dhcp

Als we het over netwerken hebben, zijn er enkele bronnen die worden gebruikt en ons leven een stuk gemakkelijker maken, maar we beseffen ze niet eens. Een daarvan is het DHCP-protocol. Van het Engelse Dynamic Host Configuration Protocol, het is een protocol dat wordt gebruikt in computernetwerken waarmee machines automatisch een IP-adres kunnen verkrijgen.

Dit protocol begon omstreeks oktober 1993 terrein te winnen als opvolger van BOOTP, dat weliswaar eenvoudiger was, maar te beperkt is geworden voor de huidige vereisten.

Het DHCP-protocol is een client/server-protocol dat automatisch een ip-host (IP-protocol) voorziet van zijn IP-adres en andere gerelateerde configuratie-informatie, zoals het subnetmasker en de standaardgateway. RFC’s 2131 en 2132 definiëren DHCP als een Internet Engineering Task Force (IETF)-standaard op basis van het BOOTP-protocol, een protocol waarmee DHCP veel implementatiedetails deelt. Met DHCP kunnen hosts de benodigde TCP/IP-configuratie-informatie verkrijgen van een DHCP-server.

Windows Server 2016 bevat DHCP-server, een optionele netwerkserverrol die u op uw netwerk kunt implementeren om IP-adressen en andere informatie aan DHCP-clients te leasen. Alle op Windows gebaseerde Windows-clientbesturingssystemen bevatten de DHCP-client als onderdeel van TCP/IP en de DHCP-client is standaard ingeschakeld.

Waarom is hij belangrijk?

Stel dat u de beheerder van een netwerk bent. Als het een thuisnetwerk met 3 computers zou zijn, zou het niet al te veel moeite zijn om aan elk van hen een IP-nummer en alle benodigde parameters toe te kennen. Nu, als er 100, 200 of meer waren, zou het verhaal zeker anders zijn.

Het DHCP-protocol doet precies dat, waardoor een server in staat is om automatisch verschillende IP-adressen naar alle computers te distribueren wanneer ze het verzoek indienen om verbinding te maken met het netwerk. Deze distributie van IP’s gebeurt met een vooraf gedefinieerd interval dat op de server is geconfigureerd. Telkens wanneer een van de machines wordt losgekoppeld, is het IP-adres vrij voor gebruik op een andere.

Je hebt misschien gehoord dat je voor elke internetverbinding een ander IP-adres krijgt, toch? Dit is een feit dat verantwoordelijk is voor DHCP in combinatie met verschillende protocollen.

Hoe doet hij het?

Kort gezegd, met behulp van een client-servermodel doet DHCP het volgende:

● Wanneer een client verbinding maakt met een netwerk, verzendt deze een pakket met een verzoek om DHCP-instellingen.

● De DHCP-server beheert een vast bereik van beschikbare IP’s samen met de nodige informatie en parameters (standaardgateway, domeinnaam, DNS, enz.).

● Wanneer deze server een verzoek ontvangt, levert hij een van deze adressen en instellingen aan de client.

Bedrijfsmodi:

Het kan op drie manieren werken: automatisch, dynamisch en handmatig.

Automatisch  , waarbij een aantal IP-adressen (binnen een bereik) zijn gedefinieerd voor gebruik op het netwerk. In dit geval, wanneer een van de computers op een netwerk een verbinding ermee aanvraagt, wordt een van deze IP’s toegewezen aan de machine in kwestie.

In  dynamiek  lijkt de procedure sterk op die van automatisch, maar de verbinding van de computer met een bepaald IP-adres wordt beperkt door een vooraf geconfigureerde tijdsperiode die naar wens van de netwerkbeheerder kan variëren.

In  handmatige  modus wijst DHCP een IP-adres toe volgens de MAC-waarde (Medium Access Control) van elke netwerkkaart, zodat elke computer alleen dit IP-adres gebruikt. Deze functie wordt gebruikt wanneer een machine een vast IP-adres moet hebben.

