена группы Enterprise Administrators.

2. Открыть оснастку сервера через вкладку «Администрирование», которая располагается в меню «Пуск» во всех программах.

3. Выбрать тот элемент оснастки, который является корневым. Надо нажать на него правой кнопкой мышки и найти команду под названием «Browse authorized servers».

4. После этого будут показаны все службы. Чтобы добавить новый DHCP сервер, потребуется щелкнуть на кнопку «Добавить».

5. Ввести данные (IP-адрес нового сервера или его имя). После этого следует нажать на клавишу «Ок».

6. Затем потребуется все закрыть, нажав на соответствующую кнопку.

После того как те параметры, которыми обладает DHCP-сервер, будут обновлены, красная стрелка поменяет свой цвет на зеленый. Следует учитывать, что процедура обновления может продолжаться в течение нескольких минут.

Что необходимо сделать, чтобы произвести настройку сервера?

Инсталлированный сервер следует настраивать при помощи использования специальной утилиты под названием DHCP Manager. Ее потребуется установить после того, как произойдет инсталляция соответствующей службы. Итак, как производится настройка DHCP сервера?

1. Надо открыть установленную ранее программу. DHCP Manager находится во вкладке «Администрирование».

2. Отыскав надпись «Локальный компьютер», потребуется щелкнуть по ней два раза правой клавишей мыши.

3. Необходимо выбрать команду «Создать», которая располагается в меню под названием «Область».

4. Откроется диалоговое окно. В нем потребуется набрать информацию следующего типа: первоначальный адрес, конечный адрес. Соответственно, пользователь при вводе этих данных очерчивает границы использования клиента. Также надо будет ввести маску подсети и те первоначальные и конечные адреса, которые требуется исключить из диапазона. Набрать потребуется и данные, касающиеся единственного адреса, который исключен из общего диапазона, время его использования, имя.

5. Введя любые комментарии, потребуется щелкнуть по кнопке «Ок».

6. Когда появится предложение о том, чтобы сделать диапазон активным, потребуется нажать кнопку «Да».

Теперь вы знаете, как настроить DHCP-сервер. Надеемся, что данная информация вам пригодится.

Как произвести включение необходимой службы должным образом?

Итак, были максимально подробно рассмотрены основные параметры, которыми обладает DHCP-сервер. Как включить его? Перед тем как сделать это, вам потребуется понять, что под службой DHCP подразумевается специальный протокол, который необходим для автоматической выдачи персональным компьютерам IP-адресов. Соответственно, подключение ко всемирной сети также будет зависеть от этого сервера.

Потребуется запустить компьютер от имени администратора. Потом необходимо выйти в меню «Пуск». В строке под названием «Выполнить» вы должны ввести такую команду, как napclcfg.msc, после чего нажать на клавишу «Ок». После того как откроется соответствующее окно, вам потребуется сделать выбор в пользу такого пункта, как «Клиенты принудительной защиты». В открывшемся списке надо выбрать необходимый вам сервер (клиент принудительного DHCP). Нажав на нем правой кнопкой мышки, надо выбрать команду «Включить».

Что делать, если возникла необходимость в объединении нескольких компьютеров в одну сеть?

Иногда несколько ПК приходится объединять в одну сеть. И чтобы вручную не назначать IP-адреса, привлекается служба DHCP. Это делается следующим образом:

1. Необходимо поставить на персональном компьютере получение адреса IP в автоматическом режиме.

2. После того как он загрузится, отправится запрос на предоставление адреса.

3. Подобный запрос будет получен абсолютно всеми компьютерами, которые находятся в одной сети. Однако ответ на него будет сформирован только DHCP-сервером. Именно он и предоставит компьютеру тот адрес, который свободен. Также будут переданы данные о маске, адресе шлюза и т. п.

4. Компьютер после получения всех необходимых параметров сможет их применить. Естественно, после перезагрузки запрос будет отправлен по новой. Соответственно, и IP-адрес будет получен новый.

Что необходимо сделать, чтобы настроить службу через маршрутизатор?

Следует более подробно рассмотреть вопрос о том, как включить DHCP-сервер маршрутизатора. Для этого потребуется выйти на само устройство и начать настройку IP-адреса.

1. Команда Router>en позволяет получить привилегированный статус.

2. Команда Router#conf t поможет выйти в глобальную конфигурацию.

3. С помощью ввода Router(config)#inf fa0/1 появляется возможность зайти в режим настройки интерфейса.

4. Введя Router(config-if)#ip address, можно задать IP-адрес. Также будет задана и маска подсети.

5. Надпись Router(config-if)#no shut позволит произвести выключение интерфейса.

6. Набрав такую команду, как Router(config-if)#exit, вы сможете вернуться в меню глобальной конфигурации.

Как правильно произвести настройку самого сервера?

После того как все вышеперечисленные пункты будут выполнены, можно перейти к настройке сервера. Именно он будет раздавать все необходимые параметры компьютерам.

1. Командой Router(config)#ip dhcp pool test получится произвести создание пул-адресов, которые получат имя Test.

2. С помощью команды Router(dhcp-config)#network будет указана подсеть. Именно на нее и производится раздача IP-адреса.

3. За счет команды Router(dhcp-config)#default-router будет передаваться на определенный компьютер такой параметр, как default-gateway.

4. Команда Router(dhcp-config)#dns-server позволяет передать параметр, характерный для DNS-сети.

5. За счет команды Router(dhcp-config)#exit можно вернуться в меню глобальной конфигурации.

А что делать, если раздавать абсолютно все адреса не требуется?

Довольно часто, настраивая, к примеру, на Windows 7 DHCP-сервер, появляется желание раздать не все адреса, которые имеются в подсети, а только некоторые из них. В таком случае все необходимо задавать статически. Обычно это можно отнести к серверам. Кроме того, адрес, характерный для определенного маршрутизатора, не всегда следует выдавать кому-либо. Можно привести в качестве примера то, как с помощью одной команды выделить определенные адреса, в раздаче которых нет необходимости.

Настраивая на Windows 7 DHCP-сервер, можно ввести такую надпись, как Router(config)#ip dhcp excluded-address. Она позволяет убрать из раздачи все адреса, которые находятся в определенном диапазоне. Если после этого включить компьютер, который скорректирован на автоматическую выдачу адресов, то можно увидеть, что им был получен тот IP-адрес, который на данный момент является свободным.

Есть ли еще какой-нибудь способ корректной настройки службы?

Теперь вы знаете, что такое DHCP-сервер маршрутизатора, а также то, как его можно настроить. Но есть еще один способ настройки, который распространяется на устройства модели Cisco.

Если есть в самом большом количестве разнообразные подсети и желание сделать так, чтобы раздача всех адресов происходила централизованным образом посредством использования одного сервера, то потребуется на устройстве не настроить сервер, а указать, где он располагается. В качестве примера можно продемонстрировать следующий набор команд, который поспособствует достижению поставленной цели:

1. Router(config)#int fa0/1. Эта команда позволяет выполнить вход в настройки интерфейса, который фиксирует все обращения компьютеров.

2. Router(config-if)#ip helper-address. Набрав подобную надпись, вы сможете указать тот адрес, по которому располагается необходимый нам сервер. Соответственно, доступ к данному серверу должен быть предоставлен определенному маршрутизатору. Кроме того, настройка пула адресов, которые будут раздаваться, должна быть при этом полностью завершена.

Подобная схема, которая позволяет настраивать DHCP-сервер Linux, Windows, Cisco, отводит самому маршрутизатору роль посредника. В случае получения запроса от определенного компьютера устройство просто переправит его на тот сервер, который был указан в команде. Также он доставит запрос и в обратную сторону.

Пугаться сложности установки службы не следует

Надеемся, что данный обзор помог разобраться во всех интересующих вас вопросах и понять, что собой представляет такой сервер, как DHCP, зачем он нужен и как его настроить. Все на деле оказывается даже еще проще, чем описано в статье. Поэтому если у вас возникла необходимость в настройке и установке службы, то можете смело читать обзор и действовать. Удачи вам в вашей деятельности!

По вине каких ошибок настройка сервера может быть не сохранена?

Работая с сервером DHCP, вы можете столкнуться со следующими ошибками:

1. Неправильно было назначено изменение базовых настроек.

2. Неверно были введены адреса.

3. Пользователь неправильно указал маску подсети.

4. Адрес маршрутизатора был введен некорректно.

5. Адрес муршрутизатора не соответствует тому диапазону, который характерен для подсети.

6. Домен был задан некорректно.

7. DNS-сервер был указан не совсем правильно.

8. Пользователь неточно ввел тот адрес, где находится сервер времени.

9. Возникла ошибка во время введения или коррекции диапазонов.

10. IP-адреса были созданы неточно.

11. Конечный адрес был введен неточно.

12. Добавить требуемый диапазон не получилось.

13. До тех пор, пока все адреса не будут заданы правильно, диапазон добавлен не будет.

14. Был введен такой диапазон, параметры которого совпадают с параметрами уже имеющегося диапазона в сервере DHCP.

Это основные ошибки, с которыми чаще всего сталкиваются многочисленные пользователи. Помните, что все надо делать аккуратно и основательно, чтобы впоследствии не пришлось исправлять введенные ранее данные.

описание, установка, включение, авторизация и настройка :: SYL.ru

DHCP является сетевым сервером, который автоматически обеспечивает и назначает IP-адрес, шлюзы и другие сетевые параметры для клиентских устройств. Он полагается на стандартный протокол, известный как протокол конфигурации динамического хоста или DHCP, для ответа на широковещательные запросы пользователей.

