Установка и настройка dhcp сервера на windows server 2012 r2 datacenter

DHCP: как работает?

Сервер обрабатывает клиентские запросы и выдает в аренду на определенное время IP адреса из своего диапазона. Если время заканчивается, клиент либо продлевает срок аренды, либо освобождает адрес, что также происходит путем обмена специальными сообщениями. Все запросы сервер записывает в свою базу данных, чтобы избежать конфликта адресов, то есть не выделить один адрес двум узлам одновременно.

Конфликт адресов все же может возникнуть, если на одном из устройств в сети IP присвоен вручную. При подключении нового компьютера, сервер может попытаться выдать ему адрес, который уже занят, в результате чего интернет соединение не будет установлено. Как решить эту проблему, будет рассмотрено далее.

Протокол DHCP широко используется благодаря тому, что дает возможность легко добавлять новые компьютеры к сети и изменять параметры подключения на сервере вместо ручной перенастройки каждого устройства.

Для использования протокола DHCP вам понадобится:

  • настроить DHCP на маршрутизаторе, который будет играть роль DHCP сервера.

  • запустить службу DHCP на ПК (она выполняет функцию клиента);

  • в настройках сетевого адаптера выбрать опцию автоматического получения IP адреса.

Рассмотрим каждый шаг детально.

Активация протокола автоматической конфигурации на роутере.

Как правило, по умолчанию данная опция на сетевом устройстве включена, но в силу разных причин у некоторых пользователей она находится не в активном состоянии. Я покажу как включить DHCP на роутере ASUS и TP-Link, а вы по аналогии сможете включить протокол динамической настройки узла на любой другой модели от какого-то ни было производителя. Принцип на всех устройствах один и тот же, лишь оболочка интерфейса разная.

ASUS. После активации в интерфейсе, перейдите в раздел «Локальная сеть» на вкладку «DHCP-сервер» и в пункте «Включить DHCP-сервер» переведите переключатель в положение «Да». На этой же странице вы можете задать начальный и конечный пул IP-адресов. По сути, это диапазон уникальных сетевых адресов, один из которых маршрутизатор будет присваивать устройству при подключении к нему.

Чтобы каждый раз при подключении устройства (компьютер, телевизор, смартфон…) к локальной сети роутер присваивал ему один и тот же сетевой адрес, нужно привязать IP- к MAC-адресу клиента (описана процедура назначения статического IP детально). Таким образом у планшета, ноутбука и других устройств в домашней или офисной сети будет свой постоянный сетевой адрес, и вы гарантированно избежите любого рода конфликтов.

Например, чтобы дать постоянный IP-адрес ноутбуку, нужно сначала узнать MAC-адрес компьютера, а после в настройках активировать опцию «Включить назначения вручную» и выбрать из выпадающего списка это устройство. В соседнем поле прописать желаемый свободный IP из диапазона и нажать кнопку добавить. Изменения вступят в силу после нажатия кнопки «Применить» и перезагрузки. Как видите, у меня постоянный IP получает четыре клиента.

TP-LINK. После входа в интерфейс сетевого устройства перейдите на вкладку «DHCP» -> «Настройки DHCP» (Settings). На этой странице вы можете включить DHCP-сервер и задать начальный и конченый IP-адрес в одноименных полях для локальной сети

Обращаю ваше внимание, что на вкладке «Сеть» (Network) — «Локальная сеть» (LAN) указан текущий IP-адрес роутера, следовательно, назначить его какому-то другому устройству он не может

Поэтому начальный IP- нужно задавать с учетом сетевого узла маршрутизатора и присваивать следующий за ним. Например, если стоит 192.168.1.1, то начальный IP-адрес может быть 192.168.1.2; 192.168.1.3 или как в моем случае 192.168.1.100. Все остальные настройки не являются обязательными, но если нужно, то можете уменьшить срок действия адреса.

