DHCP服务器如何检测穿过中继代理的IP地址冲突(gratuitous ARP肯定是不行的)

简介:

1关于DHCP服务器的冲突检测的总结

2取证DHCP中继代理的工作原理与IP地址冲突(因为不在一个子网,所以gratuitous ARP肯定不行老)


关于DHCP服务器的冲突检测

  业内常有工程师提出这样一个问题:当在一个子网内为了提高DHCP的冗余,同时架设了两台DHCP服务器而且配置了相同的地址池范围(比如都是分配192.168.2.1-192.168.2.254/24);那么,两台DHCP服务器会把同一个IP地址作两次分配给不同的主机吗?,比如:DHCP服务器A分配一个192.168.2.5的IP;DHCP服务器B又分配一个192.168.2.5的IP,这样就会在网络上造成IP地址冲突。答案是不会造成IP地址冲突,因为现在的DHCP多数都采取了冲突检测特征,就是说,在DHCP服务器准备向网络上的某台主机提供IP地址之前,做冲突检测,检测的方式大致有两种:一是DHCP服务器向网络上发送一个关于机会IP(准备分配给DHCP客户端的IP地址)的ARP请求,无应答就表示地址没有被使用,当然也不希望得到ARP的回应,如果得到回应则表示该地址已被使用,那么DHCP不会把该地址分配出去;另一种方案是DHCP服务器在分配某个IP地址之前向网络上发送一个ICMP的回显报文,如果没有主机应答,证明该IP地址没有被使用,可以被分配出去,相反之则不能。


DHCP是基于广播和单播工作的,至少客户端发出的discover消息肯定是广播,因为它要寻找网络中的DHCP服务器,都知道路由器是隔断网络广播的三层设备,那么,位于路由器不同接口上的DHCP服务器与客户端将无法进行正常工作,因为客户端的Discover消息被路由器给切断。此时,在这种跨网段的DHCP部署环境中,提出一种概念叫做中继代理(Relay Agent),在思科的IOS中叫帮助地址(Helper address)它能帮助DHCP客户端跨越路由器申请IP地址及其它TCP/IP参数,从而解决由于广播域的分隔,导致DHCP不能正常工作的问题。关于DHCP中继代理的工作原理如下图9.23所示。


  • 第一步:DHCP客户端发送DHCP的Discover广播寻找本地子网上的DHCP服务器,毫无疑问,这个寻找将失败,因为本地子网上根本没有部署DHCP服务器,但是,此时DHCP的中继代理路由器R1的E1/0(192.168.5.1)会收到这个Discover广播消息。

  • 第二步:中继代理路由器会帮助DHCP客户端到指定的DHCP服务器去申请IP地址,这里所谓指定的DHCP服务器,事实上,就是在中继路由器上申明了谁是DHCP服务器,比如申明192.168.4.1为DHCP服务器,那么DHCP的中继路由器会将Discover消息单播到DHCP服务器(192.168.4.1),注意,此时中继使用单播的方式把Discover消息发送到DHCP服务器,因为中继明确的知道它该向哪台DHCP服务器进行申请,

  • 第三步:DHCP服务器会以单播的方式回应中继的Discover消息,并发送Offer消息,该消息中包括了DHCP可以给中继提供的机会IP(192.168.5.2),关于DHCP服务器提供给中继的Offer消息如下图9.24所示,这个Offer消息以单播的形式发送,因为,DHCP服务器知道中继是谁,并且在该消息中包括了中继的IP地址,值得提出的是,DHCP服务器向中继提供机会IP(192.168.5.2)之前,它还是会做一个IP地址冲突检测,它需要知道192.168.5.2这个IP地址,在网络上是否有主机正在使用它,它的检测方式是发送一个目标地址为192.168.5.2的ICMP回显消息,如果没有回应,说明该地址没有被使用,可以被分配出去,反之则不能;DHCP服务器还会检测与中继的连通性,确保中继能成功的得到这个Offer消息,关于这个过程可以通过如下图9.25所示的数据帧证实。在这里DHCP服务器为什么不使用ARP进行IP地址冲突探测?原因很简单,因为在通过中继申请IP地址的DHCP环境中,DHCP提供的IP地址通常都不是本地子网的IP地址范围,ARP不能穿越路由器工作。


  • 第四步:中继向DHCP服务器发起DHCP的Request请求消息,该消息仍然以单播的方式发送,这与本地子网上DHCP的工作原理不同,在本地子网上的这个过程应该是以广播的形式进行发送,而在中继的环境中,中继以单播发送,因为在这种情况下,通信双方是很明确的,不可能存在有其它的DHCP服务器向中继提供IP,两个原因:第一个原因是中继设备上会明确指示它该向哪台DHCP服务器申请IP;第二个原因是中继发起DHCP的Discover消息时,就是单播发送的,不会有第二台DHCP服务器来为中继提供IP,因为它不会自作多情。

