Zasada działania protokołu DHCP, sposoby konfiguracji w urządzeniach i hostach

Wydział Informatyki, Elektroniki i Telekomunikacji Katedra Telekomunikacji Kraków, 28.11.2016 r.

IPv6

• Czyszczenie ustawień karty sieciowej: - netsh int ipv6 reset

- netsh int ip reset

– ipconfig /renew

• RIP dla IPv6 – R>enable

– R#configure terminal

– R(config)#ipv6 unicast-routing

– R(config)#interface FastEthernet0/0

– R(config-if)#ipv6 rip nazwa enable

– R(config-if)#exit

RARP i BOOTP

• RARP (ang. Reverse Address Resolution Protocol) – Pierwszy protokół dynamicznego przydzielania adresów IP

– Przyznawał adres klientowi, który zgłaszał zapotrzebowanie przez rozgłoszenie w sieci

– Brak możliwości przyznania maski, bramy i innych danych TCP/IP

• BOOTP (ang. Bootstrap Protocol) – Następca RARP

– Ulepszone właściwości dynamicznego przyznawania adresów -zastosowanie tzw. „magic cookie” – 64-bajtowy segment pakietu BOOTP zawierający dane konfiguracyjne takie jak maska podsieci, serwery DNS, itp.

– Baza danych była statyczna (przechowywana w statycznym pliku tekstowym), co ograniczało jego użyteczność

DHCP

• DHCP (ang. Dynamic Host Configuration Protocol – protokół dynamicznego konfigurowania węzłów) – protokół komunikacyjny umożliwiający komputerom uzyskanie od serwera danych konfiguracyjnych, np. adresu IP hosta, adresu IP bramy sieciowej, adresu serwera DNS, maski podsieci.

• Protokół DHCP jest zdefiniowany w RFC 2131 i jest następcą BOOTP. DHCP został opublikowany jako standard w roku 1993.

• W kolejnej generacji protokołu IP, czyli IPv6, jako integralną część dodano nową wersję DHCP, czyli DHCPv6. Jego specyfikacja została opisana w RFC 3315.

Serwer DHCP

• DHCP (ang. Dynamic Host Configuration Protocol) – Ulepszony następca BOOTP

– Pakiet DHCP jest niemal identyczny jak BOOTP (obszar „magic cookie” został powiększony, by pomieścić dodatkowe dane, np. serwer DNS, serwer WINS)

– Klient potrzebujący dynamicznego adresu IP uruchamia się i wysyła rozgłoszeniem żądanie do wszystkich węzłów podsieci

– Serwer nasłuchujący rozgłoszeń na porcie UDP 67 odpowiada na żądanie klienta, przyznając adres IP z ustalonego z góry zakresu

– Oprócz adresu IP do klienta wysyłane są wszystkie opcje zdefiniowane w zakresie serwera:

• Serwery DNS i WINS

• Bramy domyślne

• Maska podsieci

• Wiele innych danych

Nagłówek DHCP

Nagłówek DHCP

• Operacja Typ nagłówka. 1 = BOOTREQUEST, 2 = BOOTREPLY

• Typ sprzętu Liczba z zakresu 1-28 oznaczająca typ sprzętu (karty sieciowej). Dla sieci ethernetowej przyjmuje wartość 1.

• Długość adresu sprzętowego Oznaczenie długości używanego adresu sprzętowego np. 6 dla Ethernetu 10 Mbps.

• Liczba skoków Pole jest opcjonalne. Zlicza liczbę pośrednich ruterów biorących udział w transmisji pakietu.

• Identyfikator transakcji Wybierany losowo przez klienta identyfikator (w sytuacji, gdy serwer nie będzie w stanie "zrozumieć" adresu sprzętowego klienta. Wyśle odpowiedź na broadcast, a xid będzie jedynym sposobem rozpoznania odpowiedzi kierowanej do klienta).

• Liczba sekund Mierzony w sekundach czas, jaki upłynął od momentu pierwszego wysłania przez klienta wiadomości typu BOOTREQUEST.

Nagłówek DHCP

• Flagi W tej chwili używany tylko 1 bit (BROADCAST flag). Pozostałe 15 bitów jest zarezerwowane na zastosowanie w przyszłości.

• Adres IP klienta Pole nieobowiązkowe. Wypełniane w przypadku np. odświeżania adresu.

• Przydzielony adres IP klienta Trzy możliwości przydzielania adresu: ręcznie (na podstawie MAC), automatycznie (kolejność zgłaszania) i dynamicznie (tylko na pewien okres).

• Adres IP serwera Ustawiane przez serwer.

• Adres IP bramki Ustawiane przez serwer.

• Adres sprzętowy klienta Adres MAC klienta.

• Nazwa serwera Pole opcjonalne. Nazwa hosta serwera.

DHCP – przydzielanie adresów IP

• przydzielanie ręczne oparte na tablicy adresów MAC oraz odpowiednich dla nich adresów IP. Tworzone przez administratora serwera DHCP. W takiej sytuacji prawo do pracy w sieci mają tylko komputery zarejestrowane wcześniej przez obsługę systemu.