По окончанию срока устройство которому был выдан IP попросит его продлить. Диалог происходит незаметно для вас и если в сети очень много клиентов, то в этом случае опция актуальна, поскольку не забивает таблицу. Срок действий адреса, имя, MAC- и IP-адрес вы можете посмотреть в списке подключенных к сети клиентов (DHCP Clients List). Если в локальной сети от 3 до 10 клиентов, то оставьте всё по умолчанию или задайте максимальное значение (2880 минут).

На роутере есть возможность прикрутить клиенту постоянный IP-адрес. Таким образом, при подключении к сети, сетевое устройство будет выдавать устройству один и тот же IP. Для этого нужно перейти на вкладку «Резервирование адресов» (Address Reservation) и нажмите кнопку «Добавить новую». Пропишите MAC-адрес устройства, задайте свободный IP-адрес из имеющегося диапазона. В выпадающем списке «Состояние» поставьте «Включить» и нажмите кнопку «Обновить». Все настройки вступят в силу после перезагрузки роутера.

После того как вы включите DHCP-сервер на роутере, убедитесь, что все клиенты (компьютер, телевизор, приставка…) в настройках имеют статус «Получить IP-адрес автоматически». Пока!

Протокол DHCP

Протокол DHCP (Dynamic Host Configuration Protocol — протокол динамического конфигурирования хостов) является протоколом клиент-серверной модели. То есть, есть сервер DHCP (демон dhcpd) отвечающий на запросы клиентов и есть клиент DHCP (dhclient) посылающий запросы и принимающий ответы от сервера. Передача данных производится при помощи протокола UDP, при этом сервер принимает сообщения от клиентов на порт 67 и отправляет сообщения клиентам на порт 68.

В общем случае, не размусоливая о структуре посылаемых пакетов, схему работы протокола можно представить следующим рисунком:

Градиентными овалами и стрелками на схеме обозначены широковещательные сообщения и направление сообщения соответственно. Линиями обозначены не широковещательные сообщения. Пунктиром обозначены, возможные сообщения (необязательные). На основании рисунка, рассмотрим пример процесса получения IP-адреса клиентом от параллельно работающих серверов DHCP. Предположим, клиент ещё не имеет собственного IP-адреса. Процесс состоит из следующих этапов:

1. Обнаружение DHCP (DHCPDISCOVER)

На первом этапе, клиент выполняет широковещательный запрос по всей физической сети с целью обнаружить доступные DHCP-серверы. Он отправляет сообщение типа DHCPDISCOVER, при этом в качестве IP-адреса источника указывается 0.0.0.0 (так как компьютер ещё не имеет собственного IP-адреса), а в качестве адреса назначения — широковещательный адрес 255.255.255.255. Кроме IP источника и назначения, клиент в данном сообщении  посылает: уникальный идентификатор запроса, свой MAC, и, возможно, прошлый присвоенный IP.

2. Ответ DHCP — сервера (DHCPOFFER)

Получив сообщение от клиента, сервера определяют требуемую конфигурацию клиента в соответствии со своими указанными в конфигурационном файле настройками. Все сервера, получившие запрос, формируют ответ (DHCPOFFER), содержащий конфигурацию клиента, и отправляют его клиенту на MAC-адрес. В ответе содержится следующая информация: IP, назначенный хосту, и прочие параметры (такие, как адреса маршрутизаторов и DNS-серверов). Клиент получает ответы от всех серверов DHCP, функционирующих в сети, из них он должен выбрать тот, который его «устраивает» (а устраивает его скорее всего тот, который пришел первым).

3. Запрос DHCP-сервера (DHCPREQUEST)

Выбрав одну из конфигураций, предложенных DHCP-серверами, клиент отправляет запрос DHCP (DHCPREQUEST). Он рассылается широковещательно. В сообщении содержится информация из сообщения DHCPDISCOVER + специальная опция — идентификатор сервера — указывающая адрес DHCP-сервера. При этом, сервер, который не выбран в качестве «устраивающего» тоже видит, что он не выбран.

4. Подтверждение от DHCP-сервера (DHCPACK)

Наконец, сервер подтверждает запрос и направляет это подтверждение (DHCPACK) клиенту. После этого клиент должен настроить свой сетевой интерфейс, используя предоставленные опции.

