Warum benötigt ein DHCP-Server eine statische IP-Adresse?

8

Ich experimentiere mit verschiedenen Netzwerkeinstellungen mit VMs. Wenn ich die DHCP-Rolle unter Windows Server einrichte, ist eine statische IP erforderlich . Ich habe Probleme zu verstehen, warum dies aus technischer Sicht notwendig ist .

Nach meinem Verständnis von DHCP sendet ein Client eine DHCP-Erkennungsanforderung im Netzwerk, und jedes Gerät im Netzwerk kann antworten. Ein DHCP-Server benötigt daher eine IP-Adresse, aber warum muss diese IP statisch sein? Der DHCP - Server kann seine Adresse an anderer Stelle bekommen und noch so lange auf die Sendung reagieren , wie es hat eine IP.

Z.B

  • Server A , Server B und Client X sind alle mit demselben Switch verbunden
  • Server A ist 10.0.0.1 und dient 10.0.0.X / 24
  • Server A ist so konfiguriert, dass Server B nur über MAC-Filter IP erhält
  • Server B erhält seine IP von Server A und lebt daher auf 10.0.0.X / 24
  • Server B dient 10.0.1.X / 24
  • Client X stellt eine Verbindung her und erhält eine IP von Server B.

Natürlich, wenn Client - X erhält , ist IP von Server B , wird es nicht zu Kontakt der Lage sein , Server B direkt , da sie in verschiedenen Subnetzen leben. Dies ist jedoch kein Problem. Die DHCP-Anforderung ist (anfangs) eine Übertragung, sodass jeder auf dem Switch sie empfängt.

Ignorieren Sie eine Management-Sichtweise, warum kann ich nicht haben

  • Ein Master-DHCP-Server mit statischer IP-Adresse, der nur andere DHCP-Server bedient
  • Ein Adressbereich für die "sekundären" DHCP-Server
  • Ein Adressbereich für Clients, der von den "sekundären" DHCP-Servern abgerufen wird

Gibt es einen technischen Grund , dass DHCP - Server muss eine statische IP hat?

Kevin
quelle

Antworten:

6

Nach meinem Verständnis von DHCP sendet ein Client eine DHCP-Erkennungsanforderung im Netzwerk, und jedes Gerät im Netzwerk kann antworten.

Ein Client kann auch eine Unicast-DHCP-Anforderung stellen. Die Erneuerungsanforderung wird in Unicast gestellt, sodass der Client den DHCP-Server direkt anfordert. Was ist, wenn der DHCP seine ursprüngliche IP-Adresse geändert hat? Die Erneuerung schlägt fehl und die nächste Anfrage wird im Rundfunk gestellt. Dies ist kein Verhalten, das Ihren Netzwerkverkehr optimiert.

Microsoft:

Erneuern eines Leases Der DHCP-Client versucht zunächst, sein Lease zu verlängern, wenn 50 Prozent der ursprünglichen Lease-Zeit (T1) verstrichen sind. Zu diesem Zeitpunkt sendet der DHCP-Client eine Unicast-DHCPRequest-Nachricht an den DHCP-Server, der ursprünglich seine Lease gewährt hat. Wenn der Server verfügbar ist und die Lease noch verfügbar ist, antwortet der Server mit einer Unicast-DHCPAck-Nachricht und die Lease wird erneuert.

Quelle

ISC:

Internet Systems Consortium DHCP Client 4.2.2
Copyright 2004-2011 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/eth0/00:0c:29:ac:18:75
Sending on   LPF/eth0/00:0c:29:ac:18:75
Sending on   Socket/fallback
DHCPDISCOVER on eth0 to 255.255.255.255 port 67 interval 7 << First request
DHCPREQUEST on eth0 to 255.255.255.255 port 67
DHCPOFFER from 10.0.0.253
DHCPACK from 10.0.0.253
bound to 10.0.0.6 -- renewal in 133 seconds.



DHCPREQUEST on eth0 to 10.0.0.253 port 67 << Renewal
DHCPACK from 10.0.0.253
bound to 10.0.0.6 -- renewal in 119 seconds.
DHCPREQUEST on eth0 to 10.0.0.253 port 67
DHCPACK from 10.0.0.253
bound to 10.0.0.6 -- renewal in 118 seconds.