• przydzielanie automatyczne, gdzie wolne adresy IP z zakresu ustalonego przez administratora są przydzielane kolejnym zgłaszającym się po nie klientom.

• przydzielanie dynamiczne, pozwalające na ponowne użycie adresów IP. Administrator sieci nadaje zakres adresów IP do rozdzielenia. Wszyscy klienci mają tak skonfigurowane interfejsy sieciowe, że po starcie systemu automatycznie pobierają swoje adresy. Każdy adres przydzielany jest na pewien czas. Taka konfiguracja powoduje, że zwykły użytkownik ma ułatwioną pracę z siecią.

DHCP – parametry przekazywane do klienta

• adres IP serwera DNS

• nazwa DNS

• adres IP bramy sieciowej (ang. gateway)

• adres broadcast

• maska podsieci

• maksymalny czas oczekiwania na odpowiedź w protokole ARP

• wartość MTU (maksymalny rozmiar pakietu)

• adres IP serwera SMTP

• adres serwera TFTP

APIPA

• APIPA (ang. Automatic Private IP Addressing) – Proces wykorzystywany w sytuacji niedostępności serwera DHCP

– Klienci APIPA automatycznie przydzielają sobie adresy IP z zakresu 169.254.0.0/16, co daje im podstawy łączności TCP/IP w małych sieciach

– Może sprawiać kłopot w dużych sieciach – gdy klient straci łączność z serwerem DHCP i będzie musiał odświeżyć dzierżawę, przyzna sobie adres z zakresu 169.254.0.0/16 – gdy serwer DHCP wróci do eksploatacji, klient nie zarejestruje się w nim od razu i może być odcięty od sieci

• Rozwiązaniem jest klucz udostępniony przez Microsoft umożliwiający wyłączenie APIPA

Agenty przekazujące DHCP

• Stosowane w sieciach złożonych z wielu podsieci

• Wykrywają pakiety rozgłoszeniowe i przekazują je do serwera DHCP

DHCP i dynamiczny DNS

• Za pomocą DNS klienci mogą automatycznie rejestrować się w bazie danych dzięki mechanizmowi DDNS (dynamiczny DNS)

• DHCP w Win server integruje się bezpośrednio z DDNSem

• Wszyscy klienci Windows 2000 i nowszych systemów domyślnie wykonują tę operację sami lecz można skonfigurować DHCP tak, by usługa serwera aktualizowała rekord w dynamicznym DNSie za klienta

DHCP w systemie Windows Server

• Automatyzacja tworzenia i przywracania kopii zapasowych bazy danych DHCP

– Brak potrzeby eksportowania kluczy rejestru i ręcznego przenoszenia baz danych pomiędzy serwerami w celu migracji DHCP

– Migrację przeprowadza się bezpośrednio z konsoli zarządzania serwerem DHCP

• Alternatywne ustawienia sieci klienta DHCP

– Możliwość ustawienia statycznego adresu IP, z którego komputery klienckie będą korzystały w przypadkach niedostępności serwera DHCP

– Eliminuje automatyczny przydział adresu APIPA

DHCP – procedury awaryjne

• Usługa DHCP nie posiada żadnej metody dynamicznej współpracy z innym serwerem DHCP pozwalającej synchronizować dzierżawy klientów i informacje zakresów

• Możliwość konfiguracji zapasowego środowiska DHCP, które zapewni redundancję na wypadek awarii lub niedostępności serwera

• Metody zapewniające nadmiarowość

– Metoda 50/50

– Metoda 80/20

– Metoda 100/100

– Metoda zakresów rezerwowych

– Klastry serwerów DHCP

DHCP – procedury awaryjne metoda 50/50

• Polega na użyciu dwóch serwerów DHCP, z których każdy obsługuje taką samą część żądań klientów w podsieci

• Oba serwery dysponują podobnymi zakresami lecz przedziały adresów IP muszą być w nich różne, aby uniknąć konfliktów adresowania

• Po zażądaniu przez klienta adresu IP przyjęty zostanie pierwszy z serwera, który odpowie na nie, co mniej więcej równoważy obciążenie serwerów

• Zastrzeżenia: – Nierównomierne rozmieszczenie klientów skutkujące wyczerpaniem puli u jednego z

serwerów

– Konieczność wykluczenia przedziału adresów dla zakresu istniejącego w drugim serwerze

DHCP – procedury awaryjne metoda 80/20

• Polega na użyciu dwóch serwerów DHCP, z których każdy obsługuje część żądań klientów w podsieci

• Dostępna pula z zakresu serwera DHCP wyznaczonego na zapasowy zawiera tylko 20% dostępnej puli adresów IP

• W większości przypadków serwer mieszczący te 20% będzie położony w jakiejś odległej podsieci – nie będzie więc odpowiedzialny za większość dzierżaw klientów