Omdat DHCP meerdere platforms ondersteunt, biedt het een efficiënte oplossing en biedt het veel hulp voor netwerkbeheerders. Nu je weet wat dit netwerkprotocol is en wat het doet, hopen we dat alle vragen over dit onderwerp naar tevredenheid zijn beantwoord en tot de volgende keer!

Waarom DHCP gebruiken?

Elk apparaat op een op TCP/IP gebaseerd netwerk moet een uniek unicast-IP-adres hebben om toegang te krijgen tot het netwerk en de bijbehorende bronnen. Zonder DHCP moeten IP-adressen voor nieuwe computers of computers die van het ene subnet naar het andere worden verplaatst handmatig worden geconfigureerd; IP-adressen voor computers die uit het netwerk zijn verwijderd, moeten handmatig worden opgehaald.

Met DHCP wordt dit hele proces geautomatiseerd en centraal beheerd. De DHCP-server houdt een pool van IP-adressen bij en verhuurt een adres aan elke DHCP-client wanneer deze op het netwerk opstart. Omdat IP-adressen dynamisch (leases) zijn in plaats van statisch (permanent toegewezen), worden adressen die niet meer in gebruik zijn automatisch teruggestuurd naar de pool voor verplaatsing.

De netwerkbeheerder stelt DHCP-servers in die de TCP/IP-configuratiegegevens bijhouden en adresconfiguratie bieden aan DHCP-clients in de vorm van een leaseaanbod. De DHCP-server slaat configuratie-informatie op in een database die het volgende omvat:

TCP/IP-configuratieparameters geldig voor alle clients op het netwerk.

Geldige IP-adressen, bewaard in een pool voor toewijzing aan klanten, evenals uitgesloten adressen.

Gereserveerde IP-adressen die zijn gekoppeld aan specifieke DHCP-clients. Dit maakt een consistente toewijzing van een enkel IP-adres aan een enkele DHCP-client mogelijk.

De leaseduur, of de tijd dat het IP-adres kan worden gebruikt voordat een leasevernieuwing vereist is.

Een DHCP-enabled client, na het accepteren van een lease-aanbieding, ontvangt:

Een geldig IP-adres voor het subnet waarmee verbinding wordt gemaakt.

Aangevraagde DHCP-opties, dit zijn aanvullende parameters die een DHCP-server is geconfigureerd om aan clients toe te wijzen. Enkele voorbeelden van DHCP-opties zijn Router (standaardgateway), DNS-servers en DNS-domeinnaam.

Voordelen van DHCP

DHCP biedt de volgende voordelen.

Vertrouwde IP-adresconfiguratie . DHCP minimaliseert configuratiefouten die worden veroorzaakt door het handmatig configureren van een IP-adres, zoals typografische fouten of adresconflicten die worden veroorzaakt door het toewijzen van een IP-adres aan meer dan één computer tegelijk.

Minder netwerkbeheer. DHCP bevat de volgende functies om netwerkbeheer te verminderen:

Gecentraliseerde en geautomatiseerde TCP/IP-configuratie.

De mogelijkheid om TCP/IP-instellingen vanaf een centrale locatie te configureren.

De mogelijkheid om een ​​volledige reeks aanvullende TCP/IP-configuratiewaarden toe te wijzen via DHCP-opties.

Efficiënte afhandeling van IP-adreswijzigingen voor clients die regelmatig moeten worden bijgewerkt, zoals die voor handheld-apparaten die naar verschillende locaties op een draadloos netwerk worden verplaatst.

Het doorsturen van initiële DHCP-berichten met behulp van een DHCP-relay-agent, waardoor er geen DHCP-server op elk subnet nodig is.