Без dhcp-сервера администратор вручную настраивает каждого клиента, который присоединяется к сети, что может быть громоздким, особенно в крупных сетях. Сервер обычно назначает индивидуально уникальный динамический IP-адрес, который изменяется, когда срок аренды истекает.

Общее понятие стандарта

DHCP — это стандарт используется, чтобы хост-системы в сети TCP/IP настраивались автоматически для сети при загрузке с применением механизма клиент/сервер. Они хранят и управляют информацией для клиентов и предоставляют эту информацию по их запросу, которая включает в себя IP-адрес и доступные сетевые услуги. Dhcp-сервер произошел из более раннего протокола BOOTP, который применялся для загрузки по сети TCP/IP , используя тот же формат для сообщений с клиентом, включая дополнительную информацию про данные конфигурации клиентской сети.

Первичным преимуществом DHCP является его способность управлять назначениями IP-адресов посредством лизинга, что позволяет восстанавливать IP-адреса, когда они не применяются и переназначать их другим клиентам. Это позволяет сайту использовать меньший пул IP-адресов, чем если бы всем клиентам был назначен постоянный адрес. Применяемая модель — клиент-сервер, когда сервер выступает в роли хоста, а устройство, подключенное к сети, является клиентом.

Авторизация dhcp-сервера начинает действовать, когда устройство, подключающееся к домашней или бизнес-сети, делает запрос на IP-адрес, который сервер назначает ему из доступных в настоящее время адресов, тем самым позволяя клиентскому устройству осуществлять связь в сети.

Преимущества выделенного DHCP

Лучшим подходом для обеспечения работы клиентов является использование централизованного dhcp-сервера. Это особенно справедливо для сетевых сред, которые требуют одновременной поддержки как DHCP для IPv4 и IPv6. Практически все поставщики серверов поддерживают оба протокола, поэтому можно использовать один и тот же интерфейс управления для IPv4 и IPv6. Наличие DHCPv6, интегрированного в систему управления IP-адресами (IPAM) для IPv6, дает видимость клиентским узлам с поддержкой IPv6, в этом случае пользователю потребуется такая же функциональность для IPv4.

Поскольку адресное пространство IPv4 становится все более ограниченным, серверу приходится постоянно отслеживать свои области и определять, соответствует ли время аренды множеству систем BYOD, присоединяющихся к сетевой среде. Они предоставляют интерфейсы ведения журнала и управления, которые помогают администраторам управлять областями IP-адресов. Организации предпочитают DHCPv6, который был опробован и протестирован. Например, сервер Infoblox DHCPv6 сертифицирован в соответствии с «сертификацией IPv6» в лаборатории сертификации USGv6.

Организации, которые начинают внедрять IPv6, должны перенести их, как сервера dhcp для области IPv4 с маршрутизаторов/коммутаторов и разместить их в надежной инфраструктуре. Это изменение также означает, что пользователи требуют, чтобы он работал одинаково для обоих протоколов.

Применение маршрутизатора сервера

Есть много компаний-производителей, которые все еще используют DHCP для IPv4 на своих маршрутизаторах/коммутаторах. Обычно это делается сетевым администратором, которому необходимо быстро получить и настроить его, не имея доступа к серверу. Большинство из них имеют возможность предоставлять следующую поддержку:

1. После установки серверов dhcp клиент получит адрес IPv4 интерфейса от восходящей DHCP-службы.
2. Осуществляется ретрансляция и пересылка сообщений от клиентов в локальной сети на сервер и с него.
3. Обслуживание запросов маршрутизатором/коммутатором. Однако существуют ограничения на использование маршрутизатора/коммутатора в качестве сервера.

Эти пакеты обрабатываются программным обеспечением (а не аппаратной ускоренной переадресацией). Необходимые ресурсы делают эту практику непригодной для сети с большим числом (> 150) клиентов DHCP.

Настройка в Microsoft Windows

Большинство dhcp-серверов Windows имеют возможность также отправлять разнообразную дополнительную информацию, в том числе Код опций поставщика 43. Когда клиент или AP запрашивает 43, контроллер отвечает значением, настроенным администратором в пуле. Опция 60 идентифицирует и связывает клиента с конкретным поставщиком. Все dhcp-сервера настраиваются для принятия действий на основе идентификатора поставщика клиента. Поскольку опция 60 не является предопределенной, пользователь добавляет ее в список требуемых опций. Процедура настройки dhcp-сервера с параметром 060:

1. Открыть инструмент администрирования, нажав Start > Administrative Tools > DHCP.
2. Найти сервер и область, которую нужно настроить под именем сервера.
3. Выбрать «Установить предопределенные параметры».
4. В диалоговом окне нажать «Добавить».
5. Нажать «OK», чтобы сохранить информацию.

В диалоговом окне «Предопределенные параметры и значения» убедиться, что в раскрывающемся списке «Имя параметра» выбрана точка доступа «060» и нажать OK.

Хост-машина под управлением Linux

Dhcp-сервер Linux полезен для сети, если пользователь не хочет сложностей назначения статических IP-адресов. Если есть домашний маршрутизатор, например, D-Link или любой беспроводной модем. Такие устройства будут иметь DHCP-сервер, встроенный для выдачи внутренних IP-адресов. Тем не менее, они редко подходят для деловых целей по множеству причин.

Одной из главных является проблема, в связи с тем, что ими обычно не предоставляются достаточно параметров конфигурации, чтобы заставить сервер работать с пользовательской инфраструктурой, имеющей нескольких десятков хостов. Выделенный сервер, работающий на хост-компьютере Linux, может быть хорошей альтернативой, бесплатной и простой в настройке.

Установка Linux DHCP:

1. RHEL / CentOS: yum install dhcp -y.
2. Ubuntu раньше 12.04 или Debian старше Wheezy (7.0): sudo apt-get install dhcp3-server.
3. Ubuntu 12.04 и более поздние версии или Debian Wheezy, а затем: sudo apt-get install isc-dhcp-server. Чтобы запустить сервер и настроить его на автозапуск при загрузке.
4. Выбрать команду на основе установленной версии DHCP.

Настройка dhcp сервера ISC-DHCP:

1. Запуск службы isc-dhcp-server chkconfig isc-dhcp-server on dhcp3.
2. Запуск службы dhcp3-server chkconfig dhcp3-server on DHCPD (CentOS / RHEL).
3. Запуск службы dhcpd chkconfig dhcpd.

Использования Solaris

Этот DHCP освобождает системного или сетевого администратора от некоторых трудоемких задач, связанных с настройкой сети TCP/IP и ежедневным управлением ею, он работает только с IPv4. Solaris DHCP предлагает следующие преимущества:

1. Управление IP-адресом. В сети без DHCP администратор вручную присваивает IP-адрес, пытаясь назначить уникальные адреса клиенту и индивидуально настраивать их.
2. Если арендатор перемещается в другую сеть, администратор должен внести изменения вручную для этого клиента.
3. Когда DHCP включен, DHCP-сервер управляет и назначает IP-адреса без вмешательства администратора.
4. Конфигурация централизованного сетевого клиента.
5. Сетевой администратор может создать индивидуальную конфигурацию для определенных пользователей или определенных типов клиентов и хранить информацию в одном месте, хранилище данных DHCP. Он может предоставить им всю необходимую ему информацию, включая IP-адрес, загрузочный сервер и информацию о конфигурации сети.
6. Поскольку запросы загрузки сети могут быть ретранслированы по подсетям, можно развернуть меньше серверов.
7. Загрузка RARP требует, чтобы каждая подсеть имела загрузочный сервер и сеть с dhcp сервеошиб ром.

Серверная настройка интерфейса VLAN

Она представляет собой определение DHCP-сервера на интерфейсе. Единичные брандмауэры и кластеры брандмауэра имеют встроенный сервер, который можно настроить независимо на нескольких физических интерфейсах и интерфейсах VLAN. Поддерживаются только адреса IPv4. Чтобы использовать эту функцию, интерфейс межсетевого экрана должен иметь как минимум один IPv4-адрес.

Атрибуты

Резервирование IP-адреса

После создания сервера потребуется настойка зарезервированного адреса. Чтобы настроить его, нужно нажать на зарезервированный адрес-вкладку, ввести числа начала и конца диапазона , а затем нажать кнопку «Добавить». Чтобы удалить диапазон IP, выбрать число IP, который нужно удалить, и нажать «Удалить», далее выполнить настройку привязки IP-MAC. Если IP-адрес dhcp сервера привязан к MAC-адресу вручную, IP-адрес будет назначен только на указанный MAC-адрес.

Чтобы настроить привязку IP-MAC, нужно перейти на вкладку «Связывание IP-MAC» и ввести IP-адрес и MAC-адрес в IP-адрес и поле MAC соответственно, а затем нажмите «Добавить», а после повторите описанные выше шаги и добавьте несколько записей. Чтобы удалить привязку IP-MAC, выбирают запись из списка и нажимают «Удалить».

Редактор конфигурации

Типичная конфигурация сервера имеет следующие параметры для конкретной подсети на интерфейсе Service Router: Пул IP-адресов с одним адресом, исключенным из пула. По умолчанию и максимальное время аренды. Кроме того, сервер может назначить статический адрес как минимум одному клиенту. В таблице приведены параметры и значения для конфигурации DHCP-образца.

Пример настроек конфигурации сервера

Устройства FastIron

Все устройства FastIron могут быть настроены для работы с функциями серверов. DHCP представляет концепцию аренды по адресу и выделяет IP в течение определенного диапазона или может продлить срок аренды. DHCP обеспечивает больший контроль над распределением адресов. Эта функция имеет решающее значение, если имеется больше устройств, чем доступных адресов. В отличие от BOOTP, который имеет два вида сообщений, используемых для арендованных переговоров, DHCP — имеет семь.

