每个网络都有一个DHCP服务器,但它是什么?简而言之,DHCP服务器为网络中需要的每个客户端分配一个网络地址(IP地址)。如果没有DHCP服务器,您将需要手动为每个网络设备分配一个IP地址。
由于有DHCP服务器,我们可以在可以连接的每个无线网络上使用我们的手机。网络中的DHCP服务器将为您的电话分配一个IP地址,以便它可以连接到互联网。
DHCP 服务器是一种网络服务器,可自动向客户端设备提供和分配 IP 地址、默认网关和其他网络参数。DHCP代表动态主机配置协议,这是一种 IP 网络协议,用于服务器自动为联网设备分配 IP 地址,并与这些设备共享其他信息,以便它们可以与其他端点有效通信。
为什么要搭建路由器DHCP服务器
许多企业仍在其路由器/交换机上使用 DHCP for IPv4。这通常由需要快速启动和运行 DHCP 功能但无权访问 DHCP 服务器的网络管理员完成。大多数路由器/交换机都能够提供以下 DHCP 服务器支持:
- DHCP 客户端并从上游 DHCP 服务获取接口 IPv4 地址
- DHCP 中继并将来自 LAN 上的客户端的 UDP DHCP 消息转发到 DHCP 服务器和从 DHCP 服务器转发
- 一个 DHCP 服务器,路由器/交换机可以直接为 DHCP 请求提供服务。但是,将路由器/交换机用作 DHCP 服务器是有限制的
- 在路由器/交换机上运行 DHCP 服务器会消耗网络设备上的资源。这些 DHCP 数据包在软件中处理(不是硬件加速转发)。所需的资源使这种做法不适合具有大量(> 150)DHCP 客户端的网络。
- 不支持动态 DNS。路由器/交换机 DHCP 服务器无法根据租用给客户端的 IPv4 地址代表客户端创建进入 DNS 的条目。
- 无法轻松管理范围并查看当前 DHCP 绑定和跨多个路由器的租约。管理员必须单独登录交换机/路由器以获取有关 DHCP 绑定的信息。
- DHCP 绑定没有高可用性或冗余。如果当前的 DHCP 服务器和默认网关出现故障,这可能会导致问题。
- 在路由器/交换机平台上配置 DHCP 选项比较困难。
- 路由器/交换机上运行的 DHCP 服务未与用于地址跟踪和范围利用或安全取证的 IP 地址管理 (IPAM) 集成。
专用DHCP服务器
的好处 比尝试在路由器/交换机上使用 DHCP 更好的方法是使用集中式 DHCP 服务器。对于需要同时支持 IPv4 的 DHCP 和 IPv6 的 DHCP 的网络环境来说尤其如此。几乎所有 DHCP 服务器供应商都支持这两种协议,因此您可以为 IPv4 和 IPv6 使用相同的管理接口。企业使用 DHCPv6 有几个好处。
- 将 DHCPv6 服务器集成到 IPv6 的 IP 地址管理 (IPAM) 系统中,可以查看启用 IPv6 的客户端节点。
- 您还希望 IPv4 具有相同的功能。随着 IPv4 地址空间越来越受到限制,您将需要跟踪您的 DHCP 范围并确定您的租用时间是否足以应对大量 BYOD 系统加入您的网络环境。
- DHCP 服务器提供日志记录和管理界面,帮助管理员管理其 IP 地址范围。无论使用何种 IP 版本,您的组织都希望了解您网络上的内容。
- DHCP 服务器可以提供冗余和高可用性。如果一台 DHCP 服务器发生故障,客户端将保留其当前 IP 地址,并且不会导致终端节点中断。
- 组织会更喜欢经过试验和测试的 DHCPv6 服务器。例如,Infoblox DHCPv6 服务器已被 USGv6 认证实验室认证为“IPv6 Ready”。
开始实施 IPv6 的组织应将 IPv4 范围的 DHCP 迁移出路由器/交换机,并将其置于强大的 DHCP 服务器基础架构上。此更改还意味着您的组织希望 DHCP 对两种协议都以相同的方式运行。企业组织将希望利用集中式双协议 DHCP 服务器向客户端设备提供 IPv4 和 IPv6 地址。
如果不存在动态主机配置协议 (DHCP),网络管理员将不得不从可用池中手动分配 IP 地址,这将非常耗时、效率低下且容易出错。幸运的是,DHCP 确实存在。
什么是 DHCP,它是如何工作的?
DHCP 是一种幕后机制,可自动将 IP 地址分配给以有线或无线方式连接的固定和移动主机。
当设备想要访问使用 DHCP 的网络时,它会发送一个 IP 地址请求,该 IP 地址由 DHCP 服务器获取。服务器响应向设备提供 IP 地址,然后监视地址的使用情况,并在指定时间或设备关闭时取回。然后,IP 地址将返回到由 DHCP 服务器管理的地址池,以便在它寻求访问网络时重新分配给另一台设备。
DHCP 安全问题
使用 DHCP,IP 地址的初始分配旨在快速高效。折衷是 DHCP 协议不需要身份验证。当然,企业已经为用户在网络上访问资源设置了严格的认证要求,但这仍然使DHCP服务器本身成为安全链中的薄弱环节。
攻击者可以接管或欺骗 DHCP 服务器并将不良信息分发给合法的最终用户,将他们发送到虚假站点。或者它可以将合法的 IP 地址分发给未经授权的用户。这可能导致中间人攻击和拒绝服务攻击。
DHCP 规范确实解决了其中一些问题。有一个中继代理信息选项,使网络工程师能够在 DHCP 消息到达时对其进行标记。该标签可用于控制网络访问。此外,网络管理员可以使用 802.1x 身份验证(网络访问控制)来帮助保护 DHCP。