Termen die worden gebruikt in DHCP

DHCP-server: het is een server waarop de DHCP-service is geïnstalleerd en geconfigureerd. Op Microsoft Windows moet deze, na installatie van een DHCP-server, worden geautoriseerd in Active Directory voordat deze clientverzoeken effectief kan verwerken. De autorisatieprocedure in Active Directory is een beveiligingsmaatregel om te voorkomen dat DHCP-servers zonder medeweten van de netwerkbeheerder in het netwerk worden geïntroduceerd. Naast Windows Server kan de DHCP-service ook worden geïnstalleerd op Linux-distributies, zoals de DHCP3 Server-service, een pakket dat al aanwezig is in de meeste Linux-serverdistributies. De DHCP-server is niet beschikbaar voor Windows 2000 Professional, Windows XP Professional of Windows Vista.

DHCP Client: Elk netwerkapparaat dat in staat is om TCP/IP-instellingen te verkrijgen van een DHCP-server. Bijvoorbeeld een werkstation met Microsoft Windows 10, een werkstation met een willekeurige Linux-distributie, een printer met een DHCP-enabled netwerkkaart, enz.

Bereik: Een bereik is het volledige opeenvolgende bereik van mogelijke IP-adressen voor een netwerk (bijvoorbeeld het bereik 10.10.10.100 tot 10.10.10.150, op het 10.10.10.0/255.255.255.0-netwerk). In het algemeen definiëren scopes één fysiek subnet binnen het netwerk waarop DHCP-services worden aangeboden. Scopes bieden ook de belangrijkste methode voor de server om de distributie en toewijzing van IP-adressen en andere configuratieparameters voor clients op het netwerk te beheren, zoals de standaardgateway, DNS-server, enzovoort.

Superscope: Een superscope is een administratieve groepering van bereiken die kunnen worden gebruikt om meerdere logische IP-subnetten op hetzelfde fysieke subnet te ondersteunen. Superscopen bevatten alleen een lijst met gekoppelde bereiken of onderliggende bereiken die samen kunnen worden geactiveerd. Superscopes worden niet gebruikt om andere details over het scopegebruik te configureren. Als u de meeste eigenschappen die in een superscope worden gebruikt, wilt configureren, moet u de eigenschappen voor elke bijbehorende scope afzonderlijk configureren. Als bijvoorbeeld alle computers hetzelfde standaard gateway-IP-nummer moeten krijgen, moet dit nummer in elke scope afzonderlijk worden geconfigureerd. Er is geen manier om deze configuratie in de superscope te maken en alle scopes (die deel uitmaken van de superscope) nemen deze configuraties over.

Bereik uitsluiten: Een uitsluitbereik is een beperkte reeks IP-adressen binnen een bereik, uitgesloten van adressen die worden geleverd door DHCP. Uitsluitingsbereiken zorgen ervoor dat adressen in dit bereik niet door de server worden aangeboden aan DHCP-clients op uw netwerk. Binnen het bereik 10.10.10.100 tot 10.10.10.150 kunt u op het netwerk 10.10.10.0/255.255.255.0 van een bepaald bereik bijvoorbeeld een uitsluitingsbereik maken van 10.10.10.120 tot 10.10.10.130. Adressen van het uitsluitingsbereik worden niet door de DHCP-server gebruikt om DHCP-clients te configureren.

Adrespool: na het definiëren van een DHCP-bereik en het toepassen van uitsluitingsbereiken, vormen de overige adressen de pool van beschikbare adressen binnen het bereik. Gepoolde adressen komen in aanmerking voor dynamische toewijzing door de server aan DHCP-clients op uw netwerk. In ons voorbeeld, waar we het bereik hebben met het bereik 10.10.10.100 tot 10.10.10.150, met een uitsluitingsbereik van 10.10.10.120 tot 10.10.10.130, wordt onze adrespool gevormd door de adressen van 10.10.10.100 tot 10.10.10.119 , plus adressen 10.10.10.131 t/m 10.10.10.150.