Он выделяет временные или постоянные адреса для пользователей. Когда они арендуют адрес, сервер гарантирует не перераспределять его другому пользователю и попытается вернуть и будет сделан новый запрос. В некоторых средах может потребоваться переназначить адрес из-за исчерпания доступности пула. В этом случае механизм распределения повторно использует адреса с истекшим сроком аренды. DHCP-сервер по умолчанию отключен на всех устройствах FastIron.

Глобальный пул адресов

В большой сети компьютеры в сети не могут напрямую подключаться к USG через интерфейс Ethernet, но должны проходить через другие устройства. В этом случае, чтобы гарантировать, что компьютеры динамически получают айпи из USG, обычно необходимо наладить DHCP на основе глобального пула адресов. DHCP динамически выделяет айпи для пользователей в одном и том же сетевом сегменте. Сетевой сегмент 10.1.1.0/24 пула IP можно разделить на два, а именно 10.1.1.0/25 и 10.1.1.128/25. Айпи двух интерфейсов GigabitEthernet на DHCP равны соответственно 10.1.1.1.25 и 10.1.1.129/25.

Срок аренды в сегменте сети 10.1.1.0/25 составляет 10 дней и 12 часов, доменное имя — dhcpserver.com, IP-адрес DNS-сервера — 10.1.1.2, без IP сервера NetBIOS существует, а IP-адрес устройства маршрутизации на выходе — 10.1.1.126. Срок аренды IP в сегменте сети 10.1.1.128/25 составляет 5 дней, доменное имя — dhcpserver.com, IP сервера — 10.1.1.2, адрес NetBIOS — 10.1. 1.4, а IP с устройства маршрутизации на выходе — 10.1.1.254.

Перед тем как включить службу DHCP, задают айпи, которые не выделяются автоматически сервером NetBIOS и исходящего шлюза и настраивают общие атрибуты пула адресов. Далее, настраивают связанные атрибуты пула, исходящий шлюз, айпи NetBIOS и срок аренды. Например, для трех пулов IP: Пул IP 0 используется для наладки общих атрибутов для всех потребителей.

Пул IP 1 и 2 применяют для настройки соответствующих атрибутов разных клиентов соответственно. В этом примере пользователи могут настраивать только два пула IP-адресов, а именно пул IP-адресов 1 и пул IP-адресов 2. Таким образом, оба пула IP-адресов не могут наследовать конфигурации из родительского режима. Поэтому атрибуты каждого пула IP-адресов должны быть настроены соответственно.

Настройка дополнительных параметров

Существует множество дополнительных параметров, которые можно получить на сервере. Описание dhcp сервера и дополнительных параметров сети:

1. Маршрутизатор — шлюз для клиента.
2. DNS-серверы (для разрешения имен).
3. DNS-домен-доменное имя клиента.
4. Тип узла WINS. WINS-сервера.
5. После щелчка мышью по параметрам сервера и выбора «Настроить» используют контекст netsh для добавления опции.
6. После выполнения этой команды перезапустить консоль сервера и снова проверить, если опция 60 присутствует, то можно пользоваться устройством.
7. Переходят на вкладку «Дополнительно», чтобы настроить дополнительные параметры.
8. Нажимают «ОК», чтобы закрыть диалоговое окно и возвращаются к списку.
9. Конфигурированные DHCP-серверы будут отображаться в списке.
10. Чтобы изменить — сервер, выбирают который нужно и нажимают «Изменить» в диалоговом окне «Конфигурация DHCP».
11. Удаление DHCP осуществляют с помощью кнопки «Удалить».

Проблемы безопасности и отказ

Использование автоматизации DHCP может представлять серьезную угрозу безопасности, например, если в сеть вводится мошеннический сервер. Это происходит, когда он не находится под контролем персонала сети и может предлагать IP-адреса пользователям, подключающимся к сети. Если клиент подключается к такому серверу, информация, передаваемая по этому соединению, может быть перехвачена неавторизованными лицами, нарушая конфиденциальность пользователя и безопасность сети.

Ошибка сервера dhcp может возникнуть, если на сервере установлен только один DHCP, поскольку он образует единый критический узел, где единичный отказ перерастает в общесистемную проблему. Если сервер выходит из строя, любые подключенные компьютеры, у которых еще нет IP-адреса, будут пытаться их получить.

Компьютеры, у которых уже есть IP-адрес до отказа сервера, попытаются его возобновить, что приведет к потере IP-адреса и означает полную потерю доступа к сети до восстановления сервера.

Авторизация DHCP сервера и устранение проблем

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. Ранее мы с вами говорили про принципы работы DHCP протокола и разбирали его поэтапно. В сегодняшней заметке, мне бы хотелось осветить вопрос по защите и безопасности DHCP сервера, и речь пойдет, о авторизации и решения проблем с ней. Ситуаций в жизни бывает много, так что как говорится прокачаем свой навык траблшутинга. Уверен, что мой скромный опыт будет кому-то полезен.

Что такое авторизованный DHCP

Когда вы устанавливаете Active Directory в своей компании, то у вас появляется тройка ролей, которые очень часто идут вместе, я говорю про AD, DNS и DHCP. Эта тройка позволяет системному администратору получить все прелести и преимущества доменной структуры. Очень важным аспектом любой современной IT инфраструктуры, является аспекты безопасности и в случае DHCP, это очень актуально. Небольшое воспоминание из практики. Когда я еще только начинал свой путь инженера, то я плохо разбирался в сетевых протоколах и технологиях, знал так сказать азы. Я знал, что у нас в окружении установлен Windows DHCP сервер и, что он сам раздает ip-адреса. В один из рабочих дней мне позвонил менеджер и сказал, что у него пропал интернет и доступ к сетевым шарам.

Когда я к нему подошел, то стал проводить сетевую диагностику, где одним из этапов было вычисление полученного ip-адреса. Какого же было мое удивление, когда я за место диапазона 192.168.100.0 увидел диапазон адресов 192.168.1.0. Я точно знал, что на моем DHCP сервере такой области нет. В итоге оказалось, что один из программистов принес WIFI роутер в то время, это было диковинкой, а так как мозги данного устройства работали на Linux платформе, то его DHCP сервер отрабатывал быстрее, чем в Windows сервере, что в итоге вело к выдаче адресов из другой области. Вот для предотвращения таких вещей и есть авторизация DHCP сервера.

У каждого вендора своя технология авторизация данного сервиса, например в Cisco оборудовании есть технология DHCP snooping, которая делит порты на которых работает служба на да типа, на которых, это можно делать и на которых нельзя. Там где нельзя, все пакеты с DHCP сервиса будут дропаться. В Windows среде есть авторизация сервера в инфраструктуре Active Directory. Вся соль в том, чтобы если в сети появится Windows DHCP сервер и он не будет авторизован в Active Directory, то его скоупы просто не заработают и выдачи ip-адресов не будет.

Требования к серверу перед авторизацией

Авторизация DHCP сервера является обязательной процедурой и требует соблюдения некоторых вещей:

• Ваш сервер DHCP должен быть членом Active Directory
• У вас должны быть права на авторизацию его в AD, администратор предприятия или делегированная группа.
• Не должно быть проблем с созданием и редактированием атрибутов и классов в схеме Active Directory

Интересные моменты

• Сервер DHCP проверяет свою авторизацию в AD DS каждый час. Он использует протокол LDAP [MS-ADTS] для связи с Active Directory и проверки, авторизован ли он для обслуживания IP-адресов.
• При установке в среде с несколькими лесами DHCP-серверы запрашивают авторизацию изнутри. После авторизации серверы DHCP в среде с несколькими лесами сдают в аренду IP-адреса всем доступным клиентам.
• Если вы устанавливаете роль DHCP на контроллере домена, сервер автоматически авторизуется. Если вы устанавливаете его на рядовой сервер, вам нужно будет вручную выполнить процесс авторизации одним из следующих способов.
• Если в сети появится DHCP сервер, отличный от Windows платформы, то он сможет раздавать IP-адреса и авторизация ему не потребуется. Чтобы этого избежать нужны технологии на подобии DHCP snooping и системы анализа трафика.

Методы авторизации DHCP в Active Directory

Давайте теперь поговорим, о методах которые смогут добавить ваш DHCP сервер, как доверенный в раздел конфигурации базы данных Active Directory.

• Авторизация после установки из оснастки в мастере
• Из оснастки, после всех настроек
• Авторизация после установки роли, через PowerShell
• Авторизация сервиса после установки роли через командную строку и утилиту netsh

Первый метод авторизации DHCP

Я покажу его на примере Windows Server 2019, когда вы установили роль DHCP, вас попросят закончить настройку. В итоге у вас откроется окно мастера, где вас попросят авторизовать в Active Directory, обращаю внимание, что вы на этом этапе можете ее пропустить. Напоминаю, что права должны быть минимум администратора домена или аналогично делегированные.

Второй метод авторизации DHCP

Вторым методом я могу выделить возможность, произвести авторизацию сервиса в AD в самой оснастке, после настройки области IPV4 или IPV6. Для этого нажмите в оснастке по самому корню правым кликом и выберите в контекстном меню пункт «Авторизовать».

Так же в данной оснастке можно авторизовать и удаленный сервер, для этого щелкните правым кликом по корню и выберите пункт «Список авторизованных серверов».

В окне «Список авторизованных серверов» нажмите кнопку «Авторизовать». У вас откроется дополнительное окно, где можно указать DNS имя или IP-адрес. Я впишу мой второй дополнительный сервер с ip-адресом 192.168.31.3.

Произойдет поиск роли DHCP на данном сервере. Если она там есть то появится дополнительное окно, где нужно нажать «ОК».

Все сервер у вас должен появится в списке авторизованных.