При этом, кроме указанных сообщений, возможны и другие (на схеме указаны пунктиром):

Отказ от настроек, предоставленных DHCP-сервером (DHCPDECLINE)

Если после получения подтверждения (DHCPACK) от сервера клиент обнаруживает, что указанный сервером адрес уже используется в сети, он рассылает широковещательное сообщение отказа DHCP (DHCPDECLINE), после чего процедура получения IP-адреса повторяется.

Отмена от DHCP-сервера (DHCPNAK)

Если по каким-то причинам сервер не может предоставить клиенту запрошенный IP-адрес, или если аренда адреса удаляется администратором, сервер рассылает широковещательное сообщение отмены DHCP (DHCPNAK). При получении такого сообщения соответствующий клиент должен повторить процедуру получения адреса.

Освобождение адреса DHCP (DHCPRELEASE)

Клиент может явным образом прекратить аренду IP-адреса. Для этого он отправляет сообщение освобождения DHCP (DHCPRELEASE) тому серверу, который предоставил ему адрес в аренду.

Информация DHCP (DHCPINFORM)

Сообщение информации DHCP (DHCPINFORM) предназначено для определения дополнительных параметров TCP/IP (например, адреса маршрутизатора по умолчанию, DNS-серверов и т. п.) теми клиентами, которым не нужен динамический IP-адрес (то есть адрес которых настроен вручную). Серверы отвечают на такой запрос сообщением подтверждения (DHCPACK) без выделения IP-адреса.

Резервирование адресов

Служба DHCP предоставляет IP-адреса клиентским устройствам на определённый промежуток времени. После этого адрес может быть изменён. Также, подключаясь к сети, каждый компьютер или смартфон каждый раз будет получать новый адрес. А тот адрес, который использовался им ранее, может быть предоставлен другому устройству. Обычно смена адресов происходит незаметно для пользователя и не влияет на работу сети. Однако может возникнуть необходимость сделать так, чтобы у конкретного компьютера IP-адрес не менялся. Это может быть актуально, если вы играете по локальной сети в игры или же данному компьютеру присвоены какие-то специфические функции, которые будут работать только при статичном IP.

Есть простой способ решить эту задачу с помощью DHCP — зарезервировать IP-адрес за конкретным компьютером.

Для этого переходим в подпункт «Резервирование адресов» пункта меню «DHCP». Если ранее вы уже резервировали адреса, здесь будет доступен список устройств, который можно редактировать по мере необходимости. Если же нет, жмём кнопку «Добавить».

В открывшемся окне нужно ввести МАС-адрес устройства и IP, который будет за ним зарезервирован.

Здесь же можно включить или выключить резервирование адреса для этого устройства, изменив соответствующий параметр в пункте «Состояние».

После ввода параметров нажмите кнопку «Сохранить». Теперь это устройство всегда будет получать при подключении к сети только этот IP-адрес.

После сохранения параметров вы вернётесь в предыдущее окно. В списке устройств теперь будет видно то, которое вы только что добавили. Нажав «Изменить», вы можете отредактировать параметры резервирования адреса. А с помощью пункта «Удалить» удалить устройство из списка и отменить резервирование.

С помощью кнопок «Включить всё», «Отключить всё» и «Удалить всё» вы можете управлять резервированием адресов для всех устройств из списка.

Для применения сделанных изменений вам понадобится перезагрузить роутер. Напоминание об этом появится в нижней части окна.

Журналы событийEvent logs

Изучите журналы событий администратора Microsoft-Windows-DHCP Client Events/Operation и Microsoft-Windows-DHCP Client Events.Examine the Microsoft-Windows-DHCP Client Events/Operational and Microsoft-Windows-DHCP Client Events/Admin event logs. Все события, связанные со службой клиента DHCP, отправляются в эти журналы событий.All events that are related to the DHCP client service are sent to these event logs.
События клиента Microsoft-Windows-DHCP находятся в Просмотр событий в разделе журналы приложений и служб.The Microsoft-Windows-DHCP Client Events are located in the Event Viewer under Applications and Services Logs.

