Kui ühendate arvuti võrku, siis kõigepealt uurib see, kuidas hankida oma IP-aadress, et saaks suhelda. Windowsis on kõige levinumad meetodid järgmised DHCP, käsitsi seadistamine (staatiline IP), APIPA ja IPv6-s SLAACIgal lähenemisviisil on eelised, piirangud ja väga spetsiifilised kasutusjuhud, mida tuleks peavalude vältimiseks mõista.
Vaatame samm-sammult, kuidas iga meetod töötab, milliseid sõnumeid klient serveriga vahetab, Kuidas diagnoosida tüüpilisi probleeme, näiteks kurikuulsat DHCP-otsingutMillised alternatiivid on olemas (BOOTP, Zeroconf, DHCPv6/SLAAC) ja milliseid turvameetmeid peaksite oma võrgu kaitsmiseks volitamata serverite või üürivõrgu ammendumise rünnakute eest aktiveerima?
Mis on DHCP ja milliseid parameetreid see edastab?
DHCP-protokoll määrab klientidele automaatselt IP-aadressid ja lisaks... See levitab olulisi parameetreid, nagu mask, lüüs ja DNS.See on määratletud RFC 2131-ga ja võimaldab kolme eraldamismeetodit: käsitsi (reserveerimised), automaatset ja dünaamilist.
Kuigi tavaliselt mõtleme IP-le, maskile ja lüüsile, saavad serverid saata ka rohkem valikuid: Primaarne/teisene DNS, domeeninimi, MTU, NTP, WINS, TFTP, LDAP, NIS ja muud täiustatud funktsioonid. See muudab halduse tsentraliseerituks ja ühtseks, vältides käsitsi konfigureerimise vigu igas seadmes.
Levinumad jaotusmeetodid serverites ja ruuterites:
- Manuaalne või staatiline (reserveeringud)IP-MAC-link või kliendi identifikaatori abil, nii et arvuti saab alati sama IP-aadressi.
- AutomaatneIP-aadress määratakse tähtajatult kuni selle avaldamiseni; mõned püsivara kasutavad MAC-aadressil põhinevaid mittejärjestikuseid algoritme.
- Dünaamiline: kõige paindlikum meetod aadresside taaskasutamise ja rendiaegade kontrollimisega.
Server peab määratud IP-aadresside ja neile vastavate MAC-aadresside logi, mis See väldib dubleerimist ja võimaldab aadresside taaskasutamist pärast nende kehtivusaja lõppu.Sel viisil jääb võrk organiseerituks ja skaleeritavaks.
DORA tsükkel ja kaasatud sadamad
Kui arvuti esimest korda ühendub ja tal pole veel IP-aadressi, saadab see paketi DHCP DISCOVER alates 0.0.0.0 kuni 255.255.255.255 Serverite leidmiseks kasutatakse UDP-d, mille lähteport on 68 (klient) ja sihtport 67 (server). Kui tulemüür blokeerib need pordid kas kliendil või serveril, siis ühendusi ei looda.
Kuulamisserver vastab DHCP PAKKUMINE märkides ära kandidaadi IP-aadressi ja valikud. Klient vastab DHCP-taotlus kinnitades oma valikut ja server loobub DHCP ACKSee DORA tsükkel saab olenevalt konfiguratsioonist segada nii leviedastust kui ka üksiksaadet ning pärast selle valmimist täidab klient oma ARP vahemälu. See kontrollib konflikte ja kui tuvastab kasutusel olevaid IP-aadresse, saadab DHCPDECLINE..
Lisaks UDP portidele 67/68 on soovitatav kontrollida, et ka muud teenused, näiteks PXE/WDS, ei tekitaks konflikti. Lihtne käsk `netstat -anb` aitab tuvastada nendesse portidesse ühendatud protsesse. et kõik kahtlused hajutada.
APIPA Windowsis: link-local 169.254/16
Kui arvuti ei saa DHCP-serveriga ühendust luua, aktiveerib Windows APIPA ja konfigureerib automaatselt IPv4 169.254.0.0/16 maskiga 255.255.0.0See on lingi-lokaalne aadress, mis on mõeldud serverita võrkudele või diagnostikaks ning süsteem proovib iga paari minuti tagant uuesti kehtivat liisingut saada.
Korduv küsimus: kas saab sundida nii, et DHCP-st lahtiühendamisel kasutab võrgukaart 192.168.0.x 169.254.xx asemelWindowsis ei saa APIPA vahemikku muuta, kuid saate kasutada vahekaarti Alternatiivne konfiguratsioon IPv4-s: jätke adapteri seadistuseks „Hangi IP-aadress automaatselt“ ja alternatiivses konfiguratsioonis määrake staatiline varu-IP-aadress (näiteks 192.168.0.10/24 koos selle lüüsiga). Nii kasutab see DHCP-serveri puudumisel seda staatilist IP-aadressi; kui server vabaneb, naaseb see DHCP-le ilma, et peaksite midagi muutma.