Авторизовать DHCP-сервер с помощью Netsh

Откройте командную строку с правами администратора и введите следующую команду для авторизации DHCP-сервера.

Команда показывает мои текущие авторизованные серверы в домене, как видим у меня он один dc01/root/pyatilistnik.org. В окне «Управление авторизованными серверами» его видно. Далее авторизуем новый сервер svt2019s01.root.pyatilistnik.org с ip-адресом 192.168.31.3

netsh dhcp add server svt2019s01.root.pyatilistnik.org 192.168.31.3

После этого я сделал вывод списка авторизованных DHCP и вижу, что их теперь два.

Авторизовать DHCP-сервер с помощью PowerShell

Естественно я не могу обойти стороной любимый язык PowerShell, так как он с поставленной задачей справляется на 5+. Откройте свой PowerShell в режиме администратора и выведите для начала список текущих DHCP адресов в домене.

Вижу, что в данный момент он один.

Теперь, чтобы добавить второй сервер, выполните команду:

Add-DhcpServerInDC -DnsName «svt2019s01.root.pyatilistnik.org» -IPAddress 192.168.31.3

Как деактивировать DHCP сервер

Логично предположить, что методов деактивации тоже четыре.

• Из оснастки DHCP сервера, для этого правым кликом по названию сервера и из контекстного меню выбираем пункт «Запретить».

• Второй метод деактивации — это из окна «Управление авторизованными серверами», выбираем нужный и нажимаем кнопку «Запретить»

• Третий метод запретить конкретный сервис, это утилита командной строки netsh.

netsh dhcp delete server svt2019s01.root.pyatilistnik.org 192.168.31.3

• Последний метод деактивации, это в PowerShell

Remove-DhcpServerInDC -DnsName «svt2019s01.root.pyatilistnik.org -IPAddress 192.168.31.3

Где прописывается DHCP в конфигурации Active Directory

Теперь хочу вам показать, где в классах и с какими атрибутами прописываются записи авторизованных DHCP серверов. Откройте редактор атрибутов AD и зайдите в раздел конфигурации. Перейдите по пути: CN=Services,CN=Configuration,DC=root,DC=pyatilistnik,DC=org. В данном контейнере вы увидите записи ваших авторизованных DHCP сервисов и очень важную запись CN=DhcpRoot, если ее нет, то это плохо.

Когда вы пытаетесь авторизовать сервер, то первым делом проверяется наличие записи CN=DhcpRoot ,и если она не найдена, то вы не сможете завершить вашу операцию

Когда вы успешно авторизовываете ваш сервис в Active Directory, то он должен создать запись класса dHCPClass в CN должно быть его имя и различающееся имя (distinguished name). Если зайти в свойства любой записи сервиса, то вы обнаружите атрибут dhcpServer, тут должен быть прописан ip-адрес и его DNS-имя.

Во времена Windows 2000, атрибут dhcpServer должен был заполняться у записи CN=DhcpRoot в соответстующем атрибуте, с Windows Server 2003, перестало записываться (https://blogs.technet.microsoft.com/askpfeplat/2015/06/22/windows-server-dhcp-server-migration-two-issues-from-the-field/). Так же записи из контейнера CN=Services AD — сайты и службы (Active Directory Site and Service)вы можете посмотреть и из оснастки.  Единственное, вам нужно включить опцию «Показать узел служб»

В итоге у вас появится контейнер «Services», далее «NetServices», в котором вы увидите весь список.

Бывают ситуации, что непрофессиональный администратор выключил и удалил сервер DHCP, заменив его на другой, и не деактивировал старый, в результате он будет числиться как потерявшийся, и чтобы его убрать из списка, вам нужно удалить в данном контейнере его запись

Из-за не правильной деактивации DHCP или восстановлении сервера из резервной копии приличной давности, он у вас может не запускать и при попытке пройти авторизацию написать «Параметр задан неверно»

В таких случаях вам нужно проверять наличие CN=Services,CN=Configuration,DC=root,DC=pyatilistnik,DC=org записи вашего сервера. Если ее нет, то придется создать ее с нуля. Через правый клик создаем новый объект AD.

Выбираем класс объекта dhcpServer.

Прописываем Common-name вашего сервера.

dhcp-Unique-key ставим 0.

dhcp-type ставим 1.

В dhcp-identification прописываем distinguished name сервера.

После создания записи, попробуйте перезапустить DHCP на нужно сервере. Если не поможет, то удаляете данную запись, и заново пробуете его авторизовать, бывает помогает.

Как дать права на авторизацию DHCP сервера

На сколько мне известно, чтобы у вас была возможность авторизовывать серверы DHCP, то вы должны быть администратором предприятия (Enterprise Admin). Понятно, что в данной группе должно быть минимум людей. Вы можете делегировать данные права, любой группе или пользователю. Для этого, в оснастке Active Directory — сайты и службы с включенной опцией «Показать узел служб» вы нажимаете правым кликом по контейнеру NetServices  и выбираете пункт делегирование управления.

На первом шаге, вам необходимо указать пользователя или группу, для которой будут выданы права на управление DHCP авторизацией.

Выбираем создание особой задачи для делегирования.

Оставляем пункт «Этой папкой, существующими в ней объектами и созданием новых объектов в этой папке»

На следующем шаге, даем полные права. После этого у нужной группы появится возможность авторизовывать сервера DHCP в вашем домене Active Directory.

На этом я хочу закончить эту статью, она получилась и так очень длинной. Если у вас остались вопросы, то пишите их в комментариях, я на них постараюсь ответить. С вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org,

Собственный DHCP-сервер силами bash / Хабр

Я люблю автоматизировать процесс и писать собственные велосипеды для изучения того или иного материала. Моей новой целью стал DHCP-сервер, который будет выдавать адрес в маленьких сетях, чтобы можно было производить первоначальную настройку оборудования.

В данной статье я расскажу немного про протокол DHCP и некоторые тонкости из bash’а.

Начнём с конца, чтобы было понятно, за что сражаемся.

Демонстрация работы:

Репозиторий со скриптом: firemoon777/bash-dhcp-server

Необходимая мне настройка производится так: подключаемся напрямую по витой паре к оборудованию, выдаём временный адрес по DHCP, производим настройку уже созданным скриптом. И так десять-двадцать раз подряд.

Многим известный isc-dhcp-server прекрасно справляется со своими обязанностями, но, увы, никак не уведомляет мой скрипт о том, что адрес выдан, поэтому нужно как-то блокировать выполение, пока адрес не выдан.

Решение, вроде бы, на поверхности: пинговать до посинения, пока оборудование не отзовётся:

while ! ping -c1 -W1 "$DHCP" | grep -q "time="
do
    echo "Waiting for $DHCP..."
done

Но в этом решении, определённо, не хватает авантюризма.

Получение адреса при одном DHCP-сервере

Протокол DHCP работает поверх UDP на портах 67 и 68. Сервер работает всегда только на 67, а клиент только на 68. Так как клиент не имеет адреса (имеет адрес 0.0.0.0), рассылка DHCP-пакетов производится шировещательным образом. Т.е. клиент всегда отправляет пакеты на адрес 255.255.255.255:67 с адреса 0.0.0.0:68, а сервер отправляет со своего адреса :67 на адрес 255.255.255.255:68.

Получение адреса клиентом происходит в четыре пакета (DORA):

1. Клиент выясняет где здесь DHCP-сервер (Discover)
2. Сервер отзывается и предлагает свой адрес (Offer)
3. Клиент запрашивает предложенный адрес у конкретного сервера (Request)
4. Сервер соглашается и выдаёт адрес (Ack)

Визуально схему можно представить так:

Получение адреса при нескольких DHCP-серверах

Когда клиент отправляет Discover, все сервера, которые могут слышать, присылают свой Offer клиенту. Но клиент должен выбрать кого-то одного. Выбор клиента оглашается в сообщении Request опцией 54 (DHCP-сервер), которая содержит IP-адрес предпочтённого DHCP-сервера. Хотя Request отправляется так же всем в сети, реагирует только тот DHCP-сервер, чей IP указан в опции 54.

Содержимое DHCP-пакета

DHCP-пакет состоит из двух частей: постоянной, размером в 236 байт и переменной, которая несёт в себе опции (DHCP Option). Таблица со всеми полями пакета DHCP из Википедии

Список всех опций DHCP в RFC 2132

Опции DHCP кодируются следующим образом:

Например, параметр 3 (предлагаемый шлюз) со значением 10.0.0.1:

В случае, если нужно передать несколько параметров, длина параметра увеличивается.
Например, в параметре 6 (DNS-сервер) передадим два адреса (1.1.1.1 и 8.8.4.4):

Признаком конца поля опций является параметр с номером 255 (0xFF) и длиной 0.

Чаще всего клиент вкладывает параметр 55 (список параметров, которые он хочет получить в ответ) в DHCP Discover, однако, мы имеем право выдать ему не всё, что он запросил.

Изначально планировалось написать сервер на каком-то более подоходящем для этого языке (Си), однако, это было бы буднично и просто. То ли дело написать скрипт, который будет брать на себя функции dhcp-сервера.

Упрощения

Так как разрабатываемый сервер предполагался к использованию в сетях из двух узлов, соединенных патчом, были приняты следующие упрощения:

• гарантируется, что один клиент в сети;
• гарантируется, что больше нет dhcp-серверов в сети
• запускающий сам решает, какой адрес выдать
• DHCP Release и DHCP Decline игнорируются

Слушатель

В первую очередь нужно научиться принимать пакеты. Для этого необходим дипломированный сочувственный слушатель, например, nc. Но не всякий nc подойдёт для этих целей. OpenBSD netcat 1.130 с дебиана подходит, а вот 1.105 с Ubuntu уже нет. Запустим nc слушать все UDP-пакеты, прилетающшие на порт 67.

nc -l 0.0.0.0 -up 67 -w0

OpenBSD netcat нужен в том числе из-за ключа -w со значением 0. После получения одного пакета (UDP Broadcast) традиционный nc не принимает больше пакетов, но и не завершается.