Команда PowerShell Get-NetAdapter-Инклудехидден предоставляет необходимые сведения для интерпретации событий, перечисленных в журналах.The «Get-NetAdapter -IncludeHidden» PowerShell command provides the necessary information to interpret the events that are listed in the logs. Например, идентификатор интерфейса, MAC-адрес и т. д.For example, Interface ID, MAC address, and so on.

Алгоритм работы[править]

Получение IP адресаправить

Клиент посылает в свою подсеть широковещательное сообщение DHCPDISCOVER, в котором могут указываться устраивающие клиента IP-адрес и срок его аренды. В качестве IP-адреса источника указывается 0.0.0.0, в качестве адреса назначения — 255.255.255.255. Если DHCP-сервер отсутствует в подсети, то сообщение будет передано в другие подсети агентами протокола BOOTP.

  • Получив запрос от клиента, DHCP-сервер отвечает на него сообщением DHCPOFFER

    На данном этапе сервер не обязан резервировать адрес, который он отправил клиенту.

    . В сообщение включается предлагаемый IP-адрес (yiaddr) и прочие конфигурации для клиента (адреса маршрутизаторов, DNS-серверов и т.д.).

  • Получив конфигурации от серверов (их может быть несколько, если в подсети более одного DHCP-севрера), клиент отправляет широковещательное сообщение DHCPREQUEST

    На данном этапе допускается, что клиента не устроит ни один из предложенных адресов, тогда он вновь отправит DHCPDISCOVER.

    . В нем содержатся идентификатор выбранного сервера и, возможно, желательные значения запрашиваемых параметров конфигурации.

Получив DHCPREQUEST и убедившись, что в сообщении его идентификатор, сервер проверяет свободен ли в данный момент запрошенный адрес. Если да, то отправляет DHCPACK и вносит запись в базу, иначе отправляет DHCPNACK.

  • Получив сообщение DHCPACK, клиент обязан убедиться в уникальности IP-адреса (средствами протокола ARP) и зафиксировать суммарный срок его аренды.
    • Срок аренды: время, прошедшее между отправкой сообщения DHCPREQUEST и приемом ответного сообщения DHCPACK + срок аренды, указанный в DHCPACK.
    • Если адрес уже используется другой станцией, клиент отправляет DHCPDECLINE и начинает всю процедуру снова.

Для досрочного прекращения аренды адреса клиент отправляет серверу сообщение DHCPRELEASE.

Выбор адреса DHCP-серверомправить

Алгоритм работы DHCP-сервера при получении DHCPDISCOVER:

  • Если клиент запросил конкретный адрес, и в данный момент этот адрес свободен, то он будет отправлен клиенту.
  • Если клиент не запрашивал адрес, и адрес, закрепленный за ним в данный момент, свободен, то он будет отправлен клиенту.
  • Если ни один из предыдущих пунктов не выполнен, то адрес случайно выбирается из пула свободных адресов.
  • Если в пуле нет свободных адресов, то сервер отправляет сообщение о проблеме администратору.

Следует отметить, что сервер не обязан отвечать на каждый поступивший запрос DHCPDISCOVER. Такой подход дает возможность управления использованием сети: например, можно разрешить серверу отвечать только тем клиентам, которые предварительно зарегистрировались с помощью специальной процедуры.

Истечение срока аренды адресаправить

Когда срок аренды адреса подходит к концу клиент может:

  • Отправить DHCPRELEASE и начать процедуру получения адреса заново
  • Продлить аренду текущего адреса по алгоритму:
    • Когда проходит половина времени аренды адреса, клиент переходит в состояние RENEWING.
      • Клиент оправляет DHCP-серверу, выдавшему адрес, сообщение DHCPREQUEST с просьбой продлить срок аренды.
      • Получив DHCPACK, клиент пересчитывает срок аренды и продолжает работу в обычном режиме.
    • Если ответ не получен к моменту времени = 7/8 срока аренды адреса, то клиент переходит в состояние REBINDING.
      • Клиент отправляет широковещательное сообщение DHCPREQUEST со своим текущим сетевым адресом.
      • Получив DHCPACK, клиент пересчитывает срок аренды и продолжает работу в обычном режиме.
    • Если к моменту окончания аренды ответ не получен, то процедура получения адреса начинается сначала.
    • Если ответ DHCPACK придет с опозданием, но до завершения новой процедуры получения адреса, то клиент продолжает пользоваться предыдущим адресом.