Lease: Een lease is een door een DHCP-server gespecificeerde tijdsperiode waarin een clientcomputer een IP-adres kan gebruiken dat het van de DHCP-server heeft ontvangen (dit zou zijn toegewezen door de DHCP-server). Een lease is actief wanneer deze door de klant wordt gebruikt. Over het algemeen moet de client zijn adresleasetoewijzing aan de server vernieuwen voordat deze verloopt. Een lease wordt inactief wanneer deze verloopt of wordt verwijderd op de server. De duur van een lease bepaalt wanneer deze afloopt en hoe vaak de klant deze op de server moet vernieuwen.

Reservering: Een reservering wordt gebruikt om een ​​permanente adreslease te maken door de DHCP-server. Reserveringen zorgen ervoor dat een bepaald hardwareapparaat op het subnet altijd hetzelfde IP-adres kan gebruiken. De reservering wordt gemaakt in verband met het hardware-adres van de netwerkkaart, ook wel het MAC-adres (of MAC-adres) genoemd. In de DHCP-server wordt een reservering gemaakt, waarbij een IP-adres wordt gekoppeld aan een MAC-adres. Wanneer de computer (met het MAC-adres waarvoor een reservering bestaat) opstart, maakt deze contact met de DHCP-server. De DHCP-server controleert of er een reservering is voor dat MAC-adres en configureert de computer met het IP-adres dat aan het MAC-adres is gekoppeld. Als er een probleem is met de netwerkkaart van de computer en de kaart moet worden vervangen,

Optietypen: Optietypen zijn andere clientconfiguratieparameters die een DHCP-server aan clients kan toewijzen. Enkele veelgebruikte opties zijn bijvoorbeeld IP-adressen voor standaard gateways (routers), Windows Internet Name System (WINS)-servers en Domain Name System (DNS)-servers. Deze optietypen zijn over het algemeen ingeschakeld en geconfigureerd voor elk bereik. Met de DHCP-servicebeheerconsole kunt u ook standaardoptietypen configureren die worden gebruikt door alle scopes die op de server zijn toegevoegd en geconfigureerd. De meeste opties zijn vooraf gedefinieerd via RFC 2132, maar u kunt de DHCP-console gebruiken om, indien nodig, aangepaste optietypen te definiëren en toe te voegen.

IP-toewijzingscriteria

DHCP kan, afhankelijk van de implementatie, drie soorten IP-adrestoewijzing bieden:

Handmatige toewijzing – Waar er een associatietabel is tussen het MAC-adres van de client (dat wordt vergeleken via het ontvangen broadcastpakket) en het IP-adres (en resterende gegevens) dat moet worden verstrekt. Deze koppeling wordt handmatig gedaan door de netwerkbeheerder; daarom kunnen alleen clients waarvan de MAC in deze lijst voorkomt, configuraties van die server ontvangen;
Automatische toewijzing – Waarbij de klant een adres verkrijgt uit een mogelijke adresruimte, opgegeven door de beheerder. Er is over het algemeen geen koppeling tussen de verschillende MAC’s die in deze adresruimte zijn ingeschakeld;
Dynamische toewijzing – De enige methode die voorziet in dynamisch hergebruik van adressen. De beheerder stelt een ruimte met mogelijke adressen beschikbaar en voor elke client is de TCP/IP-software van zijn netwerkinterface geconfigureerd om een ​​adres via DHCP aan te vragen zodra de machine is aangesloten op het netwerk. De toewijzing maakt gebruik van een adresleasemechanisme, gekenmerkt door een levensduur. Deze levensduur is natuurlijk op nul gezet/verlopen, de volgende keer dat de client verbinding maakt, zal het adres waarschijnlijk een ander adres zijn.
Sommige implementaties van DHCP-serversoftware maken ook dynamische updates van DNS-servers mogelijk, zodat elke client ook een DNS heeft. Dit mechanisme maakt gebruik van het DNS-updateprotocol dat is gespecificeerd in RFC 2136.