Sobald die Lease gewährt wurde, werden zukünftige DHCP-DHCPREQUEST / RENEWAL-Nachrichten direkt an den DHCP-Server gesendet

Quelle

Nabil Bourenane
quelle
9

Ein DHCP-Server muss über eine konfigurierte IP-Adresse verfügen, damit er erkennen kann, welche Bereiche lokal an physische Schnittstellen angeschlossen sind und welche Bereiche nur über ein DHCP-Relay bedient werden können.

Ignorieren Sie einen Management-Standpunkt.

Es tut mir leid, aber ich finde es albern, zu versuchen, die praktischen Probleme beim Ausführen Ihres Netzwerks von Hand wegzuwinken und zu ignorieren. Das Abrufen einer gültigen IP-Adresse ist in den meisten Netzwerken von entscheidender Bedeutung. Sie möchten niemals, dass Ihr DHCP-Server ausfällt, da er keine eigene gültige Adresse erhalten kann. Software und Protokolle sind so konzipiert, dass sie in allgemeinen praktischen Situationen funktionieren. Was Sie beschreiben, scheint mehrere Orte zu schaffen, an denen Dinge mit wenig oder keinem wirklichen Gewinn scheitern können .

Wenn Sie wirklich eine dynamische Konfiguration eines DHCP-Servers wünschen, sollten Sie wahrscheinlich ein Konfigurationsverwaltungssystem verwenden, um die Einstellungen auf dem DHCP-Server zu erzwingen, anstatt zu versuchen, DHCP zum Konfigurieren Ihres DHCP-Servers zu verwenden.

Zoredache
quelle
Können Sie weitere Erklärungen dazu hinzufügen, wie eine statische IP-Adresse mit der Auswahl von Bereichen zusammenhängt? Wenn ich zwei Subnetze in einem physischen Netzwerk habe, wäre ein DHCP-Relay nicht erforderlich.
Kevin
2
Nun, ein einzelner DHCP-Server kann viele Bereiche haben. Sie können also Bereiche für beide Subnetze auf einem einzelnen Server konfigurieren. Ein DHCP-Server kann auf Broadcast-Anforderungen nur mit Bereichen antworten, die dem lokalen Subnetz zugeordnet sind. Dies wird anhand der zugewiesenen lokalen Adressen ermittelt. Aus Sicherheitsgründen müssen die meisten DHCP-Server statisch sein. Was würde in Ihrem Beispiel mit Ihrem Netzwerk passieren, wenn Ihr DHCP-Server zufällig eine DHCP-Adresse von einem nicht autorisierten DHCP-Server erhalten würde?
Zoredache
Ist es also richtig zu sagen: "Es ist verwirrend, einen DHCP-Server unter 10.0.0.X / 24 zu bitten, 10.0.1.X / 24 ohne Relay zu bedienen, da Subnetze Netzwerke isolieren sollen und diese Konfiguration impliziert, dass es sich um ein Relay handelt." notwendig?"
Kevin
2
@ Zoredaches Kommentar, dass Ihr DHCP-Server eine Adresse von einem betrügerischen DHCP-Server erhält (oder überhaupt keine erhält), ist der Schlüssel, würde ich sagen. Sie können keinen robusten Netzwerkstapel auf fehlerhaften Fundamenten erstellen.
Rob Moir
1

Technisch gesehen muss der DHCP-Server eine bekannte IP-Adresse für die Pakete haben, die nach dem ersten Erkennungspaket gesendet werden. Diese Adresse muss normalerweise beim Start bekannt sein, damit sie ziemlich statisch ist. Es muss sich nicht (IIRC) im selben Subnetz befinden, damit das DHCP-Relay funktioniert, aber es funktioniert nicht ohne eine Route zu dem Subnetz, dem es zugewiesen ist.

Wenn Sie es wirklich wollen, können Sie wahrscheinlich etwas über eine virtuelle Schnittstelle arrangieren, sodass Ihr physischer Adapter (Server B) IP-Adressen in beiden Subnetzen hat, die sich auf Ihrer Leitung befinden (ein DHCP und das andere statische).

Wie bei Zoredache würde ich vorschlagen, dass Sie sich wirklich an ein DHCP-Server-Setup für das Kabel halten. Bei den meisten DHCP-Servern können Sie Geräte auf verschiedene Arten klassifizieren (z. B. Teile der MAC-Adresse) und diese verschiedenen Abschnitten des Subnetzes zuweisen. Sie können diesen Unterabschnitten dann unterschiedliche Firewall-Regeln zuweisen.

Es würde keinen Unterschied in der Sicherheit geben, da jeder Client in beiden Szenarien seine eigene statische Adresse einrichten kann.

user3710044
quelle