Работа с сырыми байтами

В командном интерпретаторе весьма сложно работать с непечатными символами, например с нуль-символом: он его просто игнорирует. А DHCP-пакет содержит множество байт 0x00 (например, поле file). Решение проблемы приходит в виде hex-dump’а:

 nc -l 0.0.0.0 -up 67 -w0 | stdbuf -o0 od -v -w1 -t x1 -An

По одному байту на строку, без вывода адреса, не пропуская повторяющиеся байты. Можно так же приправить stdbuf -o0, чтобы вывод не буферизировался.

Получение, хранение и обработка пакетов

Из stdout команды od байты забираются командой read и складываются в массив.

msg=()
for i in {0..235}; do
	read -r tmp
	msg[$i]=$tmp
done

Хотя все значения передаются в шестнадцатеричной системе счисления, номер DHCP Option и длину опции лучше всего выводить на экран/в логи в привычном десятичном виде. Для этого можно воспользоваться краткой записью bash’a:

$ op=AC
$ echo $((16#$op))
172

Принятый пакет редактируется в соответствии с типом запроса (Discover или Request) и отправляется обратно.

Отправка ответа

Впрочем, отправка пакета не такая уж и простая задача. Сначала нужно конвертировать байты из дампа в сырые байты и отправить сразу всё одним пакетом.

Конвертацию можно сделать утилитой printf с помощью escape-последовательностей. А чтобы ничего не потерялось, записывать байты сразу в файл.

# Зачищаем файл
>/tmp/dhcp.payload
# Записываем начало фиксированной длины
for i in ${msg[*]}; do
	printf "\x$i" >> /tmp/dhcp.payload 	
done

Для отправки так же используется OpenBSD netcat. Однако, если в качестве слушателя версия 1.105 с Ubuntu подходит, то вот для рассылки широковещательных UDP-сообщений не годится: получаем ошибку protocol not available.

cat /tmp/dhcp.payload | nc -ub 255.255.255.255 68 -s $SERVER -p 67 -w0

Ключ -b разрешает отправку широковещательных сообщений и это вторая причина, по которой сервер необходимо запускать из-под суперпользователя.
Данный DHCP-сервер разрабатывался при упрощениях типа одного клиента в сети. Однако, он будет работать и при нескольких клиентах. Просто адрес получит быстрейший.

Хотя bash-скрипты сложно назвать полноценным языком программирования, тем не менее, при должном желании можно решить даже такие задачи, как выдача IP-адреса в сети без использования специально предназначенного для этого ПО. А решение специфичных задач не только приносит радость, но и новые знания, которые открылись в момент решения.

1. DHCP — Википедия
2. DHCP and BOOTP Parameters — IANA

Конфигурирование DHCP | Windows IT Pro/RE

Пусть IP-адреса присваивает DHCP

Настроить сервис Windows NT под названием Dynamic Host Configuration Protocol (DHCP) не так уж сложно, как это может показаться. Если вы назначаете IP-адреса вручную, потому что освоение DHCP вам кажется делом слишком трудным, то поверьте, что потратив всего пару часов на изучение этого сервиса, вы сумеете сэкономить массу своего рабочего времени.

Что такое DHCP?

DHCP — это протокол TCP/IP, автоматизирующий присвоение IP-адресов. (Название «автоматическое присвоение IP-адресов», Automatic IP Address Assignment, может, и лучше отражает суть, но AIAA больше похоже не на сокращение, а на вопль, издаваемый сетевым администратором от безысходности). Для использования протокола TCP/IP в сети администратор должен задать для каждого из компьютеров по меньшей мере три параметра — IP-адрес, маску подсети и адрес используемого по умолчанию шлюза. При этом каждый компьютер должен иметь уникальный IP-адрес. Кроме того, присвоенный адрес должен находиться в диапазоне подсети, к которой подключено устройство. В большой сети иногда бывает трудно определить, к какой же из подсетей подключен тот или иной компьютер. Однако DHCP «знает», из какой подсети приходит запрос на получение IP-адреса, и сделает за вас все как надо. Если в сети используются Windows Internet Naming Service (WINS) и Domain Name Service (DNS), то на каждом из клиентских компьютеров администратору необходимо также указать IP-адреса WINS и DNS-серверов.

Администратор может сконфигурировать каждую из систем вручную или попросить сделать это пользователей, предоставив им необходимые данные. Однако последний подход слишком рискован. Самый простой и безопасный способ — сконфигурировать один или несколько DHCP-серверов так, чтобы они автоматически присваивали IP-адреса каждому компьютеру в сети. Для этого вам достаточно сконфигурировать сервер, ввести диапазоны адресов, настроить несколько дополнительных параметров и периодически осуществлять мониторинг.

Установка сервиса DHCP

Как и другие сервисы NT, DHCP работает в фоновом режиме. DHCP надо устанавливать на сервер, но администрировать можно и с рабочей станции. Серверы DHCP должны иметь фиксированные (статические) IP-адреса, потому что они не могут присваивать адреса сами себе. На роль DHCP-сервера хорошо подойдет, например, запасной контроллер доменов (Backup Domain Controller). Чтобы установить сервис DHCP, дважды щелкните на пиктограмму Network в Control Panel. (Можно также щелкнуть правой клавишей мыши на пиктограмму Network Neighborhood и выбрать Properties). Выберите ярлык Services, нажмите Add. Из списка Network Services выберите Microsoft DHCP Server и нажмите Ok. Затем перезагрузите сервер.

Конфигурирование DHCP-сервера

После установки необходимо сконфигурировать сервер. Запустите DHCP Manager, находящийся в группе Administrative Tools. На экране 1 показан открывающийся при этом диалог.

Главный компонент настройки DHCP — диапазон IP-адресов (scope). Каждой подсети соответствует один диапазон. Допустим, вам доступны адреса с 10.0.0.2 по 10.0.0.100. Однако компоненты вашей сети (принтеры, маршрутизаторы, DHCP-сервер) разбросаны внутри этого диапазона; к примеру, адрес принтера — 10.0.0.57. Указывать в качестве одного из диапазонов 10.0.02-10.0.0.56, а в качестве второго — 10.0.0.58-10.0.0.100 не нужно. Вместо этого DHCP позволяет указать IP-адреса или диапазоны адресов, которые DHCP-сервер присваивать не должен.

В меню DHCP Manager выберите Scope, Create. На рис. 2 показан открывающийся при этом диалог Create Scope. Вам необходимо ввести первый и последний адреса диапазона и маску подсети. Затем введите адреса, которые следует исключить из диапазона. При этом можно вводить как одиночные адреса (например, принтеров и других компонентов сети, не поддерживающих DHCP), так и их диапазоны. Наконец, укажите срок аренды (lease). О нем я расскажу позже. Можно также присвоить диапазону имя и ввести комментарий. Эти возможности предусмотрены для случаев, когда подсетей достаточной много.

После нажатия Ok и закрытия диалога Create Scope необходимо указать, желаете ли вы немедленно активизировать диапазон. Как правило, это можно сделать сразу. Но если количество диапазонов велико, их все можно сначала задать, а потом одновременно активизировать.

При выходе из диалога Create Scope возможно появление сообщения об ошибке No more data is available. Его можно проигнорировать. Созданный диапазон появится в окне DHCP Manager. Если вы его активизировали, изображенная справа от него лампочка будет гореть желтым цветом. Не волнуйтесь, если вы ввели диапазон 131.107.2.100-131.107.2.199, а в окне DHCP Manager появилось 131.107.2.0. Просто DHCP показывает последние восемь адресов, как ноль.

Казалось бы, для избыточности неплохо было бы иметь несколько серверов, обслуживающих одни и те же диапазоны адресов. Однако в NT 4.0 DHCP-серверы не взаимодействуют друг с другом. Другими словами, создать несколько серверов для одного и того же диапазона нельзя, поскольку они будут назначать одни и те же адреса. Надеюсь, в будущих версиях этот недостаток будет устранен. Иногда администратор сети с двумя серверами, каждый из которых обслуживает ее часть, может поделить между ними доступные IP-адреса. Таким образом, в случае сбоя одного из серверов по крайней мере у части пользователей сохранится возможность получения IP-адресов.

Конфигурирование клиентов TCP/IP

Сконфигурировать клиенты очень просто. После установки TCP/IP на клиентскую машину необходимо ввести способ задания IP-адресов. Вам нужно поставить метку в окошке напротив надписи, указывающей, что назначением IP-адресов должен заниматься DHCP-сервер. Если вы хотите узнать, какой адрес был получен клиентом, наберите в командной строке NT ipconfig /all. В ответ будет выведен IP-адрес клиента, IP-адрес DHCP-сервера, а также адреса серверов WINS и DNS. Если вам нужен только IP-адрес клиента, наберите ipconfig. В Windows 95 и 98 можно запустить программу winipcfg.exe, которая выведет информацию об IP-адресах в графическом окне.

Когда клиент DHCP впервые входит в сеть, он отправляет широковещательное сообщение о поиске DHCP-сервера. Широковещательное потому, что клиент еще не имеет IP-адреса и не знает доступных адресов. DHCP-сервер отвечает широковещательным сообщением (также потому, что у клиента еще нет адреса) с предложением IP-адреса. Клиент принимает адрес, о чем вновь отвечает широковещательным сообщением. В принципе клиент, получивший адрес и знающий адрес сервера, мог бы общаться с ним напрямую. Но широковещательное сообщение информирует остальные DHCP-серверы о том, что один из них выполнил клиентский запрос. DHCP-сервер отправляет подтверждение присвоения IP-адреса.