DHCP-relais

In kleine netwerken waar slechts één IP-subnet wordt beheerd, communiceren DHCP-clients rechtstreeks met DHCP-servers. DHCP-servers kunnen echter ook IP-adressen leveren voor meerdere subnetten. In dit geval kan een DHCP-client die nog geen IP-adres heeft gekregen niet rechtstreeks communiceren met de DHCP-server via IP-routing, omdat hij geen IP-adres heeft en evenmin het IP-adres van een router kent. Om DHCP-clients op subnetten die niet rechtstreeks door DHCP-servers worden bediend, te laten communiceren met DHCP-servers, kunnen DHCP-relay-agents op deze subnetten worden geïnstalleerd. De DHCP-client zendt uit op de lokale link, de relay-agent ontvangt de uitzending en zendt deze uit naar een of meer DHCP-servers met behulp van unicast. De relay-agent slaat zijn eigen IP-adres op in het GIADDR-veld van het DHCP-pakket. De DHCP-server gebruikt GIADDR om het subnet te bepalen waarop de relay-agent de uitzending heeft ontvangen en wijst een IP-adres toe aan het subnet. Wanneer de DHCP-server de client antwoordt, stuurt deze het antwoord naar het GIADDR-adres, opnieuw met unicast. De relay-agent stuurt het antwoord vervolgens door op het lokale netwerk.

Betrouwbaarheid

Het DHCP-protocol biedt op verschillende manieren betrouwbaarheid: periodieke verlenging, opnieuw binden en failover. DHCP-clients krijgen leases toegewezen die enige tijd duren. Klanten beginnen te proberen hun huurcontract te verlengen zodra de helft van het huurinterval is verstreken. Ze doen dit door een unicast DHCPREQUEST-bericht te verzenden naar de DHCP-server die het oorspronkelijke contract heeft verleend. Als die server down of onbereikbaar is, reageert deze niet meer op het DHCPREQUEST. De DHCPREQUEST wordt echter van tijd tot tijd door de client herhaald, [specificeer], dus wanneer de DHCP-server terugkomt of weer bereikbaar wordt, kan de DHCP-client er contact mee opnemen en zijn contract verlengen. Als de DHCP-server voor een langere periode onbereikbaar is, [specificeer] zal de DHCP-client proberen opnieuw te binden en zijn DHCPREQUEST uit te zenden in plaats van het te unicasten. Omdat het wordt uitgezonden, bereikt het DHCPREQUEST-bericht alle beschikbare DHCP-servers. Als een andere DHCP-server in staat is om de lease te vernieuwen, zal hij dat nu doen.

Om rebinding te laten werken, moet de server, wanneer de client met succes contact maakt met een back-up DHCP-server, over nauwkeurige clientbindingsinformatie beschikken. Het nauwkeurig houden van bindende informatie tussen twee servers is een lastig probleem, als beide servers dezelfde locatiedatabase kunnen bijwerken, moet er een mechanisme zijn om conflicten tussen updates op onafhankelijke servers te voorkomen. Een standaard voor het implementeren van fouttolerante DHCP-servers is ontwikkeld door de Internet Engineering Task Force.

Als de herverbinding mislukt, loopt de lease uiteindelijk af. Wanneer de huurovereenkomst afloopt, moet de klant stoppen met het gebruik van het IP-adres dat hem in zijn contract is opgegeven. Op dat moment zal het het DHCP-proces opnieuw starten vanaf het begin en een DHCPDISCOVER-bericht uitzenden. Aangezien zijn huurovereenkomst is afgelopen, accepteert hij elk IP-adres dat hem wordt aangeboden. Zodra het een nieuw IP-adres heeft, waarschijnlijk van een andere DHCP-server, kan het weer gebruik maken van het netwerk. Omdat uw IP-adres echter is gewijzigd, worden lopende verbindingen verbroken.

