应用服务器规划（一）：DHCP服务器规划,部门/姓名,: : 主送对象: 抄送对象: : 审 核 人:,学习目标,掌握DHCP工作原理 掌握DHCP中继工作原理 掌握DHCP服务器部署的各种方式 掌握DHCP相关的安全设计 掌握利用Windows Server 2003架设DHCP服务器,2,场景描述,接入层、汇聚层、核心层都已经架设完毕，网络连通性已经实现,校园网用户如何接入校园网呢？,场景描述,校园网用户（学生或老师）的PC需要指定一个IP地址,场景描述,如何为校园网用户（学生或老师）的PC分配一个IP地址？ 使用手动配置IP地址的方式,不是所有的校园网用户清楚地知道如何正确的配置IP地址,网络中心维护人员要花费时间和精力来指导这部分用户配置IP地址,网络中心维护人员制作一份IP地址配置指导文档供用户自己阅读使用。但仍有用户会来询问配置问题,场景描述,使用手动配置IP地址的方式会存在什么问题？,即使所有用户都很清楚地知道如何手动配置IP,网络中心维护人员仍然需要制定一张IP分配表，来规定哪个用户使用哪个IP地址,用户很有可能由于误配置设置成相同的IP地址，导致IP地址冲突,有没有一种方式可以做到 1.降低用户配置IP地址的难度 2.减轻网络中心维护人员的工作量 3.避免由于误配置导致的IP地址冲突,课程内容,第一章 DHCP工作原理 第二章 DHCP中继工作原理 第三章 DHCP服务器部署方式 第四章 DHCP相关安全设计 第五章 Windows Server 2003架设DHCP服务器,7,第一章 DHCP工作原理,DHCP简介 DHCP（Dynamic Host Configuration Protocol），动态主机配置协议 在RFC2131中定义， C/S架构，为主机提供IP相关参数（IP地址、子网掩码、网关、DNS等）的自动配置。 DHCP报文格式和BootP（RFC951、RFC1542）报文兼容，保证了互操作 DHCP优点 减少对上网IP地址的需求量 减少客户机的配置复杂度 减少手工配置IP地址导致的错误 集中管理，减少网络管理的工作量,第一章 DHCP工作原理,DHCP系统组成 DHCP客户机（client）： 普通用户PC，通过DHCP来获得网络配置参数 DHCP服务器（server）： 提供网络设置参数给DHCP客户 DHCP中继代理（relay）： 在DHCP客户机和服务器之间转发DHCP消息的网关设备,第一章 DHCP工作原理,PC上的DHCP设置,第一章 DHCP工作原理,PC上的DHCP设置 释放通过DHCP方式获取到的IP地址,第一章 DHCP工作原理,PC上的DHCP设置 重新通过DHCP方式获取IP地址,第一章 DHCP工作原理,DHCP工作过程,PC,DHCP服务器,网关路由器,常见的DHCP报文交互过程包含4个报文,4个报文中会携带什么信息，才能够使主机可以动态获得IP地址等参数？,第一章 DHCP工作原理,DHCP报文介绍 DHCP Discover 该报文为PC发出的第一个请求报文，为广播报文，主要作用是用来发现DHCP服务器，但PC并不知道DHCP的IP地址，因此目的MAC和目的IP地址都为广播,第一章 DHCP工作原理,DHCP报文介绍 DHCP Offer 该报文为DHCP服务器返回的第一个报文，当网络中存在多台DHCP服务器时，PC只会保留先收到的DHCP Offer。DHCP Offer中包含DHCP服务器可以为PC分配的IP地址、网关IP、DNS参数等配置信息,第一章 DHCP工作原理,DHCP报文介绍 DHCP Request PC发出的第二条请求报文，PC根据服务器返回的Offer中的信息，发起正式申请。,第一章 DHCP工作原理,DHCP报文介绍 DHCP ACK 服务器收到PC的请求报文后，从地址池中分配相应的IP地址返回给PC,第一章 DHCP工作原理,知识点回顾 DHCP报文的目的IP和目的MAC是多少？ DHCP报文是基于UDP还是基于TCP？ DHCP服务器返回的报文中都包含什么信息？ 问题 当PC与DHCP服务器在同一LAN（网段）时，DHCP服务器的IP地址是否需要与地址池在同一网段？ 本章所描述的DHCP应用是在同一个LAN（网段）中，但在校园网中网段非常多，为每一个网段配置一台单独的DHCP服务器是不现实的？如何解决这个问题 DHCP服务器如何搭建？,课程内容,第一章 DHCP工作原理 第二章 DHCP中继工作原理 第三章 DHCP服务器部署方式 第四章 DHCP相关安全设计 第五章 Windows Server 2003架设DHCP服务器,19,第一章 DHCP中继工作原理,DHCP中继产生的背景 当用户PC与DHCP服务器不在同一个网段时，即PC所发出的DHCP Discover广播报文无法到达DHCP服务器时,三层网关交换机,PC,DHCP服务器,三层交换机不转发广播报文，那么如何把PC的DHCP请求发给DHCP服务器呢？,DHCP中继功能,第一章 DHCP中继工作原理,DHCP中继工作过程 将网关交换机开启DHCP中继功能，在PC和DHCP之间起到“代理”作用,三层网关交换机,PC,DHCP服务器,DHCP中继功能,对PC而言，DHCP中继承当了DHCP服务器的角色,第一章 DHCP中继工作原理,DHCP中继工作过程 如果存在多个网段，那么DHCP服务器如何区分不同的请求，从而为不同网段的PC分配不同的IP地址？