Перейдем к shellshock

Про то, как и почему работает shellshock, писать нет никакого смысла, ведь эта уязвимость — одна из самых популярных, и о ней есть великое множество статей. Лучше остановимся на моменте, как получить shell на клиенте DHCP, в случае, если мы выступим в роли DHCP-сервера.

В какие поля и опции можно инъектировать?

Ответ: практически в любые! Вот список кодов DHCP-опций, в которые возможно инъектировать (проверено на NetworkManager из состава CentOS 6.5): , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , 214, 215, 216, 217, 218, 219, , , , , 224, 225, 226, 227, 228, 229, 230, 231, 232, 233, 234, 235, 236, 237, 238, 239, 240, 241, 242, 243, 244, 245, 246, 247, 248, 250, 251, 253.

В нашем PoC мы будем использовать DHCP-опцию с кодом 114 (). Почему? Потому, что ее длина — вариативна (максимальная длина — 256 байт), а также потому, что ее все используют. Ее описание еще есть здесь. Существует даже статья о том, как с помощью этой опции обновить уязвимые к shellshock системы 🙂

Какие у нас ограничения?

Ответ: их много, слишком много!

  1. Длина — 256 байт
  2. Возможно использовать только команды интерпретатора
  3. Большое ограничение на используемые символы: некоторые фильтруются, некоторые экранируются. Это зависит от клиента DHCP. Вот набор символов, которые не везде получится использовать:
  4. После выполнения команды, IPv4-адрес может не присвоиться, в таком случае возможно использовать IPv6 link-local-адрес, если на интерфейсе не включено игнорирование IPv6
  5. Необходимо использовать абсолютные пути, иначе команда может не выполниться

И что тогда делать?

Ответ: обходить ограничения!
Для обхода фильтра мы должны выполнить все одной командой. Сделаем это так:

Здесь на вход интерпретатора /bin/sh мы подаем вывод /usr/bin/base64, которая декодирует строку Base64String. Таким образом, мы использовали уже 34 байта, длина Base64String не должна превышать 222 байтов.

А что будет в Base64String? Не забываем про четвертое ограничение, поэтому в первую очередь выставим IP-адрес интерфейсу командой:

Эта команда накладывает на нас еще одно ограничение: мы должны знать имя интерфейса, которому выставляем IP-адрес. По умолчанию, в старых версиях Linux, на которых еще есть shellshock, первый сетевой интерфейс называется eth0, так что ориентируемся на него. Еще в эту строку мы должны поместить reverse shell или bind shell.

Для reverse shell будем использовать стандартный shell с использованием nc:

Для reverse shell также можно использовать команду отсюда:

Для bind shell будем использовать /cmd/unix/bind_awk из состава Metasploit, как один из наиболее коротких:

Видео:

Реализации

Компания Microsoft впервые включила сервер DHCP в поставку серверной версии Windows NT 3.5, выпущенной в 1994 году. Начиная с Windows 2000 Server реализация DHCP-сервера от Microsoft позволяет динамически обновлять записи DNS, что используется в Active Directory.

Internet Systems Consortium выпустил первую версию ISC DHCP Server (для Unix-подобных систем) 6 декабря 1997 года. 22 июня 1999 года вышла версия 2.0, более точно соответствующая стандарту.

Компания Cisco включила сервер DHCP в Cisco IOS 12.0 в феврале 1999 года. (Sun) Sun Microsystems добавила DHCP-сервер в Solaris 8 в июле 2001 года.