Veiligheid

De basis van het DHCP-protocol bevat geen authenticatiemechanisme. Daarom is het kwetsbaar voor verschillende aanvallen. Deze aanvallen vallen in drie hoofdcategorieën:

Het verstrekken van valse informatie aan clients door niet-geautoriseerde DHCP-servers.
Toegang tot netwerkbronnen door onbevoegde clients.
Uitputtende aanvallen op netwerkbronnen door kwaadwillende DHCP-clients.
Omdat de client de identiteit van een DHCP-server niet kan valideren, kunnen niet-geautoriseerde DHCP-servers op netwerken werken en onjuiste informatie verstrekken aan DHCP-clients. Dit kan zowel dienen als een denial-of-service-aanval, waardoor de client geen toegang krijgt tot netwerkconnectiviteit. Omdat de DHCP-server de DHCP-client voorziet van de IP-adressen van de server, zoals het IP-adres van een of meer DNS-servers, kan een aanvaller een DHCP-client overtuigen om via zijn DNS opzoekingen uit te voeren naar zijn eigen DNS-server, en kan hij daarom uw eigen antwoorden op DNS-query’s van de client. Op zijn beurt stelt het de aanvaller in staat om het netwerkverkeer door zichzelf om te leiden, waardoor het kan luisteren naar verbindingen tussen de netwerkservers van de client en het in contact komt, of eenvoudigweg de netwerkservers kan vervangen door zijn eigen servers. Omdat de DHCP-server geen beveiligd mechanisme heeft om de client te verifiëren, kunnen clients ongeoorloofde toegang krijgen tot IP-adressen door referenties, zoals client-ID’s, te presenteren die bij andere DHCP-clients horen. Hierdoor kunnen DHCP-clients ook de opslag van IP-adressen van de DHCP-server uitputten door nieuwe referenties te presenteren telkens wanneer om een ​​adres wordt gevraagd. De client kan alle beschikbare IP-adressen op een bepaalde netwerkverbinding gebruiken, waardoor andere DHCP-clients geen services kunnen verkrijgen. DHCP biedt enkele mechanismen om deze problemen te verhelpen. Hierdoor kunnen DHCP-clients ook de opslag van IP-adressen van de DHCP-server uitputten door nieuwe referenties te presenteren telkens wanneer om een ​​adres wordt gevraagd. De client kan alle beschikbare IP-adressen op een bepaalde netwerkverbinding gebruiken, waardoor andere DHCP-clients geen services kunnen verkrijgen. DHCP biedt enkele mechanismen om deze problemen te verhelpen. Hierdoor kunnen DHCP-clients ook de opslag van IP-adressen van de DHCP-server uitputten door nieuwe referenties te presenteren telkens wanneer om een ​​adres wordt gevraagd. De client kan alle beschikbare IP-adressen op een bepaalde netwerkverbinding gebruiken, waardoor andere DHCP-clients geen services kunnen verkrijgen. DHCP biedt enkele mechanismen om deze problemen te verhelpen.

Met de Relay Agent Information Protocol Extension Option (RFC 3046) kunnen netwerkoperators tags verbinden met DHCP-berichten zodra deze berichten binnenkomen op het vertrouwde netwerk van de netwerkoperator. Deze tag wordt vervolgens gebruikt als autorisatietoken om de clienttoegang tot netwerkbronnen te beheren. Omdat de client geen toegang heeft tot het netwerk stroomopwaarts van de relay-agent, verhindert het ontbreken van authenticatie niet dat de operator van de DHCP-server het autorisatietoken vertrouwt.

Een andere extensie, Authentication for DHCP Messages (RFC 3118), biedt een mechanisme voor het authenticeren van DHCP-berichten. Helaas werd RFC 3118 niet wijdverbreid gebruikt vanwege sleutelbeheerproblemen voor een groot aantal DHCP-clients.

Geef een reactie