Når du tilslutter en computer til et netværk, er det første, den gør, at finde ud af, hvordan den får fat i dens IP-adresse, så den kan kommunikere. I Windows er de mest almindelige metoder DHCP, manuel konfiguration (statisk IP), APIPA og, i IPv6, SLAACHver tilgang har fordele, begrænsninger og meget specifikke anvendelsesscenarier, der bør forstås for at undgå hovedpine.
Vi vil trin for trin gennemgå, hvordan hver metode fungerer, hvilke beskeder klienten udveksler med serveren, Sådan diagnosticerer du typiske problemer såsom den berygtede DHCP-opslagHvilke alternativer findes der (BOOTP, Zeroconf, DHCPv6/SLAAC), og hvilke sikkerhedsforanstaltninger bør du aktivere for at beskytte dit netværk mod uautoriserede servere eller lease-udmattelsesangreb?
Hvad er DHCP, og hvilke parametre leverer det?
DHCP-protokollen tildeler automatisk IP-adresser til klienter, og desuden, Den distribuerer vigtige parametre såsom maske, gateway og DNS.Den er defineret af RFC 2131 og tillader tre allokeringsmetoder: manuel (reservationer), automatisk og dynamisk.
Selvom vi normalt tænker på IP, maske og gateway, kan servere sende flere muligheder: Primær/sekundær DNS, domænenavn, MTU, NTP, WINS, TFTP, LDAP, NIS og andre avancerede funktioner. Dette gør administrationen centraliseret og ensartet, hvilket undgår manuelle konfigurationsfejl på hver enhed.
Almindelige allokeringsmetoder på servere og routere:
- Manuel eller statisk (reservationer)IP-MAC-link eller via klientidentifikator, så en computer altid modtager den samme IP-adresse.
- AutomatiskEn IP-adresse tildeles på ubestemt tid, indtil den udgives; nogle firmwares bruger ikke-sekventielle algoritmer baseret på MAC-adressen.
- DynamiskDen mest fleksible metode med genbrug af adresser og kontrol over lejeperioder.
Serveren vedligeholder en log over tildelte IP-adresser og deres tilhørende MAC-adresser, som Det undgår dobbeltarbejde og tillader genbrug af adresser, når de udløber.På denne måde forbliver netværket organiseret og skalerbart.
DORA-cyklus og involverede porte
Når en computer opretter forbindelse for første gang og endnu ikke har en IP-adresse, sender den en pakke DHCP DISCOVER fra 0.0.0.0 til 255.255.255.255 For at finde servere bruges UDP med kildeport 68 (klient) og destinationsport 67 (server). Hvis en firewall blokerer disse porte på enten klienten eller serveren, vil der ikke blive oprettet forbindelser.
Den lyttende server svarer med DHCP TILBUD angiver en kandidat-IP-adresse og muligheder. Klienten svarer med DHCP-ANMODNING bekræfter deres valg, og serveren dropper med DHCP-ACKDenne DORA-cyklus kan blande broadcast og unicast afhængigt af konfigurationen, og når den er færdig, fylder klienten sin ARP-cache. Den kontrollerer for konflikter, og hvis den registrerer IP-adresser i brug, sender den DHCPDECLINE..
Ud over UDP-portene 67/68 anbefales det at kontrollere, at andre tjenester, såsom PXE/WDS, ikke er i konflikt. En simpel `netstat -anb`-kommando hjælper med at detektere processer, der er koblet til disse porte. for at afklare enhver tvivl.
APIPA på Windows: link-lokal 169.254/16
Hvis computeren ikke kan oprette forbindelse til en DHCP-server, aktiverer Windows APIPA og konfigurerer automatisk en IPv4 169.254.0.0/16 med maske 255.255.0.0Det er en link-lokal adresse beregnet til serverløse netværk eller til diagnosticering, og hvert par minutter forsøger systemet igen at hente en gyldig lease.
Et tilbagevendende spørgsmål: kan det tvinges, at netværkskortet bruger et netværkskort, når man afbryder forbindelsen til DHCP? 192.168.0.x i stedet for 169.254.xxI Windows kan APIPA-området ikke ændres, men du kan bruge fanen Alternativ konfiguration I IPv4: Lad adapteren være indstillet til at hente IP-adresse automatisk, og i den alternative konfiguration skal du definere en statisk backup-IP-adresse (f.eks. 192.168.0.10/24 med dens gateway). På denne måde vil den bruge den statiske IP-adresse, hvis der ikke er en DHCP-server. Hvis en server bliver tilgængelig, vil den vende tilbage til DHCP, uden at du behøver at ændre noget.