• Serwer z 80% puli będzie położony bliżej użytkowników obsługując przez to większość klientów ponieważ jego czas odpowiedzi będzie krótszy

• W przypadku awarii Serwera1, Serwer2 będzie odpowiadał na żądania klientów, dopóki nie przywrócimy pierwszego serwera do pracy

• Zastrzeżenia: – W przypadku zbyt długiej nieobecności Serwera1, w Serwerze2 w końcu

wyczerpie się pula adresów do dzierżawienia i ponawianie dzierżawy przez klientów stanie się niemożliwe

– Konieczność wykluczenia przedziału adresów dla zakresu istniejącego w drugim serwerze

DHCP – procedury awaryjne metoda 100/100

• Najskuteczniejszy sposób osiągania wysokiej dostępności środowiska DHCP

• Polega na użyciu dwóch serwerów DHCP, z których każdy obsługuje tę samą sieć organizacji

• Zakresy w obu serwerach zawierają jednak różne pule adresów o zbliżonej wielkości, z których każda jest wystarczająco duża, by obsłużyć wszystkich klientów w danej podsieci

• Jeśli jeden z serwerów DHCP przestanie być dostępny i odpowiadać na żądania, drugi przejmuje jego rolę odpowiadając klientom i pozwalając im zmieniać adresy IP na dostępne w jego zakresie

• Zastrzeżenia: – Konieczność zapewnienia klientom dużej

liczby adresów IP, ponad dwukrotnie większej niż normalnie (trudne, a czasem nawet niemożliwe)

– Konieczność wykluczenia przedziału adresów dla zakresu istniejącego w drugim serwerze

DHCP – procedury awaryjne

• Metoda zakresów rezerwowych – Rezerwowy serwer DHCP jest serwerem z zainstalowaną

usługą DHCP i skonfigurowanymi zakresami, lecz usługa nie jest włączona

– Zakresy muszą być zdefiniowane w różnych pulach adresów lecz pozostają uśpione, dopóki nie będą potrzebne

– Zaleta: • Usługę DHCP można zainstalować w serwerze, w którym

normalnie nie będzie zajmowała dodatkowych zasobów – w razie problemów wystarczy aktywować uśpione zakresy (można w tym celu wykorzystać zautomatyzowane narzędzie lub skrypt)

• Klastry serwerów DHCP – Jeśli jeden serwer ulegnie awarii, drugi serwer w klastrze

przejmie usługę DHCP

– Rozwiązanie to wymaga inwestycji w sprzęt i powinno być brane pod uwagę jedynie w razie konieczności

DHCP – zaawansowane pojęcia

• Superzakresy DHCP (ang. superscope)

– Stosowane w środowiskach, w których wiele podsieci składa się na jedno środowisko zakresu

• W takim przypadku można utworzyć superzakres złożony z wielu zakresów, które będą od niego zależne (jeśli wyłączymy superzakres, zakresy też zostaną dezaktywowane)

• Zakresy multiemisji (ang. multicast)

– Tworzone, aby móc przydzielać klientom adresy IP multiemisji, czyli takie, w których wszystkie docelowe hosty mogą mieć ten sam adres IP (np. wideokonferencje)

• Delegowanie administracji DHCP

– Administrator DHCP

– Przydzielenie użytkownika do powyższej grupy pozwala łatwo oddelegować do niego zarządzanie usługą DHCP

DHCP – Netsh

• Narzędzie wiersza poleceń Netsh – Umożliwia wykonywanie praktycznie wszystkich zadań administracyjnych

z poziomu wiersza poleceń

– Dla użytkowników preferujących zarządzanie z linii komend

– Umożliwia wykonywanie skryptów i plików wsadowych automatyzujących procesy administracji

DHCP – bezpieczeństwo

• Protokół DHCP nie jest w praktyce bezpieczny

• Nie ma sposobu ustalenia czy żądanie klienta jest pełnoprawne i czy nie ma złych intencji

• Atak na serwer DHCP może mieć postać odmowy usługi przez użytkownika poprzez żądanie wszystkich dostępnych adresów z puli, uniemożliwiając tym samym otrzymanie adresów przez pełnoprawnych użytkowników

• Powinno być zapewnione wysokie bezpieczeństwo fizyczne sieci

DHCP – zagadnienia i mechanizmy zabezpieczeń

• Autoryzacja DHCP

– DHCP jest usługą nie stosującą uwierzytelniania

• Każdy może założyć serwer DHCP w sieci i zacząć obsługiwać klientów przydzielając im błędne adresy lub przekierowując z nieuczciwych powodów

– Począwszy od Win 2k stosuje się autoryzację serwerów DHCP w domenie Active Directory

• Po autoryzacji serwera DHCP przez odpowiednie władze domeny może on zacząć przyznawać dzierżawy klientom

– Wada:

• Można dodać do sieci nieautoryzowany serwer NT 4.0

– Aby ustalić położenie nielegalnych serwerów DHCP może okazać się konieczne użycie analizatorów sieci