Kui teil on vaja keerukamate profiilide vahel vahetada, saate seda kasutada Profiilide vahel vahetamiseks PowerShell või netshvõi isegi luua skripte, mis aktiveerivad/deaktiveerivad asukoha põhjal teiseseid IP-aadresse. DHCP ja staatilise IP-aadressi samaaegne omamine samal liidesel ilma kontrollita pole teostatav, sest See võib põhjustada konflikte või ebaselgeid marsruute.
IPv6, SLAAC ja DHCPv6: olekuteta automaatkonfiguratsioon
IPv6-võrkudes saavad seadmed ise konfigureerida, kasutades SLAAC ruuteri reklaamide abilSee välistab vajaduse serveri poolt aadressi genereerimiseks. Sellegipoolest on see paljudes keskkondades kombineeritud DHCPv6 DNS-i või muude parameetrite levitamiseks, kuna SLAAC üksi ei pruugi kontrolli all olla.
Pea meeles, et IPv6-s on alati olemas link-local FE80::/64 Oma liidese kaudu on see kasulik haldamiseks ja diagnostikaks. Alternatiivid nagu Zeroconf lihtsustavad väikeseid võrke, kuid ettevõtte tasandil on nende skaleeritavus ja haldamine piiratud.
Kuhu DHCP-serverit paigutada
Saate selle installida füüsilisele või virtuaalsele serverile. Hyper-V virtualiseerimisel, kui DHCP on vajalik. Füüsilise võrgu teenindamiseks peab vSwitch olema väline.Tutvuge meie juhendiga hüperviisori võrgudVältige riistvarasõltuvusi, näiteks graafikaprotsessoreid selles virtuaalmasinas, ja hinnake virtualiseerimise mõju latentsusele, kui host käitab tundlikke rakendusi.
Windows Serveril on mõned huvitavad täiustatud funktsioonid (tõrgeteta toimimine, reaalajas migreerimine, SR-IOV, jagatud VHDX), samas kui Windows 10/11 pakub põhilisemaid valikuid, näiteks vaikimisi NAT-i ja kiirmalleValige platvorm oma saadavuse ja HA vajaduste põhjal.
Praktiline rakendamine ja olulised kohandused
Windows Serveris installige DHCP roll. autoriseerib serveri Active Directory's ja määratleb ulatused koos nende vahemiku, maski, väljajätmiste ja andmisajaga. Konfigureerib mandaadid dünaamilised DNS-i värskendused (A/PTR-kirjed) Ja kui teil on mitu kaarti, piirake sidumist vastava liidesega.
VLAN-idega võrkudes ei ole vaja iga VLAN-i kohta eraldi serverit: kasutage edastusagendid (IP Helper) ruuteritel või SVI-del päringute edastamiseks keskserverisse. Reguleerige rendilepingut: stabiilsetes võrkudes võite jätta päevi; suure liiklusega võrkudes (külalised, külaliste WiFi) IP-aadresside kiiremaks ringlussevõtuks kulub vähem kui paar tundi..
Sellistes lahendustes nagu pfSense saate luua basseine alamvõrgu järgi, Lisavalikute (NTP, TFTP, LDAP) aktiveerimine ja määrake juurdepääsuloendid. Koduruuteritel (ASUS või AVM FRITZ!Box) on valikud piiratumad, kuid need võimaldavad muuta DNS-i ja vahemikku ning lubada staatilisi vastendusi.
Staatiline DHCP (reservatsioonid) ruuteritel ja tulemüüridel
Nn staatiline DHCP, staatiline kaardistamine või reserveeringud koosnevad Siduge MAC-aadress IP-aadressiga, et seade saaks alati sama aadressi.See sobib ideaalselt printerite, kaamerate, NAS-ide või kodu-/väikeettevõtte serverite jaoks, ilma et peaksite iga klienti käsitsi konfigureerima.
pfSense'is sisestatakse MAC/kliendi identifikaator ja parameetrid, näiteks hostinimi, DNS, WINS või NTP, kohandatud parameetritena. ASUS-is tehakse seda LAN ⇢ DHCP Serverist, lisades MAC-aadressi ja IP-aadressi.ja võrgust FRITZ!Boxis seadet muutes ning märkides, et see kasutaks alati sama IPv4-d (muutes vahemiku viimast oktetti).
Turvalisus: petturlik DHCP, nuhkimine ja IP-allika valve
DHCP-l puudub natiivne autentimine, seega on see haavatav. Ründaja saab tekitada Rogue DHCP pahatahtlike väravate või DNS-i pakkumiseks, keskeltläbimise rünnakute teostamiseks või teenusetõkestuse põhjustamiseks.