Hvis du har brug for at skifte mellem mere komplekse profiler, kan du bruge PowerShell eller netsh til at skifte mellem profilereller endda oprette scripts, der aktiverer/deaktiverer sekundære IP-adresser baseret på placering. Det, der ikke er muligt, er at have DHCP og en statisk IP-adresse samtidigt på den samme grænseflade uden kontrol, fordi Du kan forårsage konflikter eller tvetydige ruter.
IPv6, SLAAC og DHCPv6: statsløs autokonfiguration
I IPv6-netværk kan enheder selvkonfigurere sig ved hjælp af SLAAC ved hjælp af routerannoncerDette eliminerer behovet for en server til at generere adressen. Alligevel kombineres det i mange miljøer med DHCPv6 at distribuere DNS eller andre parametre, da SLAAC alene muligvis ikke har tilstrækkelig kontrol.
Husk at der i IPv6 altid er en link-lokal FE80::/64 Gennem sin brugerflade er den nyttig til administration og diagnosticering. Alternativer som Zeroconf forenkler små netværk, men på virksomhedsniveau er de begrænsede i skalerbarhed og styring.
Hvor skal DHCP-serveren installeres
Du kan installere den på en fysisk eller virtuel server. Ved virtualisering med Hyper-V, hvis DHCP er påkrævet For at betjene det fysiske netværk skal vSwitchen være ekstern.Se vores guide til hypervisor-netværkUndgå hardwareafhængigheder såsom GPU'er i den pågældende VM, og vurder virtualiseringens indvirkning på latenstid, hvis værten kører følsomme apps.
Windows Server har nogle interessante avancerede funktioner (failover, live migration, SR-IOV, delt VHDX), mens Windows 10/11 tilbyder mere grundlæggende muligheder såsom standard NAT og hurtige skabelonerVælg en platform baseret på din tilgængelighed og HA-behov.
Praktisk implementering og vigtige justeringer
Installer DHCP-rollen på Windows Server, autoriserer serveren i Active Directory og definerer omfang med deres interval, maske, udelukkelser og tildelingstidspunkt. Konfigurer legitimationsoplysninger for dynamiske DNS-opdateringer (A/PTR-poster) Og hvis du har flere kort, skal du begrænse bindingen til den relevante grænseflade.
I netværk med VLAN'er behøver du ikke en server pr. VLAN: brug relæagenter (IP-hjælper) på routere eller SVI'er for at videresende anmodninger til den centrale server. Juster leasingen: på stabile netværk kan du lade dage være; på netværk med høj trafik (besøgende, gæste-Wi-Fi) Reducer tiden til et par timer for at genbruge IP'er hurtigere.
I løsninger som pfSense kan du oprette pools efter subnet, Aktivér avancerede indstillinger (NTP, TFTP, LDAP) og definer adgangskontrollister. På hjemmeroutere (ASUS eller AVM FRITZ!Box) er mulighederne mere begrænsede, men de tillader ændring af DNS, område og aktivering af statiske mappings.
Statisk DHCP (reservationer) på routere og firewalls
Den såkaldte statiske DHCP, statiske kortlægning eller reservationer består af Forbind en MAC-adresse med en IP-adresse, så enheden altid modtager den samme adresse.Den er ideel til printere, kameraer, NAS eller servere til hjemmet/små virksomheder uden at skulle konfigurere hver klient manuelt.
I pfSense indtastes MAC/klient-identifikator og parametre som værtsnavn, DNS, WINS eller NTP som brugerdefinerede. På ASUS gøres dette fra LAN ⇢ DHCP-server, hvor MAC og IP tilføjes., og i FRITZ!Box fra netværket, ved at redigere enheden og markere, at den altid bruger den samme IPv4 (ændre den sidste oktet inden for området).
Sikkerhed: Rogue DHCP, snooping og IP Source Guard
DHCP mangler native autentificering, så det er sårbart. En angriber kan oprette en Rogue DHCP at levere ondsindede gateways eller DNS, udføre Man-in-the-Middle-angreb eller forårsage en denial of service.