В настоящее время существуют реализации сервера DHCP для ОС Windows в виде отдельных программ, в том числе открытых, позволяющих выполнять роль сервера DHCP компьютерам под управлением не серверных версий данной ОС.

Функциональность

DHCP запускается на прикладном уровне стека TCP (протокол управления передачей) для динамического назначения IP-адресов различным устройствам, а также распределения различной информации о конфигурации между клиентами DHCP. Пользователи должны знать, что DHCP является протоколом клиент-сервер. Это означает, что серверы управляют списком уже объединенных уникальных IP-адресов и информацией о нескольких параметрах конфигурации.

Устройства, настроенные с помощью DHCP, передают запрос на сервер DHCP, чтобы запросить информацию о конфигурации сети. Затем устройство обычно передает запрос информации в эфир через несколько секунд после загрузки. Сервер DHCP отвечает на запрос устройства информацией о конфигурации IP-адреса, который был указан сетевым администратором. Это также включает в себя определенные типы IP-адресов для определенного периода времени, который фактически называется арендой, для действительного распределения. Затем сервер DHCP обновляет назначение, чтобы устройство DHCP или клиент мог запросить те же параметры, после чего можно было бы повторить тот же самый процесс.

Динамическая аренда

Динамическая аренда — это когда клиент не обязательно владеет назначенным ему IP-адресом, а, напротив, «арендует» или занимает этот IP-адрес на такой короткий период времени. Клиенту может потребоваться пройти определенные шаги для того, чтобы прервать IP-адрес определенного устройства, одновременно подключив другой IP-адрес к тому же устройству. В большинстве случаев сервер назначает новый адрес, а не использует старый IP-адрес. Время аренды DHCP будет зависеть от конкретного местоположения пользователя. Следующий цикл применяется, когда речь идет об аренде.

  1. Устройство получит IP-адрес в процессе назначения запроса DHCP-сервера.
  2. Если устройство уже имеет существующий IP-адрес, полученный из аренды, оно должно будет обновить его сразу после выключения, чтобы новый IP-адрес заполнился.
  3. Когда новая аренда теперь считается активной, устройство/клиент теперь привязан к аренде и IP-адресу.
  4. Если устройство перемещается в другую сеть, динамический IP-адрес будет прерван и в конечном итоге запросит новый IP-адрес от DHCP другой сети.

Проще говоря, IP-адрес устройства привязан к сети, будь то локальная сеть или большая общедоступная сеть, например, Интернет.

DHCP Подача рукопожатия

При выполнении квитирования DHCP выполняются следующие действия:

  1. Обнаружение — Клиент предлагает DHCP обнаружить сообщение для идентификации DHCP серверов.
  2. Offer (Предложение) — сервер DHCP отвечает доступным IP-адресом, а также параметрами.
  3. Запрос — Клиент запрашивает IP-адрес у сервера.
  4. Подтверждение — Сервер подтверждает новый IP-адрес, назначенный данному устройству, и завершает цикл квитирования.

Summary

Standards: Package:

The DHCP (Dynamic Host Configuration Protocol) is used for the easy distribution of IP addresses in a network. The MikroTik RouterOS implementation includes both server and client parts and is compliant with RFC 2131.

The router supports an individual server for each Ethernet-like interface. The MikroTik RouterOS DHCP server supports the basic functions of giving each requesting client an IP address/netmask lease, default gateway, domain name, DNS-server(s) and WINS-server(s) (for Windows clients) information (set up in the DHCP networks submenu)

In order for the DHCP server to work, IP pools must also be configured (do not include the DHCP server’s own IP address into the pool range) and the DHCP networks.