Настройка дополнительных параметров

При необходимости настроить WINS и DNS нужно ввести IP-адреса соответствующих серверов. В диалоге DHCP Manager выберите DHCP Options. Можно настраивать параметры отдельно для каждого диапазона, но, как правило, они задаются глобально. При наличии в сети нескольких подсетей обычно используется один-два сервера WINS и DNS. Как показано на экране 3, значения каждого параметра по умолчанию можно изменить. Выберите параметр в списке слева, нажмите Add. Во многих случаях, например для присвоения адреса WINS-сервера, придется воспользоваться функцией Edit Array. После ее активизации DHCP предоставляет необходимую информацию клиентским компьютерам. Экран 3 показывает, как настроаиваются наиболее часто используемые параметры (с использованием Add для выбора и Values для модификации). Параметр 003 — это адрес маршрутизатора или используемого по умолчанию шлюза, 006 — адрес DNS-сервера, а 044 — адрес WINS-сервера. При выборе 044 необходимо также выбрать 046 — тип узла WINS.

Срок аренды

DHCP присваивает IP-адреса на определенный срок, «сдает в аренду». По истечение половины этого срока клиент отправляет DHCP-серверу прямое сообщение с запросом о возобновлении аренды. Если сервер доступен, он ее продлевает. В противном случае клиент снова посылает запрос по истечение половины остатка интервала, и так далее. Если срок аренды 3 дня (72 часа), то клиент пытается возобновить его через 36 ч, 54 ч и 63 ч. Наконец, клиент отправляет широковещательный запрос ко всем DHCP-серверам. Если до окончания срока аренды клиент не находит сервер, компьютер утрачивает соединение с TCP/IP-сетью.

Оставаясь подключенным или возобновляя подключение, клиент сохраняет свой IP-адрес. Однако, если клиент допускает истечение срока аренды, DHCP восстанавливает этот адрес и делает его доступным для других клиентов. Длительность процесса восстановления может быть в несколько раз большей, чем срок аренды. В относительно стабильных средах его можно устанавливать в 3-4 суток. Такой интервал дает пользователям возможность выключать свои компьютеры более чем на два выходных без потери IP-адресов, и позволяет DHCP восстанавливать IP-адрес в течение нескольких дней после того, как один из компьютеров был удален из сети. Однако если к примеру сотрудники находящегося в вашем ведении отдела сбыта пользуются своими офисными компьютерами лишь по нескольку часов раз в неделю, срок аренды стоить сократить до 4-6 часов. Таким образом DHCP будет высвобождать IP-адреса уже на следующий день после использования. Казалось бы, если компьютеры не перемещаются постоянно с места на место, имеет смысл назначить неограниченный срок аренды. Однако, если один из компьютеров с неограниченным сроком аренды IP-адреса удалить из сети, DHCP не восстановит его для дальнейшего использования.

Поскольку запросы на возобновление срока аренды делаются при помощи широковещательных сообщений, которые не проходят через маршрутизаторы, вы, возможно, зададитесь вопросом — обязательно ли вообще держать по DHCP-серверу (а следовательно, и NT-серверу) в каждой подсети. К счастью, ответ — да. Рабочая станция с NT может выполнять роль агента-ретранслятора DHCP. Приняв DHCP-запрос, агент пересылает его напрямую серверу. Таким образом агент исполняет для клиента посредническую функцию, и тот получает IP-адрес. DHCP-сервер знает, из какой подсети пришел запрос, и назначает адрес из соответствующего ей диапазона.

DHCP позволяет легко определить, какой машине какой адрес назначен. В диалоге DHCP Manager (показанном на экране 1), выберите Scope, затем Active Leases. Для получения подробной информации о сроке аренды адреса для каждой из машин, выберите ее и нажмите Properties (или два раза щелкните на имени машины). На экране 4 показан список компьютеров моей офисной сети. Уникальный идентификатор (например, 004005000001) — это MAC-адрес сетевой платы. При необходимости отключить компьютер от сети, или после того как одна из машин была из нее удалена, соответствующий срок аренды можно аннулировать.

Преимущества DHCP

DHCP-сервер дает администратору ряд преимуществ. Главное — экономия времени, возникающая за счет отказа от ручного конфигурирования каждой машины. Новые компьютеры зачастую поставляются с предустановленной ОС. Если такой компьютер уже сконфигурирован в качестве DHCP-клиента, вы можете подключить его к сети, и ему сразу же будет автоматически присвоен IP-адрес. Если нет, то программа инсталляции NT при получении положительного ответа на соответствующий вопрос сама сконфигурирует систему, как DHCP-клиент. Если вы присваиваете IP-адреса вручную, вам необходимо хранить список уже выданных адресов. Администраторы нередко носят такие списки с собой, потому что они могут понадобиться им при конфигурировании новых компьютеров. Если на предприятии несколько администраторов, им приходится еще и координировать друг с другом присвоение адресов. DHCP знает, каким компьютерам какие адреса присвоены. Администраторам больше не придется опасаться опечаток при вводе адресов и случайного назначения одного и того же адреса нескольким компьютерам.

Первичное присвоение IP-адреса — не единственное, на чем экономится время. DHCP упрощает и другие административные задачи. В частности, вы с легкостью сможете перемещать компьютер из одной подсети в другую. При необходимости передать кому-либо компьютер с него можно будет предварительно скопировать конфигурационные файлы на другой. Если не пользоваться DHCP, то оба компьютера имели бы в результате один и тот же IP-адрес. DHCP устраняет эту проблему и сокращает количество обращений в службу поддержки.

Есть у DHCP преимущества и для пользователей. Пользователи ноутбуков, например, не смогут подключиться к сети, если адреса выдаются вручную. Однако клиенты, поддерживающие DHCP, по подключении сразу же получают новые действительные IP-адреса.

Кроме того, DHCP позволяет осуществлять совместное использование IP-адресов. Допустим, у вас имеется 50 свободных адресов и отдел сбыта со штатом в 100 человек. Сотрудники отдела проводят в офисе всего 1-2 дня в неделю; таким образом, одновременно к сети всегда подключены только 30-40 компьютеров. Каждый раз при подключении к сети сотрудник получает IP-адрес. После отключения система восстанавливает адрес, чтобы выдать его следующему пользователю.

Если ряд мобильных пользователей делят между собой несколько IP-адресов, некоторое их количество можно зарезервировать для тех, кому они больше всего нужны. Откройте диалог DHCP Manager, выберите Scope, Add Reservations. Таким образом вы сможете зарезервировать адрес для компьютера с определенным сетевым адаптером. Это может создать трудности, если пользователи поменяются адаптерами. Резервирование имеет свои отличия от присвоения фиксированного IP-адреса. Резервирование так же дает пользователю возможность подключаться к сети в различных отделах, но адрес в зависимости от местоположения может изменяться.

Засучите рукава

Настройка DHCP может показаться сложной, но за счет упрощения процесса администрирования вы сэкономите гораздо больше времени, чем потратите на изучение. В комплекте Service Pack 4 поддержка этого сервиса значительно улучшена.

Я знаю одну компанию, которая после внедрения DHCP перевела человека, занимавшегося исключительно управлением IP-адресами, на другую работу. Лучше тратить время на настройку ПО, чем на конфигурирование компьютеров и присвоение им IP-адресов.

Поделитесь материалом с коллегами и друзьями

Установка и настройка DHCP — манекены

2. Программирование
3. Сертификация
4. Установка и настройка DHCP

Если вы вообще работали с Windows NT, вы, вероятно, знакомы с протоколом динамической конфигурации хоста (DHCP) — сервером сервис, который позволяет серверу динамически назначать IP-адреса сетевым клиентам. Поскольку в основе сети Windows 2000 лежит TCP / IP, DHCP также играет важную роль в сетях Windows 2000.

Для сдачи экзамена вам необходимо знать, как установить и настроить DHCP на сервере Windows 2000, а также как управлять его операциями.

Что такое DHCP?

DHCP (протокол динамической конфигурации хоста) — это серверная служба, которая динамически назначает или сдает в аренду IP-адреса и соответствующую IP-информацию сетевым клиентам. На первый взгляд это может показаться не очень важной задачей. Однако вы должны помнить, что в сети TCP / IP каждый сетевой клиент должен иметь уникальный IP-адрес и соответствующую маску подсети.Без этих элементов клиент не может общаться в сети. Например, если у двух клиентов одинаковый IP-адрес, ни один из них не сможет общаться в сети.

На заре своего существования TCP / IP приобрел репутацию протокола с высокими накладными расходами — он требовал большей настройки, чем другие сетевые протоколы. Перспективы посещения каждого клиентского компьютера и ручного ввода правильного IP-адреса и маски подсети без ошибки дублирования было достаточно, чтобы вызвать у сетевых администраторов серьезные панические атаки.

DHCP выполняет всю эту работу автоматически. Каждый клиент получает уникальный IP-адрес, маску подсети и другую IP-информацию, такую ​​как шлюзы по умолчанию и IP-адреса серверов WINS (Windows Internet Name Service) и DNS (Domain Name System). DHCP гарантирует, что у клиентов нет повторяющихся адресов, и весь этот процесс невидим для сетевых администраторов и пользователей сети. Как видите, DHCP очень важен, и экзамен требует, чтобы вы знали, как его установить и настроить.

Как работает DHCP?