,PC,DHCP服务器,PC,VLAN 10,VLAN 20,interface vlan 10 ip address 172.16.10.1 255.255.255.0 interface vlan 20 ip address 172.16.20.1 255.255.255.0,在DHCP服务器上配置了两个地址池 172.16.10.0/24 172.16.20.0/24,通常是网关SVI接口IP地址,服务器收到DHCP请求报文后，将这个字段的IP地址与服务器所配置的地址池网段进行比较，如果网段匹配，则为该DHCP请求分配该地址池里的IP地址信息,第一章 DHCP中继工作原理,DHCP中继工作过程 如果存在多个网段，那么DHCP服务器如何区分不同的请求，从而为不同网段的PC分配不同的IP地址？ 不同的网段内的DHCP请求广播报文被网关交换机的SVI接口接收到后，会对DHCP报文进行中继（单播方式发送给DHCP服务器），同时将本SVI地址填充在Relay agent IP address字段。DHCP服务器收到后将这个字段的IP地址与地址池网段进行匹配，如果匹配成功，则为该DHCP请求从该地址池中分配相应的IP地址,第一章 DHCP中继工作原理,知识点回顾 DHCP中继和DHCP服务器之间的DHCP报文时单播还是广播？ DHCP服务器如何为不同网段的DHCP请求分配IP地址？ 问题 经过中继后的DHCP报文与不经过中继的DHCP报文有区别吗？ DHCP服务器本身的IP地址该如何配置？,课程内容,第一章 DHCP工作原理 第二章 DHCP中继工作原理 第三章 DHCP服务器部署方式 第四章 DHCP相关安全设计 第五章 Windows Server 2003架设DHCP服务器,25,第三章 DHCP服务器部署方式,如何在用户数量、设备数量庞大的校园网中部署DHCP服务呢？,第三章 DHCP服务器部署方式,校园网中常见的DHCP服务部署方式 网关交换机作为DHCP服务器,将汇聚网关交换机配置为其下联主机的DHCP服务器,第三章 DHCP服务器部署方式,校园网中常见的DHCP服务部署方式 网关交换机作为DHCP服务器 每台汇聚网关交换机上都为其下联用户PC网段配置DHCP地址池,汇聚网关交换机的DHCP地址池配置 service dhcp ip dhcp pool VLAN10_POOL network 172.16.10.0 255.255.255.0 default-router 172.16.10.1 dns-server 202.106.0.20 211.0.23.32 ip dhcp pool VLAN20_POOL network 172.16.20.0 255.255.255.0 default-router 172.16.20.1 dns-server 202.106.0.20 211.0.23.32 interface vlan 10 ip address 172.16.10.1 255.255.255.0 interface vlan 20 ip address 172.16.20.1 255.255.255.0,VLAN10内用户的DHCP地址池信息,VLAN20内用户的DHCP地址池信息,Show ip dhcp binding查看DHCP地址池中已分配出去的地址,第三章 DHCP服务器部署方式,校园网中常见的DHCP服务部署方式 网关交换机作为DHCP中继，在服务器区部署一台专用的DHCP服务器,DHCP服务器,第三章 DHCP服务器部署方式,校园网中常见的DHCP服务部署方式 网关交换机作为DHCP中继，在服务器区部署一台专用的DHCP服务器 要保证作为DHCP中继的汇聚网关交换机与DHCP服务器之间IP可达,汇聚网关交换机的DHCP中继配置 service dhcp ip helper-address 服务器IP地址,第三章 DHCP服务器部署方式,校园网中常见的DHCP服务部署方式 网关交换机作为DHCP服务器 优势：节省一台服务器资源 劣势：地址池配置分散在网络中多台汇聚网关交换机上，无法集中管理 网关交换机作为DHCP中继，在服务器区部署一台专用的DHCP服务器 优势：集中管理 劣势：需要占用一台服务器资源,第三章 DHCP服务器部署方式,知识点回顾 将汇聚网关交换机配置为DHCP中继的两条命令？ 在汇聚网关交换机配置DHCP地址池的关键命令？,汇聚网关交换机的DHCP地址池配置 service dhcp ip dhcp pool VLAN10_POOL network 172.16.10.0 255.255.255.0 default-router 172.16.10.1 dns-server 202.106.0.20 211.0.23.32,没有在汇聚网关交换机上配置interface vlan 10，还能否为VLAN10内的用户分配IP地址呢？,课程内容,第一章 DHCP工作原理 第二章 DHCP中继工作原理 第三章 DHCP服务器部署方式 第四章 DHCP相关安全设计 第五章 Windows Server 2003架设DHCP服务器,33,第四章 DHCP相关安全设计,DHCP应用服务在校园网运营过程中可能存在的问题？ 用户架设非法DHCP服务器 如果存在恶意用户私自架设了一台DHCP服务器，那么将会使用户获取到错误的IP地址，导致无法接入进校园网 用户使用静态IP地址接入 部分用户手动配置IP地址，但DHCP服务器是不知道的，因此在为DHCP用户分配IP地址的时候，用户通过DHCP获取到的IP地址，在网络中是已经使用的，导致了IP地址冲突。,第四章 DHCP相关安全设计,DHCP应用服务在校园网运营过程中可能存在的问题？,手动配置了172.16.10.2,通过DCHP获取到172.16.10.2,IP地址冲突，都无法正常接入网络,第四章 DHCP相关安全设计,DHCP应用服务在校园网运营过程中可能存在的问题？,获得错误的13.0.0.1地址,校园网,第四章 DHCP相关安全设计,如何解决上面描述的两个DHCP应用的安全问题？ 在接入交换机上使