  • 第五步:DHCP服务器收到中继的单播Request消息后,会回应一个ACK消息给中继,指示IP地址的租期正式生效,注意该消息仍然是以单播的形式发送,前面已经描述了原因,这里不再重复描述。

  • 第六步:事实上述第二步到第五步对于DHCP客户端而言是完全透明的,它看不见中继为它完成IP地址申请的过程。它只能看见中继与自己的DHCP消息交互过程,当DHCP的中继成功的从DHCP服务器获得地址后,中继会给DHCP客户端发送一个DHCP的Offer消息,告诉DHCP的客户端可以提供给它的IP地址,注意,此时中继就无需再检测该IP地址在网络上是否有冲突的可能性了,因为这个过程在上述的第三步中已经做了检测。

  • 第七步:DHCP客户端在收到DHCP中继所提供的Offer消息后,会向DHCP的中继发送一个DHCP的Request消息,正式请求IP地址。该消息以广播的形式发送,为什么是会以广播形式发送,在标准的DHCP环境已经有明确说明。

  • 第八步:DHCP中继收到客户端的Request消息后,会回应一个ACK消息给DHCP客户端,申明租约正式生效,然后DHCP客户端在得到ACK消息后,会将DHCP中继颁发给它的IP地址使用“免费的ARP(请求的目标IP和源IP地址一样,它不希望得到任何回应)”做一个最终的地址冲突检测。然后正式使用该IP地址。

注意:DHCP中继,就其本身而言,它没有任何资格颁发IP地址及其它TCP/IP属性,它只是代理DHCP客户端向DHCP服务器做申请,中继与DHCP服务器交互DHCP消息的过程对于DHCP客户端而言是透明的。



本文转自 kingsir827 51CTO博客,原文链接:http://blog.51cto.com/7658423/1279320,如需转载请自行联系原作者

相关文章
|
22天前
|
网络协议 Windows
Windows Server 2019 DHCP服务器搭建
Windows Server 2019 DHCP服务器搭建
|
22天前
|
网络协议 Windows
Windows Server 2003 DHCP服务器搭建
Windows Server 2003 DHCP服务器搭建
|
2月前
|
网络协议 Linux Windows
构建 DHCP 服务器
DHCP(动态主机配置协议)是局域网中使用UDP工作的协议,负责自动分配IP地址等网络配置。它利用UDP端口67/68作为服务器/客户端通信端口。通过配置DHCP服务器(例如使用`yum install dhcp dhcp-devel -y`安装),可在`/etc/dhcpd.conf`中定义地址池、子网掩码、默认网关等参数。服务器需设置静态IP并运行TCP/IP协议。客户端只需简单配置为DHCP模式即可自动接收配置信息。
50 9
|
3月前
|
安全 Ubuntu 网络协议
在Linux中,如何配置DHCP服务器?
在Linux中,如何配置DHCP服务器?
|
3月前
|
网络协议
|
3月前
|
前端开发 应用服务中间件 API
"揭秘!面试官必问:你是如何巧妙绕过跨域难题的?前端代理VS服务器端CORS,哪个才是你的秘密武器?"
【8月更文挑战第21天】在软件开发中,尤其前后端分离架构下,跨域资源共享(CORS)是常见的挑战。主要解决方案有两种:一是服务器端配置CORS策略,通过设置响应头控制跨域访问权限,无需改动前端代码,增强安全性;二是前端代理转发,如使用Nginx或Webpack DevServer在开发环境中转发请求绕过同源策略,简化开发流程但不适用于生产环境。生产环境下应采用服务器端CORS策略以确保安全稳定。
44 0
|
3月前
|
存储 监控 Unix
|
4月前
|
弹性计算 运维 Linux
云服务器 ECS产品使用问题之如何改变服务器地址
云服务器ECS(Elastic Compute Service)是各大云服务商阿里云提供的一种基础云计算服务,它允许用户租用云端计算资源来部署和运行各种应用程序。以下是一个关于如何使用ECS产品的综合指南。
|
4月前
|
网络协议 安全 Linux
在IntelliJ IDEA中使用固定公网地址远程SSH连接服务器环境进行开发
在IntelliJ IDEA中使用固定公网地址远程SSH连接服务器环境进行开发
91 2
|
4月前
|
网络协议 Linux 开发工具
配置Linux固定IP地址,为什么要固定IP,因为他是通DHCP服务获取的,DHCP服务每次重启都会重新获取一次ip,VMware编辑中有一个虚拟网络编辑器
配置Linux固定IP地址,为什么要固定IP,因为他是通DHCP服务获取的,DHCP服务每次重启都会重新获取一次ip,VMware编辑中有一个虚拟网络编辑器