It is also possible to hand out leases for DHCP clients using the RADIUS server; the supported parameters for a RADIUS server is as follows:

Access-Request:

  • NAS-Identifier — router identity
  • NAS-IP-Address — IP address of the router itself
  • NAS-Port — unique session ID
  • NAS-Port-Type — Ethernet
  • Calling-Station-Id — client identifier (active-client-id)
  • Framed-IP-Address — IP address of the client (active-address)
  • Called-Station-Id — name of DHCP server
  • User-Name — MAC address of the client (active-mac-address)
  • Password — «»

Access-Accept:

  • Framed-IP-Address — IP address that will be assigned to client
  • Framed-Pool — ip pool from which to assign ip address to client
  • Rate-Limit — Datarate limitation for DHCP clients. Format is: rx-rate [rx-burst-rate [rx-burst-threshold [rx-burst-time [rx-rate-min]]]. All rates should be numbers with optional ‘k’ (1,000s) or ‘M’ (1,000,000s). If tx-rate is not specified, rx-rate is as tx-rate too. Same goes for tx-burst-rate and tx-burst-threshold and tx-burst-time. If both rx-burst-threshold and tx-burst-threshold are not specified (but burst-rate is specified), rx-rate and tx-rate are used as burst thresholds. If both rx-burst-time and tx-burst-time are not specified, 1s is used as default. Priority takes values 1..8, where 1 implies the highest priority, but 8 — the lowest. If rx-rate-min and tx-rate-min are not specified rx-rate and tx-rate values are used. The rx-rate-min and tx-rate-min values can not exceed rx-rate and tx-rate values.
  • Ascend-Data-Rate — tx/rx data rate limitation if multiple attributes are provided, first limits tx data rate, second — rx data rate. If used together with Ascend-Xmit-Rate, specifies rx rate. 0 if unlimited
  • Ascend-Xmit-Rate — tx data rate limitation. It may be used to specify tx limit only instead of sending two sequential Ascend-Data-Rate attributes (in that case Ascend-Data-Rate will specify the receive rate). 0 if unlimited
  • Session-Timeout — max lease time (lease-time)

Note: DHCP server requires a real interface to receive raw ethernet packets. If the interface is a Bridge interface, then the Bridge must have a real interface attached as a port to that bridge which will receive the raw ethernet packets. It cannot function correctly on a dummy (empty bridge) interface.

Контрольный список по устранению неполадокTroubleshooting checklist

Проверьте следующие устройства и параметры:Check the following devices and settings:

  • Кабели подключены и работают.Cables are connected and working.

  • Фильтрация MAC включена для коммутаторов, к которым подключен клиент.MAC filtering is enabled on the switches to which the client is connected.

  • Сетевой адаптер включен.The network adapter is enabled.

  • Установлен и обновлен правильный драйвер сетевого адаптера.The correct network adapter driver is installed and updated.

  • Служба DHCP-клиента запущена и запущена.The DHCP Client service is started and running. Чтобы проверить это, выполните команду net start и найдите DHCP-клиент.To check this, run the net start command, and look for DHCP Client.

  • На клиентском компьютере нет портов блокировки брандмауэра 67 и 68.There is no firewall blocking ports 67 and 68 UDP on the client computer.

Обзор

Интернет-протокол (IP) определяет, как устройства взаимодействуют внутри и между локальными сетями в Интернете. Сервер DHCP может управлять настройками IP для устройств в своей локальной сети, например, назначая этим устройствам IP-адреса автоматически и динамически.

DHCP работает по модели клиент-сервер . Когда компьютер или другое устройство подключается к сети, программное обеспечение DHCP-клиента отправляет широковещательный запрос DHCP, запрашивая необходимую информацию. Любой DHCP-сервер в сети может обслуживать запрос. DHCP-сервер управляет пулом IP-адресов и информацией о параметрах конфигурации клиента, таких как шлюз по умолчанию , имя домена , серверы имен и серверы времени . При получении запроса DHCP сервер DHCP может ответить конкретной информацией для каждого клиента, как это было ранее настроено администратором, или конкретным адресом и любой другой информацией, действительной для всей сети и в течение периода времени, на который выделено ( аренда ) является действительным. Клиент DHCP обычно запрашивает эту информацию сразу после загрузки и периодически после этого до истечения срока действия информации. Когда DHCP-клиент обновляет назначение, он сначала запрашивает те же значения параметров, но DHCP-сервер может назначить новый адрес на основе политик назначения, установленных администраторами.