DHCP работает, предоставляя в аренду сетевым клиентам IP-адреса и IP-информацию на определенный период времени. Для заключения договора аренды происходит следующий процесс переговоров:

1. Во время процесса загрузки клиентский компьютер, настроенный как клиент DHCP, отправляет широковещательный пакет с именем DHCPDISCOVER. Этот пакет обнаружения содержит имя компьютера клиента и адрес управления доступом к среде передачи (MAC), поэтому серверы DHCP могут ответить на него.Обычно в пакете Discover написано: «Я ищу DHCP-сервер, который может арендовать IP-адрес».

2. DHCP-серверы в сети отвечают на широковещательную рассылку DHCPOFFER. По сути, DHCPOFFER говорит: «Я DHCP-сервер, и у меня есть для вас аренда». Если на запрос отвечают несколько DHCP-серверов, клиент принимает первое полученное предложение.

3. Клиент отвечает широковещательным сообщением DHCPREQUEST. Это сообщение в основном говорит: «Я принимаю ваше предложение аренды и хочу получить IP-адрес.«Если другие DHCP-серверы сделали предложения, они также увидят, что их предложения аренды не были приняты широковещательным сообщением, поэтому они аннулируют свои предложения. (Им не должно нравиться, что клиентский компьютер оскорбляет их.)

4. DHCP-сервер, предложение которого было принято, отвечает сообщением DHCPACK, которое подтверждает принятие аренды и содержит аренду IP-адреса клиента, а также другую информацию об IP-адресации, которую вы настраиваете для предоставления сервера. Теперь клиент является клиентом TCP / IP и может участвовать в сети.

Имейте в виду, что аренда действует на определенный период времени. Обычно клиент может сохранять свой IP-адрес в течение нескольких дней (или в зависимости от того, что вы настроите). По истечении половины срока аренды клиент пытается продлить аренду IP-адреса. После того, как клиент получает аренду для IP-адреса, он пытается сохранить аренду, возобновляя ее снова и снова. В случае неудачи клиент просто должен получить новый IP-адрес в аренду.

Обзор важных терминов DHCP

Вам следует запомнить термины DHCP, перечисленные в таблице 1, потому что вам необходимо знать их для экзамена.

Таблица 1. Важные термины DHCP

Установка DHCP

Как и другие сетевые компоненты в Windows 2000 Server, вы можете установить DHCP одним из двух способов:

• Использование «Установка и удаление программ» на панели управления

• Использование инструмента «Настройка сервера»

Как и большинство других компонентов Windows 2000, DHCP работает как оснастка консоли управления Microsoft (MMC). После установки DHCP необходимо настроить службу для работы.

Чтобы открыть диспетчер DHCP, нажмите Пуск -> Программы -> Администрирование -> DHCP.Правая панель в оснастке сообщает вам, что вы должны настроить службу.

DHCP не начинает аренду IP-адресов и не работает, пока администратор не настроит его.

.

Объяснение DHCP и того, как работает DHCP — Видеоурок по Windows Server

Обзор

Стенограммы

Файлы упражнений

Просмотр в автономном режиме

Детали курса

Понимание основ построения сетей имеет первостепенное значение для любого ИТ-профессионала.Когда вы поймете основы, следующим шагом станет IP-адресация. В этом курсе Тимоти Пинтелло рассматривает основные концепции, включая общие системы нумерации, а также логическую и физическую IP-адресацию. Он также обсуждает схемы адресации IPv4 и IPv6 и различные методы разрешения IP-адресации (такие как DHCP и DNS).

Инструктор

• Тимоти Пинтелло

  Профессор колледжа Дейтонского государственного колледжа

  Тимоти Пинтелло — профессор информатики в Государственном колледже Дейтоны и бывший системный администратор.

  Тимоти — адъюнкт-профессор и ассистент кафедры сетевых технологий в Школе компьютерных наук Государственного колледжа Дейтоны. Он также является автором сетевого учебника Introduction to Networking with Network + . До того как стать профессором колледжа, он работал в телекоммуникационной отрасли сначала специалистом по поддержке сети, затем ИТ-аналитиком и, наконец, системным администратором. В свободное время увлекается подводным плаванием с аквалангом и подводной фотографией.

  Узнать больше

  Видеть меньше

Навыки, описанные в этом курсе

Зрители этого курса

38 937 человек смотрели этот курс

Связанные курсы

.

Как работает DHCP-сервер

Как работает DHCP-сервер

DHCP-сервер используется для централизованного распределения конфигураций TCP / IP для компьютеров автоматически, без настройки вручную. DHCP означает протокол динамической конфигурации хоста. Это сэкономит вам много времени на настройку и управление сетью TCP / IP, особенно если у вас большая сеть.

Этот сервер может быть установлен как отдельный сервер или как встроенная функция на большинстве сетевых маршрутизаторов.Если ваш сетевой маршрутизатор поддерживает эту функцию, вы можете определить пул IP-адресов и другие конфигурации (маска подсети, шлюз по умолчанию, DNS-сервер) для распределения между компьютерами.

IP-адрес будет арендован на определенный период времени, поэтому неиспользуемый IP-адрес на время аренды будет возвращен в нераспределенный пул. Если IP-адрес активно используется, ваш компьютер попросит сервер продлить аренду.

Как работает DHCP в Microsoft Windows

В Microsoft Windows в качестве DHCP-клиента вы обычно выполняете следующую настройку на вашей сетевой карте (TCP / IP), свойства для автоматического получения IP-адреса и других конфигураций с этого сервера.

Когда вы включаете компьютер, он отправляет широковещательный пакет с запросом DHCP в сеть. Этот пакет будет перехвачен сервером, который впоследствии назначит компьютеру IP-адрес и другие конфигурации.

После того, как компьютеру назначен IP-адрес, вы можете ввести ipconfig / all в окне командной строки, чтобы проверить информацию о сети. Он показывает вам подробную конфигурацию TCP / IP (IP-адрес, маска подсети, шлюз по умолчанию, DNS-сервер).Он также показывает, что DHCP-сервер — 192.168.1.1, который в данном случае является моим сетевым маршрутизатором (маршрутизатор, который я использую, может работать как DHCP-сервер). IP-адрес передается в аренду на один день после проверки информации о лизинге получен и срок лизинга истек.

Щелкните здесь, чтобы узнать, как освободить и обновить IP-адрес с сервера DHCP.

Вернуться наверх !!

.

Полное руководство по DHCP Snooping, как это работает, концепции, база данных DHCP Snooping, параметр DHCP 82, смягчение атак из-за истощения DHCP, перехват DHCP, атаки Man-in-the-Middle и мошеннические DHCP-серверы

В этой статье рассматриваются популярные сетевые атаки Layer 2 и Layer 3 с акцентом на DHCP Starvation Attacks , Man-in-the-Middle Attacks , непреднамеренные мошеннические DHCP-серверы и объясняется, как функции безопасности как DHCP Snooping помогает защитить сети от этих атак.Мы объясняем , как работает DHCP Snooping , охватываем терминологию DHCP Snooping (доверенные, ненадежные порты / интерфейсы) и многое другое. Наконец, мы говорим о важности и цели DHCP Snooping Binding Database , которая также используется Dynamic ARP Inspection для предотвращения атак ARP Poisoning и ARP Spoofing .

Охваченные темы:

DHCP Starvation атака — это обычная сетевая атака, нацеленная на сетевые DHCP-серверы .Его основная цель — залить DHCP-сервер организации сообщениями DHCP REQUEST , используя поддельных MAC-адресов источника . Сервер DHCP будет отвечать на все запросы, не зная, что это атака DHCP Starvation , и назначать доступные IP-адреса до тех пор, пока его пул DHCP не будет исчерпан .

На этом этапе злоумышленник сделал DHCP-сервер организации бесполезным и теперь может включить свой поддельный DHCP-сервер для обслуживания сетевых клиентов. DHCP Starvation часто сопровождается атакой Man-in-the-Middle , поскольку мошеннический DHCP-сервер распределяет параметры поддельного IP-адреса, включая IP-адрес шлюза и DNS, так что весь клиентский трафик проходит через злоумышленника для проверки .

Типичная атака «Человек посередине». Потоки данных клиента проходят через злоумышленника

Используя инструменты захвата пакетов и анализа протоколов, злоумышленник может полностью восстановить любой захваченный поток данных и экспортировать из него файлы.На самом деле процесс настолько прост, что требует только базового уровня понимания этого типа сетевых инструментов.

В других случаях атака Man-in-the-Middle может использоваться как разведывательная атака с целью получения информации о сетевой инфраструктуре, услугах, а также для идентификации хостов, представляющих большой интерес, таких как финансовые серверы или серверы баз данных.

К настоящему времени должно быть очевидно, как простая атака может стать серьезной угрозой безопасности для любой организации.Вышеупомянутые атаки являются примерами того, как легко хакеры могут проникнуть в сеть и получить доступ к ценной информации , просто подключив неавторизованное / ненадежное устройство к доступному сетевому порту, эффективно обходя брандмауэры и другие уровни безопасности.

Ненужные DHCP-серверы — обычная проблема в корпоративных организациях и не всегда напрямую связана с атакой. Неавторизованные DHCP-серверы , как правило, появляются из ниоткуда благодаря пользователям, которые подключают сетевые устройства потребительского уровня к сетевой инфраструктуре, не подозревая, что они подключили неавторизованное устройство с мошенническим DHCP-сервером .

Ненужный DHCP-сервер затем начинает назначать IP-адреса хостам в сети, что вызывает проблемы с подключением к сети, а во многих случаях — серьезные сбои в обслуживании. В лучшем случае клиенты DHCP обслуживаются с недопустимым IP-адресом, отключающим их от остальной сети. В худшем случае клиентам будет назначен IP-адрес, используемый устройствами сетевой инфраструктуры, например интерфейсом VLAN на коммутаторе Core или интерфейсом межсетевого экрана, что вызовет серьезные сбои в сети и конфликты.