Hallatavate lülitite kõige tõhusam kaitse on DHCP nuhkimineMärgid usaldusväärseteks ainult need pordid, mis viivad legitiimsele serverile, ja blokeerid OFFER/ACK-i volitamata portide puhul. Täienda IP allika valvur, mis kasutab juurdepääsu korral võltsitud IP-aadresside filtreerimiseks Snooping andmebaasi.
Teine levinud rünnak on DHCP nälg (masspäringud võltsitud MAC-aadressidega, et kogu ressurss ammendada). Leevendab ohtu, piirates pordipõhist kiirust, kasutades juhtmega juurdepääsu puhul 802.1X standardit ja operaatorivõrkudes edastussilte (RFC3046) või sõnumi autentimist (RFC3118, vähekasutatav). Logide ja teadete jälgimine on võtmetähtsusega.
DHCP kasutamise eelised ja puudused
Selle tugevuste hulgas: tsentraliseeritud konfiguratsioon, vähem inimlikke vigu, muudatuste kontroll ja kiirus levitades sätteid kogu võrgus. Lisaks hoiab see ära dubleeritud IP-konfliktid ja võimaldab automatiseerida kriitilisi parameetreid, näiteks DNS-i.
Selle puuduste hulgas on: kui servereid on ainult üks ja see läheb maas, Kliendid ei saa oma soodustust pikendadaSamuti võib halvasti määratletud valik levida kõigile ning suurtes ja halvasti disainitud võrkudes võib kogu valiku ammenduda. Seetõttu on oluline hoolikalt planeerida ulatusi, väljajätmisi ja kõrget käideldavust.
Millal seda aktiveerida ja millal mitte
Aktiveeri see alati, kui soovid protsesse automatiseeritud ja järjepidevkontorid, ülikoolilinnakud, kodud mitme seadmega, külalisvõrgud või mobiilsed keskkonnad.
Väldi seda või kombineeri seda staatiliste IP-aadressidega, kui tegeled kriitilised serverid, turvaseadmed, ruuterid, tulemüürid või stsenaariumid, millel on üksikasjalikud juhtimisnõudedVäikeste staatiliste võrkude puhul võib piisata lihtsast fikseeritud nummerdussüsteemist.
DHCP otsingu viga Windowsis: kiired lahendused
Kui arvuti käivitamisel ilmneb DHCP otsingu viga ja IP-aadress kaob, proovige järgmist. ipconfig / renew CMD-s (see sunnib sõlmima uue rendilepingu) ja vajadusel käsk ipconfig /release, millele järgneb /renew tsükli taaskäivitamiseks.
Uuendage võrguadapteri draiverid (Windows Update, seadmehaldur või tootja veebisait), taaskäivitage ruuter korralikult (lülitage see 30 sekundiks välja) ja kasutage probleemilahendaja Võrgu ja interneti kohta.
Kui probleem püsib, kasutage menüüs Seaded ⇢ Võrk ja internet ⇢ Olek Võrgu lähtestamine (Installige draiverid uuesti ja taastage sätted). Võrkudes, kus on sadu arvuteid, kontrollige, kas peate alamvõrgu maski millekski muuks muutma. tüüp /16 või /8kodudes pole see tavaliselt vajalik;
Diagnostika kontroll-leht: server ja kliendid
Serveris kontrollige järgmist: DHCP-teenus käivitatud, server autoriseeritud, tasuta rendid, BAD_ADDRESS puudumine, et NIC-i sidumine on õiges alamvõrgus (Get-DhcpServerv4Binding/v6) ja et ainult DHCP-teenus kuulab UDP 67/68-d (netstat -anb).
Kui kasutate IPsec-protokolli, lisage see DHCP-vabastusKontrollige edastusagentide kättesaadavust ja vaadake üle filtrid/poliitikad. Kliendi poolel: kaabeldus, MAC-aadresside filtreerimine lülititel, lubatud adapter. DHCP klienditeenus töötab ja tulemüür ilma UDP 67/68 blokeerimata.
Analüüsi DORA-d Wiresharkiga
Jäädvusta kliendis ja serveris, taastoode probleem (näiteks ipconfig / renew) ja filtreerige DHCP järgi. Otsige nelja sõnumit (DISCOVER, OFFER, REQUEST, ACK). Kui mõni neist puudub, Sul on teel kukkumine.
Tüüpilised näitajad: klient kuvab DISCOVER-i, aga server seda ei näe (serveripoolne blokk) või server saadab OFFER-i, aga klient seda ei saa (tagastusblokk). Kui kinnitate kaotust, hõlmab võrgumeeskonda ACL-ide, VLAN-ide, nuhkimise, DAI või tulemüüride kontrollimiseks.