Det mest effektive forsvar på administrerede switche er DHCP SnoopingDu markerer kun de porte, der fører til den legitime server, som betroede og blokerer OFFER/ACK på uautoriserede porte. Suppler med IP-kildevagt, som bruger Snooping-databasen til at filtrere forfalskede IP-adresser ved adgang.
Et andet almindeligt angreb er DHCP-sult (masseforespørgsler med falske MAC-adresser for at udtømme puljen). Afbøder ved at begrænse hastighederne pr. port, bruge 802.1X i kabelbaseret adgang og, i carrier-netværk, relæetiketter (RFC3046) eller meddelelsesgodkendelse (RFC3118, lidt implementeret). Overvågning af logfiler og advarsler er nøglen.
Fordele og ulemper ved at bruge DHCP
Blandt dens styrker: centraliseret konfiguration, færre menneskelige fejl, ændringskontrol og hastighed ved at sprede indstillinger på tværs af hele netværket. Derudover forhindrer det duplikerede IP-konflikter og muliggør automatisering af kritiske parametre såsom DNS.
Blandt ulemperne: hvis der kun er én server, og den går ned, Kunder vil ikke kunne forny deres koncessionEn dårligt defineret mulighed kan også sprede sig til alle, og i store, dårligt designede netværk kan man udtømme intervallet. Derfor er det vigtigt at planlægge omfang, udelukkelser og høj tilgængelighed omhyggeligt.
Hvornår skal man aktivere det, og hvornår skal man ikke
Aktivér den, når du ønsker processer automatiseret og konsistentkontorer, campusser, hjem med flere enheder, gæstenetværk eller mobile miljøer.
Undgå det, eller kombiner det med statiske IP-adresser, når du har med at gøre. kritiske servere, sikkerhedsenheder, routere, firewalls eller scenarier med detaljerede kontrolkravFor små, statiske netværk kan et simpelt, fast nummereringssystem være tilstrækkeligt.
DHCP-opslagsfejl i Windows: Hurtige løsninger
Hvis du støder på en DHCP-opslagsfejl, når du starter din pc, og mister din IP-adresse, kan du prøve følgende: ipconfig / renew i CMD (det vil gennemtvinge en ny lease) og, om nødvendigt, ipconfig /release efterfulgt af /renew for at genstarte cyklussen.
Opdater netværksadapterdrivere (Windows Update, Enhedshåndtering eller producentens websted), genstart routeren korrekt (sluk den i 30 sekunder) og brug problem løser af netværk og internet.
Hvis problemet fortsætter, skal du bruge [Indstillinger] ⇢ [Netværk og internet] ⇢ [Status]. Nulstilling af netværk (Geninstaller drivere og nulstil indstillingerne). På netværk med hundredvis af computere skal du kontrollere, om du skal ændre undernetmasken til noget andet. type /16 eller /8; i hjemmene er det normalt ikke nødvendigt.
Diagnostisk tjekliste: server og klienter
Bekræft følgende på serveren: DHCP-tjeneste startet, server autoriseret, frie leases, fravær af BAD_ADDRESS, at NIC-bindingen er på det korrekte undernet (Get-DhcpServerv4Binding/v6), og at kun DHCP-tjenesten lytter på UDP 67/68 (netstat -anb).
Hvis du bruger IPsec, skal du tilføje DHCP-fritagelseKontroller tilgængelighed for relæagenterne og gennemgå filtre/politikker. På klientsiden: kabling, MAC-filtrering på switche, aktiveret adapter, DHCP-klienttjeneste kører og firewall uden at blokere UDP 67/68.
Analysér DORA med Wireshark
Registrerer problemet på både klient- og serversiden (f.eks. ipconfig / renew) og filtrer efter DHCP. Kig efter de fire meddelelser (DISCOVER, OFFER, REQUEST, ACK). Hvis der mangler nogen, Du har et fald på vej.
Typiske indikatorer: klienten viser DISCOVER, men serveren ser det ikke (serversideblok), eller serveren sender OFFER, og klienten modtager det ikke (returblok). Når du bekræfter tabet, involverer netværksteamet for at kontrollere ACL'er, VLAN'er, snooping, DAI eller firewalls.