Неверный DHCP-сервер в действии, берет под свой контроль службы DHCP

Хотя многие организации применяют политики безопасности, которые не позволяют 3 ^rd сторонним или неавторизованным устройствам быть подключенными к их сети, все еще есть инциденты, когда пользователи, которые не понимают (или не заботятся) о последствиях для безопасности, продолжают подключать их устройства в сетевую инфраструктуру без консультации с их ИТ-отделом.

Обучение пользователей и применение политик безопасности. может быть чрезвычайно сложной задачей, поэтому для смягчения этих инцидентов необходимы механизмы безопасности, и именно здесь DHCP Snooping вступает в игру.

DHCP Snooping — доступно на коммутаторах платформы Cisco Catalyst и Cisco Nexus . Обе платформы классифицируются как коммутаторы корпоративного уровня и полностью поддерживают все функции DHCP Snooping.

DHCP Snooping считается стандартной функцией безопасности и не требует дополнительных лицензий для старых операционных систем Catalyst IOS, новых Catalyst IOS XE и Nexus NS-OS, поэтому эта функция доступна и легко настраивается на всех коммутаторах.

Примеры коммутаторов Cisco Catalyst , которые поддерживают DHCP Snooping : Cisco Catalyst 2960S, 2960-X, 3560, 3750, 3750-X, 3850, 4500, 6500, 9300, 9400 и 9500 серий.

Примеры коммутаторов Cisco Nexus , которые поддерживают DHCP Snooping : Nexus серий 2000, 3000, 5000, 7000 и 9000.

DHCP Snooping может быть включен глобально и для каждой VLAN . Это означает, что вы можете включить его для всех VLAN (глобально) или только для определенных, включая диапазоны VLAN. E.g VLAN 1-20 и VLAN 45-50.

DHCP Snooping — это функция коммутатора безопасности уровня 2 , которая блокирует неавторизованных (мошеннических) DHCP-серверов от распределения IP-адресов DHCP-клиентам . Фактически Cisco была первым поставщиком, который реализовал DHCP Snooping в качестве функции безопасности в своих сетевых коммутаторах, и с тех пор другие поставщики последовали аналогичным функциям.

Важно отметить, что DHCP SNOOPING — это служба защиты уровня доступа — она ​​не принадлежит базовой сети.

Принцип работы DHCP Snooping довольно прост. DHCP Snooping разделяет все порты коммутатора на две простые категории:

• Надежные порты
• Недоверенные порты

A Trusted Port , также известный как Trusted Source или Trusted Interface , — это порт или источник, сообщения DHCP-сервера которого являются доверенными, поскольку они находятся под административным контролем организации. Например, порт, к которому подключается DHCP-сервер вашей организации, считается надежным портом .Это также показано на схеме ниже:

Основные понятия DHCP Snooping: доверенные и ненадежные порты

Недоверенный порт , также известный как ненадежный источник или ненадежный интерфейс , — это порт, с которого сообщения DHCP-сервера не являются доверенными . Примером ненадежного порта является порт, к которому подключаются хосты или ПК, из которых DHCP OFFER, DHCP ACK или DHCPNAK сообщения должны никогда не отображаться , поскольку они отправляются только серверами DHCP.

Когда включает DHCP Snooping , коммутатор начинает отбрасывать определенный тип DHCP-трафика, чтобы защитить сеть от мошеннических DHCP-серверов . Вот список типов трафика, который отбрасывается DHCP Snooping:

• DHCP Snooping отбрасывает сообщения DHCP DHCPACK , DHCPNAK , DHCPOFFER , исходящие от DHCP-сервера, который не доверяет , то есть подключен к ненадежному порту .
• DHCP Snooping отбрасывает сообщения DHCP , которые выпуск или отклоняют предложение , если эти сообщения исходят не из порта, на котором был проведен исходный диалог DHCP . Это предотвращает попытки злоумышленников завершить или отклонить предложение DHCP от имени реального клиента DHCP.
• Агент ретрансляции DHCP пересылает пакет DHCP, который включает IP-адрес агента ретрансляции, отличный от 0.0.0.0 , или агент ретрансляции пересылает пакет, содержащий информацию Option 82 , на ненадежный порт . Для более подробного анализа, пожалуйста, обратитесь к нашей статье DHCP Option 82 .
• DHCP Snooping отбрасывает сообщения DHCP , где MAC-адрес источника и MAC-адрес клиента не идентичны (см. DHCP_SNOOPING-5-DHCP_SNOOPING_MATCH_MAC_FAIL ниже).

Когда DHCP Snooping обнаруживает нарушение , пакет (ы) DHCP, запускающий событие, отбрасывается, и сообщение регистрируется в журнале коммутатора.Сообщение может содержать одну из следующих записей:

• % DHCP_SNOOPING-5-DHCP_SNOOPING_UNTRUSTED_PORT : DHCP Snooping обнаружил сообщения DHCP-сервера с ненадежного порта . Это серьезное нарушение и обычно указывает на мошеннический DHCP-сервер , работающий на ненадежном порту .

• % DHCP_SNOOPING-5-DHCP_SNOOPING_MATCH_MAC_FAIL : DHCP Snooping обнаружил исходный MAC-адрес кадра Ethernet и MAC-адрес клиента в сообщении DHCP ниже не идентичны (см. Изображение ниже).

MAC-адрес источника кадра Ethernet и MAC-адрес клиента в сообщении DHCP всегда должен совпадать с

Когда DHCP Snooping включен, он начнет создавать динамическую базу данных , содержащую запись для каждого ненадежного хоста с арендованным IP-адресом , если хост связан с VLAN, в которой DHCP Snooping включен . Записи не создаются для хостов, подключенных к доверенным интерфейсам .

Каждая запись в базе данных привязки содержит следующую информацию:

• MAC-адрес ненадежного хоста
• Арендованный IP-адрес ненадежного хоста
• Срок аренды
• Тип переплета
• Номер VLAN и интерфейс ненадежного хоста связан с

Поскольку ненадежным хостам назначаются IP-адреса от доверенного DHCP-сервера , коммутатор автоматически создает новые записи, обновляет и очищает базу данных привязки DHCP Snooping .

Например, когда срок аренды IP-адреса истекает или коммутатор получает сообщение DHCPRELEASE от ненадежного узла , он удалит конкретную запись из базы данных. С другой стороны, запись будет создана в базе данных, если коммутатор увидит сообщение DHCPACK от доверенного DHCP-сервера , подтверждающее назначение IP-адреса ненадежному хосту .

Команда show ip dhcp snooping binding отображает все записи в базе данных привязки DHCP Snooping :

Cat3560-Межсетевой экран.cx # show ip dhcp snooping binding

MacAddress IpAddress Lease (sec) Type VLAN Interface
—————— ———— —- ———- ————- —- ——————- —
D0: 76: 58: 0C: BB: 80 192.168.4.50 85228 dhcp-snooping 4 GigabitEthernet0 / 5

Общее количество привязок: 1

База данных привязки DHCP Snooping также используется другими функциями безопасности уровня 2/3, такими как Dynamic ARP Inspection , которые помогают защитить сеть от атак ARP Poisoning и ARP Spoofing .

Конфигурация IP DHCP Snooping для коммутационных платформ Cisco Catalyst и Cisco Nexus будет подробно рассмотрен в следующей технической статье.

Dynamic ARP Inspection , ARP Poisoning , Атаки ARP Spoofing будут рассмотрены в следующей статье по безопасности.

DHCP Option 82 , также известный как Relay Agent Information Option , изначально был создан RFC 3046, чтобы разрешить агенту ретрансляции DHCP (e.g коммутатор или маршрутизатор) на идентифицировать себя и DHCP-клиент , который отправил сообщения DHCP. DHCP Option 82 используется в крупных городских сетях Ethernet-доступа, где DHCP требуется для централизованного управления IP-адресами большого числа абонентов.

Когда DHCP Snooping включен на коммутаторе Cisco Catalyst или Nexus, он вставит поле Option 82 в сообщение DHCP клиента:

Коммутатор с включенным отслеживанием DHCP вставляет параметр 82 DHCP в запрос DHCP

Опция 82 DHCP-сервера не часто используется в организациях, но обеспечивает дополнительный уровень защиты, если DHCP-сервер поддерживает его.Например, DHCP-сервер на Windows Server 2012 или 2016 поддерживает Option 82 , позволяя администраторам создавать политики DHCP, которые управляют назначением IP-адресов определенным коммутаторам в сети.

Анализ структуры DHCP Option 82 выходит за рамки данной статьи, но будет подробно рассмотрен в следующей статье.

Прочтите нашу статью «Формат сообщения DHCP Option 82, анализ.DHCP Snooping Option 82 Injection & Removal Method, Trusted — Untrusted Switch Ports »для углубленного анализа DHCP Option 82.

Атаки типа Man-in-the-Middle и сбои сети из-за мошеннических DHCP-серверов — серьезная угроза сетевой безопасности, с которой организации сталкиваются ежедневно. В этой статье мы объяснили, как атак типа Man-in-the-Middle позволяют злоумышленникам получить видимости вашей сети и потенциально могут привести к раскрытию конфиденциальных данных , передаваемых между серверами и клиентами.Мы объяснили , что такое DHCP Snooping , изучили , как работает DHCP Snooping и как может эффективно защитить сеть от этих атак. Мы рассмотрели тип трафика, сброшенного из-за отслеживания DHCP, предупреждений о нарушении , а также объяснили назначение и работу базы данных привязки DHCP Snooping . Наконец, мы коснулись опции DHCP Snooping Option 82 .

Вернуться к разделу о коммутаторах Cisco

Статьи по теме

.