Andmed ja andmete kogumine
Kontrolli DHCP-teenuse ja süsteemilogid (Rakenduste ja teenuste logid ⇢ Microsoft ⇢ Windows ⇢ DHCP-server). Kasutage Windowsi sündmuste vaaturSilumislogid asuvad kaustas %windir%\System32\Dhcp ning kirjeldavad DNS-i liisinguid ja värskendusi.
Kui kavatsete piletit avada, saate jälgi koguda jooksvate tugitööriistade (TSS) abil. administraatoriõigustega, nõustudes EULA-ga ja taasesitades probleemi tõendite pakkimiseks kausta C:\MS_DATA.
Valdkonnad: tüübid, valikud ja planeerimine
Ulatus on aadresside plokk, mille server saab alamvõrgus määrata. Kõige levinumad on: üks ulatus (pidev vahemik), multisaadete domeen (MADCAP, RFC 2730) ja superteated (mis koondavad mitu haldusdomeeni ja võrke, millel on samal füüsilisel andmekandjal mitu alamvõrku).
Nende kavandamisel määratlege kogu ulatus ja seejärel looge staatiliste IP-de välistamised (ruuterid, serverid, printerid) ja valmistage ette reserveeringud klientidele, kes peavad oma IP-aadressi säilitama. Samuti kohandage ulatuse valikuid: lüüs, DNS ja kui kasutate WINS-i või konkreetseid pakkuja/kasutaja klasse, rakendage neid vastavalt vajadusele.
The reservatsioonid Nad määravad võrgukaardile alati sama IP-aadressi (MAC-aadressi järgi). Need on väga kasulikud aadresside muutmiseks ilma iga seadme eraldi avamata. Pidage meeles, et kui DHCP ebaõnnestub, sõltuvad ka nende seadmete IP-aadresside uuendamisest serverist.
osa välistamisintervallid Need ennetavad konflikte staatiliste IP-aadresside määramisel selles vahemikus. Ärge unustage jätta ruumi tulevaseks kasvuks ja dokumenteerige korralikult, kui palju ruumi iga staatiline IP-aadress hõivab.
EAP-stsenaarium ja WiFi-võrgud: kes pakub IP-aadresse
Ettevõtte pääsupunktidega (EAP-dega) juurutustes need Nad ei toimi DHCP-serverina.Tavaliselt määrab IP-aadressid ruuter ja PoE-lüliti annab pääsupunktidele toite. Veenduge, et DHCP-server oleks õigel VLAN-il aktiivne ja pääsupunkti liides oleks õigesti konfigureeritud. teenuse ulatust.
Windowsi kliendis jätke see IPv4 atribuutide alt lubatuks. Hankige IP-aadress automaatselt Ja vajadusel seadista ka DNS automaatseks. Kui sellel VLAN-il pole DHCP-d, kasuta eelnevalt mainitud staatilist alternatiivi.
Alternatiivid ja seotud tehnoloogiad
Enne DHCP-d oli BOOTPKuigi see on endiselt kasulik kettata käivitamiseks, on see tänapäevaste võrkude jaoks liiga piiratud. Zeroconf lihtsustab väikeste keskkondade loomist ilma keskserverita. kuigi see ei skaleeru ega paku peenhäälestamise võimalusi..
IPv6-s, SLAAC-is ja DHCPv6 Need täiendavad teineteist, et parandada valikute kontrolli ja jaotust. Ja suurte võrkude puhul on lahendused järgmised: IP-aadressi haldus (IPAM) Need pakuvad nähtavust, automatiseerimist ja auditeerimist, asendamata DHCP-d, kuid integreerudes sellega.
Kõrge kättesaadavus ja võrguga seotud kaalutlused
Väärtusta tõrkesiire DHCP-serverite vahel või jagage ulatus, et vähendada katkestuste mõju. Kui võrgus kasutate VRRP/HSRP-d, peavad DHCP Snooping ja DAI olema blokeerimise vältimiseks õigesti joondatud. õigustatud vastused.
Lõpuks kontrollib see, et ükski staatilise IP-aadressiga seade ei tungiks ulatusse ja ei käivitaks BAD_ADDRESS-i ning et vahendajad Need peaksid olema konfigureeritud kõigil vajalikel VLAN-idel. Nii peaksid kontsessioonid sujuvalt toimima.
Windowsi IP-aadressi hankimise oskus DHCP-st ja reserveeringutest APIPA või SLAAC-ni võimaldab teil luua puhtaid ja turvalisi võrke: Konfigureeri ulatused õigesti, automatiseeri kriitilised parameetrid, tugevda neid Snooping/IPSG abil ning dokumenteeri väljajätmised ja reserveeringud.Ja kui midagi valesti läheb, siis toetu logidele ja ekraanipiltidele; sellega hingab võrk ja sina ka.