Optegnelser og dataindsamling
Tjek DHCP-tjeneste og systemlogfiler (Program- og servicelogfiler ⇢ Microsoft ⇢ Windows ⇢ DHCP-server). Brug Windows Event ViewerFejlfindingsloggene findes i %windir%\System32\Dhcp og specificerer DNS-leases og -opdateringer.
Hvis du skal åbne en supportsag, kan du indsamle spor ved hjælp af kørende supportværktøjer (TSS). med administratorrettigheder, accepterer EULA'en og reproducerer problemet for at pakke beviserne i C:\MS_DATA.
Områder: typer, muligheder og planlægning
Et scope er den blok af adresser, som serveren kan tildele inden for et subnet. De mest almindelige er: enkelt omfang (et sammenhængende område), multicast-domænet (MADCAP, RFC 2730) og superannounces (som grupperer flere domæner til administration og netværk med flere undernet på det samme fysiske medie).
Når du designer dem, skal du definere hele spektret og derefter oprette undtagelser for statiske IP-adresser (routere, servere, printere) og forberede reservationer for klienter, der skal beholde deres IP-adresse. Juster også omfangsindstillinger: gateway, DNS, og hvis du bruger WINS eller specifikke udbyder-/brugerklasser, så anvend dem, hvor det er relevant.
den reservationer De tildeler altid den samme IP-adresse til et netværkskort (via MAC-adresse). De er meget nyttige til at ændre adresser uden at få adgang til hver enhed individuelt. Husk, at hvis DHCP fejler, vil disse enheder også være afhængige af serveren for at forny deres IP-adresser.
masse udelukkelsesintervaller De forhindrer konflikter, når du tildeler statiske IP-adresser inden for intervallet. Glem ikke at give plads til fremtidig vækst og dokumentere korrekt, hvor meget plads hver statisk IP-adresse optager.
EAP-scenarie og Wi-Fi-netværk: hvem leverer IP-adresserne
I implementeringer med virksomhedsadgangspunkter (EAP'er) er disse De fungerer ikke som en DHCP-server.Routeren tildeler normalt IP-adresser, og PoE-switchen forsyner adgangspunkterne med strøm. Sørg for, at DHCP-serveren er aktiv på det korrekte VLAN, og at adgangspunktets grænseflade er konfigureret korrekt. har rækkevidde til tjenesten.
På Windows-klienten skal du lade det være aktiveret i IPv4-egenskaber Få en IP-adresse automatisk Og konfigurer DNS til automatisk, hvis det er nødvendigt. Hvis der ikke er DHCP på det VLAN, skal du bruge det statiske alternativ, der er nævnt tidligere.
Alternativer og relaterede teknologier
Før DHCP var der BOOTPSelvom det stadig er nyttigt til diskløs opstart, er det for begrænset til moderne netværk. Zeroconf forenkler små miljøer uden en central server. selvom den ikke skalerer eller tilbyder finjustering..
I IPv6, SLAAC og DHCPv6 De supplerer hinanden for at forbedre kontrol og distribution af muligheder. Og for store netværk er løsningerne fra IP-adressehåndtering (IPAM) De leverer synlighed, automatisering og revision uden at erstatte DHCP, men integrerer med det.
Høj tilgængelighed og netværksovervejelser
Værdsæt failover mellem DHCP-servere eller opdelt scope for at reducere virkningen af afbrydelser. Hvis du bruger VRRP/HSRP på netværket, skal DHCP Snooping og DAI være korrekt justeret for at undgå blokering. legitime svar.
Endelig kontrollerer den, at ingen enheder med en statisk IP-adresse invaderer scope-området og udløser BAD_ADDRESS, og at relæagenter De bør konfigureres på alle nødvendige VLAN'er. Med dette burde indrømmelserne køre problemfrit.
At mestre, hvordan Windows henter sin IP-adresse, fra DHCP og reservationer til APIPA eller SLAAC, giver dig mulighed for at designe rene og sikre netværk: Konfigurer omfangene korrekt, automatiser kritiske parametre, forstærk med Snooping/IPSG, og dokumenter udelukkelser og reservationer.Og stol på logs og skærmbilleder, når noget ikke stemmer; med det ånder netværket, og det gør du også.