В больших сетях, состоящих из нескольких каналов, один DHCP-сервер может обслуживать всю сеть при помощи агентов ретрансляции DHCP, расположенных на соединяющихся маршрутизаторах. Такие агенты ретранслируют сообщения между DHCP-клиентами и DHCP-серверами, расположенными в разных подсетях.

В зависимости от реализации DHCP-сервер может иметь три метода выделения IP-адресов:

Динамическое размещение
А администратор сети резервирует диапазон от IP — адресов для DHCP, и каждый клиент DHCP на LAN сконфигурирован , чтобы запросить IP — адрес от DHCP — сервера во время инициализации сети. В процессе запроса и предоставления используется концепция аренды с контролируемым периодом времени, позволяющая DHCP-серверу восстанавливать, а затем перераспределять IP-адреса, которые не обновляются.
Автоматическое распределение
DHCP-сервер постоянно назначает запрашивающему клиенту IP-адрес из диапазона, определенного администратором. Это похоже на динамическое распределение, но DHCP-сервер хранит таблицу прошлых назначений IP-адресов, так что он может предпочтительно назначать клиенту тот же IP-адрес, который был у клиента ранее.
Ручное распределение
Также обычно называется статическим распределением и резервированием . DHCP-сервер выдает частный IP-адрес, зависящий от идентификатора клиента каждого клиента (или, традиционно, клиентского MAC-адреса ), на основе предварительно заданного администратором сопоставления. Эта функция по-разному называется статическим назначением DHCP с помощью DD-WRT , фиксированным адресом в документации dhcpd, резервированием адреса с помощью Netgear, резервированием DHCP или статическим DHCP от Cisco и Linksys , а также резервированием IP-адреса или привязкой MAC / IP-адреса другими маршрутизаторами. производители. Если не найдено совпадений для идентификатора клиента (если он указан) или MAC-адреса (если идентификатор клиента не указан), сервер может или не может вернуться к динамическому или автоматическому распределению.

DHCP используется для Интернет-протокола версии 4 (IPv4) и IPv6 . Хотя обе версии служат одной и той же цели, детали протокола для IPv4 и IPv6 достаточно различаются, чтобы их можно было рассматривать как отдельные протоколы. В качестве альтернативы для работы IPv6 устройства могут использовать автоконфигурацию адреса без сохранения состояния . Узлы IPv6 могут также использовать локальную адресацию канала для выполнения операций, ограниченных локальной сетью.

Alerts

Sub-menu:

To find any rogue DHCP servers as soon as they appear in your network, DHCP Alert tool can be used. It will monitor the ethernet interface for all DHCP replies and check if this reply comes from a valid DHCP server. If a reply from an unknown DHCP server is detected, alert gets triggered:

 ip dhcp-server alert>/log print
00:34:23 dhcp,critical,error,warning,info,debug dhcp alert on Public:
    discovered unknown dhcp server, mac 00:02:29:60:36:E7, ip 10.5.8.236
 ip dhcp-server alert>

When the system alerts about a rogue DHCP server, it can execute a custom script.

As DHCP replies can be unicast, the ‘rogue dhcp detector’ may not receive any offer to other dhcp clients at all. To deal with this, the rogue dhcp detector acts as a dhcp client as well — it sends out dhcp discover requests once a minute

Properties

Property Description
alert-timeout (none | time; Default: none) Time after which alert will be forgotten. If after that time the same server is detected, new alert will be generated. If set to none timeout will never expire.
interface (string; Default: ) Interface, on which to run rogue DHCP server finder.
on-alert (string; Default: ) Script to run, when an unknown DHCP server is detected.
valid-server (string; Default: ) List of MAC addresses of valid DHCP servers.

Read only properties

Property Description
unknown-server (string) List of MAC addresses of detected unknown DHCP servers. Server is removed from this list after alert-timeout
Оцените статью
Рейтинг автора
5
Материал подготовил
Андрей Измаилов
Наш эксперт
Написано статей
116
Добавить комментарий